Afhankelijk van wat je uit het volgende "plaatje" herkent is deze cursus een aanrader:(0) Klanten willen ISO27k certificaat
Tijdens de cursus leer je in elk geval wat de waarde is van een ISO 27001 of 27002 certificaat: die is absoluut niet absoluut!

(1) Mag niet ten koste van efficiency
Beveiliging en efficiency gaan zelden samen. Realiseer waar mogelijk compenserende maatregelen, maar het allerbelangrijkste: overdrijf niet. Het spreekwoord "voorkomen is beter dan genezen" gaat niet op als "voorkomen" teveel bijwerkingen heeft. Goede detectie van problemen is dan natuurlijk wel erg belangrijk.

(2) Laatste jaren geen rampen gebeurd
Het is essentieel dat je jouw directeur gemotiveerd krijgt om jou voor 100% te steunen als jij beveiligingsmaatregelen invoert. Als er zelden iets fout gaat is het erg handig als je voor jezelf een "aanvalsplan" klaar hebt liggen zodat je meteen spijkers met koppen kunt slaan bij een ramp(je).

(3) Economische crisis, geen geld
Net zo goed als dat "geen tijd" feitelijk "geen prioriteit" betekent, geldt dat ook voor geld. Maar dan moet je wel met goede argumenten komen (d.w.z. een overtuigende risicoinschatting).

(4) Regel meteen VPN voor m'n iPhone
De directeur heeft een voorbeeldfunctie. Wijs hem op de risico's maar overdrijf daarbij niet. Als hij de risico's acceptabel vindt heeft het geen zin dat je daar tegenin gaat of voor lager personeel andere regels probeert af te dwingen.

(5) Security unawareness/desinteresse
De cursus gaat hier niet echt op in. Persoonlijk vind ik dit erg belangrijk, maar wel lastig om aan te pakken (en daar ben ik niet de enige in).

(6) *GEVAREN* (security.nl, Lektober)
De docent is zeer stellig op dit punt (zie http://zbc.nu/security/informatie-beveiliging-awareness/informatiebeveiligers-verpesten-iedere-awareness/ en http://zbc.nu/security/informatie-beveiliging-awareness/ict-ers-zo-gek-maken-met-beveiligingsissues-dat-ze-in-de-beveiligingsellende-gaan-geloven/). Toegegeven, soms klinkt het wel erg dramatisch wat er allemaal fout kan gaan, maar het nieuws van vandaag laat een andere kant zien:
- Android batterij-app blijkt privacybom
- Infosecurity Special: 'Overheid moet Google mijden'
- Microsoft verwijdert Google Toolbar uit Skype
- Google: Chrome en Firefox veilige browsers
- Assange moet Anonymous-masker afdoen tijdens protest
- Ook hackers en IT'ers delen privégegevens
- Nederland koploper met virusscanner en firewall
- Infosecurity Special: 'Overheid moet Google mijden'
- XS4ALL biedt klanten Mac-virusscanner
- Porno op gehackt YouTube-kanaal Sesamstraat
- ChristenUnie wil privacyknop voor OV-chipkaart
Gewoon eruit lichten wat voor jouw situatie van belang kan zijn en de afweging maken of je actie moet ondernemen, zonder je gek te laten maken.

(7) Risk Assessment (Risk Roulette?)
Dit aspect komt weer niet echt aan de orde. Logisch want deze cursus is geen ICT cursus en een generiek recept is hier niet voor te geven. De docent is ook erg stellig je niet gek te laten maken door allerlei tools die automatisch lange lijsten met te nemen maatregelen genereren. Hier komt het aan op jouw historische- en actuele kennis van dreigingen en je boerenverstand. Persoonlijk heb ik de meeste moeite met risico's die een grote impact hebben maar (ogenschijnlijk) een kleine kans.

(8) Checklists (SANS top20, NIST, ..)
Net zoals voor security.nl waarschuwt de docent voor het letterlijk implementeren van allerlei checklists. Kies daaruit de maatregelen die relevant en economisch haalbaar zijn en waarbij je op voldoende draagvlak kunt rekenen. Let op risicovolle workarounds die sommigen zullen toepassen. Zorg zomogelijk zelf voor acceptabele alternatieven.

