Brisk ICT is ISO 27001-gecertificeerd

Na een zorgvuldig proces van anderhalf jaar, waarin alle interne procedures werden doorgelicht, risico’s geïnventariseerd en veiligheidsmaatregelen in stelling gebracht, gaf een externe auditor afgelopen januari het bevrijdende oordeel: Brisk ICT heeft met vlag en wimpel het ISO 27001 certificaat verdiend. Dat betekent dat we officieel voldoen aan één van de hoogste internationale standaarden voor informatiebeveiliging. En dat is goed nieuws voor jou, want het is nu ook onafhankelijk vastgesteld dat jouw gegevens bij Brisk ICT in superveilige handen zijn.

De 5 belangrijkste stappen

Als je wilt voldoen aan ISO 27001 moet je verschillende maatregelen nemen om risico’s op het gebied van informatiebeveiliging te voorkomen of te minimaliseren. Je volgt daarbij voorgeschreven stappen, op basis van de PDCA. Dat staat voor ‘Plan-Do-Check-Act; het is een cyclus die zorgt dat je continu met verbetering bezig blijft.

1. Inrichten en inventariseren

Je begint met het opstellen van een informatiebeveiligingsmanagementsysteem (ISMS) en het uitvoeren van een SWOT-analyse. Een SWOT-analyse is een strategisch instrument dat wordt gebruikt om de sterke punten, zwakke punten, kansen en bedreigingen voor de organisatie te inventariseren. Het is een gestructureerde methode om een overzicht te krijgen van de interne en externe factoren die van invloed kunnen zijn op het behalen van informatiebeveiligingsdoelstellingen. Met dit overzicht maak je de volgende stap.

2. Risicoanalyse en risicobehandeling

Het managementsysteem (ISMS) zorgt ervoor dat de risicoanalyse een continu proces is en niet slechts eenmalige actie. Nadat zowel interne als externe risico’s voor de informatiebeveiliging zijn geïdentificeerd en geanalyseerd, worden er passende maatregelen getroffen om deze risico’s te lijf te gaan. Wat passend is verschilt per bedrijf (de auditor controleert uiteindelijk), maar je kunt denken aan het nauwkeurig beschrijven (en voorschrijven) van processen, het trainen van personeel, en het zorgen voor veilig gebruik van bedrijfsapparatuur. Ook het invoeren van beveiligingscontroles hoort natuurlijk bij risicobeperking.

3. Beveiligingscontroles invoeren

Wil je de ISO 27001-standaard halen, dan moet je zorgen voor passende beveiligingscontroles en -maatregelen om de informatie waarmee je werkt te beschermen. Dat doe je op verschillende manieren tegelijkertijd. Twee voorbeelden zijn de technische beveiliging en de beperking op digitale en fysieke toegang. Voor de technische beveiliging dienen bijvoorbeeld een degelijke firewall, antivirussoftware en encryptie van opgeslagen gegevens. En qua toegang leg je bijvoorbeeld vast wie welke gegevens mag inzien, en wie waar in je kantoor mag komen. Je snapt ook dat het belangrijk is dat de directie van het bedrijf 100% achter de informatiebeveiliging staat.

4. Managementbetrokkenheid en verantwoordelijkheid

Het topmanagement van een bedrijf moet actief betrokken zijn bij het proces van informatiebeveiliging en de implementatie van ISO 27001. De directie en het management moeten ervoor zorgen dat er voldoende middelen beschikbaar zijn, dat informatiebeveiliging een prioriteit is binnen de organisatie, en dat er regelmatig evaluaties worden uitgevoerd om de effectiviteit van de beveiligingsmaatregelen te beoordelen.

5. Continue verbetering

Het ISO 27001-certificaat wordt afgegeven voor 3 jaar. Maar om het te krijgen, moet je vastleggen hoe je continu blijft streven naar verbetering van je informatiebeveiligings-systemen. Dit houdt bijvoorbeeld in dat je regelmatig je processen, controles en beleid moet evalueren en aanpassen aan veranderende bedreigingen en omstandigheden. Door voortdurend te leren en te verbeteren, kan Brisk ICT zijn informatiebeveiliging steeds verder versterken en aanpassen aan nieuwe uitdagingen. De nieuwste versie van de ISO 27001 norm (2022) waar Brisk ICT aan voldoet, heeft ook beveiliging van de Cloud opgenomen.

ISO gaat verder dan techniek en procedures

Informatiebeveiliging heeft een belangrijke ‘technische’ component. Ook procedures horen daarbij, het volgen van de juiste stappen. Maar de ISO-normering vraagt meer dan dat. Bij het inventariseren van de risico’s, en het nemen van risicobeperkende maatregelen, moet je bijvoorbeeld ook nadenken over het gevaar dat medewerkers plotseling naar een andere werkgever vertrekken. Hoe voorkom je dat (houd je mensen geboeid en verbonden), en wat doe je als het onverhoopt toch gebeurt? En de interne Security Officer die ISO verplicht, wordt geacht niet alleen hoogwaardige kennis van beveiligingstechniek en procedures te hebben, maar ook de soft skills om ze te implementeren en te handhaven in de weerbarstige praktijk van de werkvloer.

En wat merk je ervan als partner?

Brisk ICT haalde zijn ISO 27001-certificaat met vlag en wimpel. Dit betekent dat partners kunnen vertrouwen op een betere bescherming van gevoelige gegevens en vertrouwelijke informatie die bij Brisk ICT staan opgeslagen of onderhanden zijn:

• Voor de partners van onze partners straalt het betrouwbaarheid uit. Brisk ICT is als dienstverlener vaak een schakel in een keten waarbinnen de informatieveiligheid gewaarborgd moet zijn. Het zorgt voor transparantie en helpt onze partners te begrijpen hoe wij omgaan met beveiligingskwesties.
• ISO 27001 vereist namelijk een gedocumenteerd informatiebeveiligingsbeleid en procedures.
• De risico op datalekken is geminimaliseerd, dit komt ook ten goede aan de partners, omdat hun gegevens minder kwetsbaar zijn. Zij kunnen hierdoor zelf (beter) voldoen aan wetgeving zoals de AVG.
• ISO 27001 dwingt Brisk ICT om processen te stroomlijnen en best practices te volgen, dit heeft een efficiëntere en veiligere dienstverlening aan onze partners tot gevolg.

Meer weten? Vraag je technisch consultant van Brisk ICT.

Tim Grave, Security Officer.