.png)
Audits en geconstateerde non-conformiteiten zijn cruciale elementen van het informatiebeveiligingsbeheer. Audits en non-conformiteiten leiden organisaties naar voortdurende verbetering, waardoor beveiliging een levend, evoluerend proces wordt in plaats van een afvinkexercitie.
Audits helpen u zwakke punten te identificeren voordat het incidenten worden en houden de voortgang van uw beveiliging in de loop van de tijd bij. Non-conformiteiten bieden een kans om te leren en te groeien en bevorderen een cultuur van verantwoordelijkheid. Organisaties die audits omarmen, zien ze eerder als een hulpmiddel voor verbetering dan als een straf.
Informatiebeveiligingsaudits zijn systematische evaluaties van de informatiebeveiliging van een organisatie. Audits zijn erop gericht om ervoor te zorgen dat de organisatie daadwerkelijk werkt volgens de gestelde eisen of gekozen best practices om haar informatie-assets te beveiligen.
Doelen van een informatiebeveiligingsaudit zijn meestal onder andere:
%201.png)
Audits kunnen intern worden uitgevoerd door bevoegde en bevoegde werknemers (interne audit) of extern door gekozen onafhankelijke partners (externe audit).
Sommige audits worden voornamelijk uitgevoerd vanuit het oogpunt van naleving (compliance audits) en andere vanuit een meer technisch oogpunt (technical audits), waarbij de nadruk bijvoorbeeld ligt op specifieke datasystemen of onderwerpen (bijv. netwerkbeveiliging, applicatiebeveiliging).
"Niet slagen" voor een beveiligingsaudit kan in feite betekenen dat de organisatie ten tijde van de audit niet voldeed aan alle eisen van de norm en dat er dus een aantal non-conformiteiten werden geïdentificeerd.
Hierna krijgt de organisatie de gelegenheid om de non-conformiteiten aan te pakken met corrigerende acties. Dit betekent dat er een correctief actieplan moet worden opgesteld en dat de correcties moeten worden geïmplementeerd. Bij certificeringsaudits moeten de correcties voor grote afwijkingen worden geverifieerd door de auditor. Voor kleine afwijkingen volstaat het om alleen het actieplan met corrigerende maatregelen te verifiëren.
Het is belangrijk om te begrijpen dat het auditproces eigenlijk geen mislukking is. De auditor zal je helpen bij het identificeren van non-conformiteiten en ander verbeterpotentieel. Zelfs als er non-conformiteiten worden vastgesteld (wat heel normaal is), heb je een duidelijke to-do lijst om je informatiebeveiliging te verbeteren.
📌 Gerelateerde ISO 27001-sectie: 6.1.2 - Risicobeoordeling informatiebeveiliging
Wat ontbreekt er? Organisaties kunnen tekortschieten in het verstrekken van een duidelijk gedefinieerde risicomanagementprocedure, volgens welke risicomanagement voor informatiebeveiliging wordt geïmplementeerd. Dit moet bijvoorbeeld de gebruikte criteria voor risico-evaluatie bevatten en hoe de behandelingsacties worden gedefinieerd en gecontroleerd. De procedure moet ook uitleggen hoe vaak en waar het risicobeheer wordt uitgevoerd.
Hoe te verhelpen? Implementeer een gestructureerd risicomanagementproces (vaak ondersteund door een ISMS-app). Beschik over een kernrapport "Risicomanagementprocedure" waarin alle belangrijke stappen worden uitgelegd en dat gecontroleerd wordt bijgewerkt. Zorg voor regelmatige reviews en workshops over risicomanagement van informatiebeveiliging, minstens elk kwartaal of wanneer er belangrijke veranderingen of behoeften optreden.
📌 Verwante ISO 27001-sectie: 6.1.3 - Behandeling van informatiebeveiligingsrisico's
Wat ontbreekt er? De organisatie heeft risico's geïdentificeerd, maar heeft onvoldoende bewijs om aan te tonen hoe deze risico's worden beperkt. Behandelingsplannen voor risico's zijn vaag en missen concrete acties, tijdlijnen of verantwoordelijke personen, waardoor het moeilijk is om de voortgang te volgen. Organisaties vertrouwen op mondelinge toezeggingen of verouderde documenten in plaats van controleerbare gegevens bij te houden over de implementatie van de behandeling.
💡 Hoe oplossen? Risico's die prioriteit krijgen voor behandeling moeten een duidelijk risicobehandelingsplan krijgen, inclusief de gekozen behandelingsoptie (accepteren, beperken, overdragen of vermijden), specifieke beveiligingen om het risico te beperken (gekoppeld aan ISO 27001 Bijlage A indien relevant), verantwoordelijke personen en deadlines. Bewijs van implementatie moet worden toegevoegd aan uw ISMS.
