Dit is deel twee van de serie over ISO 27001 certificering met Higher Mountains. In deel één stellen Marien Dis en Brendan Smith van Higher Mountains zich voor, en lees je over de noodzaak van het identificeren, analyseren en aanpakken van risico’s op het gebied van informatiebeveiliging en privacy.

In zijn eerste jaren als adviseur informatiebeveiliging en privacy, ondersteunde Marien met name IT-bedrijven. “Daar wordt vaak bezuinigd op tooling. Omdat het IT’ers zijn, denken ze snel: ‘We sleutelen zelf wel even wat in elkaar’. Daar is vervolgens geen tijd voor en dus wordt alles (soms zelfs dubbel) geregisterd in een verzameling losse documenten. Afdelingen doen dat op allerlei verschillende plekken en dat levert alleen maar meer werk op. Terwijl de normen voor certificaten voor een groot deel dezelfde eisen stellen. Er is dus heel veel vraag naar een oplossing die zo min mogelijk ballast oplevert en waarmee mensen makkelijk iets terug kunnen vinden. Dat is fijn bij een audit, maar zeker ook in de dagelijkse praktijk. Wij stimuleren dus toe te werken naar een integraal managementsysteem, waarbij je niet alleen informatiebeveiliging regelt, of niet alleen kwaliteit, maar waar je alles bij elkaar brengt.

“Op het helemaal zelf in te richten dashboard houd je makkelijk je doelstellingen in de gaten en heb je altijd antwoord op de vraag: waar staan we nu? Dat is natuurlijk geweldig.”

Veel bedrijven beginnen hun vastlegging in Sharepoint, Word en Excel. Ook Brendan deed dat voordat hij overstapte naar een digitaal managementsysteem. “Als je een systeem als dat van Inception goed hebt ingericht, geeft dat heel veel controle. Je kan de acties en verbeterslagen toewijzen aan verantwoordelijken en je wordt vanzelf herinnerd aan de terugkomende zaken die je regelmatig moet doen zoals een risicoanalyse, controles en het reviewen van documenten. Alles is gepland. Dat zorgt dat je continu verbetert. Op het helemaal zelf in te richten dashboard houd je makkelijk je doelstellingen in de gaten en heb je altijd antwoord op de vraag: waar staan we nu? Dat is natuurlijk geweldig.
Het systeem kan gebruikt worden voor verschillende normen en zorgt ook voor de borging. Dat missen gewoon heel veel bedrijven.”

ISO 27001 toolkit | norm als gereedschapskist

Een planning is natuurlijk handig, maar voor borging moet je ook vaststellen dat wat je gepland hebt ook daadwerkelijk uitgevoerd is. Volgens Marien is het heel waardevol om dat door een systeem te laten ondersteunen. Hoef je er zelf niet aan te denken en iedereen heeft een overzicht van wat er nog moet gebeuren. Zo heb je dus veel minder inspanning nodig om te blijven voldoen aan de normeisen.

“Je hebt voor elke klus het juiste gereedschap, en als je daar de software van Inception bij gebruikt, is het nog een elektrische schroevendraaier ook.”

Je hoeft het informatiebeveiligingswiel niet uit te vinden, er is een enorme bak met informatie over dat onderwerp waar je gebruik van kan maken.
“Je kan de norm zien als een verplichting. We doen het voor de klant of voor de auditor. Maar uiteindelijk is het gewoon een heel grote gereedschapskist met allemaal hulpmiddelen (maatregelen) waar je over na kan denken om je risico’s te verkleinen en om je beveiliging op een hoger niveau te brengen. Je hebt voor elke klus het juiste gereedschap, en als je daar de software van Inception bij gebruikt, is het nog efficiënt ook. Een elektrische schroevendraaier dus, i.p.v. dat je hem met de hand moet draaien. Het is gewoon heel fijn om daarover te kunnen beschikken.”

ISO 27001 risico’s | Goed is goed genoeg

Veel bedrijven denken nog steeds dat je alle risico’s op dag één moet wegwerken, maar daarin is de norm de laatste jaren echt veranderd. Je stelt prioriteiten op basis van je eigen risicoanalyse. Met een goed overzicht van je risico’s kan je bewust kiezen met welke je aan de slag gaat. “Inception maakt dat gewoon heel inzichtelijk.”
Nog en laatste tip van Brendan en Marien: “Maak het niet moeilijker dan het is, goed is goed genoeg. Als je een rode of gele kaart hebt is dat nog geen ramp, als je de opvolging maar goed doet.” Gaat er gedurende het jaar toch wat mis met een risico waar je in eerste instantie niet mee aan de slag ging? “Dan leg je als risico-eigenaar vast dat je extra maatregelen gaat treffen en tijd en middelen uittrekt om die daadwerkelijk te implementeren. Zo kan je naast het verkleinen van het risico bij de volgende audit de voortgang rapporteren, want alles staat in een mooi overzicht in je managementsysteem. Dat maakt het allemaal veel leuker en makkelijker.”

Nog vragen over hoe wij met onze Inception software ons ISO 27001 certificaat hebben behaald? Vraag dan een demo aan! Wij vertellen je heel graag meer over hoe wij jouw specifieke bedrijf kunnen helpen met informatiebeveiliging, en nog veel meer. Liever eerst nog even rondsnuffelen? Klik dan eerst eens rond op onze website onder het thema informatieveiligheid of download de brochure.