Organisaties moeten voorbereid zijn op verstoringen, noodgevallen of andere risico’s die de continuïteit van de bedrijfsvoering kunnen verstoren. Denk bijvoorbeeld aan de langdurige uitval van een medewerker, stroomuitval of een grootschalige cyberaanval. In augustus 2022 werd een grote zorgorganisatie getroffen door een cyberaanval. Het ging om een ransomware-aanval, waarbij alle digitale informatie van organisatie versleuteld werd. Als gevolg van de aanval moesten meer dan 100 locaties van de zorgprofesssional haar deuren tijdelijk sluiten. Het is dus essentieel om maatregelen te treffen voor preventie en snel herstel van calamiteiten. Bedrijfscontinuïteitsmanagement (BCM) helpt organisaties bij het identificeren van potentiële risico’s en het ontwikkelen van een strategie om de continuïteit van de bedrijfsvoering te herstellen in het geval een calamiteit zich voordoet. BCM is ook een essentieel proces in de ISO 27001 norm.
ISO 27001 is dé internationale norm voor informatiebeveiliging. Het beschrijft de eisen voor het integer en adequaat omgaan met gevoelige informatie van een organisatie. Daarnaast is in de norm structureel aandacht voor privacy en bedrijfscontinuïteit. Een organisatie kan namelijk alle risico’s rond de beschikbaarheid, integriteit en vertrouwelijkheid van gevoelige informatie hebben afgedekt, maar als zij bijvoorbeeld slachtoffer worden van een cyberaanval dan moet dit de informatiebeveiliging niet in gevaar brengen. Daarom is bedrijfscontinuïteit essentieel bij informatiebeveiliging. Vooral in een wereld waarin we steeds meer afhankelijk zijn van IT-systemen.
In de Annex A van ISO 27001 zijn beheersmaatregelen opgenomen die expliciet gaan over continuïteit van de bedrijfsvoering. Deze beheersmaatregelen zorgen er o.a. voor dat de continuïteit van een informatiebeveiligingssysteem wordt opgenomen in het bedrijfscontinuïteitsplan van de organisatie.
A.5.29 Informatiebeveiliging tijdens een verstoring
De beheersmaatregel in ISO 27001 is als volgt: ‘De organisatie behoort plannen te maken voor het op het passende niveau waarborgen van de informatiebeveiliging tijdens een verstoring.’
Het doel van deze maatregel is het beschermen van informatie en andere gerelateerde bedrijfsmiddelen tijdens een verstoring. De norm eist dat organisaties het volgende dienen te implementeren en te onderhouden:
A.5.30 ICT-gereedheid voor bedrijfscontinuïteit
De beheersmaatregel in ISO 27001 beschrijft: ‘De ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen.’
Het doel van deze maatregel is het waarborgen van de beschikbaarheid van informatie en andere gerelateerde bedrijfsmiddelen van de organisatie tijdens een verstoring. De organisatie behoort er voor te zorgen dat:
Als onderdeel van een beheersmaatregelen
Ook in andere beheersmaatregelen komt bedrijfscontinuïteit terug als onderdeel. Zo bestaat er een sterk verband tussen redundantie (cruciale systemen in de ICT-infrastructuur worden dubbel voorzien) en de gereedheid van ICT voor bedrijfscontinuïteit, vooral indien korte hersteltijden zijn vereist. De beheersmaatregel stelt dat informatieverwerkende faciliteiten met voldoende redundantie geïmplementeerd moeten worden om aan de beschikbaarheidseisen te voldoen. Het doel is de ononderbroken werking van informatieverwerkende faciliteiten te waarborgen (A.8.14). Veel van de redundantiemaatregelen kunnen deel uitmaken van de strategieën en oplossingen voor ICT-continuïteit. Ook de maatregelen voor de bescherming tegen malware (A.8.7) en de back-up van informatie (A.8.13) hebben een link met bedrijfscontinuïteit. Een organisatie moet passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van alle nodige maatregelen voor het back-uppen en herstellen van gegevens en software.
Echter, de ISO 27001 norm omschrijft niet hoe een organisatie bedrijfscontinuïteit moet implementeren. Hiervoor kan een organisatie het beste de ISO 22301 raadplegen. Deze norm is ook opgebouwd conform de High Level Structure dus goed naast elkaar te implementeren.
Om bedrijfscontinuïteit in jouw informatiebeveiligingsmanagementsysteem (ISMS) vorm te geven raden wij aan om een bedrijfsontinuïteitsplan (BCP) op te stellen. Dit is niet hetzelfde als een bedrijfsnoodplan. Een bedrijfsnoodplan is een draaiboek waarin systematisch staat aangegeven wat een organisatie moet doen als een calamiteit zich voordoet. Dit heeft meer betrekking op wat er moet gebeuren tijdens of direct na de calamiteit om de mensen en bedrijfsmiddelen in veiligheid te brengen. Het doel van een bedrijfscontinuïteitsplan is om de schade als gevolg van een calamiteit te minimaliseren en zo snel als mogelijk terug te keren naar een “normale” bedrijfsvoering. Hiervoor worden de kritische processen en waar deze van afhankelijk zijn in kaart gebracht. In het BCP staat wat de organisatie moet doen als deze processen worden getroffen. Meer weten over het opstellen van een BCP? Lees ons blog of bekijk onze video.
Heeft jouw organisatie hulp nodig bij het in kaart brengen van de risico’s en het opstellen van een bedrijfscontinuïteitsplan? Onze ervaren information security consultants helpen graag! Neem vrijblijvend contact met ons op en we vertellen je graag over de mogelijkheden.
Bron: NOS – Tandartsbedrijf betaalt internetcriminelen losgeld na ransomware-aanval, ISO/IEC 27001:2022 (nl), ISO/IEC 27002:2022 (nl), Arboportaal