@slartibartfast: heldere reactie, dank daarvoor!
Door slartibartfast: Zie het eens zo; als er geen noodzaak was om een rijbewijs te halen, zou je dan nog met een gevoel van veiligheid deelnemen aan het verkeer? Als je niet gelooft in certificering waarom is het dan toch wel fijn dat er zoiets als rijbewijzen bestaan? En ja; ook ik zie regelmatig mensen die niet goed rijden.
Exact! Deze vergelijking gaat mank omdat slecht rijgedrag meestal al zichtbaar is vóór incidenten. Onvoldoende ICT beveiliging is pas zichtbaar tijdens of na een incident; een vergelijking met een APK keuring was al beter geweest - maar ook niet goed genoeg. Want een APK keuring bestaat uit het aflopen van een eenvoudig te verifiëren checklist (profieldiepte banden, dikte remblokken etc).
Jouw aanname dat ik niet geloof in certificeringen is onjuist. Mijn kritiek betreft certificeringen die bij de meeste mensen de indruk wekken dat iets in orde is (bijv. de beveiliging zelf) maar als puntje bij paaltje komt de certificering iets heel anders blijkt te betreffen (bijv. managementprocessen).
Laat 1 ding even gezegd zijn; een ISO27001 certificaat zegt weinig of niets over de staat van de beveiliging van een organisatie!
Opnieuw exact! Jij weet dat en ik weet dat. Maar wat wordt een gemiddelde Google apps klant geacht te denken als hij
http://googleenterprise.blogspot.nl/2012/05/google-apps-receives-iso-27001.html leest? Die hebben hun beveiliging op orde of ze hebben een PDCA cyclus?
Ik heb veel bedrijven begeleid en wat je algemeen wel kunt stellen is dat ISO27001 gecertificeerde bedrijven veel beter met informatiebeveiliging bezig zijn dan toen ze dat certificaat nog niet hadden.
Klinkt leuk, maar uit "algemeen" maak ik op dat er bedrijven tussen zitten die security daarna heel serieus nemen, maar ook die het dan nog steeds geen ruk interesseert - en het alleen maar om het papiertje te doen was. In tegenstelling tot het voorbeeld in
http://www.woorden.org/woord/kaf kun je met een ISO27k certificering dus niet het kaf van het koren scheiden...
Gegeven dat jij als auditor stelt dat "een ISO27001 certificaat weinig of niets zegt over de staat van de beveiliging": bestaan er minder abstracte certificeringen waarmee je als bedrijf of organisatie kunt aantonen dat je de informatiebeveiliging
wel goed op orde hebt en houdt? En zo ja, welke zijn dat?
Nb. anderen dan slartibartfast worden natuurlijk ook uitgenodigd te antwoorden als zij goede certificeringen kennen of ideëen hebben hoe zo'n certificering vormgegeven zou kunnen worden!