(9) Controls uit ISO 27002 (auditor!)
De controls in ISO 27002 zijn abstracter dan bovengenoemde checklists, maar ook in dit geval: durf keuzes te maken! Vanzelfsprekend gelden verschillende eisen als je een bank, een vuilnisophaaldienst of een onder de WOB vallende organisatie moet beveiligen. Dit aspect komt uitgebreid aan de orde, ook de omgang met eventuele auditors. Mocht jouw bedrijf of organisatie een certificering overwegen, dan is deze cursus zeker een aanrader; het kan je uitendelijk veel geld schelen!

Ten slotte is tijd besteed aan business continuity en worden handige checklists beschikbaar gesteld. Daarbij moet je denken aan bijv. het feit dat je vaak in een keten zit: wat als een toeleverancier stopt met leveren? Last but not least is het altijd nuttig om met lotgenoten over de materie te discussiëren en in teamverband opdrachten uit te werken. Gaandeweg worden zo prima tips uitgewisseld.

Ligt het aan mij of lijkt dit sterk op een ongegeneerde reclamepost?

Jouw reactie over de cursus op zbc.nu was voor mij belangrijk om te besluiten deel te nemen aan deze cursus!
Gelukkig heeft Wiebe dat deze keer niet verkondigd, integendeel. ISO 27001 (dat beschrijft hoe je een ISMS moet inrichten) komt overigens maar zeer beperkt aan de orde tijdens de cursus, die vooral over ISO 27002 (en daarmee NEN 7510) gaat. Wiebe heeft er tijdens "mijn" cursus juist op gewezen dat je selectief moet zijn met wat je overneemt uit ISO 27002 (dat was echt de kern van de cursus).
Als er geen noodzaak bestaat om je bedrijf/organisatie te certificeren is het zeer de vraag of je dan een certificering moet willen, en zo ja welke. Je kunt het geld daarvoor ook gebruiken om wat vaker een externe auditor in te huren die jouw en vooral je directeur ermee om de oren slaat als je je eigen normen niet naleeft (lees kunt naleven vanwege tegenwerking). Een externe wordt over het algemeen (helaas) eerder geloofd.

Dat was niet mijn bedoeling (ik heb slechts die cursus gevolgd en heb hier verder geen enkel belang bij). Ik heb het -geheel onafhankelijk dus- geschreven omdat ik mezelf ook suf zoek voordat ik aan een cursus meedoe of iets koop. Ik hoop hiermee anderen te helpen hun keuzes te maken. Ik geef hierboven overigens ook duidelijk aan welke punten niet aan de orde komen tijdens de cursus.

Er zijn maar een handje vol bedrijven die zich uberhaupt weten te certificeren op ISO27001, het zegt echter niks over de mate waarin je beveiligd bent maar meer over het feit dat je ISMS (Informatie Security Management System) voldoet aan de eisen die binnen ISO27001 gesteld zijn. Dit op zich zegt eigenlijk nog niks, want 27001 kan en mag je alles scopen. Zo kan een bedrijf 27001 gecertificeerd zijn op toegangsbeveiliging terwijl de primaire bedrijfsprocessen buiten de scope vallen. Het is dus als belangrijk om de Verklaring van Toepasselijkheid (SoA, Statement of Applicability) na te lopen om zien hoe en wat de scope betreft

Je kunt je echter niet laten certificeren op 27002 omdat dit een maatregelenset is die je zou kunnen gebruiken om de processen binnen de scope op certificeerbaar niveau te brengen. De mate waarin maatregelen worden doorgevoerd in de organisatie is afhankelijk van de uitkomsten van de risicoanalyse, de resultaten worden beoordeeld en tijdens deze beoordeling kan het best zo zijn dat bepaalde risico's bewust worden geaccepteerd door de organisatie, hier is niks mee. Het gaat er om dat de organisatie zich bewust is van deze risico's en dat er een bewust keuze wordt gemaakt wanneer een risico acceptabel is en wanneer bepaalde risico moeten worden terug gebracht tot een acceptabel niveau....

