Att en organisation är certifierad enligt ISO 27001 har länge varit en kvalitetsstämpel som visar att man tar frågan om Informationssäkerhet på stort allvar. Dock har det under senare år blivit tydligt att värdet i certifieringen devalverats. Här ett antal tips och råd både till Er som är certifierade och till er som anlitar en certifierad organisation som leverantör.
Att en organisation är certifierad enligt ISO 27001 har länge varit en kvalitetsstämpel som visar att man tar frågan om Informationssäkerhet på stort allvar. Dock har det under senare år blivit tydligt att värdet i certifieringen devalverats. Här ett antal tips och råd både till Er som är certifierade och till er som anlitar en certifierad organisation som leverantör.
Dagens version av ISO 27001 och ISO 27002 är från 2013. Även om en av de stora bakomliggande tankarna bakom 2013 års revisioner var att på ett bättre sätt koppla in organisationens underleverantörer och molntjänster har IT utvecklats enormt mycket under de åtta år som gått sedan dess. Standarderna har helt enkelt inte hängt med. Dock är nya revisioner planerade att släppas under 2022 och vi tror att de kommer att vara ett rejält lyft.
Vi lovar att återkomma framåt om nyheter och skillnader där!
Utöver det faktum att standarderna är till åren så berättar en certifiering enligt ISO 27001 egentligen ingenting om hur organisationen i praktiken hanterar sin Informations- och IT-säkerhet. En certifiering kan jämföras med ett körkort –det visar att Du en gång i tiden klarade av teoretiskt och praktiskt körprov och under senare tid inte åkt fast för exempelvis grövre fortkörning, men det säger ingenting om hur Du faktiskt kör en vanlig dag. Trots att du har körkort kan Du i praktiken både strunta i att stanna vid stopplikt och köra alldeles för fort – åtminstone så länge ingen kommer på Dig.
Dessa två faktorer tillsammans är också de viktigaste orsakerna till att värdet av en certifiering mot ISO 27001 inte längre är så ”wow” som den var för några år sedan. Det är fortfarande inte på något sätt en enkel resa att certifiera sig, och i många fall en viktigt och oundviklig resa att göra. Men trots allt är en certifiering inte en garanti att den certifierade organisationen upprätthåller en tillräcklig nivå av Informations- och IT-säkerhet.
Be alltid att få tillgång till den certifierade organisationens Uttalande om Tillämplighet (UoT) – som också kan kallas för SoA (Statement of Applicability). Dokumentet ska kunna säga dig:
Vilka kontroller i ISO 27001:s bilaga A som man valt att utesluta och varför.
Status på de kontroller i bilaga A som inte har uteslutits – om de är införda eller inte, samt på vilket sätt de är införda.
Om organisationen infört kontroller från andra ramverk i sin certifiering.
Dokumentets version – det ska stämma överens med den version som är angiven på certifikatet.
Fråga också leverantören vilka eventuella standarder och ramverk som man valt att förhålla sig till samt hur man bedömt sina egna underleverantörer och därmed deras totala förmåga. Fråga gärna också om ett utdrag som beskriver vilka kontroller i ramverk och standarder man infört.
Om organisationen infört kontrollerna på ett riktigt sätt ska de också finnas med i tillämplighetsförklaringen och därmed granskas de årligen i ISO-revisionen. Ett par exempel på andra väl vedertagna ramverk för Informations- och IT-säkerhet är CIS Controls samt NIST SP 800-53.
För Dig som leder arbetet med Informationssäkerhet i en certifierad organisation är det viktigt att alltid kunna visa upp och förklara hur Du säkerställer, verifierar och följer upp att verksamheten lever upp till Era egna krav samt de krav som Era kunder och marknaden ställer på just Er. I körkortsjämförelsen ovan skulle man kunna säga att Ni måste ha en färdskrivare på allt ni gör för att kunna visa att Ni sköter Er.
Noteras bör också att ISO 27001 och dess 114 säkerhetskontroller som är ska-krav inte räcker till för att ge ett fullgott skydd i de flesta IT-miljöer – som sagt är standarder och kontroller idag över åtta år gamla och inte på något sätt heltäckande utifrån dagens hotbilder. Men det ska också sägas att de allra flesta säkerhetsmedvetna och därmed certifierade organisationer i praktiken redan har infört och tillämpar fler kontroller än vad som kravställs enligt ISO 27001. Det gäller bara att visa det.
Tips:
Titta på internationellt erkända säkerhetsramverk så som CIS Controls och NIST SP 800-53. I just dessa ramverk finns det dessutom olika nivåer man kan hålla i olika system, lösningar och situationer.
För in alla andra säkerhetskontroller Ni har infört i Ert Uttalande om Tillämplighet – inte minst de som återfinns i andra ramverk för Informations- och IT-säkerhet. På så sätt gör Ni er revisor medveten om dessa så hon eller han kan stickprovsrevidera. Då får Ni ett dokumenterat kvitto på kvalitén och dessutom höjs mognadsgraden i Ert ledningssystem.
Använd en internrevisor med hög kompetens inom informationssäkerhetsområdet. Revisorn kan då hjälpa till med att över tid revidera alla Era kontroller och på så sätt hjälpa till med kvitto på att ni faktiskt gör det ni påstår och borde.
Fundera på om en SOC 2 Type 2 rapport är något Er organisation från ett längre perspektiv borde satsa på om Ni inte redan gjort det. En sådan rapport är ett av de viktigaste kvittona Ni kan visa upp för Era kunder och marknad att Ni över tid upprätthåller en god Informationssäkerhet
Oavsett om Ni är organisationen som upphandlar eller levererar kan det vara komplext att hitta strategier för att säkra efterlevnad inom informationssäkerhetsområdet. Kombinationen av en god verksamhetsförståelse och oberoende ögon ger ofta den mest korrekta helhetsbilden.
Vi på Midagon har många års erfarenhet av ledning, ledningssystem och Informationssäkerhet samt att säkerställa efterlevnad i olika typer av organisationer, marknader och utformningar.
Hör av dig till oss om du och din organisation vill ha hjälp med informationssäkerhet i upphandling eller efterlevnad av Informationssäkerhet. Vi hjälper er gärna i egenskap av internrevisor för Informationssäkerhet oavsett om ni är certifierade eller inte.
Det första intrycket är viktigt. Både när vi möter nya människor och när vi kommer in på vår nya arbetsplats ...
Läs bloggen
Som IT-ansvarig är en allt viktigare uppgift att onboarding och offboarding fungerar smidigt och effektivt. Det är inte bara en ...
Läs bloggen
Vad kan myndigheter och verksamheter göra för att minimera säkerhetsriskerna och att information kommer i fel händer? Att säkra upp ...
Läs bloggen
