Waarom ISO 27001-certificering voor informatiebeveiliging geen garantie biedt

16 april 2023

Opinies

ISO 27001 is niet zaligmakend

Misschien wel het grootste Nederlandse datalek ooit (onder meer Nederlandse Spoorwegen, VodafoneZiggo, CZ en De Heren van Amstel Live) werd begin 2023 veroorzaakt door een groep marktonderzoeksbureaus die met dezelfde onderzoeksoftware voor hun klanten werkten, namelijk die van NEBU. NEBU is ISO 27001 gecertificeerd. Hoe kan een dienst dan toch zo onveilig blijken te zijn?

ISO 27001 is een wereldwijd erkende norm voor informatiebeveiliging die bedrijven helpt hun informatiebeveiligingssystemen te beheren en te verbeteren. Hoewel het behalen van een ISO 27001-certificering vaak als een belangrijk teken van kwaliteit en betrouwbaarheid op het gebied van informatiebeveiliging wordt gezien, is het belangrijk om te begrijpen dat deze certificering geen absolute garantie biedt. Het inschakelen van een ISO 27001-gecertificeerde leverancier betekent niet dat een opdracht gevende organisatie niets hoeft te doen aan eigen controle en het stellen van kritische vragen aan de leveranciers over de werking van hun informatiebeveiliging. Sterke nog de antwoorden op security vragen maken in praktijk vaak snel duidelijk of bijvoorbeeld een ICT=leverancier wel een juiste en goede partner is.

Realiseert u zich het volgende.:

Kwaliteit van ISO 27001 auditors

Bij het beoordelen van de betrouwbaarheid van een ISO 27001-certificering is de kwaliteit van de auditor cruciaal. ISO 27001 auditors kunnen variëren in deskundigheid, en sommige auditors uit minder gereguleerde landen kunnen minder strenge normen hanteren. Dit kan leiden tot onbetrouwbare ISO 27001-certificeringen.

ISO 27001 als momentopname

Een ISO 27001-certificering is een momentopname van de informatiebeveiliging van een organisatie. Bedrijven moeten continu hun informatiebeveiligingssystemen evalueren en verbeteren om te zorgen dat ze ook echt aan de eisen van ISO 27001 blijven voldoen.

Verantwoordelijkheid bij inhuur van ISO 27001-gecertificeerde leveranciers

Het inhuren van een ISO 27001-gecertificeerde leverancier betekent niet dat de verantwoordelijkheid voor informatiebeveiliging Ook wordt uitbesteed en volledig kan worden overgedragen. Organisaties moeten nog steeds eigen controles uitvoeren en kritische vragen stellen over de informatiebeveiliging van de leverancier. Uw organisatie blijft zelf verantwoordelijk bij hacks en datalekken. Niet alleen voor de reputatieschade, maar ook voor eventuele boetes. U kunt na een incident hooguit proberen de schade te verhalen.

Veranderende dreigingen en technologie in informatiebeveiliging

De wereld van informatiebeveiliging verandert voortdurend door nieuwe technologieën en opkomende dreigingen. Een ISO 27001-certificering garandeert niet dat een leverancier altijd op de hoogte is van de nieuwste beveiligingsbedreigingen en beste praktijken.

Menselijke factor in ISO 27001 informatiebeveiliging

Informatiebeveiliging is niet alleen afhankelijk van technologie, maar ook van de mensen die bij het proces betrokken zijn. Een ISO 27001-certificering houdt geen rekening met menselijke fouten of nalatigheid die kunnen leiden tot beveiligingsproblemen.

En daarom….

Een effectief informatiebeveiligingsbeleid is gebaseerd op een grondige risicobeoordeling en continu risicobeheer. Organisaties moeten hun leveranciers dan ook echt vragen stellen over hoe zij cyberrisico's identificeren, evalueren en beheren. Ook al zijn zij ISO-gecertificeerd.

Hoewel een ISO 27001-certificering een belangrijke indicatie is dat een leverancier aandacht besteedt aan informatiebeveiliging, is het geen garantie voor een perfect beveiligingssysteem. Organisaties moeten nog steeds hun due diligence uitvoeren, regelmatig controles uitvoeren en kritische vragen stellen over de beveiligingsmaatregelen van hun leveranciers. Het is essentieel om te erkennen dat informatiebeveiliging een voortdurend proces is en een organisatie de verantwoordelijkheid voor het beschermen van gevoelige informatie en de werking van systemen niet kan outsourcen bij een leverancier. Natuurlijk mag men verwachten dat een leverancier goed beveiligd is, maar in dit tijdsgewricht waarin de technologische ontwikkelingen zo onnavolgbaar snel gaan, is vertrouwen goed maar controle echt beter.