Waarde van certificering informatiebeveiliging vaak overschat

Wanneer je zaken doet met een leverancier van ICT diensten, dan maak je passende afspraken met elkaar. Niet alleen over prijzen en algemene voorwaarden, maar ook over privacy en informatiebeveiliging. Ik wil vooral even stilstaan bij deze laatste categorie: de afspraken op het gebied van informatiebeveiliging.

Het valt me namelijk in het bijzonder op dat er in deze context vaak teveel waarde wordt gehecht aan certificeringen op het gebied van informatiebeveiliging, waarbij de ISO 27001 het meeste voorkomt en daardoor het meest passende voorbeeld is.

Begrijp me niet verkeerd, ik ben niet tegen een ISO 27001 certificering. Een goed functionerend informatiebeveiligingsproces (een ISMS) kan ontzettend waardevol zijn, maar is niet zaligmakend en bovendien sterk afhankelijk van de expertise, professionaliteit en accuratesse van de personen die er in de praktijk invulling aan geven. Zo komt het regelmatig voor dat ik serieuze kwetsbaarheden aantref in omgevingen van leveranciers die al jaren ISO 27001 gecertificeerd zijn. Vaak tot verbazing van mijn opdrachtgevers; de (potentiële) klanten van deze leveranciers. In hun beleving ging het om ‘gerenommeerde’ leveranciers die specifiek waren geselecteerd omdat ze ISO 27001 gecertificeerd zijn. En dan mag je toch verwachten dat de beveiliging foutloos is? Nee natuurlijk niet!

Certificering is positief, maar geeft geen garanties

Net zoals een rijbewijs niet de garantie geeft dat je nooit een ongeluk veroorzaakt of erbij betrokken raakt, is een ISO 27001 certificering op zichzelf ook geen garantie dat de informatiebeveiliging van leveranciers 100% op orde is én blijft. Heb je dan helemaal niks aan ISO 27001 gecertificeerde leveranciers? Het is wel degelijke waardevol. Het geeft namelijk aan dat deze leveranciers (door de certificerende instantie) in staat worden geacht om (met de juiste mindset bij betrokkenen) op een passende wijze met beveiligingsrisico’s binnen hun bedrijfsvoering om te gaan. Niks meer en niks minder, ook al willen leverancier je soms anders doen geloven.

ISO 27001 beschrijft een proces / aanpak om te komen tot een set passende technische en organisatorische beveiligingsmaatregelen. Dit proces is ook hetgeen dat wordt gecertificeerd en dus niet de beveiligingsmaatregelen die voortvloeien uit dit proces. Een zorgvuldige auditor kijkt vaak steekproefsgewijs naar enkele veel voorkomende beveiligingsmaatregelen, omdat hiermee gecontroleerd kan worden of het te certificeren beveiligingsproces goed functioneert. Maar een auditor kijkt niet naar alle beveiligingsmaatregelen en bepaalt ook niet of deze maatregelen de informatiebeveiligingsrisico’s voldoende afdekken.

Bedenk dat het bestaan van een proces niet altijd het juiste resultaat tot gevolg heeft. Ook vanuit een gecertificeerd informatiebeveiligingsproces kunnen zaken over het hoofd worden gezien en beveiligingsmaatregelen worden vergeten of onvolledig worden geïmplementeerd. Dit betekent dat mogelijk niet alle risico’s in voldoende mate zijn gemitigeerd.

Tegelijkertijd geldt dat geïmplementeerde maatregelen die vanuit het informatiebeveiligingsproces zijn geselecteerd, mogelijk niet aansluiten op eisen die klanten van leveranciers stellen aan een dergelijke omgeving. Deze zijn namelijk primair bepaald vanuit de risicobereidheid van de leverancier, en niet noodzakelijkerwijs vanuit de risicobereidheid van (nieuwe) klanten. Kortom, staar je niet blind op een ISO 27001 certificering of vergelijkbaar. Het wil niet zeggen dat de beveiliging volledig op orde is, en het is geen reden om het maken van aanvullende beveiligingsafspraken over te slaan.

Maak concrete beveiligingsafspraken

Aan de slag met het maken van beveiligingsafspraken? Maak deze zo concreet mogelijk en leun niet enkel op vage afspraken zoals “het nemen van passende organisatorische en technische maatregelen, rekening houdend met de stand van de techniek en de kosten”. Dat laat teveel ruimte voor interpretatie en discussie. Vul dergelijke afspraken daarom aan met concrete beveiligingsafspraken die toetsbaar zijn. Bijvoorbeeld over het maken van back-ups, het gebruik van multifactorauthenticatie, het installeren van updates, en het toepassen van beveiligde verbindingen. Kijk behalve naar de omgeving van de ICT dienst, ook naar de kantoorautomatisering van de leverancier. Ook hierin kunnen risico’s zitten die kunnen overslaan op klanten.