Extra: Gebruik een geïntegreerde ISMS-tool om ervoor te zorgen dat risico-evaluaties en -behandeling worden uitgevoerd en bijgehouden op dezelfde plaats als alle informatiebeveiligingsmaatregelen, zodat de voortgang van de risicobehandeling zichtbaar is.
📌 Gerelateerde ISO 27001-sectie: 9.2 - Interne audit & 9.3 - Managementbeoordeling
Wat ontbreekt er? Er is de afgelopen 12 maanden geen interne audit uitgevoerd, of van de uitgevoerde audits ontbreekt een duidelijke registratie van bevindingen. Het topmanagement heeft de afgelopen 12 maanden niet deelgenomen aan een managementbeoordeling of er zijn geen beoordelingsresultaten beschikbaar.
Hoe te verhelpen? Jaarlijkse interne audits plannen en rapporten van bevindingen en correcties bijhouden. Managementbeoordelingen uitvoeren om de effectiviteit van ISMS te beoordelen en rapporten met resultaten bijhouden.
📌 Gerelateerde ISO 27001-sectie: 6.1.3 (d) - Verklaring van Toepasselijkheid
Wat ontbreekt er? De Verklaring van Toepasselijkheid (SoA) is onvolledig, verouderd of slecht gedocumenteerd, waardoor het moeilijk is om aan te tonen dat ISO 27001 wordt nageleefd. De organisatie kan nalaten te rechtvaardigen waarom bepaalde controles in Bijlage A wel of niet zijn opgenomen. De implementatie van controles wordt niet duidelijk uitgelegd en gekoppeld aan risico's. Het document wordt niet regelmatig herzien, waardoor het bijvoorbeeld niet is afgestemd op organisatorische veranderingen of nieuwe beveiligingsrisico's.
Hoe te verhelpen? Zorg ervoor dat de SoA een duidelijke lijst bevat van alle controles in Bijlage A, waarbij de meeste als van toepassing worden gemarkeerd en de rest als niet van toepassing, met krachtige motiveringen. Zorg ervoor dat de SoA de implementatie van van toepassing zijnde controles duidelijk uitlegt, samen met bewijs. Herzie en actualiseer de SoA regelmatig en onderhoud kruisverwijzingen tussen de SoA, het risicobehandelingsplan en alle andere ISMS-onderdelen om een samenhangend ISMS aan te tonen. Zorg ervoor dat de SoA toegankelijk is voor auditors en relevante belanghebbenden, met een goed gestructureerd formaat voor eenvoudig begrip.
Extra: In Cyberday wordt SoA automatisch aangemaakt en bijgehouden via uw ISMS-taken die zijn gekoppeld aan relevante vereisten in ISO 27001 / ISO 27002.¨
📌 Verwante ISO 27001-sectie: 9.1 - Bewaking, meting, analyse en evaluatie
Wat ontbreekt er? Geen gedefinieerde key metrics (ook wel KPI's genoemd) om de effectiviteit van het ISMS te meten. In deze situatie worden beveiligingsprestaties niet gekwantificeerd, waardoor het voor het management moeilijk is om de beveiligingsstatus te beoordelen of trends te identificeren. Organisaties vertrouwen op voorgevoelens zonder realtime beveiligingsmonitoring of trendanalyse van incidenten. Dit verzwakt meestal ook de regelmatige rapportage van ISMS-prestaties aan het topmanagement (bijvoorbeeld in managementbeoordelingen), wat leidt tot een gebrek aan zichtbaarheid en betrokkenheid.
Hoe te verhelpen? Definieer meetbare beveiligingsdoelstellingen en metrics. Dit kunnen bijvoorbeeld beveiligingsincidenten per kwartaal zijn, nalevingsscore in ISMS, % van werknemers die beveiligingsbewustzijnstraining voltooien, # non-conformiteiten die binnen een bepaalde tijd worden opgelost, het aantal niet-gepatchte kwetsbaarheden dat de gedefinieerde SLA's overschrijdt. Regelmatig ISMS-prestatiebeoordelingen uitvoeren (bijv. elk kwartaal) met betrokkenheid van het senior management. Beveiligingscijfers afstemmen op bedrijfsdoelen, zoals het beperken van financiële verliezen door cyberincidenten of het verbeteren van de naleving van regelgeving.
Extra: Implementeer geautomatiseerde beveiligingsdashboards die de prestatiegegevens in realtime bijhouden. Gebruik trendanalyses om zwakke punten proactief aan te pakken voordat ze kritieke problemen worden...
