Vereniging van auditors wil ict-certificaat om cyberveiligheid te meten

De Nederlandse vereniging van it-auditors Norea werkt aan een certificaat waarmee bedrijven kunnen aantonen dat hun netwerken veilig zijn. Verschillende organisaties zijn van plan dat te erkennen als voorwaarde voor bijvoorbeeld financiering vanuit banken.

Norea werkt aan een it-auditverklaring, schrijft het op de website. De beroepsvereniging van it-auditors zegt dat de nieuwe rapportagevorm bedoeld is om de weerbaarheid van bedrijven tegen cyberaanvallen in kaart te brengen. Ook staat in de rapportage of bedrijven op it-gebied 'voorbereid zijn op de nabije toekomst'. Nu gebruiken auditors voornamelijk de jaarrekening van een bedrijf om te controleren hoe de ict is ingericht en hoe goed het bedrijf is beschermd, maar dat is niet meer relevant, stelt Norea. "De scope van een jaarrekeningcontrole in zijn huidige vorm is te beperkt om een adequaat oordeel te vellen over de inrichting van de it-beheersorganisatie en de beheersing van it."

Bedrijven zouden de verklaring moeten opvragen als ze bijvoorbeeld nieuwe financiering willen bij een bank of aandeelhouders. In dat geval kan zwakke ict in de organisatie een zwakte zijn. "Een online handelshuis kan nog zo solvabel zijn, als de ict-infrastructuur kwetsbaar is voor datalekken en cyberaanvallen kan zo’n organisatie zomaar omvallen", zegt de organisatie.

Het is op dit moment nog niet bekend hoe een ict-audit eruit moet komen te zien. Norea zegt dat het daar nog steeds aan werkt. Er wordt onder andere een standaardverslag opgesteld dat 'de basis zal vormen voor de audit'. Ook voert de organisatie nog gesprekken met belanghebbenden.

Volgens het Financieele Dagblad zouden de eerste bedrijven een audit kunnen uitbrengen over boekjaar 2022. Enkele banken zeggen tegen het FD al dat ze interesse hebben in zo'n verklaring, maar belangenverenigingen zoals VNO-NCW en MKB Nederland willen eerst weten of een dergelijke audit een verplichting wordt.

Door Tijs Hofmans

Nieuwscoördinator

12-08-2021 • 09:36

123

Reacties (123)

123
123
92
12
1
19
Wijzig sortering
Volgens mij bedoelen de auditors te zeggen dat ze werk tekort komen. Wat is er mis met ISO 27001, ISO 9001 en de rest van de vele certificaten die ik nu mis?
De ISO certificaten geven aan dat je als bedrijf een management systeem hebt met een Plan, Do Check, Act cyclus, maar niet dat de getroffen maatregelen daadwerkelijk effectief zijn. Je kan heel veel tekortkomingen en kwetsbaarheden hebben en nog steeds ISO gecertificeerd worden. Als je maar kan laten zien dat je een proces hebt om dit zelf op te merken en op te pakken. Daarnaast is een ISO certificaat 4 jaar geldig en is er alleen een jaarlijkse update.

In dit artikel wordt gesproken over een certificaat, maar dat is niet de juiste term in de context van NOREA. IT auditors geven over het algemeen assurance en dat gaat dieper, met hogere eisen. Met name voor de gebruiker van het rapport betekent dit dat ze met assurance meer zekerheid hebben dat het goed geregeld is of dat shit die er is naar voren komt.

[Reactie gewijzigd door PHiXioN op 24 juli 2024 08:17]

… maar niet dat de getroffen maatregelen daadwerkelijk effectief zijn.
Dat klopt niet. Je ISMS moet ingericht zijn om maatregelen te implementeren en onderhouden én deze te toetsen of het de gewenste effectiviteit behaalt. Daar is hoofdstuk 10 voor van de high levebl body, continue verbetering en gewenste aantoonbaarheid.
Het toetsen moet je echter zelf invullen als organisatie. Daar zit vaak het probleem. De auditor checkt alleen of het proces volledig is. Een inhoudelijke check daarop ontbreekt.
(En aan @The Zep Man ) Toevallig ben ik ISO27001 Lead Auditor en heb vele organisaties binnen en buiten Nederland gezien als auditor. Hoewel de focus tijdens een audit voornamelijk op de PDCA-cyclus ligt, zak je als organisatie door de mand wanneer de controls uit Annex A van ISO27001 onvoldoende effectief beheerst. Dit wordt wel degelijk gemeten tijdens de verschillende audits. Je kan een heel goed proces ingericht hebben wat voldoet aan de eisen die ISO27001 stelt, maar wanneer bepaalde controls niet voldoende aanwezig zijn, krijg je een minor of zelfs een major afwijking.