Al hoewel is heel veel mensen heb horen praten over 27001 ben ik tijdens mijn werk er maar weinig tegen gekomen die daadwerkelijk een organisatie van 0 tot 100 hebben weten te certificeren en deze certificering te behouden, want deze certificering halen is al een kunst op zich, maar deze behouden is nog een ander verhaal.....

Je moet denk ik niet de directeur proberen te overtuigen van de noodzaak van 27001, maar directeur moet jou overtuigen om bijv. voor een 27001 certificering te gaan, anders heb je een grote kans dat je tegen een muur aanloopt en deze muur op directie niveau kun je daar niet bij gebruiken .....

Als ik trouwens naar de punten kijk van de topic starter, vraag ik me even af hoevaak de docent die je hebt gehad zelf daadwerkelijke 27001 geimplementeerd heeft en deze vervolgens succesvol heeft laten certificering. Één van de belangrijkste van de 27001; de opzet en invulling van het ISMS en de wijze waarop deze in de organisatie is geïntegreerd, wordt maar zeer kort behandeld en ik lees dat enige vorm van risico analyse totaal niet is behandeld terwijl dit juist een belangrijk punt is waaruit maatregelen voort vloeien ....

Als ik een aanbeveling mag doen, lees het volgende boek eens:
Informatiebeveiliging onder controle - Geschreven door: Paul Overbeek, Edo Roos Lindgreen en Marcel Spruit

Klopt. In de meeste ISO27k literatuur die ik gezien heb (en de cursus) wordt ervoor gewaarschuwd dat commitment (feitelijk een trekkende rol) van de directie vereist is, anders wordt het niks.
De docent is, naar mijn inschatting, een zeer pragmatische management consultant die een uitstekende brug kan vormen tussen management enerzijds en security specialisten en auditors anderzijds. Met name op dat gebied heb ik veel geleerd tijdens de cursus.

Klopt. Maar toen ik me begin dit jaar in 27k1 en 27k2 ging verdiepen ontstond bij mij meteen het beeld dat de hele organisatie en wijze van aanpak van IB tot doel wordt gesteld, niet de IB zelf! Niemand (behalve dikbetaalde auditors) zitten op dikke boekwerken met richtlijnen en procedures te wachten die niemand snapt en te abstract zijn om in de praktijk te worden toegepast. Op dit punt ben ik het volstrekt eens met de docent.
Eens dat risico-analyses belangrijk zijn, maar ze kunnen heel makkelijk de plank compleet misslaan (zie DigiNotar, Fukushima). Ik zie om me heen bij verschillende bedrijven en instanties nogal wat hoogopgeleiden de rol van "informatiebeveiliger" o.i.d. vervullen. Zij hebben vaak wel een goed overzicht van globale en algemene bedreigingen maar onder hen zijn de mensen die zich na de hack van Comodo niet hebben gerealiseerd dat iets vergelijkbaars met DigiNotar zou kunnen gebeuren.

Exact, dat is wat ik bedoelde met "wat de waarde is van een ISO 27001 of 27002 certificaat: die is absoluut niet absoluut!"
Ah, die SoA had ik nog niet scherp. Begrijp ik je goed dat je daarin beschrijft welke onderdelen van ISO 27001/27002 je op welke onderdelen van je organisatie van toepassing hebt verkplaard?

Hoe verhoudt zich deze SoA dan t.o.v. je "statuut" (je ISO 27001 Information Security Policy)?

In elk geval dank voor jouw comments! Het boek dat je aanraadt zal ik eens naar kijken (maar de auteurs doen me vermoeden dat het een erg abstract verhaal zou kunnen zijn, concrete howto's hebben mijn voorkeur).

Afgelopen jaar heb ik zelf 27001 van nul tot honderd geïmplementeerd in een organisatie (250+ werknemers, over 8 vestigingen) Vooraf had ik me het doel gesteld hier 1 jaar over te doen, iedereen heeft me compleet voor gek verklaard en zei dat ik er minimaal 2 jaar voor nodig zou hebben wanneer ik zou beschikken over een dozijn aan specialisten.

