Vernieuwde ISO-27002-certificeren: vijf adviezen voor cyberveiligheid

Een combinatie van techniek, protocollen en gedrag is nodig om organisaties daadwerkelijk cyberweerbaar te maken, zegt Björn Brala van digitaal bureau SWIS. De zojuist geactualiseerde versie van ISO-certificering 27002 komt dan ook precies op het juiste moment.

Iedereen die binnen organisaties met security werkt kent ze: de ISO-certificeringen 27001 en 27002. De eerste vormt de norm waaraan informatiebeveiliging getoetst wordt. De tweede is een set van beheersmaatregelen die je als organisatie kunt nemen om aan die norm te voldoen.

“En die tweede, daar is net een actualiseringsslag overheen gemaakt,” vertelt Björn Brala van SWIS. Hij is technical director bij het Leidse digitale bureau dat onder meer voor ziekenhuizen, gemeenten en toezichthouders werkt. De laatste update van 27002 dateert alweer van zeven jaar geleden. In de snel veranderende digitale omgeving een eeuwigheid: ‘Toen werd bijvoorbeeld nog niet zo veel rekening gehouden met clouddiensten. De norm is nu echt veel meer naar de huidige praktijk gehaald.”

Maar wat betekent dit voor organisaties en bedrijven? Hoe kunnen ze nu, terwijl cyberveiligheid mede door internationale ontwikkelingen steeds belangrijker wordt, het beste aan hun security werken? Brala geeft vijf tips en adviezen:

1. Werk doorlopend aan bewustzijn

Brala vindt dat organisaties juist nu bij zichzelf te rade moeten gaan in welke mate ze interessant zijn als doelwit in een cyberoorlog. Dat kunnen ze prima inschatten, denkt hij. Maar die evaluatie moet wel tot concrete actie leiden. “Dan moet je nu een tandje bijschakelen.” Met name gegevensverwerking van gebruikers is kwetsbaar. In de praktijk merkt hij dat dit bewustzijn telkens weer opnieuw op de kaart moet worden gezet. Wees niet naïef.

Een oplossing is security by default, het slim inbakken van veiligheidsmaatregelen in de website. Voorkomen dat gedrag tot onveilig gebruik leidt is tenslotte beter dan verhelpen. “Maar dat werkt alleen als de héle organisatie dit beleid ondersteunt. De kracht van het collectief is zo sterk als de zwakste schakel.”

2. Risico’s spotten en mitigeren

De angst voor datalekken en cyberaanvallen neemt toe. Klanten vragen zich af of ze doelwit kunnen worden en hoe ze dat kunnen voorkomen. De kern van de vernieuwde certificering is dat organisaties zich meer moeten gaan richten op de inschatting van risico’s en het opstellen van maatregelen om die risico’s te mitigeren. Dat draait om even basale als kritische vragen, aldus Brala: “Wat doe je bijvoorbeeld bij een datalek? Wie is daarvoor verantwoordelijk? En hoe zorg je ervoor dat het niet nog een keer gebeurt?” Door goede protocollen op te stellen, is veel leed te voorkomen.

3. Erken de connectiviteit van je website

“Tien jaar geleden bestonden websites nog min of meer in isolatie. Websites haken tegenwoordig juist heel diep in op bedrijfsprocessen. Van het contact met klanten tot de ondersteuning van medewerkers. Door die verbondenheid ontstaan risico’s. Hoe meer informatie toegankelijk is via je website, des te belangrijker het is om je informatiebeveiliging op orde te hebben.”

Naast reputatieschade is er ook de dreiging van boetes die op kunnen lopen tot €20 miljoen. “Kwam je er als Mkb’er drie jaar geleden nog mee weg als je een overtreding maakte van de AVG, nu is die coulance verdwenen. Het is daarom aan te raden jaarlijks een AVG-scan te doen.”

4. Kies een CMS waar security topprioriteit is

Brala werkt met SWIS onder meer voor opdrachtgevers als De Nationale Ombudsman. Hiervoor bouwen ze websites met het open source-platform Drupal. Volgens Brala is de keuze voor Drupal in het kader van security een voor de hand liggende keuze. Drupal wordt onderhouden door een wereldwijde community van meer dan 25.000 developers. Het speciaal aangewezen securityteam communiceert doorlopend over veiligheidsonderwerpen. Op het moment dat een issue aan het licht komt, dan wordt daar volgens Brala direct op gereageerd. “Ze zijn letterlijk heel secuur.”

Het voordeel van werken met Drupal is dat de veiligheid van de website voor klanten een kopzorg minder vormt. Doordat de veiligheid hoog op de agenda staat, kunnen klanten er zeker van zijn dat kwetsbaarheden snel worden gedetecteerd en opgelost. “Als je weet dat je techniek op orde is, dan kun je al die energie in andere dingen steken. Zoals het op orde brengen van je beheersmaatregelen en het op peil houden van het bewustzijn bij gebruikers binnen je organisatie.”

Drupal is een open source digital experience platform dat in de haarvaten van het internet zit. Grote organisaties zoals de Olympische Spelen, Tesla en Walt Disney maken gebruik van Drupal. In Nederland zijn er genoeg succesverhalen zoals die van RTL en De Telegraaf. IT en marketing teams kiezen voor Drupal vanwege de ongekende flexibiliteit en mogelijkheden. Omdat Drupal open source is, worden de modules permanent doorontwikkeld. Iedere ontwikkelaar kan gebruik maken van een van de 13.000 beschikbare modules en deze aanpassen aan de wens van de klant. Drupal bestaat dit jaar 20 jaar en is daarmee één van de meest robuuste open source systemen.

5. Zet een volwassen veiligheidsbeleid op

Een veilige samenwerking strekt zich uit over de volledige keten. Het begint met de keuze voor een veilig CMS dat doorlopend wordt gemonitord en onderhouden. Vervolgens moet het digitale bureau kunnen garanderen dat updates tijdig worden verwerkt. En ten slotte moet samen met de CISO van de organisatie een responsief beleid worden opgezet waarbij de veiligheid op een volwassen manier wordt gemanaged. “Dat is de winnende combinatie.” Dat heel precies vastleggen van verantwoordelijkheden en procedures die gevolgd moeten worden, is essentieel. Zowel ter preventie. Als in het geval dat het onverhoopt toch een keer misgaat.

Over de auteur: Matthijs van der Pol is een freelance journalist.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.