Beleid dat niemand uitvoert
Een keurig vastgesteld beveiligingsbeleid, en een organisatie die er in de praktijk omheen werkt. Het bestaat, het is goedgekeurd, en het stuurt geen enkele beslissing.
Je ISO 27001 hangt aan de muur, het beleid ligt er. Toch is de scherpste auditbevinding zelden een ontbrekende maatregel. Het is een maatregel die draait zonder dat iemand kan laten zien dát hij draait. Dat gat zit tussen papier en praktijk. Daar lopen we naar binnen.
Het probleem
Drie patronen die elke auditcyclus terugkomen. Niet omdat het beleid fout is, maar omdat het de praktijk niet raakt.
Een keurig vastgesteld beveiligingsbeleid, en een organisatie die er in de praktijk omheen werkt. Het bestaat, het is goedgekeurd, en het stuurt geen enkele beslissing.
De maatregel werkt wel. Maar het bewijs ontbreekt, is verouderd, of komt uit een systeem dat er niet meer is. Op de auditdatum telt alleen wat je kunt laten zien.
Gecertificeerd is geen bewijs dat het werkt, het is een startpunt. De vraag is of de cyclus draait op een dinsdag in maart, als de auditor de deur uit is.
Hoe we het doen
Geen nieuw stelsel optuigen. We sluiten het gat tussen wat is vastgelegd en wat er gebeurt, in een volgorde die blijft staan.
Waar wijkt beleid af van praktijk, waar is het bewijs onvolledig, en waar is geen eigenaar aangewezen. Geen volwassenheidsscore, maar een lijst die je morgen kunt oppakken.
Het gat dicht je niet met nieuw beleid, maar met procedures: wie doet wat, in welke stap, en welk bewijs valt eruit. Beleid geeft de richting, de procedure dicht het gat.
We toetsen of de maatregel werkt, niet of hij beschreven staat. Ontworpen en aanwezig is iets anders dan werkend onder druk.
Risicobeoordeling, maatregelen, bewijs, interne audit en directiebeoordeling als één lopende cyclus. Daarna draait het zelf, en bellen wij alleen nog als jij ons belt.
Wat je overhoudt
Het onderscheid
De markt levert een ISMS-implementatie: een set documenten, een certificaat, klaar. Wij beginnen bij de diagnose, waar papier uit de pas loopt met de praktijk en wat er nodig is om het te laten werken.
Werking boven ontwerp en aanwezigheid. Een control telt pas als hij standhoudt onder druk, niet als hij beschreven staat. En een ISMS staat niet los: het verbindt risico, maatregelen, detectie en architectuur tot één geheel dat je aan je bestuur verantwoordt.
Geen stapel beleid voor de auditmap, maar een werkend stelsel dat dagelijks stuurt. Het document is een middel, geen doel.
Niet een rapport met aanbevelingen en de uitvoering bij jou. Dezelfde senior die de nulmeting doet, schrijft de procedures mee en toetst of ze werken.
De cyclus is overdraagbaar en draait door als de samenstelling verandert. Geen afhankelijkheid van één persoon of één leverancier.
Aan de slag
Geen implementatietraject van maanden. Eén gesprek waarin we bepalen waar papier en praktijk uit elkaar lopen, en wat er nodig is om de cyclus te laten draaien.