ISO 27001 - het beheersen van risico's
Steeds vaker eisen klanten dat hun leveranciers ook veilig werken. Logisch natuurlijk, want als leverancier heb je vaak veel informatie van je klanten. Om aan te tonen dat je de risico’s onder controle hebt, kiezen veel organisaties ervoor hun informatiebeveiliging te structureren en aan te tonen via erkende normen. Een van de bekendste en meest toegepaste standaarden op dit vlak is ISO 27001. Binnen deze norm speelt vulnerability management een belangrijke rol binnen het bredere Information Security Management System (ISMS).
In dit artikel leggen we uit hoe NetCaptain past binnen de verplichtingen van de ISO 27001 norm.
Wat is ISO 27001?
ISO 27001 is een internationale standaard voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). De norm is ontwikkeld door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC). De eerste versie verscheen in 2005, gebaseerd op de Britse standaard BS 7799. In Nederland wordt de norm beheert door de NEN, het Nederlands Normalisatie Instituut. De huidige versie (ISO/IEC 27001:2022) is een evolutie die inspeelt op actuele beveiligingsuitdagingen en betere aansluiting biedt op andere managementsystemen, zoals ISO 9001 (kwaliteitsmanagement) en ISO 22301 (business continuity).
De kern van ISO 27001 is risicomanagement. Het idee is dat organisaties hun informatiebeveiligingsrisico’s systematisch identificeren, evalueren en behandelen met passende beheersmaatregelen. Daarbij maakt de norm onderscheid tussen de verplichtingen in de hoofdtekst van de standaard (de managementsysteem-eisen) en de zogenaamde Annex A, waarin een set van beheersmaatregelen (controls) staat beschreven die organisaties kunnen gebruiken bij hun risicobehandeling.
Het Information Security Management System
Het ISMS is het formele raamwerk dat organisaties helpt hun informatiebeveiliging systematisch te organiseren. Het is een managementsysteem zoals dat ook voor kwaliteit of milieu kan bestaan, maar dan specifiek gericht op informatiebeveiliging. Het ISMS wordt vormgegeven op basis van de Plan-Do-Check-Act (PDCA)-cyclus, die cyclisch verbetermanagement stimuleert.
In de ‘Plan’-fase worden de context van de organisatie en de verwachtingen van belanghebbenden vastgesteld, evenals de scope van het ISMS en het risicobehandelplan. De organisatie definieert beleid, rollen en verantwoordelijkheden, en identificeert risico’s. In de ‘Do’-fase voert de organisatie het risicobehandelplan uit en implementeert ze controls. De ‘Check’-fase omvat monitoring, interne audits en managementreviews. Ten slotte volgt de ‘Act’-fase, waarin corrigerende maatregelen worden geïmplementeerd en het systeem verder wordt verbeterd.
Een belangrijk aspect van het ISMS is de nadruk op het risico-gebaseerde denken. De norm schrijft niet voor wélke risico’s een organisatie moet behandelen of wélke maatregelen exact verplicht zijn. In plaats daarvan verlangt ze een systematische risicobeoordeling en een aantoonbare, doordachte aanpak.
Waarom NetCaptain?
Zonder goede tool is het vaak een chaos: je hebt geen idee waar je kwetsbaarheden precies zitten of of je alle systemen wel hebt meegenomen. NetCaptain scant je netwerk en systemen automatisch en geeft je een duidelijk overzicht. Zo hoef je niet te gokken waar de risico’s zitten en kun je veel gerichter maatregelen nemen. Dit maakt het een stuk makkelijker om je risicoanalyse voor ISO 27001 te onderbouwen: je kunt aantonen dat je weet wát je moet beveiligen en waarom.
Zonder structuur belanden kwetsbaarheden al snel op een onoverzichtelijke lijst of verdwijnen ze uit beeld. Met NetCaptain kun je je werk beter organiseren: kwetsbaarheden krijgen een prioriteit, je ziet welke echt urgent zijn en je kunt acties volgen tot ze zijn afgerond. Dat helpt enorm als je moet aantonen dat je risico’s daadwerkelijk aanpakt, zoals ISO 27001 vereist. Het voorkomt ook onnodig stressvolle last-minute patchrondes omdat iets was vergeten.
