12 juni 2019

Kiwa publiceert over informatiebeveiliging in vakblad Beveiliging

In het mei-nummer van het vakblad Beveiliging staat een artikel van Kiwa over hoe organisaties zich met informatiebeveiliging volgens standaarden als ISO 27001 en NEN 7510 kunnen wapenen tegen cybercriminaliteit. U kunt het artikel “Gestandaardiseerde informatiebeveiliging onmisbaar in ‘slimme wereld’” hieronder lezen.

Gestandaardiseerde informatiebeveiliging onmisbaar in ‘slimme wereld’

We leven in een wereld die steeds ‘slimmer’ wordt. Zelfrijdende auto’s vinden dankzij sensoren en camera’s autonoom hun weg, ziekenhuizen checken met sensoren het welzijn van hun patiënten en professionele alarmsystemen zijn steeds vaker verbonden met het web en mobiele apps. Internettechnologie maakt het leven gemakkelijker, maar is ook gevoelig voor cybercriminaliteit. Informatiebeveiliging volgens standaarden als ISO 27001 en NEN 7510 kan helpen ons daartegen te wapenen.

Het wereldwijde web is een interessant werkterrein voor criminelen. Die kunnen in relatieve anonimiteit vanaf elke locatie op aarde met spotgoedkope tools particulieren oplichten of grote schade aanrichten aan de processen van bedrijven en organisaties. Zo kunnen ze met phishingmails toegang krijgen tot bijvoorbeeld persoons- en bankgegevens en bedrijfssystemen. Dit leidt niet alleen tot verstoring van de dagelijkse bedrijfsvoering, maar kan ook zorgen voor grote financiële schade door bijvoorbeeld cyberspionage. Daarnaast kunnen virus- en ransomware-aanvallen op water- en energiebedrijven en financiële instellingen zelfs een ontwrichtende werken hebben op de gehele samenleving.

Topprioriteit

Door de internetrevolutie hebben we de wereld letterlijk onder handbereik. We doen zaken online en vertrouwen daarbij - vaak vertrouwelijke - informatie toe aan de cloud, zonder dat we altijd weten of dat wel veilig is. Dat dit lang niet altijd het geval is, blijkt uit het stijgende aantal datalekken, bedrijfssionage en andere cyberincidenten. Naderhand blijkt vaak dat die voorkomen hadden kunnen worden met bijvoorbeeld up-to-date beveiligingssoftware, maar zelfs de meest hightech cybersecurity-oplossingen bieden geen optimale bescherming als de standaardmaatregelen op het gebied van informatiebeveiliging niet in orde zijn. Onvoorzichtig doorklikken in phishing mails en rondslingerende usb-sticks zijn nog altijd een belangrijke oorzaak van datalekken en ander digitaal ongemak.

License to operate

Goede beveiliging draait om het samenspel tussen mensen, processen en tools. Er zijn diverse normen en standaarden die kunnen helpen deze op een harmonieuze en effectieve manier bij elkaar te brengen. Zo helpt de internationale standaard ISO 27001 organisaties om hun informatiebeveiliging structureel vorm te geven met een organisatiebreed gedragen beleid op het gebied van informatie- en privacybescherming. Dit begint met het vergroten van het bewustzijn rondom cyber- en datasecurity-issues. ISO 27001 begint uit te groeien tot een ‘license to operate’ en wordt steeds vaker gevraagd bij aanbestedingen en offertetrajecten.

ISMS

De ISO 27001 bevat eisen voor het opzetten, uitvoeren en onderhouden van een Information Security Management System (ISMS), een raamwerk gericht op het continu verbeteren van processen rondom informatiebeveiliging. Het ISMS brengt de belangrijkste stakeholders en risico’s in kaart en biedt hulpmiddelen om op basis daarvan passende maatregelen te implementeren en te monitoren. Een organisatie kan een ISMS afstemmen op de eigen processen, al zijn er ook verplichte activiteiten zoals een interne ISO 27001 audit of risicoanalyse. Door te werken volgens de ISO 27001 creëert een organisatie vertrouwen bij klanten, prospects én de eigen medewerkers, omdat hiermee wordt aangetoond dat informatiebeveiliging serieus wordt genomen en zo goed mogelijk is geregeld.