Bij de start van mijn opdracht waren en wel 4 controls conform de norm, na 1 hebben we een externe audit gehad en bleken er nog 4 puntjes te zijn die we niet volledige op orde hadden. Na 1 jaar en 3 maanden hebben wij dan ook met succes het certificaat in ontvangst mogen nemen.

In dit periode heb consultants gesproken die allemaal wisten te vertellen, echter had van die consultant nog niet 1 iemand een volledig certificeringstraject door lope. Ze weten allemaal ongeveer de theorie uit het boekje na te vertellen, alleen blijkt de praktijk een totaal andere verhaal te zijn. Vanaf dat moment ben ik zeer sceptisch gaan kijken naar consultants en docenten die zeggen verstand te hebben van 27001. Natuurlijk ken ik jou docent niet en ben ik ook niet de persoon om daar over te mogen oordelen, maar gezien mijn ervaring met een groot aantal mensen heb ik een bepaalde verwachting.... vandaar.

De fouten die gemaakt zijn bij bijv. Diginotar, beginnen al in de eigen baseline als je deze niet op orde hebt is het ook niet mogelijk om de juiste risico afweging te maken. Dit is waar de fouten zijn begonnen, vervolgens is er geaudit en dit waar dergelijke fouten aan het ligt zouden moeten komen en dit is niet gebeurt. Je kunt diginotar dus afrekenen op het feit dat zij hun zaakjes niet op orde hebben maar ik vind dat het bedrijf dat de audit heeft uitgevoerd nog grotere verantwoordelijkheid heeft, zij moeten immers aan Diginotar bevestigen of zij de zaakjes op order hebben. Los daarvan was Diginotar zover ik weet niet 27001 gecertificeerd, je ziet heel veel bedrijven die volgende de norm zeggen te werken terwijl maar een handje vol (60 bedrijven ofzo, gecertificeerd zijn in nederland) mocht ik het fout hebben over de certificering van diginotar dan hoor ik dat graag, ik dacht namelijk dat zij totaal niet gecertificeerd waren op 27001 en als dat wel zou was dan zou ik graag de SoA van hun bekijken.

Om nog iets verder in te gaan op de SoA, hierin staat de scope van het certificaat beschreven maar ook de krachtiging van uit directie is daarin terug te vinden. Verder is in de SoA terug te vinden welke norm-punt is afgedekt met welke maatregel(en), de SoA is een publiekelijk document dat door iedereen opgevraagd moet kunnen worden op de waarde van de 27001 certificering te bepalen. Aan de SoA is ook een intern document verbonden waar in de genomen maatregelen per norm punt aan een verantwoordelijk binnen de organisatie wordt toegewezen. Je Information Security Policy wordt naast een vereist onderdeel van het ISMS ook als maatregelen binnen de SoA gezien, sommige bedreigingen wil je namelijk beleidsmatig oplossen. Zo kan daar bijv. staan dat het delen van wachtwoorden niet is toegestaan, iets wat moeilijk te voorkomen is met technische maatregelen. Echter moet het beleid ook aan eigen voldoen en daar moeten consequentie aan de schending van het beleid zitten, ook dit moet tevens verwoord zijn in het beleid zelf.

De abstractie van het boek valt mee, er is makkelijk door heen te lezen en alles wordt redelijk helder uitgelegd. Natuurlijk moet je niet verwachten dat er een handleiding in staan hoe van A tot Z een risico analyse uitvoert. Wel kun je verwachten dat verschillende methodes worden besproken en de wijze waarop deze binnen 27001 kunnen worden ingezet......

Vergis je trouwens niet in de auteurs, dit deed ik namelijk in het begin ook tot dat meerdere boeken van ze had gelezen en regelmatig bij lezing aanwezig ben geweest.

Predjuh: dank voor jouw zeer zinvolle reactie. Hopelijk doen ook anderen hun voordeel met jouw bijdragen!

M.b.t. DigiNotar: ik sluit niet uit dat PWC, mogelijk informeel, DigiNotar gewezen heeft op gevonden tekortkomingen.

