Beginnen met een ISMS
Doelgroep:
Dit artikel is bedoeld voor iedereen die verantwoordelijkheid draagt voor informatiebeveiliging, of je nu directeur bent of operationeel verantwoordelijk binnen je organisatie. Zeker in kleinere organisaties is er vaak geen formele CISO-structuur, maar is er wél behoefte aan overzicht, sturing en duidelijkheid. Het artikel helpt je om de juiste vragen te stellen en een eerste stap te zetten naar een volwassen aanpak van informatiebeveiliging.
In samenwerking met:
Belastingdienst, Stichting Philadelphia Zorg, Pinewood en Rotterdam The Hague Airport
Achtergrond
Een ISMS helpt je om informatiebeveiliging te organiseren als een continu verbeterproces. Door risico’s en kwetsbaarheden meetbaar te maken en te agenderen binnen je organisatie breng je structuur aan in je beveiligingsmaatregelen. Zo helpt een ISMS je om incidenten te voorkomen in plaats van brandjes te moeten blussen, en om voorspelbaar te handelen richting klanten, leveranciers en toezichthouders.
Een goed ingericht ISMS ondersteunt daarnaast de continuïteit van je organisatie, juist in een krappe arbeidsmarkt: kennis en processen worden overdraagbaar. Tot slot kan een ISMS ook helpen om de juiste investeringskeuzes te maken en de bedrijfsstrategie en/of het jaarplan voor aankomende periode vast te stellen op basis van de juiste keuzes (risico’s).
Elke organisatie heeft baat bij het inrichten van een ISMS. Tegelijkertijd geldt: niet elke organisatie heeft direct een volledig ISMS nodig. Vaak volstaat het om kleinere stappen te zetten, gericht op je grootste risico’s of kroonjuwelen. Een ISMS is dus geen doel op zich, maar een middel om doelgericht met informatiebeveiliging aan de slag te gaan. Dat is wat de wet- en regelgeving van je eist en dat is waar dit artikel je mee helpt.
Wat is een ISMS en wat kan ik ermee?
Een ISMS is een methode om je informatiebeveiliging systematisch aan te pakken. Het is dus geen systeem in de technische zin van het woord, zoals een softwarepakket of checklist. Integendeel, een ISMS is een continu proces van meten en evalueren. Een ISMS helpt je organisatie om een aantal taken te structureren:
- Eigenaarschap voor informatiebeveiliging beleggen.
- Risico's en maatregelen bespreekbaar maken.
- Duidelijkheid scheppen over verantwoordelijkheden, aanspreekpunten en besluitvorming.
- Je aanpak van informatiebeveiliging aantoonbaar maken.
- Bewustwording op het gebied van informatiebeveiliging én bedrijfsrisico’s creëren.
Zonder een ISMS is informatiebeveiliging vaak afhankelijk van de kennis van individuele medewerkers die ad-hoc-keuzes hebben gemaakt. Waar deze keuzes op zijn gebaseerd is dan niet op papier vastgelegd, en de rationale daarvan is daardoor niet reproduceerbaar voor toekomstige keuzes. Het resultaat is een ongestructureerde aanpak zonder een volledig overzicht over alle risico's en maatregelen in de gehele organisatie.
De bekendste norm voor een ISMS is de ISO 27001, waarin de Plan-Do-Check-Act-cyclus (PDCA) centraal staat.
- Plan: stel beleid op, bepaal je doelstellingen en identificeer risico's.
- Do: implementeer beveiligingsmaatregelen en processen.
- Check: monitor en evalueer de effectiviteit van je maatregelen.
- Act: pas je maatregelen en processen aan naar de behoefte van je organisatie.
Je verbetert je informatiebeveiliging continu in een cyclisch proces met behulp van deze stappen. Daardoor wordt je aanpak een herhaalbaar en overdraagbaar proces dat meegroeit met je organisatie en wendbaar is als het risicobeeld verandert. Dat geeft vertrouwen, zowel binnen je organisatie als bij partners, klanten, en leveranciers.
