Sneller ISO27001 certificeren

Doel

Doel van deze tips is om draagvlak te creëren en te behouden voor een goed werkend Information Security Management System (ISMS). Het ISMS noem ik altijd de informatie-beveiligings-verbeter-fabriek.

IB-manager

Om een Informatie Beveiligings Managemant Systeem (ISMS) goed te laten werken is een Informatie Beveiligingsmanager (IB-manager) nodig. Deze is verantwoordelijk voor de certificering.

Tip 1. Passend

Je kunt naar een externe auditor altijd verklaren dat iets 'passend' is voor de organisatie is. Zo kan je verdedigen dat een biljart vereniging het wachtwoord beleid minder zwaar zal aanvliegen dan het ministerie van Defensie.

Ook documentatie moet passend zijn. Zo zal de documentatie van het inrichten van een nieuwe server veel serieuzer worden aangepakt dan de documentatie van het opruimen van het cursuslokaal.

Tip 2. Waar of niet waar?

  • Risico's worden vastgesteld door de IB manager!

  • De IB-manager bepaald hoe groot de risico's zijn!

Beide niet waar.

De IB-manager zorgt ervoor dat de risico analyse uitgevoerd wordt en dat alle risico's goed omschreven worden. Dus een risico is niet 'er wordt op een foute link geklikt' maar 'Informatie is niet meer beschikbaar omdat bestanden versleuteld zijn omdat op een verkeerde link geklikt is'.

De grootte van de risico's (kans x impact) worden vastgesteld door de eigenaar van informatie, in kleine organisaties is dat de CEO. 

Tip 3. Waar of niet waar.

  • De IB-manager bepaalt welke maatregelen genomen worden voor te grote risico's.

Niet waar

De IB-manager zorgt dat er voorstellen gedaan worden voor maatregelen. Zorg ervoor dat dat je als IB-manager niet de wetgevende, uitvoerende en controlerende macht bent. 

Tip 4. Waar of niet waar?

  • De maatregelen voortvloeiende uit te grote risico's MOETEN geïmplementeerd zijn VOOR de externe auditor langs komt.

Niet waar

Je kunt verklaren dat een maatregel wel onderkend maar nog niet geïmplementeerd is. Je moet dan wel een plan hebben.

Tip 5. Het moet van de IB manager!

Niet waar

Dit is een uiting van een vervelende sfeer. De IB-manager doet voorstellen, heeft overzicht, houdt actiepunten bij, houdt de jaarplanning in de gaten. De CEO/ het MT besluiten. Laat hun besluiten ook uitdragen.

Tip 6. Perfectie is een valkuil.

Stel dat je er achter komt dat een powerpoint presentatie niet gelabeld (publiek, vertrouwelijk, geheim). Wat doe je dan?

  • Je registreert een afwijking en doet de oorzaak en omvangsanalyse.
  • Qua omvang blijkt dit geen uitzondering te zijn. Alle oude PowerPoints zijn niet gelabeld!!!
  • De perfecte oplossing is om alle PowerPoints te openen en te labelen. Maar ook alle uitgeprinte Powerpoints te labelen.

Hiermee zet je het hele bedrijf op zijn kop. Je kunt ook minder agressief te werk gaan door een uitsterf constructie:

  • Pas het Powerpoint sjabloon aan en zet er een label op. Hierdoor staat de classificatie er al default op.
  • Doe een mededeling aan alle gebruikers dat vanaf heden de classificatie op een Powerpoint moet staan en dat er een sjabloon voor is.
  • Voeg een risico toe; "De vertrouwelijkheid van een Powerpoint van voor 'vandaag' kan als publiek xxxx kan geschonden worden omdat de classificatie niet op alle Powerpoint's van voor 'vandaag' staat". Zo'n Powerpoint zou, onterecht, als publiek behandeld kunnen worden.
  • Zet de controle van het gebruik van de juiste sjabloon op de agenda van de volgende interne audit.

"Het betere is de vijand van het goede". 

Tip 7. Stel je als IB manager nederig op.

  • "Ik snap dat de IB maatregelen onhandig zijn maar dit is nodig om voldoende veilig te werken."
  • Wijs eventueel op de "tenzij" regel. Geef aan dat uitzonderingen mogelijk zijn.
  • Waarom kan je je werk niet doen? Wat is een alternatieve manier van werken? Waarom moet er voor jou een uitzondering komen?
  • Als een vastgestelde maatregel niet uitgevoerd kan worden, denk dan na over een alternatief en doe dat.  Voorbeeld van een alternatief. Een bestand is te groot om via beveiligde mail te mailen. Alternatief is versleutelen en op andere manier verzenden. Geef het wachtwoord via een ander kanaal (SMS, Signal, Email) door. 

Tip 8. Gebruik geen teksten als:

"Het moet van de ISO-norm!"

Hele slechte tekst. Je moet iets zelf willen. De ISO27001 norm is slechts een handig hulpmiddel. 

Tip 9. Leren van fouten van anderen.

Kijk naar lekken en andere incidenten in de markt. Vraag je af; "had ons dat ook kunnen gebeuren"? 

Leren van fouten mag. Ook van fouten van anderen. Bij voorkeur zelfs!

Tip 10. Laatste tip.

Heb je voor mij nog een tip? Laat het me weten.