Waarde certificering infobeveiliging vaak overschat
Regelmatig komen kwetsbaarheden aan het licht in omgevingen van leveranciers die al jaren ISO 27001-gecertificeerd zijn. Vaak tot verbazing van opdrachtgevers, lees de (potentiële) klanten van deze leveranciers. In hun beleving ging het om ‘gerenommeerde’ leveranciers die specifiek waren geselecteerd omdat ze dergelijke certificering voeren. En dan mag je toch verwachten dat de beveiliging op orde is? Nee, natuurlijk niet.
De ISO 27001 beschrijft een proces om te komen tot een set passende technische en organisatorische beveiligingsmaatregelen. Dit informatiebeveiligingsproces is hetgeen dat wordt gecertificeerd en dus niet de beveiligingsmaatregelen die voortvloeien uit dit proces. Een auditor neemt weliswaar enkele steekproeven, maar kijkt niet naar alle beveiligingsmaatregelen en bepaalt ook niet of de aanwezige maatregelen het totale informatiebeveiligingsrisico voldoende afdekken. Dit betekent dat een ISO 27001-certificering aangeeft dat een leverancier in staat wordt geacht op een passende wijze met beveiligingsrisico’s binnen de bedrijfsvoering om te gaan. Dat is zeker waardevol, maar ook niks meer en niks minder, ook al willen leveranciers je soms anders doen geloven.
Net zoals een rijbewijs niet de garantie geeft dat je nooit een ongeluk veroorzaakt of erbij betrokken raakt, is een ISO 27001-certificering op zichzelf ook geen garantie dat de informatiebeveiliging van leveranciers honderd procent op orde is én blijft. Nu is honderd procent sowieso een utopie, maar besef dat het bestaan van een proces niet per definitie het juiste resultaat tot gevolg heeft.
Verder lezen bij de bronLees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Verkeerslichten maken contact met telefoons, zorgen om privacy | Verder lezen | |
Aantal datastelende malware infecties verzevenvoudigd sinds 2020 | Verder lezen | |
Digitaal inbreken eitje voor deze hackers: Beveiliging is bij bedrijven heel groot probleem | Verder lezen | |
Booking.com meldt datalekken op tijd na ingrijpen AP | Verder lezen | |
AVG verzoek frauderende ambtenaar toch geen misbruik van recht, KPMG moet alsnog inzage geven | Verder lezen | |
Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams | Verder lezen | |
Gartner: Identiteitsbeheer cruciaal voor cyberbeveiliging | Verder lezen | |
AP wijst politieke partijen op risico s persoonsgegevens rondom verkiezingen | Verder lezen | |
Delen videobeelden van misdragingen werknemer vormen geen inbreuk op AVG | Verder lezen | |
Onderzoek Cisco: slechts 3 procent organisaties volledig voorbereid op cyberaanval | Verder lezen |