Derde hoofdstuk geschreven door onze ISO 27001-experts. Bekijk de typische wegversperringen die u kunt tegenkomen tijdens een ISO 27001 certificeringsproject.
Onze ISO 27001-hoofdstukken
In deze snelgroeiende markt en in een concurrerende branche zijn organisaties die gegevensbeveiliging en -privacy serieus nemen betrouwbaarder dan organisaties die dat niet doen. Daarom zou een ISO 27001-certificering idealiter uw kansen vergroten, uw processen verbeteren met een beveiligingsmentaliteit en klanten en partners vertrouwen geven. Hoewel certificering veel voordelen met zich meebrengt (zie hoofdstuk 2 – 14 februari), aarzelen organisaties vaak om deze internationale norm te implementeren, maar waarom? Prioriteiten van de organisatie
Organisaties richten zich primair op hun bedrijf, doelstellingen en groei. Ze zien het implementeren van een norm als ISO 27001 vaak als een last, waarbij ze nieuwe processen moeten opzetten zoals Risicomanagement, Kwetsbaarheidsmanagement en Asset Management, naast het uitvoeren van reguliere controles.
Wie gaat dit doen binnen een organisatie waar de middelen beperkt zijn, waar geen interne kennis aanwezig is en waar geïnvesteerd moet worden in tools? Bovendien lijken normen complex en meestal niet eenvoudig te begrijpen als uw bedrijf informatiebeveiligingssystemen alleen gebruikt als ondersteunende activa in plaats van als een service zoals hosting.
Initiële investering
De initiële investering kan ook een terughoudende factor zijn, afhankelijk van hoe volwassen uw organisatie is (maken risicobeheer, activabeheer, toegangsbeheer al deel uit van uw processen?). De ISO 27001 kan een enorme extra inspanning betekenen, want zonder een sterke betrokkenheid van het management kan de implementatie uitdraaien op een nachtmerrie.
Laten we twee voorbeelden nemen:
- Kwetsbaarheidsbeheer: Het implementeren van een kwetsbaarhedenbeheerproces is een investering die elke organisatie zou moeten overwegen. Dit proces moet meestal worden ondersteund door een tool (meestal een kwetsbaarheidsscanner). Voordat u beslist of u een opensource-tool of een gelicentieerde versie wilt gebruiken, moet u goed nadenken: een opensource-tool is natuurlijk gratis, maar biedt u niet het volledige scala aan functionaliteiten (zoals het markeren van valse positieven) dat een commercieel product wel biedt.
Tip: Begin eerst met maandelijks scannen. Al snel zul je erachter komen dat een scanner dag en nacht moet draaien en dat waarschuwingen moeten worden gescript om de teams te informeren, omdat je je zult realiseren dat cybercriminelen nooit slapen.
- Change Management: een organisatie moet aantonen dat ‘Security’, meestal de CISO, betrokken is en moet worden bij alle veranderingen (d.w.z. software, infrastructuur, ontwikkeling, diensten, locatie…), simpelweg omdat die veranderingen een impact kunnen hebben op de beveiliging. Vaak stuiten mensen op weerstand tegen verandering, omdat organisaties de perceptie hebben dat de werklast en kosten zullen toenemen en er dus onwil is om de tekortkomingen toe te geven of gewoonweg niet begrijpen wat er nodig is en waarom het nuttig is.
Tip: Het implementeren van verandermanagement kan eenvoudig worden gestart door de quick wins te identificeren, ga voor het laaghangende fruit, door bestaande tools te gebruiken en/of af te leiden (zoals een ticketsysteem). Bewustwording is ook een belangrijke factor voor succes en om ervoor te zorgen dat iedereen meedoet.
Menselijke factor
Een andere factor die een ISO 27001-implementatie in gevaar kan brengen is de menselijke factor. Veranderende mentaliteit, slechte gewoonten, weerstand tegen nieuwe processen kunnen elke implementatie vertragen. Maar geloof ons, als de organisatie eenmaal gecertificeerd is, wil niemand meer terug naar de ‘goede oude tijd’ waarin alles mogelijk was, maar tegen welke prijs en welke risico’s?
Hopelijk zijn er partners die bedrijven ondersteunen die met deze wegversperringen te maken krijgen.
Dit artikel is geschreven door Marc Degembes, Principal Consultant.