Aan de andere kant hoor ik ook verhalen dat grotere certificeerders vooral jonge en onervaren broekies op dit soort klussen zetten die de theorie wellicht wel zullen kennen. Maar de kans dat zij, door gebrek aan (levens-) ervaring, beheerders op hun woord geloven als die stellen dat ze beveiliging heel serieus nemen en de systemen navenant hebben ingericht, is natuurlijk levensgroot...

Ik denk dat er een grote kans is dat jou vermoedens met betrekking tot diginotar juist zijn. Er zijn veel mensen die zich bewust zijn van de belangrijke rol die een dergelijk organisatie speelt in de IT-Security, wat mij dus opviel was dat zij zich zelf hier niet van bewust waren.

Jonge en vooral onervaren auditors kunnen een probleem zijn ja, ik regelmatig mensen tegen die aangeven auditor te zijn van bijv. 27001 zonder dat zij enige vorm van praktijkkennis hebben als het om IT-management en Security gaat. Dit kan inderdaad een gevaar vormen voor de waarde van een certificaat. Ik ben deze jongens nog niet tegen gekomen tijdens een audit.

Het probleem bij die certificeringen zijn de verschillende belangen, het is daarom van reuze belang dat een auditor stevig in zijn schoenen staat. Is dit niet zo dan kan het namelijk zijn dat iedereen eieren voor zijn brood kiest, auditor rafelt het een beetje af want dan is ook weer snel klaar, de certificerende instantie heeft zijn geld gevangen en de organisatie heeft het certificaat binnen. Natuurlijk is er een kans dat het half uitgevoerde werk van de auditor aan het ligt komt, maar vaak worden de certificerende instantie meerdere jaren achtereenvolgens gevraagd om de audit uit te voeren, hierdoor is het mogelijk dat het half uitgevoerde werk alleen door collega's wordt aangetroffen. En je weet, het werk van collega's val je minder snel af dan bij de concurrent.

Het druk om hun werk goed uit te voeren is dat van uit de eigen branch, want volgens mij is het zo dat als een auditor betrapt wordt op het doelbewust niet goed uit voeren van zijn werk of zich om laat kopen door een organisatie, dat hij de rest van zijn leven geen werk als auditor mag uitvoeren. Ik ben hier overigens niet helemaal zeker van en het zou dus kunnen zijn dat er meer factoren mee spelen die de integriteit van een auditor moet waarborgen ...

Zelf ben ik tot nu toe uitstekende auditor tegen gekomen die je moeilijk voor het lapje kunt houden (tenminste dat verwacht ik, nog niet geprobeerd want dat niet de insteek van mijn werk) zij vragen vaak eerst, jij geeft hun een antwoord, vervolgens zullen ze de vraag mogelijk nog een keer stellen op een andere manier op tot slot jou antwoord terug te zien op papier. Komt jou antwoord niet overeen met het geen wat op papier staat of staat er helemaal niks op papier dan krijg je een NON-corfirmity

Voorbeeld: De auditor vraagt; wordt er sleutelbeheer uitgevoerd?
antwoord: Ja doen, we ..... Dit werk namelijk zo ..... en zo ......
Auditor: Dus als ik het goed begrijp, doe je het zo .... en zo ..... en dit wordt uitgevoerd door die... en die.... (hier kan hij express foute aannames doen)
antwoord: Je bevestigd of verbeterd de auditor.
Auditor: Ik wil graag de documentatie waarin dit proces gedocumenteerd staat en daarbij wie waar verantwoordelijk voor is.
antwoord: Je geeft de auditor de documentatie waarmee hij naar desbetreffende verantwoordelijk gaat om het geen wat op papier staat te toetsen.

