De zekerheid van certificaten
“Wij hebben informatiebeveiliging voldoende geregeld, want ons datacenter heeft een ISO27001 certificaat.
Met de partij die dit antwoord verstrekt, ga ik graag om tafel. Eerst om de zin nader te ontleden:
1. Bovenstaande uitspraak is bedoeld als antwoord op een vraag die zoekt naar zekerheid, van de strekking ‘ben jij voldoende in control op de beveiliging van informatie?’
2. De implicatie is dat informatiebeveiliging alleen plaatsvindt binnen het datacenter en de wijze waarop het datacenter zijn werkzaamheden verricht.
3. Daarbij geeft een certificaat, blijkbaar, voldoende zekerheid om niet verder te hoeven vragen.
1. Bovenstaande uitspraak is bedoeld als antwoord op een vraag die zoekt naar zekerheid, van de strekking ‘ben jij voldoende in control op de beveiliging van informatie?’
2. De implicatie is dat informatiebeveiliging alleen plaatsvindt binnen het datacenter en de wijze waarop het datacenter zijn werkzaamheden verricht.
3. Daarbij geeft een certificaat, blijkbaar, voldoende zekerheid om niet verder te hoeven vragen.
Alle drie leuke uitgangspunten om op door te pakken. Het eerste punt is namelijk een type vraag die steeds vaker gesteld wordt. We worden namelijk steeds kritischer op onze leveranciers, al helemaal als zij onze data of zelfs persoonsgegevens verwerken. Zo wil geen enkele gemeente de volgende krantenkop halen dat hun derde partij de gegevens van hun burgers heeft gelekt. We worden steeds kritischer op overheidsinstanties, zorginstellingen, serviceproviders en ICT-leveranciers.
Ten tweede zou het heel knap zijn als alle informatie veilig is door alleen het datacenter adequaat te beveiligen. Dit zou impliceren dat de informatie het datacenter nooit verlaat? Dat niemand er toegang toe krijgt en de informatie in processen verwerkt? Dan zou de leverancier niet kunnen werken, want ze mogen zelf niet bij de data komen. Of heeft het datacenter dit toegangsbeheer volledig in handen?
Tot slot komt daar een certificaat om de hoek kijken. Dit stukje papier moet bewijzen dat het informatiebeveiliging op orde is. Nu biedt zo’n certificaat op de ISO27001 heel veel informatie en ook heel veel informatie niet. Begin door de benoemde scope goed te analyseren en vraag jezelf af of de kernprocessen die van belang zijn voor jouw zekerheid wel (volledig) binnen deze scope vallen. Soms is een scope prachtig geformuleerd, maar raakt het slechts een fractie van de totale bedrijfsvoering, of alleen een specifieke bedrijfslocatie.
Daarnaast zegt een ISO27001 certificaat in zijn essentie dat de organisatie een proces heeft ingericht om informatiebeveiliging langs te organiseren en zegt het daarmee niks (echt niks) over de daadwerkelijke beveiligingsmaatregelen. De partij heeft dus een Planning & Control cyclus ingericht en verklaard daarin haar risico’s te definiëren, beveiligingsmaatregelen hierop te formuleren en deze te zullen gaan implementeren. Volgens deze theorie kan een partij gecertificeerd zijn omdat zij perfect weten welke risico’s gelopen worden en zonder enige beveiligingsmaatregel al te hebben geïmplementeerd.
Welke zekerheden zijn er dan wel?
Nu zal er niet snel een auditor zijn die een partij gaat voorzien van een ISO27001 certificaat als hier geen aantoonbare beveiligingsmaatregelen getroffen zijn. Maar de partij mag zelf, met onderbouwing, het kader bepalen waartegen de auditor hen toetst. Binnen dat kader kan zelfs voorkomen dat een maatregel niet geïmplementeerd is. Nu klinkt het hele verhaal als een wassen neus, maar laat mij je hiermee niet ontmoedigen.
Aanmoedigen liever, want hier ligt een kans voor een waardevolle dialoog! Een ISO27001 certificaat is het begin van een goed beveiligde samenwerking. De partij onderkent hiermee het belang van informatiebeveiliging en committeert zich aan een continu groeiproces, los van de huidige stand van zaken. De enige richting is dan omhoog en door naar een beter beveiligde bedrijfsvoering. Vraag inzage in de Verklaring van Toepasselijkheid die bij het certificaat hoort om de actuele status en totale scope van beveiligingsmaatregelen te kunnen doorgronden. Benoem de risico’s en zorgen die je zelf het met betrekking tot deze partij en voedt daarmee hun PDCA-cyclus.
En last, but never least: kijk ook kritisch naar jezelf. Informatie wordt in een keten van organisaties verwerkt en daarin speelt iedere schakel en koppeling een rol in informatiebeveiliging. En dan blijft de cliché waar: je bent zo sterk als je zwakste schakel. Maar door samen te werken en de dialoog te blijven voeren, versterkt de gehele keten.