De implementatie van de ISO 27001 gaat niet zonder slag of stoot. Voor veel organisaties is het correct implementeren van de ISO 27001 een heuse uitdaging. Dit kan een drempel vormen om een ISO 27001 certificering aan te vragen. Wanneer u vooraf op de hoogte bent van de valkuilen, kunt u hier op anticiperen en goed voorbereid starten met de implementatie van ISO 27001.

De ISO 27001 is een certificering dat aantoont dat het bedrijf aan de gestelde informatiebeveiligingseisen voldoet. Deze certificering is niet voor iedere branche verplicht maar kan er wel voor zorgen dat klanten voor uw product, oplossing of dienst kiezen. Het hebben van een ISO 27001 certificaat wekt namelijk vertrouwen op bij uw (toekomstige) klant.

Omdat een implementatie van ISO 27001 niet eenvoudig is, hebben wij voor u de valkuilen op een rijtje gezet:

Wilt u zelf aan de slag gaan met het implementeren van ISO 27001? In ons gratis e-book doorlopen wij samen met u de certificering in tien stappen. Download hem gratis!

 

Lees verder onder de afbeelding.

valkuilen iso 27001 - halfopen laptop van zijkant

Onderschatting

Zoals hierboven al aangegeven is het voor veel organisaties een uitdaging om de ISO 27001 goed te implementeren. Toch wordt dit door veel bedrijven onderschat. Zij denken dat ze hun informatiebeveiliging al goed op orde hebben, maar in de praktijk blijken er dan toch belangrijke maatregelen te ontbreken. Vaak wordt gedacht dat men enkel de documentatie nog op orde moeten brengen.

Wees realistisch in de hoeveelheid werk uw organisatie nog moet verzetten bij het implementeren van ISO 27001 voordat zij in aanmerking komt voor certificering.

Nieuwe denkwijze

Voor het implementeren van ISO 27001 is een andere denkwijze vereist dan men doorgaans gewend is. Veel bedrijven denken aan het toepassen van (technische) oplossingen om te voldoen aan de eisen van de ISO 27001 certificering. Maar hierdoor worden belangrijke maatregelen vergeten.

Verander daarom de interne denkwijze van toepassing van technische maatregelen naar het denken in risico’s. Door dit risicomanagement proces te doorlopen, zullen vanzelf de juiste technische en/of organisatorische maatregelen toegepast worden.

Onwennig

Grotere bedrijven zijn vaak al wel meer gewend om te denken in risico’s. Voor kleinere (MKB) bedrijven is dit een nieuwe en onwennige manier van denken. Daarbij is het voor hen vaak lastig om onderscheid te maken tussen dreigingen, kwetsbaarheden, risico’s en incidenten.

Inschatten van kans en impact

Bij het inschatten van risico’s moet vervolgens gekeken worden naar de kans en de impact.

Het inschatten van kansen is erg lastig. Dat iets dagelijks kan gebeuren, wilt niet zeggen dat dit ook dagelijks gebeurt.

Voorbeeld: Iedere dag worden er e-mails met gevoelige informatie verstuurd. Dat betekent dat er iedere dag een kans bestaat dat deze e-mails bij de verkeerde persoon belanden. De vraag is echter, hoe vaak gebeurt dit daadwerkelijk?

Ook het inschatten van impact is erg lastig. Wanneer iemand gevoelige informatie naar de verkeerde persoon sturen, kan dit een grote impact hebben. Toch is niet niet altijd het geval. De ontvanger kan bijvoorbeeld een vertrouwd persoon zijn en de informatie netjes verwijderen. In dat geval gaat er nauwelijks iets mis en is de impact gering.

De juiste vorm vinden voor het inschatten van risico’s is dat een kwestie van het een keer doen en er zo ‘gevoel’ voor krijgen.

Tip: Laat een ervaren persoon u hiermee helpen. Misschien hebt u iemand in uw eigen netwerk die u hiermee kan helpen. Axxemble staat ook graag voor u klaar.

Te veel gelijktijdig aanpakken

Veel bedrijven hebben het idee dat ze alle risico’s en de benodigde maatregelen in één keer aan moeten pakken. Dit is echter niet per se nodig. Het is zelfs beter om eerst de meest kritieke risico’s aan te pakken en het gehele proces van risicomanagement te doorlopen. Daarna kunt u de volgende, minder kritieke, risico’s aanpakken.

De ISO 27001 certificering betreft met name het proces van risicomanagement. Het is dus niet noodzakelijk dat alle risico’s volledig zijn ‘weggewerkt’,voor zover al mogelijk.

Bewustwording

Veel bedrijven implementeren de juiste (technische) maatregelen maar ‘vergeten’ aandacht te besteden aan de bewustwording van risico’s bij medewerkers. Dit is juist van groot belang, gezien het menselijk handelen vaak het grootste risico vormt binnen informatiebeveiliging. Medewerkers van een bedrijf zijn hiermee een ‘zwakke schakel’ en bewustwording van de risico’s en dreigingen is daarom essentieel.

Toepassen van maatregelen

Er is vaak een lange lijst met te nemen (beheers-) maatregelen, gebaseerd op de ISO 27001 norm. Veel organisaties neigen er dan ook toe om al deze maatregelen toe te passen, terwijl dit niet noodzakelijk is. Het is beter om de maatregelen toe te passen die de meest belangrijke risico’s aanpakken. Andere maatregelen kunnen later opgepakt worden.

Interne controle

Na het toepassen van de maatregelen wordt er in veel gevallen gedacht dat het nu op orde is en dat men klaar is. Dit is onjuist. Het is zeker zo belangrijk om een interne controle (audit) op de effectiviteit van de informatiebeveiliging uit te voeren. Maatregelen zijn anders (vrijwel) nutteloos. Het is voor ISO 27001 certificering van groot belang om hier invulling aan te geven.

ISO 27001 certificering behalen?

Aan de hand van bovenstaande valkuilen kunt u goed voorbereid beginnen aan de implementatie van ISO 27001. In ons e-book ‘ISO 27001 Certificering in 10 stappen’ nemen wij u bij de hand in het implementatieproces. Met behulp van deze stappen kunt u het certificaat relatief eenvoudig realiseren. Dit e-book kunt u gratis downloaden.

Wilt u meer informatie of hebt u nog vragen over de implementatie van ISO 27001? Wij helpen u graag op het gebied van informatiebeveiliging. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.

 

Wilt u zelf aan de slag gaan met het implementeren van ISO 27001? In ons gratis e-book doorlopen wij samen met u de certificering in tien stappen.

Download nu het ISO 27001 e-book

Wij helpen bedrijven met hun digitale veiligheid