Als er op papier staat dat het steutelkast dicht moet zijn en dat iedereen uitgeleende sleutel op geregistreerd moet staan zal hij die vervolgens na gaan of dit ook juist gebeurd en of de verantwoordelijke op de hoogte is van het geen wat op papier staat .... In een bestendigheidstest zou een auditor nog kunnen proberen om bijv. een sleutel te bemachtigen om daarmee te kijken of de getroffen maatregelen het gewenste effect hebben.

offtopic: trouwens goed om te zien dat eindelijk weer een serieus topic is waarin niet zo veel geflamed wordt en waar mensen met interesse serieus wat aan kunnen hebben. Daarnaast denk ik dat we er als security professionals baat bij hebben al er een goed en helder beeld komt van de ISO 27001, omdat deze bij vele niet goed of incompleet is. Het grote nadeel van deze normen vind ik dat je ze moet kopen, het zou een stuk makkelijker zijn als we gewoon een PDF hier kunnen plaatsen met daarin de inhoud van de norm van ISO/iEC 27001:2005 voor het stukje papier van 50 pagina betaal je al snel meer als 100 euro hiermee is de inhoud van de norm lang niet voor iedereen beschikbaar .....

DONE ! Ik heb je email adres, om andere ongevraagde email te voorkomen is het misschien een tip om het adres weer te verwijderen tenzij het natuurlijk een dump-all-junk-box is ;)

Wat mij betreft is daar niets offtopic aan, dat zijn al die flamewars (waar ik me zo min mogelijk in laat meezuigen).

Ik denk dat je vooral erg moet uitkijken dat het ISMS niet een doel op zich wordt. Vorig jaar heb ik een boekje van Alan Calder gekocht getiteld Implementing Information Security based on ISO 27001/ISO 27002: A Management Guide (niet te verwarren met een boekje dat er aan de buitenkant als 2 druppels op lijkt, ook van Calder, getiteld Information Security based on ISO 27001/ISO 27002: A Management Guide).
Dat (eerstgenoemde) boekje vond ik wel wat verwarrend totdat ik de cursus had gedaan, toen viel alles beter op z'n plaats.

Bovendien komen er naar verluidt volgend jaar nieuwe versies van uit die, zo zei mijn docent, waarschijnlijk radicaal gewijzigd zullen zijn.

Ik begrijp best dat zo'n ISO (of NEN) organisatie ook geld wil verdienen, maar docs voor m'n werk waar m'n eigen naam in staat vind ik niet prettig. De overheid zou er goed aan doen om dit soort documenten te sponsoren in plaats van de zoveelste glossy folder waarin staat dat alles goed komt als je een virusscanner en een firewall installeert. Maar zodra ik ze ga toepassen wil ik die ISO normen wel gekocht hebben (ethiek en zo ;)

Nb. de overkoepelende ISO 27000 norm (Engelstalig) kun je wel voor nop downloaden: http://standards.iso.org/ittf/PubliclyAvailableStandards/c041933_ISO_IEC_27000_2009.zip. Je krijgt dan een pagina waarin je met een knopdruk een license agreement moet accepteren. In de 27000 staat een handige lijst met definities, en ook H3.2 "What is an ISMS?" is duidelijk. Bron: http://www.iso27001security.com/html/27000.html.

Die laatstgenoemde site bevat trouwens veel interessante info, maar 't is wel even zoeken. Bijv. http://www.iso27001security.com/ISO27k_Mandatory_ISMS_documents.rtf (te vinden in http://www.iso27001security.com/html/iso27k_toolkit.html) bevat een checklist van de "belangrijkste documenten" die in je ISMS zouden moeten zitten. Persoonlijk denk ik echter wel dat dit sterk afhankelijk is van het type organisatie (denk slager versus defensie).

Als jullie geïntereseerd zijn heb ik nog wel meer links.

Wat predjuh zegt.

Het lijkt wel of veel mensen denken dat het gaat om het implementeren van maatregelen gaat terwijl het veel belangrijker is dat er regelmatig een goede risicoanalyse wordt gedaan en vervolgens de maartegelen ingevoerd. Daar weer van leren etc.

Het is inderdaad dan wel belachelijk om dan weer door te slaan en met een isms met allerlei dashboards, kleurtjes, grafiekjes ed te stoeien zonder dat je inhoudelijk de risico's/maatregelen kent (en hun onderlinge invloed) of er daadwerkelijk wat aan doet.