Regelmatig komen kwetsbaarheden aan het licht in omgevingen van leveranciers die al jaren ISO 27001-gecertificeerd zijn. Vaak tot verbazing van opdrachtgevers, lees de (potentiële) klanten van deze leveranciers. In hun beleving ging het om ‘gerenommeerde’ leveranciers die specifiek waren geselecteerd omdat ze dergelijke certificering voeren. En dan mag je toch verwachten dat de beveiliging op orde is? Nee, natuurlijk niet.
De ISO 27001 beschrijft een proces om te komen tot een set passende technische en organisatorische beveiligingsmaatregelen. Dit informatiebeveiligingsproces is hetgeen dat wordt gecertificeerd en dus niet de beveiligingsmaatregelen die voortvloeien uit dit proces. Een auditor neemt weliswaar enkele steekproeven, maar kijkt niet naar alle beveiligingsmaatregelen en bepaalt ook niet of de aanwezige maatregelen het totale informatiebeveiligingsrisico voldoende afdekken. Dit betekent dat een ISO 27001-certificering aangeeft dat een leverancier in staat wordt geacht op een passende wijze met beveiligingsrisico’s binnen de bedrijfsvoering om te gaan. Dat is zeker waardevol, maar ook niks meer en niks minder, ook al willen leveranciers je soms anders doen geloven.
Net zoals een rijbewijs niet de garantie geeft dat je nooit een ongeluk veroorzaakt of erbij betrokken raakt, is een ISO 27001-certificering op zichzelf ook geen garantie dat de informatiebeveiliging van leveranciers honderd procent op orde is én blijft. Nu is honderd procent sowieso een utopie, maar besef dat het bestaan van een proces niet per definitie het juiste resultaat tot gevolg heeft.
Mensenwerk
De werking van een informatiebeveiligingsproces is sterk afhankelijk van de expertise, professionaliteit en accuratesse van de personen die er in de praktijk invulling aan geven. Het is mensenwerk en dat betekent dat er mogelijk zaken over het hoofd worden gezien, beveiligingsmaatregelen worden vergeten, of implementatiefouten worden gemaakt.
Tegelijkertijd geldt dat geïmplementeerde maatregelen die vanuit het informatiebeveiligingsproces zijn geselecteerd, mogelijk niet aansluiten op eisen die klanten van leveranciers stellen aan de ict-dienstverlening. Deze zijn namelijk primair bepaald vanuit de risicobereidheid van de leverancier, en niet noodzakelijkerwijs vanuit de risicobereidheid van (nieuwe) klanten.
Maak concrete beveiligingsafspraken
Voldoende reden dus om, ondanks de aanwezigheid van een ISO 27001-certificering, aanvullende beveiligingsafspraken te maken. Maak ze zo concreet mogelijk en leun niet enkel op vage afspraken zoals ‘het nemen van passende organisatorische en technische maatregelen, rekening houdend met de stand van de techniek en de kosten’. Dat laat te veel ruimte voor interpretatie en discussie. Zorg dat afspraken toetsbaar zijn, en kijk behalve naar de omgeving van de ict-dienstverlening ook naar de kantoorautomatisering van de leverancier. Ook hierin kunnen risico’s zitten die kunnen overslaan op klanten.
Wees alert op accountmanagers die zonder knipperen stellen aan alle eisen te voldoen en bereid zijn om meteen een handtekening te zetten onder vastgelegde beveiligingsafspraken. De ervaring leert dat dit vaak niet klopt en voortkomt uit de behoefte om commerciële doelstellingen te behalen. Wees kritisch, vraag door, en neem eventueel wat steekproeven om te bepalen of de praktijk overeenkomt met de gemaakte afspraak.
Aandachtspunten bij maken beveiligingsafspraken
De afgelopen jaren heb ik verschillende organisaties ondersteund met het maken van beveiligingsafspraken met andere partijen. Hieronder een aantal tips & tricks uit die praktijk.
