Wat is ISO 27001 eigenlijk?
Om dit gesprek goed te kunnen voeren, moeten we eerst helder krijgen wat ISO 27001 eigenlijk is - en vooral wat het niet is.
ISO 27001 is een standaard. Die schrijft eisen voor, voor het opzetten, implementeren, onderhouden en continu verbeteren van een informatiebeveiligingsbeheersysteem (ISMS).
De meeste technische mensen zullen nu denken: aha, een systeem! Dat is dus een stuk software, dat installeer je ergens, en dan…
Maar nee. Althans, soms. Maar meestal is het ISMS een lading Word-documenten en Excel-spreadsheets, waar op een - redelijk - georganiseerde manier informatie in staat. Denk aan: hoe maken we back-ups? Hoe bewaken we onze toeleveringsketen? Hoe beheren we toegangsrechten?
Dat zijn terechte - en belangrijke - punten. Maar misschien valt je al op: die onderwerpen zijn breed. Bewust. ISO 27001 - en dus ook de certificering - zegt namelijk niets over wat je doet. Alleen dat je met die onderwerpen iets moet en doet.
Met andere woorden: in bezit zijn van een ISO-certificering, betekent dat je een ISMS hebt, waar je beleid in staat. Het betekent niet dat je beveiliging op orde is. Niet dat de gemaakte keuzes logisch zijn. Niet dat er netjes back-ups gemaakt worden, dat de firewall potdicht staat, dat... Nou ja, bedenk nog maar wat voorbeelden.
Wat ik wil zeggen: in bezit zijn van een certificering, is geen synoniem voor "de security is op orde." Maar zo wordt het vaak wel gezien. Kortom: ISO 27001 is een belangrijke waarborg, maar tegelijk een vinkjescultuur die echte beveiliging in de weg kan zitten.
Goed punt, maar als certificering echt zo twijfelachtig was, zouden ze niet zo alomtegenwoordig zijn.
Tuurlijk zal de gemiddelde auditor steigeren als je zegt: "nee joh, back-ups van onze patiëntdossiers? Nergens voor nodig, we vertrouwen op het vliegende spaghettimonster! Kijk, het staat in het ISMS!"
Punt is: dan vertrouw je op willekeur, op de interpretatie en inhoudelijke kennis van een auditor. Niet op de norm, terwijl het doel van die norm nou juist is om garanties op papier te vangen.
Een waarborg die wél over de inhoud gaat, is ISAE 3000: daarbij stelt een derde partij vast of de dienstverlening conform afspraak verloopt. Wat dat precies omvat is afhankelijk van de bedrijfsvoering, maar ingeval van een hoster zal dat neerkomen op zaken als monitoring, security-updates en back-ups.
Ondanks dat er ook inhoudelijke waarborgen bestaan: niets ontslaat je ervan om kritische vragen te stellen. Toch wordt "is zus of zo gecertificeerd" vaak gelijkgesteld aan "het is veilig". Terwijl je die conclusie echt alleen kan trekken totdat je het me je eigen ogen hebt gezien (of oren, door kritische vragen te stellen).
Onder de streep is certificering daarmee funest voor veiligheid: niet door de norm zelf, maar door de aanname dat de norm iets zegt over veiligheid. Daardoor worden kritische, inhoudelijke vragen, die wél iets zeggen over veiligheid, vaak niet meer gesteld.
Waarom we dat certificaat toch op zak hebben
Begrijp me niet verkeerd: een certificering is een heel zinvol instrument, en het zegt wel degelijk iets over de professionaliteit van een organisatie. Ook toen wij ons eerste ISO 27001-certificaat behaalden, waren er punten waarover we zeiden: "ja, het is goed dat dit nu is opgeschreven." Niet zozeer op technisch vlak, maar antwoorden op vragen als "aan welke wetgeving moeten we eigenlijk voldoen?" zijn zeker goed om op onbetwistbaar zwart op wit te hebben staan.
Maar bovenop zo'n certificering moeten kritische vragen altijd gesteld worden. Of, hoe en hoe snel er op zulke antwoorden wordt gereageerd, spreekt boekdelen meer dan een certificering.
← Terug naar Insights