Wat ISO 27001-certificering is en waarom we het nodig hebben

Wat is er precies gecertificeerd en hoe ging die certificatie in zijn werk?

TÜV AUSTRIA bevestigde onlangs dat het managementsysteem voor informatiebeveiliging dat we toepassen bij het gebruik van de Kaspersky Security Network-infrastructuur (KSN) voldoet aan de ISO/IEC 27001:2013-norm voor het leveren van schadelijke en verdachte bestanden. TÜV bevestigde tevens de veilige opslag van en toegang tot deze bestanden in het Kaspersky Lab Distributed File System (KLDFS). Dit is waar de ISO/IEC 27001:2013-certificering om draait.

Wat is ISO 27001?

ISO 27001 is een internationale standaard met vereisten voor de creatie, het onderhoud en de ontwikkeling van managementsystemen voor informatiebeveiliging. Het is voornamelijk een verzameling van best practices gericht op beveiligingsbeheersmaatregelen om informatie te beschermen en de bescherming van klantengegevens te garanderen.

Om deze certificering te verkrijgen stuurt een onafhankelijk orgaan — in ons geval TÜV AUSTRIA — auditors op pad die als belangrijkste doel hebben om te controleren hoe de processen die cybersecurity bieden voldoen aan de best practices. Tijdens de audit evalueren ze processen in verschillende afdelingen, inclusief HR, IT, R&D en Beveiliging, en stellen ze een uitgebreid rapport op, dat weer door andere onafhankelijke experts wordt geanalyseerd om de onpartijdigheid van de auditors te bevestigen. Tenslotte geeft de onafhankelijke organisatie een certificaat uit, dat in ons geval bevestigt dat het managementsysteem voor informatiebeveiliging voldoet aan de best practices.

Wat is “gecertificeerd”?

Onze klanten zijn vooral geïnteresseerd in of we het hoogst mogelijke beveiligingsniveau toepassen voor processen van de levering van schadelijke en verdachte objecten (bestanden) voor aanvullende automatische en handmatige analyse door onze experts, en of we die objecten vervolgens op betrouwbare wijze opslaan. Dit gebied staat centraal bij elk antivirusbedrijf. Daarom wilden we certificering ontvangen voor de leveringsmechanismes van schadelijke en verdachte bestanden met gebruik van de infrastructuur van Kaspersky Security Network en de veilige opslag daarvan in het Kaspersky Lab Distributed File System. Maar de audit was niet alleen tot dit gebied beperkt. Veel andere diensten in het bedrijf zijn op eenzelfde manier georganiseerd.

Er zijn tal van factoren die van invloed zijn op de veiligheid van elk soort proces, en managementsystemen voor informatiebeveiliging kunnen helpen om die factoren te definiëren en kunnen tijdelijk bescherming bieden. Veel vragen binnen het cybersecurity-beheer kunnen als fundamenteel beschouwd worden. Wie heeft er toegang tot informatiesystemen en kritieke gegevens? Hoe ging hun sollicitatieproces in zijn werk? Hoe werken werknemers met documenten en informatiesystemen? Hoe gaat het beveiligingsteam om met het intrekken van toegangsrechten als er een werknemer vertrekt? Hoe bewust zijn werknemers van mogelijke cyberdreigingen en beschermingsmaatregelen tegen die dreigingen? Hoe werken administrators met computers die kritieke handelingen uitvoeren?

Het beschermingssysteem gaat ook over nieuwe soorten dreigingen en counter-acties, zoals bijvoorbeeld bescherming tegen APT-aanvallen, het counteren van mogelijke risico’s bij het gebruik van nieuwe technologieën, inclusief algoritmes voor machine-learning.

Rekening houdend met het bovenstaande analyseerden auditors documentatie, spraken ze met werknemers uit verschillende afdelingen, en analyseerden ze de technische en organisatorische aspecten van gegevensbescherming, zoals de wervingsprocessen, ontslag en training. Ze bestudeerden hoe de IT-dienst het bedrijfsnetwerk onderhoudt, en ze bezochten onze datacentra. Ze keken ook hoe het personeel werkte, of ze afgedrukte documenten en verwijderbare media rond lieten slingeren in het kantoor en of ze hun computers vergrendelden als ze hun bureau verlieten. Daarnaast werd gecontroleerd wat er op hun monitoren en dashboards werd weergeven en wat voor programma’s ze gebruikten om te werken. In andere woorden: ze analyseerden de werkzaamheden die op het hele bedrijf van toepassing zijn, en er werd speciale aandacht besteed aan de verificatie van Information Security Management System-processen: veiligheidsanalyses door het management, risicomanagement, omgaan met incidenten, corrigerende maatregelen, audits, het garanderen van het bewustzijn bij werknemers wat betreft cybersecurity, en het behoud van bedrijfscontinuïteit.

Wat nu?

Nu kunnen bezorgde klanten zichzelf bekend maken met deze certificering, die de mening van onafhankelijke experts vertegenwoordigt. Er zijn regelmatig vragen over de ISO 27001-certificering, vooral als een onderneming een beveiligingsbedrijf kiest, want er is bij de meeste van onze systemen sprake van gecertificeerde diensten.

Het werk houdt hier niet op. We certificeren elke drie jaar opnieuw. Dat betekent meer audits om het bezit van certificering te bewijzen. Daarnaast doen de auditors jaarlijks steekproeven.

U vindt meer informatie over de certificering op https://www.kaspersky.com/about/iso-27001.

Tips