📌 Verwant ISO 27001-onderdeel: 5.23 - Beheer van informatiebeveiligingsincidenten
Wat ontbreekt er? Geen geformaliseerd incident response proces, wat leidt tot inconsistente, vertraagde en onduidelijke afhandeling van beveiligingsincidenten. Medewerkers weten niet hoe ze beveiligingsincidenten moeten melden, waardoor het risico op onopgemerkte inbreuken toeneemt. Documentatie van eerdere incidenten wordt niet goed bijgehouden, waardoor het moeilijk is om incidenten uit het verleden te analyseren en responsstrategieën te verbeteren. Geen duidelijke verantwoordelijkheden of escalatieproces, waardoor verwarring ontstaat tijdens de afhandeling van incidenten.
Hoe te verhelpen? Zet een gecentraliseerd systeem op voor het melden van incidenten, zodat werknemers beveiligingsincidenten eenvoudig kunnen melden (bijv. phishing, malware, ongeautoriseerde toegang). Houd documentatie bij van eerdere incidenten, met name de acties die zijn ondernomen om soortgelijke incidenten in de toekomst te beperken. Wijs incidentresponstaken toe met gedefinieerde verantwoordelijkheden (bijv. incidentmanager, technisch hoofd, communicatiehoofd) en stel duidelijke incidentresponsprocedures op voor algemeen verwachte of extreem ongunstige incidenten. Implementeer een escalatieproces om ervoor te zorgen dat ernstige incidenten onmiddellijk worden gemeld aan het management en externe regelgevers indien nodig.
Extra: Voer regelmatig oefeningen uit om te reageren op incidenten, waaronder tabletop-oefeningen en real-world simulaties zoals phishing-tests.
📌 Gerelateerde ISO 27001-sectie: A: 8.2 - Identiteits- en toegangsbeheer
Wat ontbreekt er? Medewerkers hebben meer toegang tot gegevens en systemen dan nodig, waardoor het risico op insider threats en datalekken toeneemt. Toegangsrechten worden niet periodiek herzien, waardoor bijvoorbeeld voormalige werknemers nog steeds toegang hebben tot gevoelige systemen die ze niet nodig hebben. Toegang tot informatie wordt inconsistent verleend in plaats van met behulp van gestandaardiseerde rollen en least privilege-principes. Geen formeel proces voor het goedkeuren, wijzigen of intrekken van toegang, waardoor het onduidelijk is wie wijzigingen kan autoriseren. Zwakke of onbestaande logging en monitoring van toegangsactiviteiten, waardoor het moeilijk is om ongeautoriseerde toegang of potentiële beveiligingsincidenten te detecteren.
Hoe te verhelpen? Implementeer rolgebaseerde toegangscontrole (RBAC) en volg het principe van de minste privileges om ervoor te zorgen dat gebruikers alleen de minimale toegang hebben die nodig is voor hun functie. Communiceer deze best practices voor alle werknemers, zodat zij ook non-conformiteiten kunnen identificeren. Voer regelmatig toegangscontroles uit (bijv. elk kwartaal door asset owners) om te controleren of de toegangsrechten overeenkomen met de functie en of onnodige toegang wordt verwijderd. Stel een duidelijk goedkeurings- en intrekkingsproces op voor het verlenen en verwijderen van toegang en zorg ervoor dat managers en beveiligingsteams toezicht houden op wijzigingen. Multi-factor authenticatie (MFA) inschakelen voor alle kritieke systemen om het risico op ongeautoriseerde toegang te verkleinen.
Extra: Automatiseer het beheer van toegangscontrole met oplossingen voor identiteits- en toegangsbeheer (IAM) om provisioning, tracking en deprovisioning te stroomlijnen. Houd gedetailleerde toegangslogs bij en stel waarschuwingen in voor verdachte activiteiten, zoals mislukte inlogpogingen of escalatie van privileges...
📌 Verwant ISO 27001-onderdeel: A.5.19 - Beheer van leveranciersrelaties
Wat ontbreekt er? Onduidelijke categorisering van leveranciers op basis van prioriteit en vereiste beveiligingswaarborg (bijv. certificering, vragenlijst, audit, geen). Geen formele beveiligingsovereenkomsten met leveranciers, waardoor de organisatie kwetsbaar blijft voor aanvallen in de toeleveringsketen. Geen contractuele verplichtingen die ervoor zorgen dat belangrijke leveranciers voldoen aan ISO 27001, CIS18 of andere best practices. Ontbreken van een offboardingproces bij het beëindigen van leveranciersrelaties, wat leidt tot risico's zoals verweesde accounts, blijvende toegangsrechten of onbeheerde gegevensoverdrachten.
Hoe oplossen? Deel uw leveranciers in op basis van prioriteit (bijv. op basis van hun verbinding met uw diensten, de gevoeligheid van de gegevens die ze verwerken en hun vervangbaarheid) en op basis van uw onderhandelingspositie. Stel duidelijke criteria op voor de beveiliging van belangrijke leveranciers, bijvoorbeeld certificeringen, nalevingsrapporten, onafhankelijke audits of ingevulde beveiligingsvragenlijsten als bewijs van beveiliging. Neem beveiligingsclausules op in contracten om naleving van wet- en regelgeving te garanderen.