Ik heb daarnaast ook SOC type 2 audits uitgevoerd en daar ga je uiteraard veel dieper in op de effectiviteit van controls. Echter gaat het daar over een langere periode, waarbij ISO27001 een momentopname is. Alleen wordt tijdens deze momentopname wel degelijk gekeken naar de effectiviteit van controls.
Een probleem dat ik bij veel audits heb gezien is net als met accountants: de controleur wordt betaald door de partij die gecontroleerd wordt. Zolang laatstgenoemde met een goed verhaal komt, kan die nog langdurig op het randje balanceren.

De theorie klinkt goed, maar... who watches the watchmen? ;)

[Reactie gewijzigd door The Zep Man op 24 juli 2024 08:17]

Dat klopt helemaal. Enkele collega's waren enorm makkelijk in hun audits, terwijl het jaar daarna bij hetzelfde bedrijf tientallen minors en aanbevelingen geschreven werd door een andere auditor. En dat is een groot probleem: veel auditors hanteren hun eigen interpretatie van de norm, terwijl die in de basis juist grotendeels vrij van eigen interpretatie moet zijn.
Daarbovenop nog de informatievoorziening vanuit de organisatie: toen ik verantwoordelijk was voor het begeleiden van het audit proces was het triviaal om de auditor richting problemen te loodsen die niet heel erg zin maar wel aandacht nodig hebben en met smoke en mirrors de echte problemen niet op tafel te leggen. Mijn beeld van de het nut en de effectiviteit van het audit proces zijn hierdoor dermate laag dat het imho grotendeels een papieren tijger is.
Zag ik ook veel organisaties doen. Vond ik een beetje vreemd, ik ga geen audit uitvoeren als mensen je gaan afleiden van zaken die niet op orde zijn. Heb om die reden zelfs een keer een audit stopgezet, mijn tijd is te kostbaar en ik prikte er gelukkig doorheen.
Zelf heb ik geen ervaring met ISO 27001. Maar met diverse kwaliteitsnormen, daar worden tegenwoordig ook eisen gesteld aan informatiesystemen. Echter ontbreekt vervolgens de deskundigheid om er ook echt kritisch naar te kijken.

Bij dergelijke audits ligt de focus vaak op de controls, het bedrijf moet aantonen dat die goed zijn.
De effectiviteit van een control is 1 ding. Maar hoe bepaal je nu de effectiviteit van die controls tegen jouw dreigingen. Je kunt prima een control inrichten rondom backup, waarin je de effectiviteit meet op basis van integriteit, storingen en periodiek terugzetten van backups. Maar tegen ransomware helpt dat niet.

Daarnaast hebben die frameworks ook altijd een uitzonderingsproces. Beleid: geen end-of-life software. Je control controleert dat en er is een uitzondering van een windows XP machine. De uitzondering is nodig voor de business en het risico wordt geaccepteerd door de CEO. Aan je control en je proces voldaan. Je effectiviteit van Cyber Security is echter vrijwel 0 als je geen andere mitigerende maatregelen neemt.

Ik zal niet zeggen dat deze frameworks niets voorstellen, maar dit soort nuances maakt echt een groot verschil of je effectief beschermd bent en daar voorzien die frameworks niet in. Mede ook omdat de kennis van IT en auditors op dit vlak ontbreekt.
Maar hoe dan? Je erkent risico’s maar zegt dat ze niet toegepast worden. Want dat is de schuld van de norm want dit vraagt enkel om backupjes etc.

Dan heb je de essentie van de norm niet begrepen. Dat is namelijk een framework voor risico herkenning en verwerking, dat je vervolgens zelf ervoor kiest om niet verder te gaan dan wat het boekje voorschrijft is erg wonderlijk.

De uitzondering is ervoor omdat security nog steeds een businesscase is, je kan 2000€ omzet niet beschermen met 5000€ kosten. Dan stop je ermee of accepteer je het risico.

