Hoe ISO 27001-certificering helpt om de vertrouwelijkheid, integriteit en beschikbaarheid van uw gegevens te waarborgen

februari 7, 2020 | Sergey Kopanev | ,

Bij Moqod hebben we ons altijd afgevraagd: voldoet ons werk aan de hoogste kwaliteitsnormen? Zijn onze systemen en de systemen van onze klanten voldoende beschermd?

We maakten ons niet voor niets zorgen: de recente statistieken over cybercriminaliteit geven een alarmerend beeld. In feite is de omvang van de verliezen in verband met het uitlekken van gegevens en andere cyberdreigingen groter dan de wereldwijde markt voor illegale drugs. Dit is vooral relevant voor bedrijven die met gevoelige gegevens werken en die actief zijn in de financiële, juridische en gezondheidssector. En we hebben ze ook onder onze klanten.

Helaas zijn ook softwarebedrijven, groot en klein, vaak het slachtoffer van kwaadaardige aanvallen. Dit maakt het intellectuele eigendom, de activa en de reputatie van organisaties die op het spel staan en het voorkomen van gegevensverlies tot een typische agenda van de raad van bestuur.

Wereldwijd uitgaven voor informatiebeveiliging in 2017 van Statista
Wereldwijd uitgaven voor informatiebeveiliging in 2017 van Statista

Aan de andere kant realiseren we ons dat expertise en vaardigheid in software-ontwikkelingstechnologieën niet langer voldoende zijn om het vertrouwen van de klanten te winnen – bij het aangaan van technische partnerships hebben klanten iets tastbaarder nodig om op terug te vallen. Daarom hebben we speciale aandacht besteed aan het opzetten en onderhouden van een systeem dat voldoet aan de eisen van de klant op het gebied van topbeveiliging. 

We zagen ook dat klanten de voorkeur geven aan het werken met gecertificeerde aannemers. Daarom hebben we besloten om ons te laten certificeren op het gebied van Cybersecurity. We hebben gekozen voor een internationaal erkende ISO 27001-norm, die door klanten wordt gezien als een werkend bewijs dat hun gegevens in goede handen zijn.

De ISO 27001-normenreeks omvat zowat elk aspect van organisatiebeveiliging. Meer specifiek biedt de ISO 27001 richtlijnen voor het opzetten van een informatiebeveiligingsbeheersysteem (ISMS) en omvat het beleid en de procedures die helpen bij het beschermen van klantgegevens.

Welk Beleid en Welke Processen Bevordert ISO 27001-certificiring? 

Elke organisatie gebruikt tegenwoordig toch wel een set van veiligheidsbeschermingstools en -methoden. Hoewel deze systemen wanhopig worden gebruikt, en zonder inachtneming van de vastgestelde beveiligingsprocedures, kunnen ze in sommige gevallen adequate bescherming bieden en volledig irrelevant zijn tijdens een massale, geconcentreerde cyberaanval op de gegevensintegriteit van een organisatie. De ISO 27001-norm voor informatiebeveiliging vereist dat een organisatie haar processen heroverweegt en regels en procedures opstelt om haar intellectuele eigendom en gevoelige gegevens te beschermen. 

Een bedrijfsfirewall kan u bijvoorbeeld beschermen tegen aanvallen van buitenaf, maar bent u beschermd tegen een inbreuk van binnenuit, als hackers uw werknemersgegevens stelen? Uw bestaande beveiligingssysteem kan wel bestand zijn tegen een standalone DDoS-aanval. Maar wat als de daders verschillende aanvalsmethoden gebruiken, zoals SQL-injecties die uw back-end gegevensbestand besmetten, en API-kaping tegelijkertijd?  

Welke processen moet het bedrijf opzetten om aan de ISO-beveiligingsnormen te voldoen? De ISO 27001-norm stimuleert organisaties en bedrijven om een reeks beveiligingscontroles te implementeren, zoals bijvoorbeeld:  

  • Risicobeoordeling
  • Beveiligingsbeleid
  • Organisatie van de informatiebeveiliging
  • Vermogensbeheer
  • HR-beveiliging
  • Fysieke en omgevingsbeveiliging
  • Communicatie- en operationele beheer
  • Toegangscontrole (inclusief beleid voor toegang op afstand)
  • Aanschaf, ontwikkeling en onderhoud van informatiesystemen
  • Beheer van informatiebeveiligingsincidenten
  • Bedrijfscontinuïteitsbeheer
  • Naleving, enz. 

De daadwerkelijke set van processen die u implementeert is afhankelijk van uw organisatie en bedrijfstype. Om te voldoen aan ISO 27001 moeten de processen die relevant zijn voor uw bedrijf aanwezig zijn en volledig operationeel zijn.

Bovendien omvat de implementatie van een ISO-conform ISMS de invoering van een geavanceerd bedrijfsbeveiligingsbeleid. Op basis van uw beveiligingsdoelstellingen moet het beveiligingsbeleid de fysieke en technologische aspecten schetsen, evenals de gedragsroutines van uw medewerkers die gegevensverlies voorkomen. 