- Vraag naar de Verklaring Van Toepasselijkheid (VVT) die hoort bij een ISO 27001-certificaat, omdat hierin de scope van de ISO 27001-certificering staat beschreven. Controleer of er niet te veel zaken zijn uitgesloten.
- Is je leverancier ISO 27001-gecertificeerd? Spreek dan af dat dit gedurende de contractperiode zo blijft. Uiteraard met dezelfde scope (VVT).
- Naast ISO 27001 bestaan er ook andere certificeringen. Met name de ISAE 3402 type 2-verklaring wordt regelmatig gebruikt als aanvulling op of als alternatief voor de ISO 27001. Let goed op, want de ISAE 3402 is geen inhoudelijke norm (zoals de ISO 27001) en stelt uitsluitend eisen aan de wijze waarop een audit wordt uitgevoerd. De inhoudelijke (beveiligings)norm waartegen wordt getoetst, wordt bepaald door de leverancier zelf en staat beschreven in het document. Controleer of de geformuleerde norm aansluit op de eisen die voor jou (als klant) van belang zijn.
- Bij grote aanbieders van clouddiensten is het soms moeilijk of zelf onmogelijk om specifieke afspraken te maken. Er wordt gebruik gemaakt van een zogenaamd take-it-or-leave-it model, waardoor het niet mogelijk is specifieke en/of afwijkende afspraken te maken. Vraag relevante informatie op, en bepaal of je de beveiliging toereikend vindt.
- Controleer eerst of de informatiebeveiliging voldoende is, en sluit pas daarna een overeenkomst af. Wees alert op eigen medewerkers die tegen beter weten in én met de meest gekke argumenten voorbijgaan aan het maken van goede beveiligingsafspraken en op eigen houtje overeenkomsten aangaan.
Auteur: Dennis Baaten, securityspecialist bij Baaten ICT Security
Goed verhaal want uiteindelijk willen we helemaal niet weten wie er in de keuken het gif staat te mengen zolang we maar gerust gesteld worden met een stapel ‘geloofspapieren’ die nietzeggend zijn. En zolang de papieren tijgers van certificering makkelijker te temmen zijn dan de mensen blijft het circus met dompteurs draaien, het is namelijk gewoon handel zoals Rob Geus met zijn commerciële logo’s liet zien. Van een onzinkbare Titanic tot een gezonken vertrouwen in DigiNotar zoeken we dus vooral naar zekerheden in een leven vol met onzekerheden zoals de huidige pandemie laat zien.
Ik wil niet off-topic gaan maar risico’s die kunnen overslaan op klanten heeft toch wel enige gelijkenis met de pandemie, ik weet niet of Solarwinds ISO-27001 gecertificeerd was maar de ketenproblematiek van een verschoven vertrouwen zorgt telkens weer voor verrassingen. Of in vergelijk met de keuken, als je ingrediënten niet goed meer zijn dan vergiftig je de klanten ondanks dat de hygiëne van de keuken prima op orde is. De vraag waar ik dus uiteindelijk mee blijf zitten is waarmee Dennis nu helpt want uiteindelijk lijkt hij ook alleen maar papieren tijgers te temmen.
Solarwinds is inderdaad ISO-27001 gecertificeerd.
Zie: https://www.solarwinds.com/trust-center
Die certificering belooft net zoveel als cloud.
ontzorgen maar niet heus.
kun je alsnog alles zelf checken, want wat als de dienstverlener niet deugt..
maar “Wees alert op eigen medewerkers die met de meest gekke argumenten voorbijgaan aan het maken van goede beveiligingsafspraken”
uitbesteden niet goed , zelf doen niet goed. duidelijk waar dat weer naar toe gaat.
wat zou CISSP certificering eigenlijk voorstellen of werkt die daar nou ?
wees alert op wc eend adviseurs 🙂