10 uren geleden
17
Een ISO 27001-certificering is allesbehalve eenvoudig. Toch lokken securitystandaarden een schijnveiligheid uit. Meer standaarden en protocollen helpen, maar de realiteit blijft dat er niet zoiets bestaat als gegarandeerde veiligheid.
ISO 27001 draait om het herkennen, beoordelen en inperken van securityrisico’s. Correct informatiebeheer blijft voortdurend een aandachtspunt, en een ISO 27001-certificering blijft slechts drie jaar geldig. Externe auditing garandeert dat organisaties geen eigen rechter spelen. De standaard is meermaals herzien, met de meest recente update in 2022, met meer aandacht voor cloud security en dreigingsinformatie. Bovenal is bedrijfscontinuïteit belangrijk, zowel in de echte wereld als voor certificering. Zo blijft de ISO 27001-standaard bij de tijd.
Onder de streep moeten ISO 27001-gecertificeerde bedrijven een ‘Information Security Management System’ (ISMS) uiteenzetten, implementeren en voortdurend verbeteren. Men dient risico’s in kaart te brengen, beleid verbeteren waar nodig, personeel trainen, van encryptie gebruikmaken en hun netwerk beveiligen. Hoe precies, wordt niet concreet uitgestippeld. Verwacht geen op maat gemaakte lijst voor elk denkbaar bedrijf; daar zijn andere standaarden voor, vaak gebaseerd op ISO 27001.
Alternatieven, varianten en uitbreidingen
Ondanks het feit dat de Internationale Organisatie voor Standaardisatie (ISO) toonaangevend is, gelden er andere securitystandaarden die, afhankelijk van de specifieke situatie, minstens net zo belangrijk zijn. Zo vertrouwen Amerikaanse organisaties op SOC 2; de meningen zijn verdeeld over welke van de twee strenger is of lastiger te behalen is, maar hun criteria overlappen. SOC 2 draait om een rapport (en is geen certificering) en bestaat uit twee types. Enkel Type II draait om de praktische functionaliteit van securitybeleid en kost maanden om te , Type I is een momentopname.
Buiten ISO 27001 en SOC 2 zijn er nog talloze standaarden en frameworks om het securityniveau van een organisatie te meten. Het feit is echter dat deze standaarden vanuit bedrijven bekeken draaien om wie erom geeft. Net als dat de nationale wetgeving op basis van de NIS2-richtlijn bepaalt welk securitybeleid organisaties moeten naleven, is ISO 27001-compliance nu eenmaal regelmatig een vereiste. Dit in tegenstelling tot geopperde alternatieve protocollen, frameworks of ‘baselines’ die niet op het verlanglijstje van organisaties voor hun leveranciers staan. Sterker nog, een lijst zoals de Minimum Viable Security Product (MVSP), opgezet door onder meer Google, Salesforce en Okta, bevat ISO 27001 als een vereiste indien ‘relevant’.
Dat wil niet zeggen dat ISO 27001 an sich voldoende is. Zo hanteert Nederland de Baseline Informatiebeveiliging Overheid (BIO), waarbij de oorspronkelijke ISO-standaard een beginpunt was. De BIO is niet vrijwillig, toegespitst op de publieke sector en gaat om uniform informatiebeheer, niet alleen beheer dat aan de ISO-vereisten voldoet. Daarnaast gebruiken specifieke sectoren een afgeleide versie van de BIO of ISO 27001, zoals de zorgsector, dat NEN 7510 gebruikt en de specifieke gevaren voor medische data aanpakt.
Denkwerk
Of het nu gaat om de ISO-certificering zelf of naleving van een afgeleide, de woorden alleen zijn slechts een indicatie van de filosofie die erachter schuilt. Om werkelijk veilig te zijn, dient een organisatie niet alleen aan compliance te denken om security ‘af te vinken’. Desondanks weten vendoren zoals Synology dat een certificaat een product inzetbaar maakt voor een bepaalde sector. Bij die partij, dat vandaag naar buiten kwam met de bevestiging dat het ISO 27001-compliant is, komt het woord ‘vertrouwen’ al gauw om de hoek kijken. CEO van Synology Philip Wong constateert dat de certificering een ’toewijding’ van het bedrijf aan security weerspiegelt. Nu is de ISO-certificering in dit geval ook divers. Niet alleen het eindproduct van Synology, maar het Information Security Management System (ISMS), de kerninfrastructuur, de ontwikkelcyclus en de securityrespons zijn van de ISO 27001-certificering voorzien.
Het voorbeeld laat zien dat organisaties voorbij de certificering moeten kijken. Men moet kunnen achterhalen welke componenten precies compliant zijn: het bedrijf zelf, de software, de leveranciers. Wie dat niet doet, loopt het risico dat ISO 27001 slechts een afleidingsmiddel is voor grove securityfouten.
Sterker nog, ISO 27001 kan gerust als onvoldoende worden beschouwd als de data maar belangrijk genoeg is. Wetgeving op basis van NIS2 is voor kritieke infrastructuur strenger mede omdat het verplicht is, terwijl een standaard als NIST 800-53 in de VS meer de nadruk legt op voortdurende beveiliging dan een enkelvoudige ISO 27001-certificering kan bewerkstelligen.
Conclusie: denk voorbij ISO 27001
Organisaties zonder strenge securityverplichtingen kunnen alsnog ISO 27001-certificering eisen bij hun selectie van vendoren of partners. Toch ligt het voor de hand om je blind te staren op een dergelijk vereiste. Allereerst kan ook een sterk beveiligd bedrijf dat alle securityregels in acht neemt, gecompromitteerd worden en data lekken. Zero-day kwetsbaarheden, social engineering en het lamleggen van diensten met een DDoS-aanval zijn nooit uit te sluiten. Toch mogen we niet ervan uitgaan dat een ISO 27001-compliant bedrijf gevrijwaard is. En zelfs als een organisatie zelf wel aan de normen voldoet, biedt dat geen garanties over hun partners.
ISO 27001 is een abstractielaag, en kan daardoor afleiden van wat werkelijk belangrijk is. Wat namelijk belangrijk is, is dat vertrouwen in de veiligheid van organisaties op feiten gebaseerd is. ISO 27001 is bedacht als gietvorm voor het juiste securitybeleid, maar dat beleid blijft mensenwerk. Zo ook de certificering, overigens, ook al beoordeelt een externe partij dit. Strengere protocollen zijn er om nog hardere eisen te stellen, maar ook die blijven gebonden aan de fundamentele beperking van theoretische idealen. Hoeveel best practices en regels je ook opstelt, ze zijn weinig waard als de organisatie die ze uitvoert, ze niet belangrijk vindt voorbij compliance. Zie die inschatting maar eens te maken op basis van alleen een certificering.
/s3/static.nrc.nl/wp-content/uploads/2026/02/07170139/070226BUI_2031381061_1.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/08104641/080226SPO_2031423390_Dekker.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/08181620/080226SPO_2031427296_Eitrem.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/02/07183425/070226SPO_2031419623_-beune1.jpg)
English (US) ·