Beleg het eigenaarschap van je ISMS bij de juiste verantwoordelijke. De juiste verantwoordelijke is degene die het mandaat en budget heeft om besluiten te nemen. Laat het totstandkomingsproces leven in de hele organisatie. Zo zorg je voor een succesvol ISMS. Het hoeft niet vanaf de eerste dag allesomvattend te zijn. Begin klein en realistisch, en pas het stap voor stap aan op basis van de behoefte van jouw organisatie.
Stap 1 - Voordat je begint, verdiep je tenslotte in de context van je organisatie
Elk ISMS is uniek en moet passen bij de aard, omvang en cultuur van je organisatie. Door vooraf goed te begrijpen wat echt relevant is, voorkom je dat je energie steekt in maatregelen die weinig bijdragen aan je doel: het beschermen van wat waardevol is.
Een ISMS is geen eindpunt, maar het begin van een continu leer- en verbeterproces. Maar dat begint met die eerste, gedragen stap.
Hoe bepaal ik de scope van mijn ISMS?
Begin overzichtelijk aan je eerste inrichting van een ISMS. Houd de scope in het begin daarom klein en realistisch. Zo is de kans op slagen het grootst. Met de lessen die je in de eerste ronde leert, ga je stap voor stap verder met het toepassen, net zolang totdat alles wat het nodig heeft in je ISMS wordt meegenomen.
Zorg voor een overzicht van je organisatiebelangen om de scope van je eerste stappen vast te stellen. Haak hiervoor de juiste stakeholders aan. Begin met de vraag: welke processen, systemen of onderdelen van mijn organisatie zijn het belangrijkst om te beschermen, en waarom?
Kijk naar het primaire proces van je organisatie. Zoek uit welke mensen het uiteindelijke werk doen en welke middelen zij daarvoor gebruiken. Inventariseer welke informatiestromen je primaire proces ondersteunen.
Kijk naar je bedrijfsketen. Ga na welke bedrijven van jou afhankelijk zijn, en van welke bedrijven jij afhankelijk bent. Onderzoek welke verwachtingen je partners hebben over je betrouwbaarheid. In contracten staan vaak prestatieafspraken, maar informatiebeveiliging blijft soms impliciet. Een gebrek daaraan kan echter wel je prestaties raken en daarmee je afspraken in gevaar brengen. Bedrijven stellen ook steeds vaker expliciete eisen rondom cybersecurity en verwachten dat je aan bepaalde normen voldoet.
Met een goed zicht op je eigen organisatie en je directe omgeving kom je waarschijnlijk uit op bepaalde informatiestromen die essentieel zijn voor je bedrijfsvoering. De beschikbaarheid, integriteit of vertrouwelijkheid van die informatie is daarbij van groot belang. Dit zijn je kroonjuwelen waarvan je de informatiebeveiliging zo goed mogelijk op orde wilt hebben.
Kijk naar het dreigingslandschap. De weerbaarheid van je organisatie verdient de meeste aandacht bij je meest kwetsbare aanvalsoppervlak. Kijk ook naar het verleden. Misschien is er eerder een incident geweest dat een grote impact heeft gehad op je organisatie. Dergelijke incidenten leggen vaak kwetsbaarheden en grote afhankelijkheden bloot. Leer van je verleden door die kwetsbaarheden uit te kiezen om aan te pakken.
Organisaties die onder de Cybersecuritywet (NIS2) vallen en bij het NCSC zijn aangesloten ontvangen periodieke dreigingsrapporten van het NCSC.
We hebben diverse artikelen beschikbaar om je verder te helpen met het inventariseren van je organisatiebelangen:
• Hoe breng ik mijn te beschermen belangen in kaart?
• Hoe breng ik mijn technische te beschermen belangen in kaart?
• Hoe bepaal ik de meest relevante risico's voor mijn organisatie?
