Door _Martin_: Het mooie van de ISO 27001-certificering is dat je niet aan de hele checklist hoeft te voldoen, als je maar duidelijk omschrijft waarom je een bepaald punt niet hebt geïmplementeerd en aangeeft hoe je van plan bent dat op te pakken.
Het lelijke van een ISO 27001-certificering is dat het ontzettend afhankelijk is van de auditor (hoe goed schat hij/zij de
volledigheid van de lijst met geïnventariseerde risico's in, welke steekproeven neemt zij/hij en hoeveel ogen worden daarbij dichtgeknepen).
Bovendien is er "out of the box" helemaal geen "checklist" (de lijst met controls achterin ISO 27001, uitgebreider gedocumenteerd in ISO 27002, is zeer abstract en, zoals je schrijft, je mag zelf kiezen wat je van toepassing vindt waarbij het sterk van de auditor afhangt of deze akkoord gaat met jouw argumenten).
Formeel moet je vooral een ISMS hebben en onderhouden, waar in theorie bijvoorbeeld als patchbeleid in kan staan: "wij patchen niet".
Eventueel aangevuld met "want patches kunnen bijwerkingen hebben, nieuwe kwetsbaarheden introduceren of zelfs een backdoor of andere malware bevatten, en mogelijk wordt de authenticiteit van patches onvoldoende gecontroleerd door de te patchen software" (allemaal geen
theoretische risico's, ga daar maar eens tegenin als auditor).
Bovendien hoeft zo'n certificaat
niets te zeggen als specifieke issues en/of locaties (thuiswerkplekken voor ontwikkelaars?) buiten de scope worden gehouden (al dan niet bewust).
Ik vermoed dat LastPass haar beveiliging best redelijk op orde heeft, maar mogelijk de risico's van een gecompromitteerd ontwikkelaarsaccount niet of onvolledig heeft ingeschat.
En ik denk dat LastPass allesbehalve het enige bedrijf is dat gapende gaten heeft in de lijst met risico's die zij lopen. Vaak begint men met het in kaart brengen van de meest voor de hand liggende risico's (+ inschatten en mitigeren), en dan zijn tijd en geld op (en het jaar erna gaat alle aandacht naar ISO 9001 o.i.d.). Het
is een enorm groot en complex speelveld, dat zelden door één persoon overzien kan worden, laat staan dat deze alle details kan kennen.
Beveiligen is altijd een compromis met restrisico's, waarbij risico's voor
stakeholders (zoals klanten)
hooguit worden meegewogen indien die
óók tot risico's voor de organisatie
zelf leiden (zoals inkomstenderving door veel weglopende en/of veel minder nieuwe klanten).
De meeste organisaties vragen veel meer vertrouwen van ons dan zij zeggen te verdienen, al dan niet middels certificaten.
Aanvulling om mijn frustratie met certificaten zoals ISO 27001 te verduidelijken: voor veel organisaties is niet "
goede beveiliging" het echte doel, maar "het verkrijgen van meer klantvertrouwen
middels een certificaat" en "
hoe spenderen we hier zelf zo min mogelijk tijd en geld aan".