Dit is door je opperhoofd gedaan, en vervolgens verwacht je van een audit dat die gaat beoordelen of die W95 mag blijven? Zo werkt het dus gewoon niet. Zo te zien is de norm en de bedoeling ervan nog niet helemaal geland in jullie organisatie.

Dat maakt het tot een frustratie van ieder en ondermijnt de effectiviteit van je beleid wat erg zonde is want dit kan gewoon beter. En dan bedoel ik niet de auditor.
Bovenstaande was overigens geen praktijkvoorbeeld, maar een theoretisch voorbeeld om het uit te leggen.
Maar hoe dan? Je erkent risico’s maar zegt dat ze niet toegepast worden. Want dat is de schuld van de norm want dit vraagt enkel om backupjes etc.
Wat ik in de laatste regel zeg, is dat de kennis vaak ook ontbreekt. Veel IT'ers en auditors kunnen het risico misschien wel benoemen, maar weten niet hoe ze een risico effectief moeten mitigeren. Met backups en ransomware zie je dat veel. "We hebben toch backups, een Disaster Recovery Plan, een failover site etc. We hebben al zoveel gedaan, dus we zijn wel veilig voor Ransomware." Dan heb je het risico benoemd en de maatregelen genomen. Alleen zonder kennis kun je niet bepalen of die maatregelen effectief zijn.
Dit is door je opperhoofd gedaan, en vervolgens verwacht je van een audit dat die gaat beoordelen of die W95 mag blijven?
Dat verwacht ik van een auditor zeker niet. De praktijk is dus dat je als organisatie goed moet weten wat je moet doen om effectief te zijn. En juist daar schort het wat mij betreft aan bij deze frameworks, die effectiviteit tegen echte dreigingen kan maar zeer beperkt geaudit worden.
Dat klopt niet. Je ISMS moet ingericht zijn om maatregelen te implementeren en onderhouden én deze te toetsen of het de gewenste effectiviteit behaalt. Daar is hoofdstuk 10 voor van de high levebl body, continue verbetering en gewenste aantoonbaarheid.
Dus:

1. Je implementeert een maatregel.
2. Je toetst de maatregel. Resultaat:. 0% effectiviteit.
3. Je onderhoudt de maatregel.
4. Je toetst hem. Resultaat: 0% effectiviteit.
5. Ga naar stap 3.

Je hebt het proces geïmplementeerd, maar (zoals @PHiXioN naar hint) zijn de maatregelen die daaruit volgen niet daadwerkelijk effectief.

Ik stel het nu wat extreem, maar in de praktijk komt dit daadwerkelijk voor. Het is geen '0% effectiviteit' waar een auditor direct mee geconfronteerd wordt, maar de effectiviteit wordt nooit echt beter van wat het is, terwijl men aantoonbaar toch altijd bezig is om het te verbeteren.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 08:17]

Hoe ga je überhaupt de effectiviteit testen. Zolang het geen onafhankelijke test is kan je daar ook een eigen draai aan geven.
Ik vraag me wel af hoe ze die assurance willen gaan invullen. Ben een beetje bang dat dit niet veel verder gaat dan het op orde hebben van een incident response plan en een backup oplossing.

Cyber Security auditen op een vergelijkbare en consequente manier is echt uitdagend en vereist specialisten. Accountants hebben die specialiteit (nog) niet. Ze hebben wel EDP auditors, maar die kijken vooral naar het goed inregelen van rechten in een ERP systeem.

Daarnaast moet de account iets zeggen over continuïteit. Voor de ene organisatie is ransomware het belangrijkste risico voor de continuïteit maar voor de ander is het lekken van intellectual property misschien veel groter. Beide vergen een flink andere aanpak om je daar tegen te beschermen.
Ben een beetje bang dat dit niet veel verder gaat dan het op orde hebben van een incident response plan en een backup oplossing.
Hoe veel bedrijven hebben niet eens die twee op orde? Ik ben bang dat het meer is dan je denkt...
Heel veel bedrijven niet. Maar ik vraag me af of een accountant kan bepalen of een backup op orde is. Gaan ze toetsen op 3-2-1 principe, gaan ze toetsen op het terugzetten? Beide helpen niet perse tegen een ransomware aanval.
Ik werk met EDP auditors, of RE's, en voer veel DigiD pentesten uit maar deze mensen denken oprecht dat ze alle wijsheid in pacht hebben. Dit is een middel van de Norea om relevant proberen te zijn meer niet
Ben wel oprecht benieuwd op basis waarvan die EDP auditors audits uitvoeren? Is dat meer dan alleen de standaard als het goed inregelen van rechten?

