ISO-certificering klinkt als een logische stap naar een beter risico beheer en sterkere informatiebeveiliging voor veel organisaties. Wie echter denkt dat dit gewoon een kwestie is van documenten invullen en vakjes aanvinken, zal teleurgesteld zijn. Ivar van Duuren, oprichter van IsoPlanner (zelf ISO 27001-gecertificeerd), biedt een openhartig inzicht in wat er echt komt kijken bij de implementatie van ISO-normen. En waar het volgens hem vaak fout gaat.
Aan de slag met ISO-certificering: de kunst van eenvoud
„Welk advies zou ik mijn jongere zelf geven?” Ivar denkt even na. „Probeer het simpel te houden. Vooral bij zoiets als ISO 27001 bestaat het risico dat je te veel doet.” De norm is vaak abstract, en met een overvloed aan meningen en interpretaties schuilt het gevaar van overmatige implementatie om elke hoek. Zijn advies: begin klein, houd het praktisch en doe vooral niet te veel tegelijk. „Hoe minder je in het begin doet, hoe beter. En als je uiteindelijk veel doet, dan weet je tenminste dat het belangrijk is.”
ISO-beleid, -procedures en -instructies: waar gaat dat allemaal over?
De ISO-norm zelf specificeert zelden expliciet wat je moet documenteren, maar: „Wat je echt nodig hebt is beperkt. Wat handig is, is veel meer.” Veel organisaties worstelen met het verschil tussen beleid, procedures en werkinstructies. Ivar legt het duidelijk uit:
- Beleid: Afspraken over je doelen. Maak bijvoorbeeld elke dag een back-up.
- Procedure: Hoe je dat proces organiseert, wie wat doet.
- Werkinstructies: Stapsgewijze uitleg van op welke manier je doet iets. Bijvoorbeeld: log in op systeem X, klik op knop Y.
Wat zijn de echt cruciale ISO-maatregelen?
„Je hoeft bijvoorbeeld niet alle maatregelen uit te voeren die worden genoemd in ISO 27001 Annex A”, legt Ivar uit. „Je moet aantonen dat je risico's beheert en passende maatregelen kiest.” Maar sommige maatregelen zijn bijna altijd aanwezig: „Toegangsbeheer bijvoorbeeld. Je moet er gewoon zeker van zijn dat alleen de juiste mensen toegang hebben tot gevoelige informatie. Dat wil je altijd goed georganiseerd hebben.”
En hoe toon je effectiviteit aan?
Een beleid alleen is echter niet voldoende. Een organisatie moet ook aantonen dat maatregelen werken. Dit kan bijvoorbeeld worden gedaan door middel van steekproefsgewijze controles. „Als je zegt dat elke nieuwe medewerker een bewustwordingstraining moet volgen, kun je periodiek controleren of dit daadwerkelijk is gebeurd”, zegt Ivar. Documentatie speelt hierbij een belangrijke rol: niet alleen wat je doet, maar ook hoe je dat vastlegt. Daar ligt volgens hem de waarde van gespecialiseerde software: „Het helpt enorm als je de relaties tussen documenten, maatregelen en risico's kunt vastleggen. Met alleen mappen in SharePoint wordt het al snel verwarrend.”
ISO-certificering is veel werk, zelfs voor experts
Hoewel IsoPlanner gespecialiseerd is in het ondersteunen van ISO-implementaties, was het interne proces allesbehalve eenvoudig voor Ivar. „Ondanks onze kennis kostte het meer tijd dan verwacht om een goed beleid te formuleren en de consistentie ervan te controleren.” Dit komt omdat informatiebeveiliging betrekking heeft op verschillende abstractieniveaus tegelijk: beleid, maatregelen, risico's en vereisten. „Je springt constant tussen die lagen. Een maatregel wordt opgenomen in het beleid, heeft betrekking op een risico en komt vervolgens weer terug in procedures. Er is veel structuur nodig om die consistentie te behouden.”
AI- en ISO-certificering: een belofte en een uitdaging
AI speelt ook een steeds belangrijkere rol in de wereld van informatiebeveiliging. „We hebben al AI-functionaliteit toegevoegd aan IsoPlanner”, zegt Ivar. „Bijvoorbeeld om documentatie te vereenvoudigen of risico's sneller te identificeren.” Hij waarschuwt echter voor overhaaste verwachtingen: „AI belooft veel, maar moet praktisch uitvoerbaar zijn. Het is geen magische oplossing. Je moet een balans bewaren tussen innovatie en toepasbaarheid.” Lees ook: IsoPlanner AI-assistent
De opkomst van NIS2 en de kracht van toegankelijkheid
Wat Ivar momenteel enthousiast maakt, is de trend in de markt met betrekking tot NIS2. „Steeds meer organisaties gaan ermee aan de slag. Wat ik vooral leuk vind, is dat initiatieven zoals het NIS2-keurmerk van Samen Digitaal Veilig het onderwerp concreet en toegankelijk maken. Voor organisaties waarvoor ISO 27001 nog een brug te ver lijkt, is dit een goede tussenstap.”
Tot slot: een papieren ISO-norm vereist nog steeds de menselijke benadering
Over het algemeen is de ISO-certificering meer dan alleen een checklist. Het vereist reflectie, communicatie, het stellen van prioriteiten en voortdurende aanpassing. „Welke tools of ondersteuning je ook hebt, het blijft uiteindelijk een project dat in je organisatie geïmplementeerd moet worden.” Wil je dus echt dat de ISO-certificering werkt? Begin eenvoudig. Weet wat je aan het doen bent. En vooral: zorg ervoor dat iedereen in je organisatie weet waarom je het doet.