Stap 2 - Kies een belangrijke dienst of afgebakend proces om mee te beginnen
Het is verleidelijk om daar alle afhankelijkheden binnen de hele organisatie in mee te nemen. Het lijkt namelijk niet effectief als je maar een deel van je primaire proces op orde brengt. Maar pas op voor de scope creep die hieruit voortkomt. Binnen de kortste keren is je aanpak niet meer beheersbaar. Mocht je onderweg wel al belangrijke kwetsbaarheden tegenkomen maar besluiten dat je die in de eerste cyclus nog niet meeneemt, zet de kwetsbaarheden dan wel in een register zodat je ze niet uit het oog verliest.
Je eerste ronde leidt niet meteen tot organisatie brede weerbaarheid, maar helpt je wel met het opdoen van ervaring. In de volgende stap breidt je dan de scope uit. De effectiviteit groeit met iedere ronde, en je totale weerbaarheid wordt steeds groter. Liever een smalle scope die goed beheersbaar blijft, dan een te brede scope waar je grip op verliest.
Wie moet je betrekken, waarom en wanneer?
Een ISMS staat of valt met de betrokkenheid van en samenwerking tussen verschillende rollen binnen de organisatie. Informatiebeveiliging raakt de hele organisatie, maar niet iedereen hoeft er op hetzelfde moment bij betrokken te zijn. Hoe je het precies aanpakt, hangt af van de scope die je hebt gekozen én de specifieke kenmerken van jouw organisatie. Hieronder hebben we op een rijtje gezet wie je in de meeste gevallen zal moeten betrekken, wanneer dat moet en hoe je ze aan boord krijgt en houdt.
Betrek de directie vanaf de start. Zorg voor voldoende tijd op de agenda en leg uit wat een ISMS is en waarom dat noodzakelijk is. Gebruik argumenten die duidelijk in lijn liggen met de belangen van jouw directie(leden); benadruk bijvoorbeeld bedrijfscontinuïteit, compliance en misschien persoonlijke aansprakelijkheid van bestuurders onder de Cyberbeveiligingswet. Vraag om een formele opdracht en de benoeming van een iemand met middelen en mandaat, zoals een security professional. Zorg ook voor een specifiek directielid als opdrachtgever voor of sponsor van het ISMS.
Betrek de teamleiders of afdelingshoofden die verantwoordelijk zijn voor de bedrijfsprocessen (binnen de gekozen scope) als proceseigenaar. Zowel de inzichten (welke informatie is onmisbaar voor het proces) als de betrokkenheid (medewerking binnen de betreffende afdeling) van proceseigenaren heb je nodig. Een ISMS brengt een proceseigenaar meer zekerheid over continuïteit van het proces en aantoonbaarheid met betrekking tot verantwoordelijkheid, aansprakelijkheid en werkafspraken. Als deze rol (nog) niet is belegd binnen de organisatie, betrek dan de collega’s die de meeste kennis hebben van de betreffende procedure.
Betrek de IT-verantwoordelijken die inzicht hebben in de infrastructuur, netwerken en systemen én bestaande beveiligingsmaatregelen. Een ISMS brengt een IT-verantwoordelijke (of -afdeling) duidelijkheid over verantwoordelijkheden en is een kans om de afstemming met de business te verbeteren. De doelen van de organisatie en de bedrijfsprocessen die daarvoor noodzakelijk zijn, moeten steeds het uitgangspunt blijven. Stimuleer IT om mee te denken op basis van wat nodig is voor de bedrijfsprocessen en niet enkel vanuit wat technisch (on)mogelijk is.
Natuurlijk betrek je ook de collega’s die zich binnen jouw organisatie richten op security en privacy. Zij weten wat er al bestaat aan analyses en beleid op het gebied van informatiebeveiliging en zijn bekend met de relevante wet- en regelgeving. Hier moet het ISMS-project gebruik van maken en op aansluiten. Deze functionarissen zullen een ISMS vaak omarmen: er ontstaat meer draagvlak binnen de organisatie voor hun adviezen. Aan de andere kant hebben ze hun eigen beeld van prioriteiten op het gebied van informatiebeveiliging. Zorg dat de bedrijfsprocessenprocessen steeds het uitgangspunt blijven.
