Peter Kampman, projectleider en security manager bij Progress Onderwijsondersteuning, vertelt in deze blog waarom wij de standaarden van ISO 27001 heel waardevol vinden, maar certificering te ver vinden gaan.
Wat is ISO 27001?
ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Deze norm beschrijft hoe je procesmatig met het beveiligen van informatie kunt omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen je organisatie zeker te stellen. Met een dergelijke certificering laat je zien dat je voldoet aan alle eisen rondom informatiebeveiliging, dat je beschikbaarheid, integriteit en vertrouwelijkheid op orde hebt. In aanbestedingen wordt vaak gevraagd naar deze certificering als manier om te laten zien dat je beveiliging in orde is. Toch zijn wij niet ISO 27001-gecertificeerd; niet omdat we de standaarden niet waardevol vinden, maar omdat we geen papieren organisatie zijn. Dat neemt niet weg dat wij de kaders waarbinnen we ons bewegen dik in orde hebben. ISO 27001 kent drie belangrijke onderdelen. Risicoanalyse, directiebeoordeling en incidentenopvolging. Dit is hoe wij het doen.
Risicoanalyse
Bij risicoanalyse kijk je wat je klanten doen – in ons geval gaat het om het onderwijslogistieke proces – en wat daarbij belangrijk is als het gaat om beschikbaarheid, integriteit en vertrouwelijkheid – dat is diplomering en bekostiging in onze wereld. Op basis daarvan bepalen we welke beheersmaatregelen we moeten nemen: welke lijnen moeten we beveiligen, wat moeten we aan fraudedetectie doen, et cetera. Dat doen we op een dusdanige manier dat iemand anders ook kan zien dat we dat doen, in ons risicoanalysedocument leggen we vast wat we gedaan hebben.
Directiebeoordeling
Als directie denken we na over hoe het gaat met onze informatiebeveiliging. Zijn er audits geweest die dingen aan het licht hebben gebracht die om verbetering vragen, hebben klanten feedback gegeven waar we aandacht aan moeten besteden, zijn er grote veranderingen in de wetgeving waar we rekening mee moeten houden? We denken heel bewust na over wat we beter kunnen doen, welke verbetermaatregelen we moeten nemen, en zo gaan we de hele PDCA-cyclus – Plan Do Check Act – door.
Incidentenopvolging
Het komt natuurlijk voor dat we meldingen krijgen van dingen die niet goed gaan. Denk daarbij bijvoorbeeld aan een klant die aangeeft dat een scherm niet – goed – werkt. Wat het ook is dat tot verstoring leidt, dat moet je netjes registreren en snel oplossen. Van de belangrijkste incidenten maak ik een root cause analysis : ik verzamel alle informatie over verstoringen die zich hebben voorgedaan, kijk wat de oorzaak is en wat ik daaraan kan doen. Ik kan mijn collega’s dan tot vervelens toe bestoken met waarom-vragen, net zolang tot ik echt snap wat er is gebeurd, tot ik de échte oorzaak heb achterhaald.
PDCA-cyclus
Als wij een fout maken, staan instellingen op hun – denkbeeldige – achterste benen. Voor mij als security manager is het vooral een leermoment. Natuurlijk is het niet altijd leuk om dergelijke feedback te krijgen, maar als je ervan leert, wordt je product of dienst alleen maar beter. ISO 27001 voorziet in zo’n mechanisme, een cyclus, waarbij je zorgt dat je bij alles doet, leert. Leer van de feedback die je krijgt, leer van de fouten die je maakt, zodat je het volgende keer beter doet. Het maakt niet uit waar je je in de PDCA-cyclus bevindt, maar het is belangrijk dat je altijd de cirkel rondmaakt. Als je een fout maakt, is dat vervelend, maar zorg dan dat je die fout de volgende keer niet meer maakt en zo je informatiebeveiliging verbetert.
ISO à la Progress
Die drie dingen – risicoanalyse, directiebeoordeling en incidentenopvolging – zijn nodig om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen je organisatie zeker te stellen. Het zijn, samen met de PDCA-cyclus, de grondslagen van die systematiek. Je kunt je daarvoor laten certificeren. Dan komt er een auditeur, die gaat controleren of je deze dingen – en nog veel meer – ook echt doet. Dat brengt enorm veel werk met zich mee, het is voor mij bijna een dagtaak om al het papierwerk dat daarmee gepaard gaat voor elkaar te krijgen. Daar is onze organisatie gewoon te klein voor. Daarom hebben wij besloten ons niet te laten certificeren. Door ons op een andere manier door een externe partij te laten toetsen op risicoanalyse, directiebeoordeling en incidentenopvolging, hebben wij er een ISO 27001 à la Progress van gemaakt, met zo min mogelijk lettertjes en zo min mogelijk papier. Dat is niet genoeg voor een ISO-certificering, maar wij vinden dat het meer dan afdoende is.
Hoe meer je voorschrijft, hoe minder er gebeurt
Wat voor ons ook een belangrijke overweging is, is dat hoe meer beleidsregels je maakt, hoe minder mensen gaan nadenken. Ik merk dat in onze organisatie, waar we ons beperken tot de noodzakelijke regeltjes, , de collega’s heel scherp zijn. Als een van ons iets doet dat bijvoorbeeld niet veilig is, dan laten de collega’s direct van zich horen. Ook als klanten iets doen dat volgens de privacywetgeving niet geoorloofd is, zitten we daar bovenop.
Loden last
Dus ja, wij werken conform de ISO-normering, we kijken heel goed naar onze processen en houden elkaar scherp. Zo zorgen wij dat onze beschikbaarheid, integriteit en vertrouwelijkheid perfect op orde is. Maar voor het verkrijgen van een ISO 27001-certificering moet je alles uitschrijven tot zes cijfers achter de komma en stoppen mensen bovendien met nadenken. Kaders zijn nodig, maar het papierwerk moet geen loden last worden.
Meer weten?
Wil je ook graag met ons aan de slag of mogen we in 10 minuten ons systeem aan je uitleggen? Bel of mail ons: 050 - 205 35 30 | info@progressonderwijs.nl.