Edit: ik zit de enquête te bekijken en daar blijk m.i. al uit dat ze geen idee hebben hoe ze het onderwerp moeten aanvliegen:
https://c.spotler.com/ct/...F1-qEjtWI/4EAyJrDwRTLNxxV

[Reactie gewijzigd door BytePhantomX op 24 juli 2024 08:17]

Er Norea framework voor de uitvoer, op het gebied van pentest is dit al 4x veranderd omdat die gasten dingen erin zetten dat nergens op slaat. En altijd zie je staan dat er ergens een cissp cisa of cism als hacker wordt aangemerkt, ahuhhh
Ik denk dat je vraag terecht is. Cyber security is inderdaad niet kennis die elke IT auditor heeft, maar het zelfde geldt voor alle andere subdomeinen in het vakgebied. Net zoals niet elke IT auditor kennis heeft van ERP systemen, programmeren, business intelligence, etc. De grotere accountantsorganisaties hebben zeker wel cyber security competencies in huis. De kleinere kantoren met RE's of eenpitters die geen specifieke cyber kennis hebben moet je niet zondermeer los laten gaan, want dan wordt het beunhazerij.
Alleen toont de vereniging op geen enkele wijze aan dat hun creatie daar een oplossing voor is. Sterker nog, ze laten heel erg in het midden wat deze zoveelste oplossing nu werkijk zou gaan oplossen. Het lijkt ze meer te gaan om te kunnen beweren dat ze in een behoefte voorzien. Niet op welke manier die behoefte tot stand is gekomen, zoals door gebreken uit andere oplossingen of gebrek aan kennis of creativiteit. Ze zijn zelfs nog met een enquete op zoek naar wat bedrijven als behoefte hebben terwijl ze al met deze 'oplossing' bezig zijn. Het wekt de indruk dat ze vooral behoefte hebben aan weer iets nieuws en anders brengen om een doel als verdienen aan audits en bekendheid te vergroten of op pijl te houden.
Checken of genomen maatregelen effectief zijn is juist één van de belangrijkste zaken in een audit. Een auditor vraagt als eerste naar de managementreview waar dat in zou moeten staan. Een certificaat is in theorie 3 jaar geldig, maar kan elk jaar, zelfs elke dag van het jaar worden ingetrokken. Dus dat de einddatum 3 jaar in toekomst ligt wil niet zeggen dat ie ook 3 jaar geldig blijft. Een bedrijf wat een week voor de audit de boel op orde maakt voor “de jaarlijkse check” valt meteen door de mand bij een ervaren auditor. Maar zijn er dingen mis, dan krijgt een bedrijf altijd tijd om spullen op orde te maken. Het gebeurd zelden dat we echt een certificaat van de muur halen, juist omdat we ook begrijpen dat het een licence to operate is en de deur op slot kan als we de certificaten intrekken.
Volgens mij bedoelen de auditors te zeggen dat ze werk tekort komen. Wat is er mis met ISO 27001, ISO 9001 en de rest van de vele certificaten die ik nu mis?
Dat ze weinig zeggen over de praktijk. De meest van de certificaten en standaarden richten zich op beleid en niet op implementatie. Mooi beleid schrijven is iets heel anders dan het uitvoeren.
Zelf hecht ik er weinig waarde aan. Persoonlijk zie ik een penetration test de beste indicatie. Niet dat je met een pentest alle fouten gaat vinden of dat zo'n test de ultieme waarheid is, het is slechts een aanwijzing.

Nog liever zie ik een paar van dat soort rapporten zodat je kan zien of fouten snel worden verbeterd of dat ze lang blijven zitten of dat steeds dezelfde soort fouten terugkomen. Dat laat veel beter zien of iets veilig is en of het beleid werkt dan een puntsgewijze analyse van het beleid.

