Menu

Zoek op
rubriek
Data&Privacyweb
0

De vernieuwde richtlijn 27002: meer grip op cyber security

De vernieuwde ISO 27002 (Code of Practice) komt eraan, met daarin een aantal cruciale wijzigingen ten opzichte van de laatste versie uit 2013. Met als opvallende ‘nieuwkomers’ de thema’s threat intelligence en vulnerability management, die nu een concreet onderdeel uitmaken van de controls. Wat zijn de belangrijkste aandachtspunten? Welke impact hebben de wijzigingen op organisaties?

BDO 1 nov 2021

ISO 27001 is een raamwerk om het uitdagende onderwerp cyber security concreet in te richten en te borgen binnen de organisatie. Met de ISO 27001-certificering laten organisaties aan opdrachtgevers zien dat ze hun informatiebeveiliging beheersen en de (verwerking van) gegevens van die opdrachtgevers goed hebben beveiligd. ‘Voldoen aan deze norm betekent dat systemen en werkprocessen aantoonbaar zijn beveiligd tegen datalekken en externe dreigingen’, licht Kees van Plas van BDO toe. ‘Zo’n raamwerk wordt vaak gezien als “maar een compliance framework”, terwijl de vernieuwde richtlijn veel meer risicogebaseerd is, en daarmee ook volwassener.’  

Minder controlgroepen, maar…

De norm ISO 27002 geldt voor elke organisatie met een ISO27001-certificaat (behalve in de zorgsector, waarvoor de norm NEN 7510 van toepassing is) en geeft richting en houvast aan het ingewikkelde onderwerp cyber security. ‘Voor deze nieuwe standaard moeten organisaties echt de handen weer uit de mouwen steken’, zegt Gerben den Dunnen van Meridion, partner van BDO. ‘Opvallend is dat de oorspronkelijke controlgroepen zijn teruggebracht van veertien naar vier. De controls zijn nu weliswaar overzichtelijker gegroepeerd, in minder hoofdgroepen, maar daaronder hangen wel veel controls en de complexiteit lijkt juist toegenomen. Tegelijkertijd kan een focus op vulnerability management helpen bij het tijdig treffen van de juiste, relevante maatregelen.’

Threat intelligence

Een van de nieuwe onderwerpen* die wordt geïntroduceerd is threat intelligence, in de zin dat organisaties de intelligentie in huis moeten hebben om op de juiste manier te reageren op bedreigingen. ‘Er gaat heel wat aan vooraf om dat goed te kunnen doen’, zegt Den Dunnen. ‘Je moet ze in kaart brengen en weten wat de impact van zo’n bedreiging kan zijn. Misschien is het voor jou wel een bedreiging, maar valt de impact mee. Daarom is het voor organisaties zaak om, met alle proceseigenaren en -betrokkenen, die kwetsbaarheden onder de loep te nemen.’  

Vulnerability management

Het begrip kwetsbaarheden is in de vernieuwde norm voor het eerst ‘echt expliciet’ gemaakt, in de vorm van drie pagina’s aan uitleg over het implementeren van die control. ‘Het concept vulnerability maakt nu onderdeel uit van twintig van die controls’, legt Kees Plas uit, ‘terwijl het in de vorige versie slechts een keer apart werd benoemd. En nu ineens twintig keer, dat is nogal een verschil met voorheen. De impact daarvan is uiteraard afhankelijk van de organisatie. Een dreiging betekent tenslotte niet per se een risico. Het wordt pas een risico als je er kwetsbaar voor bent. En daar komt vulnerability management om de hoek kijken.’

Sleutelwoord is structuur

Wat de impact ook is, elke organisatie is verplicht om voor elk van de 93 (!) controls te verklaren of die van toepassing zijn op de organisatie, diensten en producten, en welke maatregelen er zijn getroffen om die verklaringen aantoonbaar te maken. Den Dunnen: ‘Het sleutelwoord is structuur. Je hebt een structuur nodig om deze controls goed in jouw organisatie te borgen. Anders ga je dingen over het hoofd zien, het is te veel.’ 

Kees Plas benadrukt daarbij dat het vraagstuk van kwetsbaarheden niet alleen maar technisch van aard is. ‘De uitdaging is dat het veel breder is dan alleen IT. Vulnerability management is bijzonder dynamisch en betreft de gehele organisatie, van mens tot proces. Het is een manier van werken, en een cultuurkwestie, iedereen draagt eraan bij. Kwetsbaarheden kunnen zich op alle niveaus binnen de organisatie bevinden, en er ontstaan ook voortdurend nieuwe kwetsbaarheden.’ Den Dunnen: ‘En de samenloop van omstandigheden kan dan zorgen voor een zeer serieuze situatie. Wie voldoet aan de nieuwe richtlijn en de veranderingen omarmt, creëert voor zichzelf kansen om de organisatie beter te beschermen tegen alle nieuwe bedreigingen.’

* Alle nieuwe onderwerpen in de nieuwe richtlijn op een rijtje:

  • Threat intelligence

  • Identity management

  • Information security for use of cloud services

  • ICT readiness for business continuity

  • Physical security monitoring

  • User endpoint devices

  • Configuration management

  • Information deletion

  • Data masking

  • Data leakage prevention

  • Web filtering

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.