Veel bedrijven en organisaties zien informatiebeveiliging als een kostenpost en een noodzakelijk kwaad. Bovendien hebben ze het idee dat het certificeren van informatiebeveiliging erg complex is. Die vrees en ook de perceptie dat informatiebeveiliging louter een kostenpost is, is niet correct.
In dit artikel tonen we aan dat het behalen van een ISO 27001 certificaat niet alleen goed is voor de veiligheid van je organisatie, maar ook voor je financiën!
De investering: voorbereiding, certificering en hercertificering
Het behalen van een ISO 27001 certificaat is geen simpele klus. Het begint met een grondige voorbereiding die onder meer een risk assessment, het schrijven van beleidsdocumenten, gap analyses en het implementeren van maatregelen omvat. Vervolgens worden de maatregelen en opgeleverde documenten getoetst en geëvalueerd in de interne audit en de management review. Deze fase kan zowel in termen van tijd als geld behoorlijk in de papieren lopen.
Als er bij de voorbereidingen externe hulp wordt ingehuurd zijn de directe kosten goed inzichtelijk. De indirecte kosten van de tijd die moet worden vrijgemaakt door intern personeel zijn moeilijker in kaart te brengen.
De daaropvolgende stap is de daadwerkelijke certificering, waarbij een externe auditor de boel grondig doorlicht. Deze audit bestaat uit twee fasen: een korte audit op het Information Security Management System (ISMS) en de documentatie, gevolgd door een uitgebreide audit om te bewijzen dat de maatregelen effectief zijn geïmplementeerd.
Twee jaar na de certificering volgt een tussentijdse audit en na drie jaar dient een volledige hercertificering plaats te vinden. Zo toont een organisatie aan dat zij nog steeds voldoet aan de ISO 27001 norm.
De kosten die een middelgrote organisatie moet maken voor het certificeren van de informatiebeveiliging zijn al gauw tussen de € 30.000 en € 60.000.
De return on investment: wat levert een ISO 27001-certificaat op?
Zoals we aan het begin van dit artikel al stelden is het niet terecht om ISO-certificering enkel als kostenpost te zien. Veel van de bedrijven die wij hebben geholpen met hun certificering gaven aan dat zij een positieve ROI hebben weten te realiseren op de door hen gedane investering. Zij zagen significante veranderingen op de volgende gebieden:
- Vertrouwen van klanten: Het certificaat geeft klanten vertrouwen in jouw organisatie. Klanten weten dat hun gegevens en die van hun klanten in veilige handen zijn en dat ze zich geen zorgen hoeven te maken over hun bedrijfscontinuïteit.
- Meer zakelijke kansen: In diverse branches en bij steeds meer aanbestedingen is een ISO-certificaat een vereiste om mee te dingen naar een contract. Het certificaat opent deuren naar nieuwe klanten en kansen.
- Vermindering van datalekken: Een juiste implementatie van ISO 27001, vermindert de kans op datalekken aanzienlijk, waardoor je hoge boetes kunt vermijden (die kunnen oplopen tot 4% van de jaaromzet).
- Tijdsbesparing: In een wereld waarin veiligheid in de toeleveringsketen steeds belangrijker wordt, hoeven gecertificeerde bedrijven geen tijdrovende security-vragenlijsten meer in te vullen. Zij kunnen eenvoudigweg verwijzen naar hun ISO 27001 certificaat.
- Efficiëntieverbetering: Tijdens de voorbereidingsfase wordt de hele organisatie doorgelicht. Hierdoor komen ook inefficiënties aan het licht. Voorbeelden hiervan zijn meerdere softwaretools met dezelfde functionaliteiten, verouderde software, dubbele handelingen, enz. Door deze inefficiënties op te lossen, bespaar je tijd en geld.
Kortom: een investering in (het certificeren van) je informatiebeveiliging is veel meer dan een vervelende, maar noodzakelijke kostenpost. Het is een investering in het toekomstige succes en de groei van je organisatie. Het biedt vertrouwen aan klanten, opent deuren naar nieuwe zakelijke kansen, bespaart geld & tijd en maakt je bedrijfsprocessen efficiënter.