Bewustwording en gedrag, daar heb ik me de afgelopen negen jaar vooral mee beziggehouden.

Sinds een tijdje heb ik mijn oude vak als auditor weer opgepakt.

Het is leuk om weer bij verschillende organisaties over de vloer te komen en in gesprek te gaan over de aanpak van informatiebeveiliging.

Heel graag deel ik drie bevindingen van een herintreder. En zoals het een auditor betaamt, mét aanbevelingen.

[ik spreek verder over NEN 7510, maar mijn bevindingen komen ook uit audits ISO 27001]

1. Begrijp wat je moet doen om te voldoen

Het begrijpen van de insteek van NEN 7510 valt niet mee. We pakken de norm erbij en gaan hoofdstuk voor hoofdstuk opleveren wat er staat. Zo’n beetje in ieder geval. Op de vraag: “Waarom heb je deze maatregel geïmplementeerd?” kreeg ik meer dan eens het antwoord: “tja, omdat het in de norm staat…”.

De risico-analyse en het verband met de maatregelen is lang niet altijd duidelijk.

Leg de koppeling tussen risico’s en maatregelen. Vraag je bij iedere maatregel af waarom je deze maatregel implementeert, welk risico je wilt verkleinen, en meet of dat ook lukt. Dat motiveert hopelijk meer dan “omdat het in de norm staat”.

2. Doe de interne audit niet alleen voor het vinkje bij de externe audit

Een van de verplichtingen binnen NEN 7510 is het uitvoeren van interne audits. Als deze goed worden uitgevoerd zijn ze waardevol. Een reflectie op wat er allemaal gedaan of niet gedaan is. En zijn die inspanningen doeltreffend?

Je mag voor de interne audit een externe inhuren. Als er intern geen capaciteit is, is dat geen gek idee. Auditen is een vak, en het auditen van informatiebeveiliging zeker. Helaas heb ik gezien dat zelfs externe interne auditors dat vak niet altijd beheersen. Het is wel leuk als er een goede beoordeling uitkomt, maar dit is juist het moment dat je alle ellende op tafel wilt. Dan kun je het aanpakken van die ellende inplannen, werkt je managementsysteem (ISMS, Information Security Management System) en voldoe je aan de norm. Hoe leuk is dat?

Bezuinig niet op de aandacht voor de interne audit. Als je een externe inhuurt, vraag dan voordat je de opdracht geeft om een geanonimiseerde voorbeeldrapportage. Kijk goed of een dergelijke rapportage jouw organisatie verder gaat helpen.

3. Het hoeft niet perfect, als je maar continu verbetert

Het idee van een managementsysteem als het ISMS is vooral dat je weet wat je moet doen om risico’s te verkleinen. Wat ik veel gezien heb, is dat ideeën voor maatregelen en verbeteringen her en der ronddwalen in actielijsten, behandelplannen, auditrapporten, verslagen van directiebeoordelingen, ticketsystemen, …, en natuurlijk in het hoofd van de security-officer en vele anderen.

Dit is zo voor de hand liggend, maar blijkbaar niet makkelijk: verzamel alle actiepunten op één plek, en dan niet meteen in de actiestand. Wel: reflecteren, groeperen, prioriteren. En dan als een speer aan de slag. Heerlijk!

Tot zover wat eerste indrukken. Veel organisaties willen of moeten voldoen aan NEN 7510 of ISO 27001, maar zijn zoekend. Ik vind het echt leuk om met wat advies of interne audits een zetje in de goede richting te kunnen geven.

Meer lezen? De handboeken van Cees van der Wens zijn van harte aanbevolen!

Meer sparren? Neem contact op.

Eerst een kijkje bij PrivacyLab over een beetje hulp bij het werken aan AVG en NEN 7510? Zie https://privacylabnederland.nl/avg-nen-7510/

Als jij nog observaties over NEN 7510 wilt delen, doe dat dan in de commentaarregels hieronder. Zo kunnen we elkaar inspireren.