Het beleid (en de standaarden die daar op toe zien) zijn een bovengrens aan veiligihed, geen ondergrens. ISO27001 en co geven geen enkele zekerheid dat je in praktijk veilig bent. Je mag van mij wel het omgekeerde stellen want goed beleid is zeker óók nodig. Zonder beleid krijg je het nooit structureel veilig. Daarom zie ik certificering, of het gebrek daar aan, als bovengrens. Gebrek aan beleid zal het onmogelijk maken om een bepaald niveau te halen, maar het wel hebben van beleid zegt niks. Wie dat wil kan zo een kant-en-klaar IT-beleid downloaden van internet en twee handtekeningen later is het aangenomen.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 08:17]

Helemaal mee eens. Heb zelf verschillende ISO 27001 en NEN certificeringen doorlopen en het voegt echt heel weinig toe.

- Penetration test: dit biedt echt meerwaarde omdat je netwerk en software wordt gescand vanuit het perspectief van een hacker.

- Auditors: deze controleren slechts of je goed hebt beschreven en gedocumenteerd wat je doet en hoe je het doet.

Auditors zijn heel erg goed in het verzinnen van hun eigen werk en dit is een van de vele voorbeelden. Een audit gaat nooit zo diep als een penetratietest omdat gekeken wordt vanuit een administratie perspectief. Het zou een hacker/ransomware aanval een worst wezen of het bedrijf een ISMS heeft, die zoeken naar dingen die ECHT belangrijk zijn, zoals de veiligheid van je systemen.
Je reactie is een beetje kort door de bocht. Wat een auditor doet hangt erg af van de afgesproken scope van het onderzoek. Natuurlijk heb je ook in auditland de mindere goden die alleen hun standaardlijstje aflopen, maar dat heb je volgens mij in elk vakgebied. Ook bij pentesters.

Het feit dat je goed uit een pentest komt zegt ook niet dat je in-control bent. Het kan het initiatief zijn van één goede beheerder. Of een goede consultant die nu weg is. Of toeval. Of een slechte tester. Of te weinig budget. Of een goed ingestelde firewall met een bak ellende er achter.

Een penetratietest is een detectieve beheersmaatregel (momentopname) die pas in een stelsel van andere maatregelen effectief is. Het helpt ook zeker met het identificeren van symptomen dat er ergens anders in het proces iets niet goed gaat. Maar net zoals bij mensen is iemand zonder symptomen nog niet meteen gezond.
9001 is kwaliteitsmanagement dus dat zal hier niet op van toepassing zijn.

Maar wellicht dat het 'm erin zit dat art. 32 AVG een 'R' toevoegde (van Resilience) aan het bekende 'CIA'?

Zowel ISO 27001 als SOC2 zijn ingericht op het aantonen van een gedegen informatiebeveiliging(-managementsysteem) aan de hand van de CIA-principes. Sinds de komst van de AVG moet je echter ook je weerbaarheid ('resiliance') aantonen en wellicht dat NOREA van mening is, dat dat element niet voldoende terugkomt in de genoemde standaarden?

Ik vind dat wel een erg theoretische benadering, maar zou in alle ISO controls moeten duiken. De vraag is simpelweg: is het aanpassen van je scope...of een accent verlegging qua IT controls...voor je ISO/SOC niet afdoende om óók die weerbaarheid aan te tonen? Dan is het optuigen van een nieuw audit/normen-kader door NOREA wel tamelijk draconisch m.i.
ISO 27001 is zowel erg groot, als erg gelimiteerd als je het hebt over bvb. infrastructuur.
ISO 27001 heeft allemaal zelfverwijzende regels voor structuren en rapportages en remediatie en gaat ook echt over de data zelf.

Voor dit certificaat denk ik dat ze iets veel simpelers willen (en wat ik ook zou willen), maar dan puur voor 'infra'.
Ik denk dan aan iets simpels en meetbaars als:
* patches zijn up-to-date binnen bepaalde termijn, bvb 2 maanden.
* bepaalde minimumbeveiligingen zijn aanwezig (firewall, logging, intrusion detection)
* er is een maandelijke rapportage met stand van zaken door een security officer

Vergelijk het met de voedingssector. Daar moet men bvb. verplicht om de zoveel tijd de temperatuur van de koeling meten en noteren. Een inspecteur kan op ieder moment langskomen en dit vrij simpel controleren.