Het is handig om alle gestelde eisen (gewenste maatregelen) in een document vast te leggen zodat dit met iedere leverancier besproken kan worden. Voeg het afgestemde document vervolgens als bijlage toe aan contracten en/of verwerkersovereenkomsten. Ook is het verstandig om een aantal testen uit te voeren om te controleren of de praktijk enigszins overeenkomt met hetgeen op papier wordt afgesproken.

Er hoeft niet meteen een volledige pentest te worden uitgevoerd, maar doe een aantal steekproefsgewijze controles en stel kritische vragen. Ben alert op accountmanagers die zonder knipperen stellen dat aan alle eisen wordt voldaan en bereid zijn om meteen een handtekening te zetten onder het document met de beveiligingsafspraken. Mijn ervaring leert dat dit vaak niet klopt en voort komt uit de behoefte om commerciële doelstellingen te behalen.

Aandachtspunten bij maken beveiligingsafspraken

De afgelopen jaren heb ik verschillende organisaties ondersteund met het maken van beveiligingsafspraken met andere partijen. Hieronder nog een aantal tips & tricks op basis van mijn ervaringen.

• Vraag altijd naar de Verklaring Van Toepasselijkheid (VVT) die hoort bij een ISO 27001 certificaat. Hierop staat namelijk beschreven wat de scope is van de ISO 27001 certificering. Het is belangrijk dit te controleren, omdat een ISO 27001 certificering ook verstrekt kan worden voor slechts een klein deel van de bedrijfsvoering. Mogelijk sluit een ISO 27001 certificering dan onvoldoende aan op de afgenomen dienst.
• Is je leverancier ISO 27001 gecertificeerd? Spreek dan af dat dit gedurende de contractperiode zo blijft. Uiteraard met dezelfde scope (VVT).
• Naast ISO 27001 kom ik ook andere certificeringen tegen. Met name de ISAE 3402 type 2 verklaring wordt regelmatig gebruikt als aanvulling op of als alternatief voor de ISO 27001. Hoewel dit zeker waardevol kan zijn, is het belangrijk om ook hier goed op de details te letten. De ISAE 3402 is namelijk geen inhoudelijke norm (zoals de ISO 27001), maar een norm voor het uitvoeren van audits zelf. ISAE 3402 stelt dus eisen aan de wijze waarop een audit wordt uitgevoerd, maar zegt niks over de inhoudelijke (beveiligings)norm waartegen wordt getoetst. De aanwezigheid van een ISAE 3402 verklaring geeft op zichzelf dus geen enkele garantie dat e.e.a. op het gebied van informatiebeveiliging goed geregeld is. Kijk hiervoor naar de inhoudelijk norm die door de leverancier is bepaald én in de ISAE 3402 verklaring is vastgelegd. Toets deze norm tegen de eisen die voor jou (als klant) van belang zijn.
• Soms is het maken van specifieke afspraken erg moeilijk of zelfs onmogelijk. Ik kom dit vooral tegen bij de wat grotere aanbieders van cloud diensten. Deze hanteren een zogenaamd take-it-or-leave-it model, waarbij ze naar eigen inzicht proberen om de beveiliging goed op orde te hebben, maar niet de mogelijkheid bieden om hierover specifieke / afwijkende afspraken te maken. Hoe vervelend ook, je kan in een dergelijk geval maar één ding doen: verdiep je in de details en bepaal (met je eigen eisen in het achterhoofd) of de beveiliging toereikend is. Vraag de leverancier bijvoorbeeld om relevante documentatie, audit rapporten, en resultaten van beveiligingsonderzoeken met je te delen. Je kan ook een aantal (niet storende) controles (laten) uitvoeren om jezelf een beeld te vormen. Let op dat het niet zomaar toegestaan is om een pentest uit te voeren op een dienst. Als je dat graag wil, stem dit dan eerst af met de leverancier.
• Borg dat altijd eerst expliciet wordt stilgestaan bij informatiebeveiliging alvorens een overeenkomst te sluiten met een leverancier. Het is namelijk moeilijk om dit achteraf nog te doen. Als het contract al is getekend kun je niet meer uitwijken naar een alternatief wanneer blijkt dat de beveiliging niet in orde is. Ben in deze context ook alert op eigen medewerkers die tegen beter weten in én met de meest gekke argumenten voorbij gaan aan het maken van goede beveiligingsafspraken en op eigen houtje overeenkomsten aangaan.
• Het maken van beveiligingsafspraken en/of het beoordelen van de beveiliging is specialistisch werk. Ben je zelf minder thuis in de materie? Vraag dan de hulp van een expert die je hiermee kan helpen.

Lees ook het artikel wat wat naar aanleiding van deze blogpost is verschenen op Computable.nl.