📌 Gerelateerde ISO 27001-sectie: A.6.3 - Bewustwording, opleiding en training
Wat ontbreekt er? De informatie- en cyberbeveiligingsverantwoordelijkheden van werknemers zijn onduidelijk. Medewerkers krijgen niet systematisch training over beveiligingsbewustzijn, waardoor ze kwetsbaar zijn voor phishing-aanvallen, zwakke wachtwoorden en social engineering. Er is geen gestructureerd trainingsprogramma of de training wordt inconsequent gegeven, zonder dat de deelname van werknemers wordt bijgehouden. Organisaties werken de inhoud van de training niet bij op basis van nieuwe bedreigingen, wijzigingen in de regelgeving of beveiligingsincidenten uit het verleden.
Hoe te verhelpen? Maak de beveiligingsverantwoordelijkheden van werknemers glashelder. Dit kan bijvoorbeeld betekenen dat ze hun schriftelijke beveiligingsrichtlijnen regelmatig moeten aanvaarden en ze moeten naleven tijdens hun dagelijkse werkzaamheden. Zet een bewustmakingsprogramma op over belangrijke onderwerpen zoals phishing, wachtwoordbeveiliging, veilig werken op afstand en incidentrapportage. Houd zowel de acceptatie van richtlijnen als de deelname aan trainingen bij en houd gegevens bij. Geef regelmatig opfriscursussen en werk de inhoud bij op basis van de nieuwste bedreigingen, compliance-eisen en incidenten uit de praktijk.
Extra: Gebruik interactieve trainingsmethoden, zoals phishing-simulaties, gamified learning en quizzen, om te zorgen voor betrokkenheid en kennisbehoud.
📌 Gerelateerde ISO 27001-sectie: A.8.1.1 - Inventaris van bedrijfsmiddelen
Wat ontbreekt er? Organisaties beschikken niet over een uitgebreide en actuele inventaris van informatiemiddelen, wat leidt tot slechte zichtbaarheid en verhoogde beveiligingsrisico's. Geen duidelijke toewijzing van eigendom, waardoor het onduidelijk is wie verantwoordelijk is voor het beheren, documenteren en beschermen van elk bedrijfsmiddel. Inventarisatie van bedrijfsmiddelen wordt niet regelmatig herzien, wat leidt tot verouderde of onjuiste gegevens. Geen classificatie van bedrijfsmiddelen op basis van gevoeligheid, kriticiteit of wettelijke vereisten.
Hoe te verhelpen? Zet een gecentraliseerd systeem op voor activabeheer dat softwareactiva, hardwareactiva, informatieactiva (gegevens, databases, documenten), fysieke activa en menselijke activa omvat. Wijs voor elk bedrijfsmiddel een eigenaar aan die verantwoordelijk is voor de beveiliging, het onderhoud en de verwijdering ervan. Categoriseer bedrijfsmiddelen op basis van prioriteit of in meer detail volgens de CIA triade. Voer regelmatig controles uit om ervoor te zorgen dat records accuraat en up-to-date zijn.
Extra: Implementeer een geautomatiseerd hulpmiddel voor het opsporen van bedrijfsmiddelen om nieuwe bedrijfsmiddelen te detecteren en te volgen.
📌 Verwant ISO 27001-onderdeel: A.18.1.1 - Identificatie van toepasselijke wetgeving en contractuele afspraken
Wat ontbreekt er? Organisaties slagen er niet in om systematisch wettelijke, regelgevende en contractuele vereisten te identificeren, te documenteren en na te leven.
Hoe oplossen? Houd een wettelijk register bij met relevante andere wettelijke of contractuele informatiebeveiligingseisen. Werk deze lijst regelmatig bij.
Daar hebben we een aantal veel voorkomende ISO 27001 audit non-conformiteiten besproken. Deze komen vaak voort uit hiaten in de documentatie, inconsistente implementatie en gebrek aan monitoring. Dit zijn echter slechts veelvoorkomende voorbeelden, aangezien het informatiebeveiligingsprogramma van elke organisatie steeds unieker wordt, vooral naarmate het volwassenheidsniveau toeneemt.
Maar zoals in het begin al gezegd, non-conformiteiten bieden een kans om te leren en te groeien. Ze moeten niet worden gezien als puur negatieve dingen.
Uw informatiebeveiligingsprogramma is een continu verbeteringsproces dat wordt bijgewerkt door technologische updates in uw omgeving, veranderingen in de implementatie van bepaald beleid, de behandeling van risico's of incidenten, of door andere fouten en veranderingen. Een goed onderhouden ISMS, met regelmatige audits en updates, is de sleutel tot het soepel doorstaan van ISO 27001-audits en het behouden van uw compliance. 🚀