Zoiets bestaat dus niet voor ICT. Terwijl "niet gepatcht" en "niet afgeschermd door firewall" zo'n beetje de twee meest voorkomende beveiligingsgaten zijn.

Terwijl de ICT-infra intussen dusdanig belangrijk is, dat er, net als met voedsel, gewoon gevolgen zijn voor normale mensen als er dingen misgaan.

Het is geen panacee, en we zullen zien dat aanvallen gaan verschuiven naar 'supply chain attacks' en andere meer exotische vormen. Maar dat is geen reden om dan maar geen eisen te stellen. Voor het grootste gedeelte van de sector zijn bovenstaande al dingen waar ze aan voldoen en waar er niet aan voldaan wordt, zitten de beheerders vaak te wachten op redenen om het wel te doen, maar werkt management er niet aan mee.
Een van de misverstanden achter de ISO 27001 is ook, dat je daadwerkelijk je systemen veiliger moet maken. Een groot deel van ISO certificering draait om RACI diagrammen en procedures. Ik heb hele ISO trajecten doorlopen zonder ook maar 1 beveiligingsbug te fixen: Een organisatie kan altijd nog een bewuste keuze maken om een bug te laten zitten omdat de kosten niet opweegt tegen de baten.

Vele bedrijven die dan ook aangevallen worden door ransomware hebben namelijk op papier alles op orde.
Plan-Do-Check-Act; daar draait het om. Inclusief accountability van het (top) management.
Vele bedrijven die dan ook aangevallen worden door ransomware hebben namelijk op papier alles op orde.
Als dat klopt, dat zit er een "vulnerability" in het ISO 27000 proces - en ik denk dat je je daarin vergist. ISO 27000 is inderdaad enorm high-level en er staat nergens dat je patches moet installeren. Maar je kan niet compliant zijn met ISO 27000 en tegelijkertijd 'vergeten' patches te installeren of wachtwoorden te wijzigen. Dan hebben er -meer dan 1- mensen zitten slapen of doelbewust de zaak gesaboteerd.

Wel ben ik met je eens dat een ISO 27000 traject veel te hoog gegrepen is voor de gemiddelde MKB-er. Die zouden inderdaad bebaat zijn bij een meer praktische certificering waarbij backups worden gecontroleerd en een pen-test tool wellicht het netwerk scant op kwetsbare apparaten. Maar dat blijven momentopnames: een maand later kan het anders zijn en heb je toch echt een goed gedocumenteerd proces nodig om veilig te blijven.

[Reactie gewijzigd door Tukkertje-RaH op 24 juli 2024 08:17]

Als dat klopt, dat zit er een "vulnerability" in het ISO 27000 proces - en ik denk dat je je daarin vergist. ISO 27000 is inderdaad enorm high-level en er staat nergens dat je patches moet installeren. Maar je kan niet compliant zijn met ISO 27000 en tegelijkertijd 'vergeten' patches te installeren of wachtwoorden te wijzigen. Dan hebben er -meer dan 1- mensen zitten slapen of doelbewust de zaak gesaboteerd.
Nee hoor. Voor ISO27000 moet je beleid hebben. Wat het beleid precies doet is een stuk minder belangrijk. Als je zeg maar netjes opschrijft dat de backup-strategie is dat de directeur alles van buiten leeert dan is dat beleid. Dat is uiteraard gechargeerd maar ik heb al te veel gek beleid goedgekeurd zien worden om nog te geloven dat zo'n audit iets zegt over de praktische veiligheid.
Wel ben ik met je eens dat een ISO 27000 traject veel te hoog gegrepen is voor de gemiddelde MKB-er.
De ellende is dat klopt dat ISO27000 voor de meeste kleine partijen veel te hoog is gegrepen en dat het tegelijkertijd niet genoeg is. Het wel hebben van zo'n certificaat nog steeds niet veel zegt over de veiligheid, je moet daarnaast nog steeds naar andere aspecten kijken.
Die zouden inderdaad bebaat zijn bij een meer praktische certificering waarbij backups worden gecontroleerd en een pen-test tool wellicht het netwerk scant op kwetsbare apparaten.
Die aanpak volg ik al een tijd. Ik heb een vragenlijst met praktische vragen en kleine zelftests en die stuur ik naar partijen die zelf niet kunnen aantonen dat ze veilig zijn (en dat zijn de meeste).