ISO 27001-certificering

Organisaties die willen laten zien dat ze hun informatiehuishouding op orde hebben, kunnen kiezen voor ISO 27001-certificering door een onafhankelijke instantie. Het certificeringstraject begint met een fase 1-audit waarin het bestaande kwaliteitshandboek wordt beoordeeld: wat zeg je nou eigenlijk dat je allemaal doet. Tijdens deze audit kunnen ook aandachtspunten boven water komen die tot tekortkomingen kunnen leiden in de fase-2 audit. Hierin wordt, bij de organisatie op locatie, beoordeeld of het managementsysteem goed is ingevoerd en of de processen overeenstemmen met de eisen uit de norm: doe je ook daadwerkelijk wat je zegt. Is dit het geval of zijn er weliswaar tekortkomingen, maar kan de organisatie die oplossen, dan volgt certificering. Een ISO 27001-certificaat is drie jaar geldig, met jaarlijkse controle-audits. Na drie jaar volgt hercertificering.

Informatiebeveiliging in de zorg

Ook in de gezondheidszorg wordt steeds meer gebruik gemaakt van data en digitale hulpmiddelen. De informatie die in zorginstellingen wordt opgeslagen en gebruikt is vrijwel altijd vertrouwelijk van aard en de manier waarop organisaties in de zorgsector omgaan met informatie ligt dan ook onder een vergrootglas. Op basis van de ISO 27001 is daarom, speciaal voor de Nederlandse zorgsector, de norm NEN 7510 ontwikkeld. Deze geeft invulling aan hoe op verantwoorde wijze kan worden omgegaan met persoonlijke gezondheidsinformatie.

Integer en vertrouwelijk

NEN 7510 helpt zorgorganisaties passende beveiligingsmaatregelen te nemen. De norm is er niet alleen voor ziekenhuizen en huisartsenpraktijken, maar bijvoorbeeld ook voor leveranciers van software, hosting- en clouddiensten en zorgverzekeraars. De norm biedt de zorgsector een kader waarmee interne processen zodanig kunnen worden ingericht dat veilig en verantwoord met data wordt omgegaan. Daarbij hoort ook het bevorderen van bewustwording en trainen van medewerkers. Onderwerpen die in de NEN 7510 aan de orde komen zijn onder meer het waarborgen van de beschikbaarheid van gegevens en de integriteit en vertrouwelijkheid van informatie.

Wettelijk verplicht

Zorgorganisaties moeten sinds 2008 aan de NEN 7510 voldoen conform de Regeling burgerservicenummer in de zorg. De Inspectie Gezondheidszorg en Jeugd (IGJ) hanteert de norm als wordt getoetst of een instelling informatiebeveiliging adequaat heeft geregeld. Voldoen aan de NEN 7510 is dus wettelijk verplicht. Certificering volgens de norm niet, maar dit kan een organisatie wél helpen om bij de IGJ aan te tonen dat aan de eisen wordt voldaan.

Ook een ISO 27001-certificaat? Check Kiwa’s tips!

  • Koop de norm (dus de tekst) en bestudeer die. Zorg ervoor dat je weet wat een managementsysteem inhoudt en hoe dit in elkaar zit;
  • Bij ISO 27002 en soortgelijke kwaliteitssystemen draait het om risicobeheersing. Zorg er dus voor dat de organisatie doordrongen is van de beveiligingsrisico's die spelen, gecombineeerd met de kans dat die zich daadwerkelijk voor doen;
  • Vlieg het aan als een project en maak een realistische planning. Een succesvolle implementatie vereist vaak ook verandermanagement;
  • Informatiebeveiliging is niet alleen het feestje van de ICT-afdeling. Zorg voor draagvlak binnen de organisatie en voor een 'management buy-in';
  • Denk goed na over je scope. Wat wil je beschermen? Waarom? Voor wie? Denk hierbij bijvoorbeeld aan relevante wetgeving;
  • Vaak zijn er met betrekking tot informatiebeveiliging al zaken geregeld binnen een organisatie. Soms formeel, maar ook heel vaak informeel. Begin daarom met een goede inventarisatie. Helemaal 'op nu' beginnen is meestal niet nodig;
  • Beschrijf je beleid op het gebied van informatiebeveiliging zoals het is, niet zoals het zou moeten zijn of zoals je het zou willen. Schrijf alleen op wat écht nodig is. Te gedetailleerde beschrijvingen leiden vaak tot tekortkomingen;
  • Continu verbeteren is uiteindelijk meer afhankelijk van de cultuur van de organisatie dan van het proces. Awareness en daaruit voortvloeiend natuurlijk gedrag is waardevoller dan vuistdikke beveiligingsprotocollen.

Meer informatie
Kijk hier voor meer informatie over de ISO 27001. U kunt ook contact opnemen met Gert Jan van Bruchem of Ronald Westerveen van Kiwa’s Expert Centre Cyber Security via informationsecurity@kiwa.com of +31 (0)88 998 3020.