Blind spots in een volwassen ISMS

NOBEARS werkt al jaren met ISO 27001, heeft een eigen informatiebeveiligingsteam en is gecertificeerd. Toch kiest het digital agency ervoor om hun interne audits door Fendix te laten uitvoeren. In dit succesverhaal lees je waarom en wat dat concreet oplevert.

NOBEARS noemt zichzelf business accelerator waar strategie, creatie, development en marketing samenkomen. Informatiebeveiliging is er geen bijzaak: de organisatie werkt al jaren met een ISMS, heeft een intern informatiebeveiligingsteam dat risico's monitort en pakt verbeteracties planmatig op. Maar juist als een systeem jarenlang goed draait, ontstaat het risico dat bepaalde zaken over het hoofd worden gezien.

"Ook al heb je de basis prima op orde en voldoe je aan regelgeving, kunnen er op een gegeven moment blind spots ontstaan. De wereld verandert, dreigingen veranderen en ook de norm ontwikkelt zich door. Dan is het waardevol als een externe partij opnieuw kritisch naar je systeem kijkt", zegt Toon van Overbruggen, Security Officer en Operationeel Manager bij de Amersfoortse vestiging van NOBEARS.

Daarbij speelde de overgang naar de vernieuwde ISO 27001-norm een rol. Nieuwe normonderdelen vragen om een concrete vertaalslag naar de eigen organisatie. Dan is het prettig om iemand aan tafel te hebben die die vertaalslag al meerdere keren heeft gemaakt en weet waar organisaties doorgaans vastlopen.

‍

Onafhankelijkheid en vakkennis

Interne audits volledig zelf uitvoeren was voor NOBEARS nooit een serieuze optie. Als je je eigen werk beoordeelt, zie je bepaalde dingen niet meer. Je bent er gewoon te dichtbij voor. Daarbij is informatiebeveiliging een vakgebied dat voortdurend beweegt: nieuwe dreigingen, nieuwe wetgeving, nieuwe interpretaties van de norm. Dat vraagt om specialistische kennis die je als organisatie niet altijd zelf in huis hebt.

De keuze voor Fendix

Bij de zoektocht naar een geschikte auditpartner heeft NOBEARS verschillende partijen onderzocht en met elkaar vergeleken. Naast inhoudelijke expertise speelde ook de persoonlijke klik een belangrijke rol. De manier waarop Fendix zich presenteert, kennis deelt en samenwerkt, sloot goed aan bij de cultuur van NOBEARS.

Toon: “De energie, dynamiek en betrokkenheid van het team spraken ons direct aan. Daarnaast gaven de cases, succesverhalen en de manier waarop Fendix zich profileert (ook online) vertrouwen dat we met een partij te maken hadden die echt gespecialiseerd is in informatiebeveiliging.”

‍

Scope bepalen: waar leggen we de nadruk?

Elke audit begint met een goede afstemming over de scope. Niet alle normonderdelen hoeven elk jaar even diepgaand te worden onderzocht. Fendix bepaalt samen met NOBEARS waar de nadruk ligt. Daarvoor kijken we naar het interne auditprogramma (conform ISO 27001-vereiste 9.2.2) en de bijbehorende 3-jarenplanning die daarin is uitgewerkt. Op basis daarvan bepalen we samen welke normonderdelen aan bod komen en hoe diep we daarin gaan.

Verder kijken dan de documentatie

Tijdens de audit zelf kijken we verder dan beleidsdocumenten en procedures. Er wordt ook getoetst wat er daadwerkelijk in de praktijk gebeurt: hoe zijn systemen ingericht, kloppen procedures nog met de dagelijkse werkelijkheid, en zijn verantwoordelijkheden helder belegd? Neem toegangsbeheer. Intern lijkt dat prima geregeld, maar een onafhankelijke auditor kan ontdekken dat de procedure niet meer aansluit bij hoe systemen in de praktijk worden beheerd. Dat soort dingen pik je op als je er met frisse ogen naar kijkt. NOBEARS ervaart de jaarlijkse audit mede daarom als een generale repetitie voor de externe certificeringsaudit.

"Het is een mooi moment om weer eens volledig door het ISMS heen te lopen. Daarnaast helpt het collega's om te ervaren wat een audit inhoudt en wat er van hen verwacht wordt", vertelt Toon.

Bij iedere bevinding legt Fendix ook uit hoe die zich verhoudt tot de norm, wat het risico is als je het zo laat en wat een logische vervolgstap is. Dat bleek ook waardevol bij de overgang naar de nieuwe ISO 27001-versie. Fendix dacht actief mee over de interpretatie van nieuwe normonderdelen en de toepassing ervan binnen het ISMS van NOBEARS.

Rapportage: niet alleen wat, maar ook waarom

Na afloop ontvangt NOBEARS een overzichtelijke rapportage met een managementsamenvatting en een uitgewerkte onderbouwing van alle bevindingen. Per normonderdeel staat:

• welke controles zijn uitgevoerd;
• welke documentatie is beoordeeld;
• met wie gesprekken zijn gevoerd;
• welke steekproeven zijn genomen;
• en op basis waarvan conclusies zijn getrokken.

Zo ziet NOBEARS precies wát er gevonden is, waarom het gevonden is, en wat de logische volgende stap is.

‍