Midagon Company logo
Tillbaka till Bloggen

Compliant - På riktigt!

Att en organisation är certifierad enligt ISO 27001 har länge varit en kvalitetsstämpel som visar att man tar frågan om Informationssäkerhet på stort allvar. Dock har det under senare år blivit tydligt att värdet i certifieringen devalverats. Här ett antal tips och råd både till Er som är certifierade och till er som anlitar en certifierad organisation som leverantör. 

Att en organisation är certifierad enligt ISO 27001 har länge varit en kvalitetsstämpel som visar att man tar frågan om Informationssäkerhet på stort allvar. Dock har det under senare år blivit tydligt att värdet i certifieringen devalverats. Här ett antal tips och råd både till Er som är certifierade och till er som anlitar en certifierad organisation som leverantör. 

Varför värdet devalverats  

Dagens version av ISO 27001 och ISO 27002 är från 2013. Även om en av de stora bakomliggande tankarna bakom 2013 års revisioner var att på ett bättre sätt koppla in organisationens underleverantörer och molntjänster har IT utvecklats enormt mycket under de åtta år som gått sedan dess. Standarderna har helt enkelt inte hängt med. Dock är nya revisioner planerade att släppas under 2022 och vi tror att de kommer att vara ett rejält lyft. 

Vi lovar att återkomma framåt om nyheter och skillnader där!  

Utöver det faktum att standarderna är till åren så berättar en certifiering enligt ISO 27001 egentligen ingenting om hur organisationen i praktiken hanterar sin Informations- och IT-säkerhet. En certifiering kan jämföras med ett körkort –det visar att Du en gång i tiden klarade av teoretiskt och praktiskt körprov och under senare tid inte åkt fast för exempelvis grövre fortkörning, men det säger ingenting om hur Du faktiskt kör en vanlig dag. Trots att du har körkort kan Du i praktiken både strunta i att stanna vid stopplikt och köra alldeles för fort – åtminstone så länge ingen kommer på Dig.  

Dessa två faktorer tillsammans är också de viktigaste orsakerna till att värdet av en certifiering mot ISO 27001 inte längre är så ”wow” som den var för några år sedan. Det är fortfarande inte på något sätt en enkel resa att certifiera sig, och i många fall en viktigt och oundviklig resa att göra. Men trots allt är en certifiering inte en garanti att den certifierade organisationen upprätthåller en tillräcklig nivå av Informations- och IT-säkerhet. Läs mer om det nya NIS 2-direktivet och vad det innebär för dig.

Om Du upphandlar  

Be alltid att få tillgång till den certifierade organisationens Uttalande om Tillämplighet (UoT) – som också kan kallas för SoA (Statement of Applicability). Dokumentet ska kunna säga dig:  

Fråga också leverantören vilka eventuella standarder och ramverk som man valt att förhålla sig till samt hur man bedömt sina egna underleverantörer och därmed deras totala förmåga. Fråga gärna också om ett utdrag som beskriver vilka kontroller i ramverk och standarder man infört. Läs även om hur du kan skydda ditt trådlösa hemnätverk.

Om organisationen infört kontrollerna på ett riktigt sätt ska de också finnas med i tillämplighetsförklaringen och därmed granskas de årligen i ISO-revisionen. Ett par exempel på andra väl vedertagna ramverk för Informations- och IT-säkerhet är CIS Controls samt NIST SP 800-53.   

Om Du är certifierad enligt ISO 27001  

För Dig som leder arbetet med Informationssäkerhet i en certifierad organisation är det viktigt att alltid kunna visa upp och förklara hur Du säkerställer, verifierar och följer upp att verksamheten lever upp till Era egna krav samt de krav som Era kunder och marknaden ställer på just Er. I körkortsjämförelsen ovan skulle man kunna säga att Ni måste ha en färdskrivare på allt ni gör för att kunna visa att Ni sköter Er.   

Noteras bör också att ISO 27001 och dess 114 säkerhetskontroller som är ska-krav inte räcker till för att ge ett fullgott skydd i de flesta IT-miljöer – som sagt är standarder och kontroller idag över åtta år gamla och inte på något sätt heltäckande utifrån dagens hotbilder. Men det ska också sägas att de allra flesta säkerhetsmedvetna och därmed certifierade organisationer i praktiken redan har infört och tillämpar fler kontroller än vad som kravställs enligt ISO 27001. Det gäller bara att visa det.  

Tips:  

Fundera på om en SOC 2 Type 2 rapport är något Er organisation från ett längre perspektiv borde satsa på om Ni inte redan gjort det. En sådan rapport är ett av de viktigaste kvittona Ni kan visa upp för Era kunder och marknad att Ni över tid upprätthåller en god Informationssäkerhet 

Ta hjälp när det behövs!  

Oavsett om Ni är organisationen som upphandlar eller levererar kan det vara komplext att hitta strategier för att säkra efterlevnad inom informationssäkerhetsområdet. Kombinationen av en god verksamhetsförståelse och oberoende ögon ger ofta den mest korrekta helhetsbilden. 

Vi på Midagon har många års erfarenhet av ledning, ledningssystem och Informationssäkerhet samt att säkerställa efterlevnad i olika typer av organisationer, marknader och utformningar. 

Hör av dig till oss om du och din organisation vill ha hjälp med informationssäkerhet i upphandling eller efterlevnad av Informationssäkerhet. Vi hjälper er gärna i egenskap av internrevisor för Informationssäkerhet oavsett om ni är certifierade eller inte. 

Fler blogginlägg