Waarde certificering infobeveiliging vaak overschat

Regelmatig komen kwetsbaarheden aan het licht in omgevingen van leveranciers die al jaren ISO 27001-gecertificeerd zijn. Vaak tot verbazing van opdrachtgevers, lees de (potentiële) klanten van deze leveranciers. In hun beleving ging het om ‘gerenommeerde’ leveranciers die specifiek waren geselecteerd omdat ze dergelijke certificering voeren. En dan mag je toch verwachten dat de beveiliging op orde is? Nee, natuurlijk niet.

De ISO 27001 beschrijft een proces om te komen tot een set passende technische en organisatorische beveiligingsmaatregelen. Dit informatiebeveiligingsproces is hetgeen dat wordt gecertificeerd en dus niet de beveiligingsmaatregelen die voortvloeien uit dit proces. Een auditor neemt weliswaar enkele steekproeven, maar kijkt niet naar alle beveiligingsmaatregelen en bepaalt ook niet of de aanwezige maatregelen het totale informatiebeveiligingsrisico voldoende afdekken. Dit betekent dat een ISO 27001-certificering aangeeft dat een leverancier in staat wordt geacht op een passende wijze met beveiligingsrisico’s binnen de bedrijfsvoering om te gaan. Dat is zeker waardevol, maar ook niks meer en niks minder, ook al willen leveranciers je soms anders doen geloven.

Net zoals een rijbewijs niet de garantie geeft dat je nooit een ongeluk veroorzaakt of erbij betrokken raakt, is een ISO 27001-certificering op zichzelf ook geen garantie dat de informatiebeveiliging van leveranciers honderd procent op orde is én blijft. Nu is honderd procent sowieso een utopie, maar besef dat het bestaan van een proces niet per definitie het juiste resultaat tot gevolg heeft.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De BIO en het toepassen van encryptie; wat moet je weten?
Encryptie is een serieus onderdeel geworden binnen veel organisaties. Niet voor niets worden er in BIO eisen benoemd als het gaat om encryptie. Welke eisen zijn dit en wat moet je hier als CISO over weten?
De ingrediënten van een jaarverslag
In gemeenteland komt het jaarverslag er weer aan. Schrijf jij als CISO of FG al een separaat jaarverslag over informatiebeveiliging of privacy? Zeker doen!
Het bijhouden van een verwerkingsregister, hoe doe je dat?
Hoe zorg je er voor dat het bijhouden van het verwerkingsregister op een juiste en consistente wijze gebeurt?

Meer recente berichten

Gebruikersoverleg vertolkt stem van ENSIA-coördinatoren
Verder lezen
Het corona paspoort lijkt onvermijdelijk, maar wat stelt het voor?
Verder lezen
Containerschepen vol data verlaten het land
Verder lezen
Ken je risico’s, verbeter je cyberweerbaarheid
Verder lezen
Snel, slim en privacyvriendelijk gegevens uitwisselen met Ma3tch
Verder lezen
Overheid en bedrijfsleven in gesprek over bredere inzet meerfactorauthenticatie
Verder lezen
Britse overheid noemt end-to-end encryptie onacceptabel risico voor samenleving
Verder lezen
TNO claimt doorbraak in datagebruik en privacy
Verder lezen
Dekker: ‘Bewustwording voorkomt datalekken’
Verder lezen
Gartner belicht acht trends rond security en risk management
Verder lezen