In de periode van maart 2020 tot en met maart 2021 is het aantal cyberincidenten volgens het CSBN enorm gestegen. Er vonden talloze cyberincidenten plaats in of in relatie tot Nederland. Tevens gebruikten kwaadwillende vooral Covid-19 als thema om aanvallen uit te voeren. Het op afstand werken is onder andere een doelwit geweest van aanvallen. Processen met digitale componenten zijn ontoegankelijk gemaakt en leveranciersketens zijn aangevallen. Er hebben zich veel incidenten voor gedaan waarbij grote hoeveelheden kwetsbare bedrijfs- en privacy gevoelige informatie openbaar zijn geworden.
De impact die deze digitale aanvallen met zich mee brengen varieert. Enkele leiden tot een kortdurende verstoring van processen, zoals een DDos-aanval die bijvoorbeeld een website tijdelijk offline haalt. Maar ook aanvallen die een langdurige impact hebben. Denk hierbij aan bijvoorbeeld ransomware-aanvallen.
Naarmate de wereld steeds meer gedigitaliseerd met elkaar verbonden raakt, nemen de dreigingen van cyberaanvallen toe. Het is voor organisaties van belang dat zij veerkrachtige en veilige systemen en processen hebben om hen te beschermen tegen de gevolgen van cyberaanvallen.
Veel organisaties zijn zich niet bewust hoe kwetsbaar zij zijn als het gaat om cyber-dreigingen en beveiliging van (digitale) informatie. Het is van essentieel belang om online weerbaar te zijn. Deze innovatie brengt risico’s met zich mee waar je als organisatie op moet inspelen. Risicoafwegingen bepalen welke maatregelen van belang zijn om risico’s voldoende te beheersen.
Een leidraad hiervoor is de ISO 27001 normering. Deze norm biedt organisaties hulp bij het waarborgen van de best mogelijke kaders en de beheersing van risico’s op het gebied van informatie beveiliging.
De certificering voor de ISO 27001 normering gaat samen met het gebruik van een ISMS, information Security Management System ofwel in het Nederlands een Management systeem voor informatiebeveiliging.
Maar wat is een ISMS?
Door middel van een ISMS organiseer en borg je het proces van informatiebeveiliging binnen de organisatie. Het implementeren, onderhouden en continu verbeteren wordt gerealiseerd aan de hand van de Plan-Do-Check-Act (PDCA) cyclus.
Plan
Het vaststellen van het informatiebeveiligingsbeleid en jaarplan vormen de basis voor het inrichten en uitvoeren van processen. Tevens worden in deze fase de externe én interne bedreigingen en risico’s in kaart gebracht.
Do
Hierbij gaat het om de uitvoering van het plan. Inzicht in de status als ook de effectiviteit van de voortgang en uitvoering van het informatiebeveiligingsplan. Het realiseren van maatregelen binnen de organisatie om risico’s te beheersen.
Check
In deze fase worden de resultaten vergeleken met de resultaten die de organisatie voor ogen had. Het gaat hierbij om het controleren van de effectiviteit van de genomen maatregelen. Zijn risico’s voldoende beheerst of teruggebracht en wordt voldaan aan de vooraf opgestelde doelstellingen en eisen?
Act
Tot slot wordt in deze fase na de evaluatie, mits nodig, bijgestuurd. Er worden maatregelen getroffen om de vooraf geplande resultaten alsnog of in het vervolg te behalen. Naar aanleiding hiervan wordt het informatiebeveiligingsbeleid en/of het jaarplan bijgesteld.
Waarom een ISMS?
Met behulp van de juiste software voor een ISMS kun je concrete invulling geven aan de cyclus. Daardoor ben je als organisatie in staat om de scope te bepalen, inzicht te hebben in processen, processen te verbeteren, risico’s te beheersen als ook afwijkingen te traceren, melden, registreren en beheren en tot slot je gereed te maken voor audits.