Denk naast het betrekken van bovenstaande rollen ook nog aan de volgende punten:
- Praat met de informele beïnvloeders binnen jouw organisatie. Wie hebben invloed zonder formele rol? Als deze collega’s jouw ISMS-ambities steunen, kan dat zorgen voor extra draagvlak.
- Heb ik iets aan een externe adviseur? Iemand met veel ervaring kan handig zijn voor het aanbrengen van structuur of het toetsen van plannen. Zorg wel voor duidelijk eigenaarschap en opdrachtgeverschap vanuit de eigen organisatie.
- Investeer de meeste energie in stakeholders die zich positief opstellen. Daar zijn het snelst resultaten te behalen. Succes motiveert tegenwerkers of achterblijvers vaak om zelf in beweging te komen.
- Denk en praat in termen van wat de belangen zijn van de specifieke stakeholders die je nodig hebt. Breng deze belangen steeds duidelijk naar de voorgrond.
- Zorg ervoor dat mensen weten wat er van hen verwacht wordt en waarom. Het gebruik van een verantwoordelijkheids- of governancemodel kan hierbij helpen.
Hoe krijgen we zicht op de huidige maatregelen?
Een ISMS hoef je niet vanaf nul op te bouwen. De meeste organisaties hebben al beveiligings-maatregelen getroffen, ook als die niet formeel zijn vastgelegd. Het is belangrijk om eerst goed in kaart te brengen wat er al is, voordat je nieuwe plannen maakt.
Begin met een inventarisatie van bestaande maatregelen. Ga hiervoor in gesprek met collega’s op verschillende afdelingen en niveaus. Vraag wat zij doen om informatie te beveiligen, waar ze tegenaan lopen en welke afspraken er zijn gemaakt. Leg de antwoorden vast, liefst gekoppeld aan concrete processen of systemen.
Om een vollediger beeld te krijgen, kun je ook putten uit:
- Zelfevaluaties of securityscans die je eerder hebt gedaan
- Eisen die worden gesteld in beleidsstukken en procedures.
- Lijsten met technische maatregelen terugzoeken
- Beleidsdocumenten of werksafspraken zoals over wachtwoorden, of bring-your-own-devices.
- Overeenkomsten met leveranciers, zijn hierin beveiligingseisen opgenomen?
Om overzicht te creëren kan het helpen de maatregelen te ordenen per thema: fysieke beveiliging, netwerkbeveiliging, toegangsbeheer, logging, awareness, back-up, herstelprocedures, etc...
Let op: het doel van deze stap is niet om meteen een perfect of dekkend overzicht te hebben, het gaat hier puur om inzicht krijgen in wat er is en mogelijk nog ontbreekt. Dit vormt het vertrekpunt voor verdere verbetering.
Tot slot
Met de antwoorden op de vragen die in dit artikel zijn gesteld, heb je een eerste beeld van hoe je organisatie ervoorstaat. Je kunt nu beginnen met de eerste stappen op weg naar het invoeren van een ISMS. Blijf niet te lang hangen in de vragen waar je moeilijker antwoord op krijgt, maar begin gewoon; sommige dingen leer je onderweg.
Begin klein, met een beperkte scope en haalbare doelen. Zorg voor betrokkenheid van collega’s, draagvlak bij het management en een duidelijke coördinator. Maak gebruik van wat er al is, leer van fouten en stuur bij waar nodig. Je hoeft niet alles zelf te bedenken: er zijn veel goede voorbeelden en tools die je kunnen helpen.
Een ISMS is geen doel op zich, maar een middel om je informatiebeveiliging procesmatig en beheersbaar te organiseren. Door bewust en gestructureerd te werken aan beveiliging, beperk je risico’s, voorkom je incidenten en maak je aantoonbaardat je in control bent.