Vierde hoofdstuk van ons ISO 27001-verhaal, geschreven door onze experts. Ontdek de veelvoorkomende valkuilen die u kunt tegenkomen tijdens een ISO 27001-implementatie.
De juiste reikwijdte: te ambitieus of niet genoeg
Het bepalen van de juiste reikwijdte voor het implementeren van een ISMS (Information Security Management System) kan lastig zijn. Aan de ene kant kunnen sommige grote en complexe organisaties de planning overschatten en een ’te ambitieuze’ aanpak hanteren met veel niet-vereiste taken, activiteiten en middelen. Hierdoor neemt het risico toe dat middelen worden verspild, het doel niet wordt bereikt en het team wordt gedemotiveerd.
Aan de andere kant zullen organisaties die hun toepassingsgebied te veel inperken (bijvoorbeeld door sommige controles uit te sluiten van de Verklaring van Toepasselijkheid of door sommige van hun interfaces te verwaarlozen bij het definiëren van de grenzen van hun toepassingsgebied) tijdens de certificeringsaudit waarschijnlijk te maken krijgen met non-conformiteiten, omdat ze niet hebben kunnen aantonen dat ze hun beheersysteem voor informatiebeveiliging volledig onder controle hebben. De aanbevolen aanpak voor een realistisch ISMS-implementatieplan in de hele organisatie is om een pragmatische risicobeoordeling uit te voeren in combinatie met de implementatie van ontbrekende best practices. Het resultaat is een goed goedgekeurde Verklaring van Toepasselijkheid (SoA) en planning. De auditors zullen dan vertrouwen hebben in de ISMS-implementatie. ISO 27001 is gebaseerd op voortdurende verbetering, daarom hoeft de implementatie geen ‘big bang’ te zijn en hoeven niet alle elementen aanwezig te zijn om voordelen op te leveren.
Geen of slechte definitie van rollen en verantwoordelijkheden
Een typische valkuil is om een ISO 27001-implementatieproject als een IT-project te beschouwen en alleen middelen van die afdeling in te zetten. In veel gevallen rapporteert de CISO (Chief Information Security Officer) ook nog steeds aan de IT-manager en als gevolg daarvan worden alleen technische maatregelen overwogen. Een ISMS (Information Security Management System) is in feite een transversaal project dat een holistische impact heeft op de hele organisatie en haar afdelingen, leidinggevenden, personeel en partners. Zowel de sponsors als de projectleider moeten een mandaat krijgen vanaf het uitvoerend niveau. Dit houdt in dat alle actoren in het project duidelijk moeten worden geïdentificeerd en dat hun rollen en verantwoordelijkheden moeten worden vastgesteld en gecommuniceerd in de hele organisatie.
Gebrek aan of slechte buy-in van het uitvoerend niveau
In bepaalde organisaties ziet de directie niet wat de toegevoegde waarde is van een ISMS voor hun bedrijf.
ISMS? Niet voor ons, wij besteden veel geld aan technische beveiligingsmaatregelen.
Informatiebeveiliging berust op een sterke 4-schakels keten, waarbij de algehele beveiliging van de organisatie slechts zo sterk is als de zwakste schakel. Administratieve maatregelen (de eerste schakel) formaliseren hoe we werken en handelen binnen een organisatie door middel van beleid, bewustzijn, controles, sancties en processen.
Technische maatregelen (de tweede link) hebben betrekking op IT-gerelateerde beveiligingsacties. Zoals het versleutelen van laptops, het implementeren van antimalware op werkstations en servers en het installeren van firewalls.
Fysieke maatregelen (de derde schakel) beveiligen gebouwen, ingangen, kantoren, gebouwen, energiesystemen en telecommunicatie door middel van ingezette beveiligingsmechanismen.
Milieumaatregelen (de vierde link) richten zich op het voorkomen van natuurlijke schade zoals overstromingen, aardbevingen en orkanen, vooral wanneer organisaties nieuwe infrastructuren opzetten zoals datacenters of gebouwen.
Voor een robuuste beveiliging en een goed gedefinieerd ISMS moeten organisaties deze vier beveiligingsdomeinen als een ondeelbare eenheid behandelen.
Van ISO 27001-valkuilen naar succes
- Neem de tijd om je toepassingsgebied goed te definiëren en vraag jezelf altijd af: zal ik de auditor overtuigen?
- Bereid een plan voor veranderingsmanagement voor: identificeer obstakels, stel je team samen, houd rekening met de hele organisatie en bereid je communicatieplan voor.
- Zorg er in dit plan voor dat u ISO 27001 kunt vertalen in woorden die uw team aanspreken (“what’s in it for me”)
- Focus op quick wins en laaghangend fruit
- Onderschat de 4-schakelketting niet
André Staquet, Approach Community Partner schreef dit artikel.
