18 januari 2024 - Algemeen
Een ISO27001 certificering is een erepenning die laat zien hoeveel je organisatie geeft om het beheer en de bescherming van gevoelige informatie.
De norm schetst een kader voor beveiligingsbeheer, inclusief een verplichting tot bewustwording en training van werknemers.
Maar het kan lastig zijn om precies te begrijpen wat er van je organisatie wordt verwacht. De ISO27001 richtlijn bestaat uit veel tekst. En zelfs na een paar keer lezen kun je nog met vragen zitten.
In dit artikel leggen we uit wat ISO27001 zegt over security awareness en hoe je ISO27001 security awareness training kunt implementeren binnen je organisatie.
In een notendop: wat is ISO27001?
ISO27001 is een norm voor beheersystemen voor informatiebeveiliging (vaak ISMS genoemd). Het doel van deze norm is om een aanpak te bieden voor het beheren en beschermen van gevoelige informatie.
De belangrijkste onderdelen van ISO27001 zijn:
- Risicobeoordeling
- Beleidsontwikkeling
- Duidelijke rollen en verantwoordelijkheden
- Bewustzijnstraining
Organisaties die ervoor kiezen om zich aan deze standaard te houden zijn vaak overheidsinstellingen, organisaties in de gezondheidszorg, financiële instellingen en elke andere organisatie die gevoelige informatie verwerkt.
Gecertificeerd worden is geen peulenschil. Er komt een rigoureus auditproces aan te pas om te controleren of je organisatie voldoet aan de standaard.
Wat staat er in de ISO27001 norm over security awareness?
De ISO27001 norm noemt het belang van security awareness in meerdere clausules.
- Clausule 7.2 - Bekwaamheid: De norm vereist dat organisaties de benodigde competentie bepalen van medewerkers die betrokken zijn bij informatiebeveiliging.
- Clausule 7.3 - Bewustzijn: Organisaties moeten ervoor zorgen dat werknemers zich bewust zijn van het informatiebeveiligingsbeleid, de relevante doelstellingen en hun rollen en verantwoordelijkheden bij het bereiken van deze doelstellingen.
- Clausule 8.2 - Communicatie: ISO 27001 benadrukt het belang van interne communicatie over het beheersysteem voor informatiebeveiliging, inclusief het bevorderen van het bewustzijn over informatiebeveiliging.
- Clausule 8.2.2 - Informatie Security Awareness, Opleiding en training: Organisaties moeten ervoor zorgen dat het personeel op de hoogte is van het informatiebeveiligingsbeleid en competent is op de gebieden van hun werk die betrekking hebben op informatiebeveiliging.
Hoe ISO27001 security awareness training implementeren
ISO27001 biedt een duidelijk raamwerk om organisaties te helpen bij het beheer van informatiebeveiliging. Er staat echter niet expliciet in hoe je die security awareness programma's binnen je organisatie moet implementeren.
Hoe weet je nu of je ISO27001 security awareness trainingsprogramma aan de eisen voldoet?
We kunnen eerst kijken waar ISO27001-auditors naar kijken. Tijdens audits wordt beoordeeld of de organisatie voldoet aan de ISO27001-eisen, inclusief die met betrekking tot security awareness.
Auditors zoeken vaak naar het volgende:
- Documentatie: Heb je je beveiligingsbeleid, doelstellingen, rollen en specifieke vereisten met betrekking tot bewustwording en training gedocumenteerd?
- Communicatie: Kun je aantonen dat je medewerkers op de hoogte zijn van je beveiligingsbeleid, je doelstellingen en hun specifieke rol om deze te bereiken?
- Trainingsprogramma's: Kun je bewijzen dat je organisatie trainingsprogramma's heeft geïmplementeerd?
- Monitoren en meten: Kun je laten zien dat je de effectiviteit van je security awareness programma's monitort en meet?
Je kunt ervoor kiezen om je eigen trainingsprogramma op te zetten of gebruik te maken van een security awareness trainingsplatform zoals Guardey.
