donderdag 13 februari 2025
We werken nu zo’n twee jaar binnen het ISO 27001 raamwerk, de standaard om systematisch met de vertrouwelijkheid, integriteit en beschikbaarheid van je IT-spulletjes om te gaan. Met tientallen klantomgevingen, deels met post-it ‘Bij lekkage Autoriteit Persoonsgegevens bellen!’, leek ons dat geen luxe.
Zo’n raamwerk/keurslijf/blauwe droom was best wennen voor een club met zo’n 25 slimme maar ook zeker eigenwijzezinnige mensen! Van zaken gewoon even oplossen naar meer vastleggen, vaste stappen, vinkjes zetten, controleren, bijsturen. En ‘incidenten’ - dat zijn gebeurtenissen waarvoor je de politie belt, toch?
Wennen dus en ook zoeken wat goed bij ons past, geen rituelen om de rituelen. De eerste audit verliep hobbelig: we hadden ons te veel op feitelijke informatiebeveiliging gericht en nog wat te weinig op het (meta)proces en systeem.
Twee jaar en een her-audit (met vlag en wimpel!) verder zien we mooie verschuivingen. Incidenten worden bijna gretig geïdentificeerd en uitgepluisd: hoe zorgen we dat het niet nog een keer kan gebeuren? Het antwoord is in ons geval meestal: automatiseren, automatiseren of automatiseren. Dat mes snijdt aan veel kanten: minder fouten, minder tijd kwijt met routinewerk, beter schaalbaar.
Natuurlijk blijft het keuzes maken en soms schipperen in wat je wanneer en hoe diep aanpakt (zoveel ideeën en zo weinig tijd...). De risico-gebaseerde benadering geeft houvast. We zien nu ondanks grote registratiegretigheid het aantal incidenten (nul majors) kwartaal-op-kwartaal dalen, terwijl mensen, klanten & infra kwartaal-op-kwartaal groeien. Daar gaat iets goed.
Samenvattend: 27001 kan een handig raamwerk zijn om grip te krijgen en – aantoonbaar - te houden. We hebben het heel bewust en met veel zweet naar onze eigen situatie vertaald en dat betaalt zich heel mooi en structureel terug.
Lekker achteroverleunen dus... alhoewel, hoor ik daar SOC 2 type II certificering?