Daarop staan vragen en opdrachten op als:
"Ga naar https://www.ssllabs.com/ssltest/, test je eigen website en geef ons een link naar de uitslag waaruit blijkt dat je minstens en A hebt gehaald".

"Maak een gebruiker aan en geef op dat het wachtwoord '1234' is. Stuur me een screenshot van de foutmelding dat het wachtwoord niet veilig is."

"Stuur mij 1 regel uit jullie logs waaraan ik kan zien wanneer de server voor het laatst is gepatched."

"Want is de einddatum van het supportcontract voor je belangrijkste applicatie?"

Ik heb uiteraard niet de illusie dat ik met dat soort vragen een hele organisatie veilig krijg, maar het is een uistekend begin van een discussie. Ik kan ook niet voorkomen dat ze selectief dingen veranderen om maar goed te scoren in mijn testje (en de rest nog steeds niet goed is). Het belangrijkste is vaak om maar een draadje te hebben om aan te trekken zodat je gericht vragen kan stellen. De stijl van antwoorden zegt vaak meer dan de inhoud. Zo heb je die bij alles antwoorden met "dat moet je aan onze leverancier vragen" of "dat is geheim" (terwijl iedereen met een webbrowser het zo kan zien). Dan weet je ook hoe ze gaan reageren als er ooit iets mis gaat.
Zou deze - prima en praktische - aanpak niet vast onderdeel moeten zijn van je three lines of defence?
Dus: meer van je risicobeheersingsmodel, dan van je ISO naleving?

In de zin van:
- de 1e lijn (business) voert het beleid uit dat je o.g.v. het normenkader hebt (vastgelegd, accountability van top management, etc)
- de 2e lijn monitoort hier op & adviseert hierover: waar kan/moet het beter?
- de 3e lijn audit

De gehele toets zou m.i. moeten zijn op de opzet, bestaan en werking van je beheersmaatregelen (vanuit risico beheersings perspectief). In mijn ogen is een ISO compliancy dan vooral de opzet & bestaan van bepaalde raamwerken. Waarbij de 'werking' vooral in het kader van risicomanagement wordt getest.
Zou deze - prima en praktische - aanpak niet vast onderdeel moeten zijn van je three lines of defence?
Dus: meer van je risicobeheersingsmodel, dan van je ISO naleving?
Zeker, mijn punt is een beetje dat ISO-certificering niet het eerste is dat je moet doen, maar eerder het laatste. Eerst zorg je dat de boel op orde is en daarna laat je het controleren. Als je begint met controleren dan gaat er toch niks nuttigs uitkomen anders dan een enorme lijst lacunes die iedere medewerker zo had kunnen opnoemen. De resources had je beter kunnen besteden.

Zo'n certificaat halen is voor de meeste organisaties lastig, duur en tijdrovend. Het risico is dat het halen van dat certificaat het doel wordt dat alle resources opslokt, niet veiligheid zelf. Omdat zo'n audit veel tijd en geld kost kan het gevoel ontstaan dat je veiliger wordt van de audit zelf, terwijl zo'n audit eigenlijk alleen maar controleert wat de stand van zaken is.
De directeur denkt dan (onderbewust) "ik heb een ton aan veiligheid uitgegeven, nu zit ik goed".

Natuurlijk komen er uit iedere audit altijd verbeterpunten naar voren. Die moet je aanpakken of het risico accepteren. Een valkuil is dat het risico wordt geaccepteerd omdat er net een ton is uitgegeven aan een "beveiliging" en het risico dus wel klein zal zijn. Dat is natuurlijk een onjuiste redenering maar met genoeg tussenlagen ziet niemand dat nog.

Als je niet oppast ben je alleen maar bezig met vaststellen dat er dit jaar weer geen vooruitgang is geboekt en dan formulieren invullen om de risico's nog een jaar te accepteren, waarna het budget voor dit jaar weer op is. Ik overdrijf natuurlijk maar het bedekken van problemen met bureacratie die alle resources opslurpt is een echt probleem (en niet alleen in de IT, maar we zijn er wel heel goed in).
Dan zijn we het inhoudelijk eens volgens mij.
In principe zou je dan je hele isms/control framework in een hele duidelijke standaardrapportage moeten opnemen, die je aan externe partijen verstrekt. Want daarmee zou je je (dure) 27001 certificaat overbodig kunnen maken.

