Waarde certificering infobeveiliging vaak overschat
Regelmatig komen kwetsbaarheden aan het licht in omgevingen van leveranciers die al jaren ISO 27001-gecertificeerd zijn. Vaak tot verbazing van opdrachtgevers, lees de (potentiële) klanten van deze leveranciers. In hun beleving ging het om ‘gerenommeerde’ leveranciers die specifiek waren geselecteerd omdat ze dergelijke certificering voeren. En dan mag je toch verwachten dat de beveiliging op orde is? Nee, natuurlijk niet.
De ISO 27001 beschrijft een proces om te komen tot een set passende technische en organisatorische beveiligingsmaatregelen. Dit informatiebeveiligingsproces is hetgeen dat wordt gecertificeerd en dus niet de beveiligingsmaatregelen die voortvloeien uit dit proces. Een auditor neemt weliswaar enkele steekproeven, maar kijkt niet naar alle beveiligingsmaatregelen en bepaalt ook niet of de aanwezige maatregelen het totale informatiebeveiligingsrisico voldoende afdekken. Dit betekent dat een ISO 27001-certificering aangeeft dat een leverancier in staat wordt geacht op een passende wijze met beveiligingsrisico’s binnen de bedrijfsvoering om te gaan. Dat is zeker waardevol, maar ook niks meer en niks minder, ook al willen leveranciers je soms anders doen geloven.
Net zoals een rijbewijs niet de garantie geeft dat je nooit een ongeluk veroorzaakt of erbij betrokken raakt, is een ISO 27001-certificering op zichzelf ook geen garantie dat de informatiebeveiliging van leveranciers honderd procent op orde is én blijft. Nu is honderd procent sowieso een utopie, maar besef dat het bestaan van een proces niet per definitie het juiste resultaat tot gevolg heeft.
Verder lezen bij de bronLees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
NSA slaat alarm over risico s van AI voor cybersecurity | Verder lezen | |
Aanmeldplicht voor Dodenherdenking op de Dam, organisatie zegt bezoekers niet te screenen | Verder lezen | |
Eerste Hulp bij Datalek: bewaar minder persoonlijke gegevens | Verder lezen | |
Europese bedrijven niet opgezet met minder strenge cloudwetgeving | Verder lezen | |
Cyberaanval op gemeenten Voorschoten en Wassenaar afgeslagen | Verder lezen | |
EDPB: Toestemmings of betalen modellen moeten echte keuze bieden | Verder lezen | |
Zoom lost laatste privacyrisico s op voor gebruik in onderwijs | Verder lezen | |
Blijf waakzaam op infiltratiepogingen van open source projecten | Verder lezen | |
MIVD: vpn apparatuur steeds vaker doelwit Chinese spionagecampagnes | Verder lezen | |
AP waarschuwt: risico s cyberaanvallen vaak veel te laag ingeschat | Verder lezen |