08 apr Informatiebeveiliging: kostenpost of noodzaak?
Bijna een retorische vraag. Is informatiebeveiliging een kostenpost of noodzaak? Ik ben van mening dat informatiebeveiliging noodzakelijk is. Ik ben echter niet objectief als ik deze vraag stel. Wij bieden immers diensten aan op het gebied van informatiebeveiliging. ISO 27001 certificering of alleen het opzetten van een managementsysteem voor informatiebeveiliging.
Dat gezegd hebbende: volgens mij is een goed beleid voor informatiebeveiliging voor steeds meer bedrijven puur noodzaak. Denk alleen maar aan de wet- en regelgeving die strenger wordt, zoals de meldplicht datalekken.
Informatiebeveiligingsbeleid volgens ISO 27001ISO 27001, informatiebeveiliging
Beginnen bij het begin: de beslissing om ‘aan informatiebeveiliging te doen’ is een beleidsbeslissing. Beleid wordt gemaakt op strategisch niveau. Door de directie dus. De ISO 27001 norm voor informatiebeveiliging geeft in hoofdstuk 5 eisen voor het vaststellen van het informatiebeveiligingsbeleid. Dit moet passend zijn voor het doel van de organisatie, doelstellingen bevatten, een verbintenis bevatten om te voldoen aan de eisen voor informatiebeveiliging en een verbintenis voor continue verbetering van het managementsysteem voor informatiebeveiliging.
Een mond vol. In Jip en Janneke taal moet de directie een informatiebeveiligingsbeleid vaststellen dat past bij het bedrijf. Er moeten doelstellingen in omschreven zijn en er moet in staan dat het bedrijf wil voldoen aan de eisen voor informatiebeveiliging en zich continue wil verbeteren. Dit beleid moet ook beschikbaar zijn als gedocumenteerde informatie en worden gecommuniceerd aan de mensen binnen de organisatie. In de praktijk wordt dit vaak vastgelegd in het handboek. Een voorbeeld van een ISO 27001 handboek kunt u vrijblijvend aanvragen.
Bovenstaande quote lijkt vanzelfsprekend. En dat is hij ook. Maar dat maakt ‘m niet minder belangrijk! U mag namelijk een beleid vaststellen dat past bij uw bedrijf. Best prettig, want er bestaan nog steeds mensen die geloven dat de ISO norm even voorschrijft hoe u moet gaan werken. Een grotere misvatting is er niet.
Waarom informatiebeveiliging?
Om heel eerlijk te zijn: voor mij is het niet meer dan logisch dat een bedrijf zijn informatie beveiligd. Ik bedoel; welke ondernemer wil nou dat een kwaadwillende persoon toegang heeft tot belangrijke informatie in zijn bedrijf? Ik moet de eerste nog tegenkomen. Bovendien is het zeker tegenwoordig van belang om te zorgen dat gevoelige informatie veilig is. Vrijwel alle informatie is digitaal beschikbaar. Maar hoe vaak horen we niet dat er weer een bedrijf gehackt is? Ook in het MKB. Sterker nog, juist in het MKB! Dat blijkt uit een onderzoek van Interpolis en Capgemini.
Belangrijk is dat het beleid en de maatregelen die daaruit voortvloeien, passen bij het bedrijf! Een verhuisbedrijf zal een minder streng beleid voeren dan een ziekenhuis. Logisch dus dat de maatregelen die doorgevoerd worden voor het ziekenhuis ingrijpender zijn dan voor het verhuisbedrijf.
Informatiebeveiliging in de zorg
Het voorbeeld van het ziekenhuis heb ik niet toevallig genoemd. Informatiebeveiliging in de zorg is een ‘dingetje’. Daarom is er een speciale norm voor informatiebeveiliging in de zorg sector. Dit is de NEN 7510 norm. Deze norm heeft een grote overlap met de ISO 27001 norm, maar is specifiek gericht op bijvoorbeeld patiëntendossiers. De doelstellingen en beveiligingsmaatregelen wijken daarom ook af van de ISO 27001.
Ik ben ervan overtuigd dat informatiebeveiliging noodzakelijk is voor mijn business. Maar wat is die kostenpost dan?
Vanzelfsprekend stelt het management van iedere organisatie zich de vraag of de kosten opwegen tegen de baten. Hoewel voor een aantal organisaties ISO 27001 certificering onontkoombaar is, zit er nogal een verschil in de kosten en aanpak van de verschillende consultancy bureaus en certificerende instanties. En dan zijn er nog de bedrijven die wel een informatiebeveiligingsbeleid hebben en ook maatregelen willen implementeren, maar niet het certificaat willen behalen.
Maak een verantwoorde keuze!
Het geldt voor ieder bedrijf op ieder gebied: maak een verantwoorde keuze. Een keuze die bij de organisatie past. Wordt er nooit gevraagd om een ISO 27001 certificering? Dan is het onnodig kosten maken wanneer er toch gecertificeerd gaat worden. Betekent dat automatisch dat er niet aan informatiebeveiliging moet worden gedaan? Nee, uiteraard niet. Een managementsysteem voor informatiebeveiliging is voor heel veel organisaties nuttig. Het certificaat wordt met name behaald vanuit de commerciële gedachte.
Het inschatten van de kosten voor ISO 27001 certificering
Hoewel voor iedere organisatie de kosten voor ISO 27001 certificering verschillend zijn, kunt u wellicht zelf een inschatting maken. De hoeveelheid en met name de impact van de maatregelen die u moet treffen, worden namelijk bepaald door de risicoanalyse. Deze analyse doet u in het traject gezamenlijk met de consultant. Maar bedenk bij uzelf welke risico’s op uw activiteiten van toepassing zijn en bedenk wat voor maatregelen hiervoor getroffen moeten worden. Dan heeft u al een beeld van de benodigde tijdsbesteding. Vervolgens is de investering in de consultant afhankelijk van de hoeveelheid werk dat u wilt uitbesteden en wat u zelf wilt gaan oppakken.
ISO 27001 consultancy bureau bepalen
Iedere organisatie is uniek. Heeft unieke risico’s die de impact van de informatiebeveiliging bepalen. Iedere organisatie heeft daarom ook een unieke aanpak nodig. Een logische conclusie is dus dat een ISO 27001 certificering altijd een maatwerktraject is. Bent u op zoek naar een ISO 27001 consultancy bureau? Ga dan altijd in gesprek over de aanpak. De impact en de kosten kunnen pas bepaald worden na een gedegen analyse van de huidige situatie en risico’s. Bepaal ook of de consultant die het uitvoerende werk zal doen bij de organisatie past. Uiteindelijk is een goed gevoel erg belangrijk.
Bij Van de Pol Consult word ik vaak betrokken bij ISO 27001 trajecten. Wilt u eens kennismaken om door te praten over de impact van de maatregelen voor informatiebeveiliging op uw organisatie? Neem dan contact met mij op via onderstaande gegevens voor een vrijblijvende kennismaking.
Deze bijdrage is geschreven door Tom van Tiel, Adviseur bij Van de Pol Consult.
Deze bijdrage verscheen eerder op https://www.vandepolconsult.nl en is met toestemming van de auteur overgenomen.
Sorry, het is niet mogelijk om te reageren.