De vernieuwde ISO 27002 (Code of Practice) komt eraan, met daarin een aantal cruciale wijzigingen ten opzichte van de laatste versie uit 2013. Met als opvallende ‘nieuwkomers’ de thema’s threat intelligence en vulnerability management, die nu een concreet onderdeel uitmaken van de controls. Wat zijn de belangrijkste aandachtspunten? Welke impact hebben de wijzigingen op organisaties?
ISO 27001 is een raamwerk om het uitdagende onderwerp cyber security concreet in te richten en te borgen binnen de organisatie. Met de ISO 27001-certificering laten organisaties aan opdrachtgevers zien dat ze hun informatiebeveiliging beheersen en de (verwerking van) gegevens van die opdrachtgevers goed hebben beveiligd. ‘Voldoen aan deze norm betekent dat systemen en werkprocessen aantoonbaar zijn beveiligd tegen datalekken en externe dreigingen’, licht Kees van Plas van BDO toe. ‘Zo’n raamwerk wordt vaak gezien als “maar een compliance framework”, terwijl de vernieuwde richtlijn veel meer risicogebaseerd is, en daarmee ook volwassener.’
De norm ISO 27002 geldt voor elke organisatie met een ISO27001-certificaat (behalve in de zorgsector, waarvoor de norm NEN 7510 van toepassing is) en geeft richting en houvast aan het ingewikkelde onderwerp cyber security. ‘Voor deze nieuwe standaard moeten organisaties echt de handen weer uit de mouwen steken’, zegt Gerben den Dunnen van Meridion, partner van BDO. ‘Opvallend is dat de oorspronkelijke controlgroepen zijn teruggebracht van veertien naar vier. De controls zijn nu weliswaar overzichtelijker gegroepeerd, in minder hoofdgroepen, maar daaronder hangen wel veel controls en de complexiteit lijkt juist toegenomen. Tegelijkertijd kan een focus op vulnerability management helpen bij het tijdig treffen van de juiste, relevante maatregelen.’
Een van de nieuwe onderwerpen* die wordt geïntroduceerd is threat intelligence, in de zin dat organisaties de intelligentie in huis moeten hebben om op de juiste manier te reageren op bedreigingen. ‘Er gaat heel wat aan vooraf om dat goed te kunnen doen’, zegt Den Dunnen. ‘Je moet ze in kaart brengen en weten wat de impact van zo’n bedreiging kan zijn. Misschien is het voor jou wel een bedreiging, maar valt de impact mee. Daarom is het voor organisaties zaak om, met alle proceseigenaren en -betrokkenen, die kwetsbaarheden onder de loep te nemen.’
Het begrip kwetsbaarheden is in de vernieuwde norm voor het eerst ‘echt expliciet’ gemaakt, in de vorm van drie pagina’s aan uitleg over het implementeren van die control. ‘Het concept vulnerability maakt nu onderdeel uit van twintig van die controls’, legt Kees Plas uit, ‘terwijl het in de vorige versie slechts een keer apart werd benoemd. En nu ineens twintig keer, dat is nogal een verschil met voorheen. De impact daarvan is uiteraard afhankelijk van de organisatie. Een dreiging betekent tenslotte niet per se een risico. Het wordt pas een risico als je er kwetsbaar voor bent. En daar komt vulnerability management om de hoek kijken.’
Wat de impact ook is, elke organisatie is verplicht om voor elk van de 93 (!) controls te verklaren of die van toepassing zijn op de organisatie, diensten en producten, en welke maatregelen er zijn getroffen om die verklaringen aantoonbaar te maken. Den Dunnen: ‘Het sleutelwoord is structuur. Je hebt een structuur nodig om deze controls goed in jouw organisatie te borgen. Anders ga je dingen over het hoofd zien, het is te veel.’
Kees Plas benadrukt daarbij dat het vraagstuk van kwetsbaarheden niet alleen maar technisch van aard is. ‘De uitdaging is dat het veel breder is dan alleen IT. Vulnerability management is bijzonder dynamisch en betreft de gehele organisatie, van mens tot proces. Het is een manier van werken, en een cultuurkwestie, iedereen draagt eraan bij. Kwetsbaarheden kunnen zich op alle niveaus binnen de organisatie bevinden, en er ontstaan ook voortdurend nieuwe kwetsbaarheden.’ Den Dunnen: ‘En de samenloop van omstandigheden kan dan zorgen voor een zeer serieuze situatie. Wie voldoet aan de nieuwe richtlijn en de veranderingen omarmt, creëert voor zichzelf kansen om de organisatie beter te beschermen tegen alle nieuwe bedreigingen.’
* Alle nieuwe onderwerpen in de nieuwe richtlijn op een rijtje:
Threat intelligence
Identity management
Information security for use of cloud services
ICT readiness for business continuity
Physical security monitoring
User endpoint devices
Configuration management
Information deletion
Data masking
Data leakage prevention
Web filtering
