Toen wij jaren geleden gingen starten met onze ISO27001 implementatie was ik verbaasd over de hoeveelheid Excel- en Worddocumenten die daarbij kwamen kijken. Als kleine organisatie zag ik de bui al hangen dat er veel tijd gestoken moest worden in het onderhouden van al die files, met als enige doel maar aan de standaard te voldoen. Mijn doelstelling was juist dat informatiebeveiliging de organisatie intrinsiek verder zou helpen. Het doel zou geen werkverschaffing moeten zijn.
Gelukkig is XpressionLabs ontstaan vanuit de kunst om complexe min of meer handmatige processen op een eenvoudige wijze te automatiseren. Dit resulteerde al snel in een uitbreiding van ons interne administratieve systeem met schermen om ISMS gerelateerde data vast te leggen.
We startten met het vastleggen van de risico's en de beheersmaatregelen en de koppeling tussen die twee. Van de stage-1 auditor hadden we wat kritiek gekregen over de onderhoudbaarheid van de excel-files waar deze data eerst in vastgelegd was. Bij de risico's legden we naast het actuele kans en impact, ook het inherente- of oer-kans vast en ook het doel wat we na willen streven. Het vastleggen van de beheersmaatregelen zorgde voor een altijd actuele verklaring van toepasselijkheid.
Alle Word-documenten hadden we ondertussen al overgezet naar een wiki, waarbij documentmanagement direct goed geregeld is en vooral de mogelijkheid om links tussen documenten op te nemen een welkome aanvulling was.
In de loop van de tijd hebben we naast de risico-analyse en het vastleggen van de beheersmaatregelen ook meer functies toegevoegd. Nadat we de mogelijkheid gemaakt hadden om alle bedrijfsmiddelen te registreren was de volgende stap om incidenten en afwijkingen vast te leggen en de verbetermaatregelen die daarop volgen. Op die manier hebben we in ons informatie-beveiligings-overleg altijd de actuele status bij de hand van alle beveiligings gerelateerde zaken.
Daarna zijn we bezig gegaan met het vastleggen van rollen en rol-beschrijvingen en de permissies die een rol nodig heeft voor de uitvoering van zijn taken. Hiermee konden we volledig automatisch de autorisatiematrix bijhouden.
Tot die tijd was het systeem in alle eerlijkheid nog niet veel meer dan een slimme vervanger van talloze excel-sheets. Heel handig, scheelde veel tijd, maar nog geen middel om écht in control te zijn. We hadden meer en meer de behoefte om eenvoudig inzicht te krijgen in de werking van het ISMS en de actuele risico's die we lopen.
Om dit doel te bereiken hebben we een ingenieus meet- en regelsysteem toegevoegd, waarmee inzicht gekregen wordt in de performance van beheermaatregelen en daarmee ook in de actuele risico's. In dit artikel leg ik dit in detail uit.
Elke externe ISO-audit begin ik - na het uitwisselen van wat beleefdheden en aanhoren van formele zaken - met het laten zien van ons systeem en onze systematiek. Door daar aan te tonen op welke wijze we zaken georganiseerd hebben leg ik altijd een hele goede basis voor de rest van de audit. En over leiderschap en managementbetrokkenheid heb ik nog nooit een vraag gehad!
Iedere auditor vraagt me waarom ik het systeem niet in de markt zet. Ik zie dat er vraag naar zou kunnen zijn, maar weet ook dat een aantal zaken in het systeem heel specifiek op onze organisatie geschreven is en ik kan me ook voorstellen dat andere organisaties weer andere behoeftes hebben. Kortom, zoals het systeem was, vond ik het niet rijp om commercieel weg te zetten.
Tot de zomer van 2019! We hebben de stoute schoenen aangetrokken en ons interne systeem als inspiratie gebruikt om ISOToolkit.nl compleet nieuw te ontwikkelen. Hierbij was het uitgangspunt dat het geen Xpression-specifiek zaken mocht bevatten en gemakkelijk uitbreidbaar moest zijn voor andere organisaties. Dat samen met wat open deuren als gebruiksgemak, performance en veiligheid waren de ingredienten om tot ISOToolkit.nl te komen.