ISO 27001 draait niet alleen om doen, maar ook om kunnen bewijzen dat je het doet. Auditors willen zien dat je kwetsbaarheden structureel beheert. Een goede tool houdt alle scans, analyses en acties netjes bij en maakt daar rapportages van die je zo kunt laten zien. Geen gedoe met losse notities of spreadsheets, maar een helder verhaal waarmee je overtuigend kunt aantonen dat je grip hebt op je kwetsbaarheden en dat je je ISMS serieus neemt.
De essentie van vulnerability management
Om te begrijpen waarom vulnerability management een cruciale rol speelt binnen ISO 27001, is het zinvol om eerst te definiëren wat het inhoudt. Vulnerability management is het proces waarmee organisaties kwetsbaarheden in hun systemen, applicaties en infrastructuur identificeren, evalueren, prioriteren en behandelen. Het gaat niet alleen om technische scanning, maar ook om een structureel proces dat beleid, procedures, technologie en menselijk gedrag omvat.
Het typische vulnerability managementproces begint met het creëren en bijhouden van een actueel overzicht van assets. Vervolgens worden kwetsbaarheden geïdentificeerd via bronnen zoals vulnerability scans, threat intelligence en meldingen van leveranciers. Daarna volgt een beoordeling van de risico’s die de kwetsbaarheden veroorzaken, rekening houdend met factoren zoals exploitbaarheid en potentiële impact. Ten slotte worden maatregelen genomen, zoals patching, compensating controls of risicoacceptatie, en wordt het resultaat gemonitord.
Vulnerability management is cyclisch en sluit daarmee perfect aan op het PDCA-model van ISO 27001. Omdat dreigingen en kwetsbaarheden voortdurend veranderen, kan een eenmalige scan of risicoanalyse geen duurzame bescherming bieden. Continu verbeteren en aanpassen is essentieel.
Vulnerability management in ISO 27001
Het zal je misschien verbazen, maar de ISO 27001 norm verplicht niet dat je een vulnerability managementprogramma hebt. Toch is vulnerability management een belangrijk onderdeel van de norm.
De hoofdtekst van ISO 27001 vereist dat een organisatie een risicobeoordelingsproces heeft. Tijdens die risicobeoordeling moeten kwetsbaarheden in assets en processen worden geïdentificeerd. Dit betekent dat je kwetsbaarheden moet kennen om risico’s te kunnen beoordelen en behandelen. Zonder systematische identificatie van kwetsbaarheden kun je geen risicogestuurde beheersmaatregelen plannen. De norm laat je vrij om zelf te kiezen hoe je je kwetsbaarheden in kaart brengt.
Daarnaast verwijst de norm in meerdere controls direct of indirect naar het beheer van kwetsbaarheden. Bijvoorbeeld controls die gaan over patchbeheer, beheer van technische kwetsbaarheden, change management en monitoring. Hoewel Annex A controls op een abstract niveau beschrijft, maken best practices vaak concreet dat vulnerability management hierin een kernactiviteit is.
Vulnerability management speelt een rol in de continue verbetering van het ISMS. Tijdens de Check- en Act-fasen van de PDCA-cyclus zal een organisatie haar beveiligingsprestaties evalueren. Bevindingen uit kwetsbaarhedenscans, penetratietests of incidentanalyses leveren input voor corrigerende en preventieve maatregelen. Hiermee wordt vulnerability management niet alleen een operationele taak, maar een strategisch onderdeel van het managementsysteem.
Een ander belangrijk aspect van ISO 27001 is de eis van aantoonbaarheid. Tijdens een externe audit zal een auditor willen zien dat het ISMS werkt zoals bedoeld. Voor vulnerability management betekent dat dat een organisatie niet alleen beleid en procedures moet hebben, maar ook bewijs van uitvoering en effectiviteit. Een auditor kan bijvoorbeeld vragen om rapportages van kwetsbaarheidsscans, ticketoverzichten van gepatchte kwetsbaarheden, change logs waarin security-aspecten zijn beoordeeld of notulen van risicobeoordelingen waarin kwetsbaarheden zijn geanalyseerd.
Wil jij klaar zijn voor je volgende audit?
Wil je weten hoe NetCaptain jouw bedrijf kan helpen? Plan een vrijblijvend kennismakingsgesprek in met een van onze experts.