Welke zekerheid biedt de ISO 27001 norm en audit?

Foto van Wim Hoving

Wim Hoving

Architect ISM-methode

“Wet en werkelijkheid”, zo heet een gepubliceerd rapport van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC). In een uitgebreid kwalitatief onderzoek bleek één van de conclusies te zijn dat de naleving en doeltreffendheid van wetgeving in de praktijk afhankelijk is van een aantal factoren. Eén van de factoren die nadrukkelijk naar voren komt behelst het (on)vermogen van organisaties die wetten moeten uitvoeren en moeten zorgen voor naleving.

Komt binnen de publieke IT-sector wet en werkelijkheid wel altijd overeen? Binnen het onderwijs geldt de SURF, voor de overheid de BIO en binnen de zorg de NEN 7510. Al deze normen zijn afgeleid van de ISO 27001 norm. De gehele publieke sector heeft te maken met deze informatieveiligheidsnorm met bijbehorende periodieke audits.

Het antwoord op bovenstaande vraag luidt duidelijk: nee. Informatieveiligheid krijgt veel aandacht van de wetgever, maar de praktijk leert dat niet elke organisatie security als standaard onderdeel van haar IT-doestverlening beschouwd. Zo bleek bijvoorbeeld in september 2021 dat de Hogeschool van Arnhem en Nijmegen (HAN) de informatieveiligheid niet op orde had. Een hacker maakte privégegevens buit en eiste daarop geld. De hogeschool betaalde niet en de gegevens kwamen op straat te liggen. En dat terwijl de HAN al in 2017 was gestart met hun eerste review op een SURFaudit.

En alhoewel hierboven een voorbeeld is gegeven van falende informatieveiligheid binnen het onderwijs; het komt overal voor. Denk bijvoorbeeld aan de hack bij het Hof van Twente in 2020 of het Wilhelmina Ziekenhuis in Assen in 2021. De gehele publieke sector is verplicht een (al dan niet afgeleide) ISO 27001 audit af te nemen en daarvoor een certificaat te behalen. Maar toch komen wet en werkelijkheid niet altijd met elkaar overeen.

Dat komt omdat ISO 27001 normen en audits wel een incentive vormen, maar niet de gewenste resultaten behalen. Met controleren en straffen bereikt men zelden de gewenste duurzame resultaten.

“Het is de stok-methode, als in: “voldoe aan onze normen of je krijgt een fikse geldboete.”

Een bewezen gestandaardiseerde managementmethode die de IT-dienstverlening en IT-servicemanagement optimaal organiseert bereikt echter wel compliancy. Dat komt omdat zo’n managementmentmethode, zoals ISM, security als een standaard onderdeel van IT-dienstverlening beschouwt en compliancy organisatie-breed. Met andere woorden, de ISO 27001 normen zijn niet iets externs, maar een integraal onderdeel van elke IT-dienstverlening.

De ISO 27001 norm: informatieveiligheid is een must

Informatieveiligheid is dus geen vanzelfsprekendheid. Gevaren lonken namelijk overal en een ISO certificering betekent niet dat je rustig aan achterover kunt leunen. Daarbij stelt de wetgever dat het management voornamelijk verantwoordelijk is voor compliancy. Het is dus in eerste instantie aan de IT-manager om de informatieveiligheid te borgen, de uitvoering en techniek zijn volgend. En wanneer de managementmethode ontoereikend is, biedt een ISO 27001 audit en certificaat geen veiligheid.

De ISO 27001 audit is namelijk een momentopname. De besturing van de IT moet altijd goed georganiseerd zijn. Een goede IT-besturing wordt geborgd door een succesvol IT-service management-model toe te passen. En daar komt de Integrated Service Management-model zeer bij van pas. Het ISM-model helpt namelijk bij het structureren en continu verbeteren van de IT-werkwijzen en biedt dus ook bescherming van gegevens.

In de ISM-methode is informatieveiligheid een integraal onderdeel van IT-service management. Informatieveiligheid is dus geen ‘moetje’ en een kwestie van ‘door de audit komen’, maar een basisonderdeel van goede IT-dienstverlening. Het is een methode om de service van de IT-afdeling te verhogen. En om wet en werkelijkheid overeen te laten komen. Dat kan bereikt worden door alle vereiste acties te integreren in efficiënte IT-processen. De ISM-methode en de ISM compliancy tool in het bijzonder maken dit op eenvoudige wijze mogelijk.

De ISO 27001 norm: integraal onderdeel van jouw IT-dienstverlening

De ISO 27001 norm geldt organisatiebreed, maar het zwaartepunt ligt bij de IT-afdeling en de diensten die zij levert. De ISM-methode brengt naast betrouwbare werkprocessen en samenwerkingsafspraken ook een Agile en Lean werkwijze. Hierdoor kan de IT-afdeling snel anticiperen op nieuwe compliancy-vereisten. Ook borgt de ISM-methode dat de organisatie voldoet aan de eisen op het gebied van compliancy en security.

Wanneer de IT-manager de ISM-methode toepast is het voldoen aan de ISO 27001 norm geen controle-aspect meer, maar een streven om goede service te leveren. Customer Value, oftewel klantwaarde, is datgene wat ISM drijft. Leiders die deze positieve insteek uitdragen zijn bewezen succesvoller dan autoritaire leiders die voornamelijk afspraken controleren. Door deze positieve benadering heeft security blijvend een prominente positie en wordt het een intrinsiek onderdeel bij alle medewerkers.

Maak nu het verschil

De IT-leider maakt dus het verschil. De IT-manager zorgt er immers voor dat medewerkers weten wat er van hen wordt verwacht. De IT-manager zorgt ervoor dat de werkprocessen duidelijk zijn. Dat de ISO 27001 norm integraal onderdeel is van het moderne IT-service management dat het IT-team voert. Dat security een standaard onderdeel is van de IT-dienstverlening. En, niet te vergeten, dat de IT-manager leidt op een positieve manier waardoor de business geniet van de door de IT-afdeling geleverde informatieveiligheid.

Onze opleidingen halen de complexiteit uit methodes en theorieën, en leveren direct toepasbare kennis, inzichten en vaardigheden. Wanneer de ISM-methode toepast wordt behoeft de IT-afdeling slechts beperkte inspanningen te leveren voor een ISO 27001 audit. De organisatie voldoet namelijk structureel aan de ISO 27001 norm. Met ISM hebben vele professionals de kennis uit ITIL, DevOps en Agile werken op een praktische en herkenbare wijze op elkaar afgestemd.

ISM heeft de mens centraal staan en biedt de meest uitgebreide trainingen die gericht zijn op IT managers, teamleiders en procesmanagers. Download hier onze opleidingsbrochure en bekijk onze trainingskalender.

 

 

Maak Kennis met ISM: De Eenvoudige Manier om ITIL te Implementeren

Alle IT-ers kennen ITIL, maar weinigen beheersen het ook. ITIL is namelijk niet alleen een mooie handreiking, maar ook omvangrijk, complex en niet concreet. En zo is het ook bedoeld, men zegt ook zelf “adapt and apply”. Invoeringen vinden vaak onder leiding van specialisten plaats, maar worden daarna door het eigen management toegepast. En dan blijkt het in de praktijk heel moeizaam te gaan. Vaak krijgen dan de medewerkers of de tools de schuld, maar daar ligt zelden de oorzaak.

Download het ISM-procesmodel en ontdek hoe het ook kan.