Een beleid voor schone bureaus spoort werknemers bijvoorbeeld aan om altijd hun bureau vrij te maken van alle documenten en papieren die gevoelige gegevens kunnen bevatten wanneer ze hun werkplek verlaten. Toegangsrechten op afstand en toegangsrechten voor gegevens moeten ook worden geregeld door een beveiligingsbeleid, en het beleid zelf moet regelmatig worden herzien en vernieuwd. Voor het beste resultaat moet een bedrijfsbeveiligingsbeleid een eigenaar hebben – iemand die verantwoordelijk is voor het onderhoud en de update.

Het spreekt voor zich dat in een goed bedrijfsbeveiligingsbeleid duidelijk moet worden aangegeven wat de sancties zijn bij niet-naleving.

Het ISO 27001-certificerings proces

We zijn begonnen met de voorbereiding voor de certificering in mei, afgerond in oktober en hebben het certificeringsproces in november-december 2019 doorlopen. We hebben ontdekt dat de meeste van onze processen en benaderingen ISO-conform waren, maar toch hebben we ruimte voor verbetering gevonden en de nodige wijzigingen geïmplementeerd op basis van ISO beste praktijken.

Het proces om gecertificeerd te worden volgens ISO 27001 begint met het invullen van de documentatie die de bedrijfsdoelstellingen en veiligheidscontroles schetst. Verder moet u alle activiteiten die in de eerste documenten worden vermeld, overnemen: zoals bijvoorbeeld risicobeoordeling en -beheer, regelmatige ISMS-audits en updates. In de eerste fase van de ISO-audit controleert de certificatie-instelling de documentatie om na te gaan of deze voldoet aan de ISO 27001-normen. 

Voor het Moqod-team was het begin van de ISO 27001-certificering straject het moeilijkste onderdeel. Zodra we begrepen wat de certificatiecommissie van ons verwachtte, viel alles op zijn plaats. Het enige wat we hoefden te doen was alle eisen zorgvuldig en routinematig te volgen. 

Het voorbereidingsproces nam zes maanden in beslag. Het maken van de documentatie was het makkelijkst, maar de implementatie en ervoor zorgen dat alles op een nieuwe manier werkt, kostte tijd. In oktober 2019 waren we allemaal klaar voor de tweede fase van het ISO 27001-certificerings proces – om ervoor te zorgen dat alle beveiligingsactiviteiten in overeenstemming zijn met de oorspronkelijke documentatie. 

Na ontvangst van het certificaat kunnen we vol vertrouwen verklaren dat alle gevoelige gegevens die klanten ons toevertrouwen goed beschermd zijn. Ons kwaliteitsborgingsproces kreeg brede erkenning – de certificeringsinstantie zei dat hij niet veel teams zoals het onze had gezien en was aangenaam verrast. 

Een certificaat dat bevestigt dat Moqod voldoet aan ISO 27001
Een certificaat dat bevestigt dat Moqod voldoet aan ISO 27001

De ISO 27001-certificering voordelen voor nearshore softwareontwikkelaars

Het lijdt geen twijfel dat de naleving van internationale wetten en normen de algemene geloofwaardigheid verhoogt. De klanten kunnen er zeker van zijn dat ze werken met een betrouwbare ontwikkelaar, die toegewijd is aan het beschermen van de integriteit van hun gevoelige gegevens en die werkt volgens internationaal erkende richtlijnen.

Kort samengevat vallen de voordelen van ISO-certificering voor nearshore softwareontwikkelingsbedrijven in vier hoofdcategorieën uiteen:

verbetering van financiële processen Financieel

Een ISO 27001-conform informatiebeheersysteem helpt bedrijven om kostbare cybercriminaliteit te voorkomen.

Reputatie

De ISO 27001-certificering heeft een positieve invloed op de belangrijkste relaties van het bedrijf met klanten, partners en belanghebbenden, en op de reputatie van het bedrijf in het algemeen.

Operationeel Operationeel

De bedrijfsactiviteiten verlopen soepel en ondervinden minder verstoringen. De medewerkers werken graag volgens duidelijk omschreven richtlijnen, omdat hun werk voorspelbaarder wordt.

Beveiliging Beveiliging

Het opzetten van een ISO-conform informatiebeveiligingsbeheersysteem zorgt voor een betere beveiliging. De bedreigingen worden vroegtijdig opgespoord en verwijderd. Het opzetten van een ISO-conform informatie beveiligingsbeheersysteem zorgt voor een betere beveiliging. De bedreigingen worden vroegtijdig opgespoord en in de kiem gesmoord. Mensen hebben de neiging beveiligingsactiviteiten te ondernemen nadat een bedreiging duidelijk is geworden of er al een aanval heeft plaatsgevonden.

Conclusie

We willen graag dat onze klanten ISMS zien als een menselijk immuunsysteem: we worden constant aangevallen door virussen en bacteriën, en we voelen het niet, maar dit betekent niet dat we ons niet moeten bezighouden met het versterken van de immuniteit.

Gedurende de maanden na de certificering hebben we hier bij Moqod de voordelen van de ISO 27001-conformiteit volledig ervaren. We hebben onze processen gestructureerd en verbeterd, de risico’s geminimaliseerd en staan klaar om onze klanten nog efficiënter te helpen!