Met Guardey nemen je medewerkers wekelijks deel aan cyber security uitdagingen die maximaal drie minuten duren om te voltooien. De uitdagingen gaan over alle relevante onderwerpen, zoals spear phishing, CEO-fraude, wachtwoordbeveiliging en meer. Door elke week kleine stukjes informatie te leren, bouwen medewerkers langzaam kennis op en security awareness pieken.
In het rapportagegedeelte kun je bijhouden hoe medewerkers presteren en welke beveiligingsonderwerpen meer aandacht nodig hebben. Dit maakt Guardey perfect geschikt voor security awareness training die voldoet aan de ISO27001 norm.
→ Plan een demo met een van Guardey's cyber security specialisten.
Hoe introduceer je ISO27001 security awareness training bij je werknemers?
Als je eenmaal hebt gekozen voor een ISO27001 security awareness trainingsoplossing, is het tijd om deze te introduceren bij je werknemers. Dit is niet altijd eenvoudig. Niet iedereen begrijpt meteen het belang van security awareness training en daarom is het misschien niet voldoende om ze gewoon hun logins te sturen.
Daarom heb je een sterke inleiding nodig. Hieronder hebben we twee voorbeelden toegevoegd.
EyeOn organiseerde een cyber security week om hun ISO27001 certificeringsproces af te trappen. Tijdens deze week begonnen ze elke dag met een interview van 15 minuten, dat ze de safety catch-up noemden. Elke dag had een specifiek cyber security thema en tijdens uitdagingen (zowel in Guardey als in het echte leven) konden medewerkers punten scoren. Aan het einde van de week werden de best presterende medewerkers beloond met een trofee en een klein cadeautje.
Delta Wines organiseerde eerst een simulatie met een speer phishing . Tijdens deze simulatie kregen werknemers een e-mail van phishing om te testen of ze op de link zouden klikken en persoonlijke informatie zouden achterlaten. En het bleek dat veel medewerkers dat ook deden. De IT-manager deelde de eindresultaten van de phishing test tijdens een kwartaalvergadering, waar nogal wat collega's van schrokken. Dit maakte de introductie van Guardey als hun security awareness trainingsoplossing veel gemakkelijker.
Hoe Fendix organisaties ISO27001 gecertificeerd krijgt met de hulp van Guardey
Fendix helpt bedrijven om ISO27001 gecertificeerd te worden. Killian Houthuijzen, information security consultant bij Fendix, legt uit welke rol de security awareness oplossing van Guardey speelt in dit proces: "Een belangrijk onderdeel van het behalen van een ISO27001 certificering is het investeren in de security awareness van je medewerkers. Een tijdje geleden probeerden we onze eigen versie van een security awareness training op te zetten als voorbereiding daarop. Maar het creëren van al die nieuwe inhoud zou ons elke maand minstens 8 uur hebben gekost. Dat is gewoon niet efficiënt."
Hij vervolgt: "Met Guardey wordt security awareness training betaalbaar en hoef je geen tijd te investeren in het opzetten ervan. Het enige wat je hoeft te doen is de prestaties van je team in de gaten houden, wat heel eenvoudig is in het Learning Management System van Guardey. Daarom adviseren we onze klanten vaak om gewoon Guardey te gebruiken in plaats van al het zware werk te doen van het opzetten van hun eigen training."
Probeer Guardey's ISO27001 security awareness trainingsoplossing uit
Security awareness speelt een belangrijke rol bij het beschermen van je organisatie tegen cyberaanvallen en het voldoen aan ISO27001. Als je op zoek bent naar een trainingsoplossing die binnen enkele uren wordt geïmplementeerd, overweeg dan om Guardey te gebruiken.
Met Guardey's gamified leerproces krijgen je werknemers elke week 3 minuten micro-learning. Na verloop van tijd leren ze hoe ze cyberbedreigingen kunnen herkennen en ernaar kunnen handelen.
