Security Academy Nieuws

Nieuws over de Security Academy en blogs van docenten over het vakgebied Cyber Security en Governance

Wat zegt ISMS certificatie nu eigenlijk?

05-11-2014

Veel organisaties beschikken over een managementsysteem voor informatiebeveiliging (een ISMS). Dat betekent dat er op een cyclische en beheerste manier met informatie-beveiliging wordt omgegaan. ISO/IEC 27001 biedt het raamwerk daarvoor. Maar wat zegt dat nu eigenlijk? Is het hebben van een ISMS een garantie dat de organisatie ‘in control’ is? Dat lijkt me niet! DigiNotar beschikte over een geldig ISO/IEC 27001-certificaat en toch ging er van alles mis! 

Vaak wordt gesteld dat veel organisaties de PLAN- en DO-fase wel doorkomen, maar moeite hebben met de CHECK-fase. Het uitvoeren van interne audits en management reviews levert te weinig verbeterpunten op, op basis waarvan de organisatie kan bijsturen (ACT). De PDCA-cyclus staat dan ongewild voor PLAN-DO and Cover your Ass…

Ik ben van mening dat de ‘fout’ al eerder gemaakt wordt, namelijk in de PLAN-fase. De strategie en het beleid voor informatiebeveiliging zijn wel geformuleerd, maar zijn onvoldoende vertaald naar (meetbare) standaarden en procedures. Het gevolg is dat de operatie (DO) zijn eigen weg moet zoeken en helaas onvoldoende in staat is om in begrijpelijke termen bij het management om aansturing te vragen. De operatie gaat zijn eigen gang en dat kan hen niet eens kwalijk genomen worden. Het verantwoordelijk management had moeten aangeven wanneer de te behalen beveiligingsdoelen gerealiseerd zijn en hoe dat vastgesteld kan worden (zie ook ‘Metrics’). 

Als de PDCA-cyclus wel correct is geïmplementeerd mag je ervan uitgaan dat in de CHECK-fase periodieke beoordelingen plaatsvinden en op basis daarvan wordt bijgestuurd (ACT). Waar het daarbij om gaat is dat er voldoende procedures zijn die er voor garant staan dat er op operationeel niveau veilig gewerkt wordt. Een managementsysteem zonder uitgewerkte en nageleefde operationele procedures geeft geen garanties voor een goede beveiliging! 

Toezicht op managementsysteemcertificatie

Na de DigiNotar-crisis is een discussie ontstaan over de toegevoegde waarde van formele managementsysteemcertificatie volgens ISO/IEC 27001 en onder meer ook over de rol van de Raad voor Accreditatie in het toezichtproces daarop. De Raad voor Accreditatie accrediteert certificatie-instellingen tegen ISO/IEC 17021 (internationaal overeengekomen regels voor auditors en het auditproces) en kijkt verder niet naar het object van certificatie (producten, diensten, personen, managementsystemen, e.d.) en de bijbehorende normen. Geaccrediteerde certificatie-instellingen verlenen ISO/IEC 27001-certificaten aan bedrijven en instellingen die hun managementsysteem voor informatiebeveiliging conform het certificatieschema hebben ingericht. Hoewel ISO/IEC  27001 verplicht om periodiek dreigingen, kwetsbaarheden en risico’s te beoordelen en op basis daarvan passende maatregelen te treffen (technisch en organisatorisch), kan het voorkomen dat tijdens een audit onvoldoende scherp beoordeeld wordt of die maatregelen inderdaad afdoende zijn. Het zijn uiteindelijk de proceseigenaren die bepalen of het restrisico acceptabel is. Zij financieren ook de getroffen maatregelen. En als de besluitvorming goed beargumenteerd is gedocumenteerd, wat kan een externe auditor er dan nog van zeggen? Inherente veiligheid komt niet voor en dat hoeft ook niet. Ook een ISO/IEC 27001-certificaat dat onder de vrijwillige systematiek van de Raad voor Accreditatie verleend is biedt geen garanties dat de risico’s afdoende beheerst worden, maar het gaat een eind de goede kant op, omdat ISO/IEC 27001 het streven naar continue verbetering als uitgangspunt heeft.

Er zijn verschillende redenen om -ondanks genoemde beperkingen- deze vrijwillige certificatiesystematiek in tact te laten:

De systematiek wordt mondiaal toegepast, waarbij wederzijdse erkenning van elders verleende certificaten belangrijk is voor het vertrouwen tussen bijvoorbeeld handelspartners. Wellicht dat de auditeerbaarheid van technische systemen in ISO/IEC 27001 in de toekomst beter uitgewerkt kan worden, verbeteringen zijn altijd mogelijk;

Het alternatief, een door de overheid opgelegd en gecontroleerd auditschema, lijkt me -heden ten dage- niet levensvatbaar wegens gebrekkige kennis bij overheidstoezichthouders. Nog steeds leunen toezichthouders zwaar op de auditrapporten die door certificatie-instellingen worden opgesteld: de kennis zit vooral in de markt, en veel minder bij de overheid. 

Meer

Uw Internet Explorer versie is verouderd.

Deze website kan niet met deze browser worden bekeken!

Upgrade uw browser naar de laatste versie van Internet Explorer 8 of installeer een andere browser, zoals Firefox of Google Chrome.