Grotere klanten van IT-dienstverleners vragen steeds vaker om ISAE 3402 verklaringen. Dat is ook niet zo vreemd, want deze klanten moeten bijvoorbeeld kunnen aantonen dat hun jaarcijfers kloppen. Omdat deze jaarcijfers voortkomen uit gegevens die op digitale systemen worden bewaard, moet kunnen worden aangetoond dat deze integer zijn. Dit is aannemelijk als systemen veilig zijn. Een ISAE3402 verklaring helpt om de veiligheid van systemen aan te tonen.
Een ISAE 3402 (Type 1) verklaring is een internationaal erkende rapportage die wordt opgesteld door een gerenommeerde en onafhankelijke auditor. Het rapport geeft zekerheid dat het risicomanagementsysteem en de informatiebeveiligingsmaatregelen van een organisatie voldoende zijn ingericht.
Uiteraard is het niet alleen belangrijk dat er is nagedacht over maatregelen, maar juist ook dat deze in werking zijn. Daarom wordt steeds vaker om een Type 2 verklaring gevraagd. Deze verklaring biedt namelijk naast zekerheid over het bestaan van maatregelen ook zekerheid over diens werking.
Om in aanmerking te komen voor een ISAE 3402 verklaring dien je aan te tonen dat je ‘in control’ bent door te laten zien dat je cyberrisico’s beperkt. Dit doe je met beheersmaatregelen; bijvoorbeeld door aan te geven dat je systemen gepatcht zijn. Dit soort beheersmaatregelen verzamel je in een raamwerk (framework). Je kunt aan deze beheersmaatregelen normen toekennen. Bijvoorbeeld dat alle systemen binnen 30 dagen voorzien moeten zijn van de laatste patches.
Voor een ISAE 3402 verklaring, loopt een auditor jouw raamwerk met beheersmaatregelen na (Type 1) én controleert of alles binnen de (door jou) gestelde normen hebt gehaald (Type 2).
Gelukkig is het niet nodig om met een leeg A4’tje te beginnen. COBIT is een bestaand framework met beheersmaatregelen dat je als voorbeeld of vertrekpunt kunt gebruiken. Direct of indirect zijn hier maatregelen in verwerkt uit onder andere NEN-ISO 27000 (en de hiervan afgeleide BIO en NEN 7510), ITIL en COSO. Als je het slim aanpakt kun je door één keer te auditen, compliant zijn aan meerdere standaards. Maatregelen uit COBIT zijn bovendien gerangschikt op basis van bedrijfsafdelingen en -processen, dit maakt het eenvoudig om risico’s toe te kennen.
Aan de hand van eigen risicoanalyses kies je samen met het verantwoordelijke management welke beheersmaatregelen uit COBIT voor jouw organisatie van toepassing zijn en welke normen je hieraan verbindt. Voor een ISAE-verklaring zit je al snel op 100 maatregelen.
In hoeverre je organisatie voldoet aan alle beheersmaatregelen kun je bijhouden in verschillende tools, je kunt hier bijvoorbeeld een spreadsheet voor gebruiken. Maar het is veel handiger om hier GRC-software (Governance Risk management & Compliance) voor te gebruiken. Deze software is hier namelijk speciaal voor gebouwd en stroomlijnt interne communicatie. Deze software voldoet daarom prima voor het slim behalen van een ISAE3402 Type 1 verklaring. Houdt rekening dat implementatie en doorlooptijd van dit soort software vele honderden uren kost en wel twee tot vijf jaar duurt.
Voor een ISAE3402 Type 2 verklaring toon je aan dat beheersmaatregelen – naast bestaan – in werking zijn. In het kader van ons eerdere voorbeeld moet je dus aantonen dat je systemen binnen 30 dagen gepatcht zijn. Daarnaast zal je o.a. ook een enorme hoeveelheid aan juiste veiligheidsinstellingen aan moeten tonen. Wanneer je deze controles – minimaal twee keer per jaar – handmatig uitvoert, kost dit een gigantische hoeveelheid tijd en dus geld. Zelfs als dit slechts voor een steekproef is, wat de betrouwbaarheid significant beperkt.
Doordat de risico’s van cyberincidenten snel toenemen, vragen auditors steeds meer transparantie over de werking van de beheersmaatregelen met betrekking tot het cybersecuritybeleid: Hoe zijn systemen met gegevens van klanten beveiligd tegen diefstal, manipulatie en gijzeling van data? Hoe effectief zijn die maatregelen niet alleen op dit moment, maar ook gedurende het gehele jaar?
Gelukkig is er een andere optie om alle technische maatregelen te controleren en rapporteren: Secquard.
Secquard biedt geautomatiseerd overzicht van de status van alle technische basisprincipes voor cybersecurity ( van b.v. het Digital Trust Center) van alle systemen. Hierdoor ziet u in één oogopslag precies voor welke maatregelen je wel en niet voldoet aan gestelde normen. Dit zorgt voor enorme kostenbesparingen omdat dit rapport direct aan een auditor overhandigd kan worden. Dit scheelt al snel honderden (betaalde) uren uitzoekwerk. Daarnaast helpt Secquard beheerders om hun cybersecurity werkzaamheden te prioriteren, bij te houden en te controleren. Daarnaast biedt Secquard trendrapportages, zodat progressie richting een veiligere omgeving kan worden gemeten en gecommuniceerd. Met deze trendrapportages toont u compliance aan over langere periode, een belangrijk aspect van een ISAE 3402 Type 2 verklaring.
Staat u voor een ISAE 3402 uitdaging? Neem even contact met ons op, wij denken graag met u mee!