Partner

29 september 2022

Tech, Ict & Smart

‘Informatiebeveiliging is en blijft een hot topic’

Informatiebeveiliging tillen naar een hoger niveau: daar gaat het om tijdens het certificeringstraject voor ISO 27001. Cyber4Z kan helpen bij het proces door bepaalde activiteiten uit te voeren (denk aan een risico assessment of een stakeholdersanalyse). Onze security consultant Morrison Toussaint vertelt ons er meer over.

Wanneer een bedrijf zich wil certificeren voor ISO 27001, dan is het belangrijk dat de processen en procedures die in de norm staan te implementeren. “Het gaat dan bijvoorbeeld om risico assessments, een stakeholdersanalyse of een directiebeoordeling. Dat zijn allemaal activiteiten die moeten bijdragen aan een hoger niveau van informatiebeveiliging. Deze maak ik zelf bij bedrijven, dus ik ben niet alleen bezig met ondersteuning tijdens de audit voor ISO 27001,” zegt Morrison. Maar hoe begint zo’n proces precies? “Ik begin met een gap-analyse. Dit is in de basis een vragenlijst waarbij het doel is om te achterhalen wat een bedrijf nog moet doen om te voldoen aan de eisen zoals die gesteld zijn in ISO 27001. Daar komen dan actiepunten uit, die ik samen met de organisatie ga oppakken en implementeren.” Naast de werkzaamheden voor ISO 27001 houdt hij zich ook nog bezig met andere ISO-normen. “Er zijn ook nog andere normen zoals ISO 9001 over kwaliteitsmanagement, ISO 22301 over business continuity management en 31000 over risicomanagement. Dat zijn ook frameworks die wij ook weer implementeren.”

Goed kennismaken
Om te beginnen met een ISO 27001 is het belangrijk om goed kennis te maken met een bedrijf. “Ik begin altijd met een gesprek over het bedrijf. Ik vraag dan bijvoorbeeld naar de organisatiestructuur, of IT uitbesteed is en hoeveel mensen er werken, zodat ik een beeld krijg van de organisatie. Met alle informatie kan ik een gap-analyse maken en dat is de eerste stap om tot certificering te komen.”

Daarna volgt een stakeholdersanalyse, waarbij alle belanghebbenden in kaart worden gebracht. “Zo wordt dan bijvoorbeeld duidelijk dat een bedrijf haar IT-activiteiten uitbesteedt aan een IT-beheerder. Ik kan in gesprek gaan met de IT-beheerder, want soms moet een contract aangepast worden om te kunnen voldoen aan de ISO-norm.” Door deze gesprekken kan het soms langer duren voordat een ISO-traject helemaal is doorlopen. “Maar het komt ook doordat we niet alleen maar documenten leveren aan organisaties, maar we helpen ook daadwerkelijk met het implementeren van zaken. Dit kan bijvoorbeeld het implementeren van mitigerende maatregelen zijn, welke zijn geïdentificeerd tijdens de risico analyse.”

Een positieve trend
De afgelopen jaren is informatiebeveiliging een steeds belangrijker onderwerp geworden door onder meer cyberincidenten die de media bereiken. “De afgelopen jaren zag je dat een bedrijf ISO 27001 gecertifieerd wil zijn omdat één van hun klanten dat vraagt. Nu zie je juist dat deze bedrijven ook van hun leveranciers verwachten dat zij een ISO 27001 certificaat hebben. Het is eigenlijk een sneeuwbaleffect waarbij een implementatie leidt tot meerdere implementaties bij andere bedrijven. Dat is een positieve trend, want zo zorg je ervoor dat de hele keten veiliger wordt.” Om die reden krijgt Cyber4Z steeds meer aanvragen om te helpen bij ISO-trajecten.

Kortom: Cyber4Z ondersteunt niet alleen tijdens de ISO-audits, maar helpt ook met het hele proces eromheen. Meer weten? Bekijk dan onze website cyber4z.com of stuur ons een mailtje via 4z4u@cyber4z.com.