Maar ja...ISO is wel een in de markt geaccepteerde standaard. Dát scheelt natuurlijk atijd tijd/geld op het gebied van assurance geven bij o.a. inkoop- en BID-processen.
De ellende is dat klopt dat ISO27000 voor de meeste kleine partijen veel te hoog is gegrepen en dat het tegelijkertijd niet genoeg is. Het wel hebben van zo'n certificaat nog steeds niet veel zegt over de veiligheid, je moet daarnaast nog steeds naar andere aspecten kijken.
Wat ontzettend goed verwoord.

Jouw praktische aanpak zegt idd. veel meer over de stand van zaken dan ISO27001.

ISO27001 zegt vooral dat je over informatie-beveiliging hebt nagedacht en dat je kunt aantonen dat je dat denkwerk hebt gedaan en dat je controles doet.

Jouw praktische aanpak laat zien dat er daadwerkelijk resultaten zijn.
"Maar je kan niet compliant zijn met ISO 27000 en tegelijkertijd 'vergeten' patches te installeren of wachtwoorden te wijzigen"

Dat zijn twee totaal verschillende dingen. Een ISO certificaat betekent dat er gecontroleerd is dat je werkt zoals je beschrijft in je ISMS, je procedures zijn zoals je beschrijft en aangeeft. Er zijn eisen waar je je aan moet houden. Elke werkwijze is goed zolang je het kunt onderbouwen waarom je daarvoor kiest. Ik zie dat vaak langskomen als misverstand. Ben overigens Security officer bij een grote hostingpartij en verantwoordelijk voor de isocertificering al een aantal jaren.
Dat klopt niet - tenminste, theoretisch(*) wellicht maar praktisch onhaalbaar.

Je kan niet de ISO policy doorlopen van sectie 4 tot 10, daarin vastleggen wat je Statement of Applicability is, een risk assessment en acceptance proces vastleggen en dan met droge ogen roepen dat het niet patchen van je infrastructuur ècht in lijn is met ISO 27000. ISO 27000 verlangt van je (sectie 9) dat je meet of je processen werken en evalueert of ze voldoen. In de 'oude' ISO 2700 (de 2005 versie volgens mij) was dat de plan-do-check-act cyclus.

*: ISO laat inderdaad ruimte voor risk acceptance, waarbij het een organisatie teveel resources kost om een vulnerability terug te managen naar 0. Dat moet inderdaad onderbouwd, en met een goed verhaal kan je een heel eind komen. Maar met "elke werkwijze is goed mits onderbouwd" zal het je als organisatie niet lukken om een unpatched server-farm langs je externe auditor te krijgen...
Ik had het niet over niet patchen, maar je kan best zeggen dat jij bijvoorbeeld elk half jaar een update ronde houdt en je dat voldoende vindt. Iso gaat daar niet op in. er staat nergens een vereiste waar je bedrijf aan moet voldoen, het is maar net hoe dat geinterpreteerd wordt door de auditor en jezelf. Er zijn vele wegen die naar Rome leiden en vele manieren waarop je bepaalde zaken kunt zien. ISO is totaal geen garantie dat je bedrijf alles goed geregeld heeft. Het is een garantie dat je alles geregeld hebt hoe het er staat.

Overigens komt daar nog bij, als je hosting doet staan je servers in een datacenter. Die vallen dus al niet onder je eigen scope, om maar een "loophole" te noemen
Er moet gewoon weer iets verzonnen worden zodat de auditor z'n Excel sheet kan vullen met vinkjes.

Doet me denken aan:
https://imgs.xkcd.com/comics/standards.png
Nou... Nee. Mijn ervaring is dat het auditen op ISO en NEN certificeringen niet het detail hebben ten opzichte van bijvoorbeeld de ISAE 3XXX Type 2 en SOC2/SOC3 verklaringen.

Bij ISO/NEN wordt het proces gedeeltelijk geevalueerd op werking en bewijs naar aanleiding van de norm, waarbij het bewijs een momentopname is. De ISAE 3XXX en SOC2/SOC3 verklaringen kijken naar de werking van het gehele proces op basis van door een controle framework en de bewijsbaarheid gaat over een hele periode.

Een auditor gaf aan dat een ISO/NEN audit een APK-keuring is van een auto terwijl de ISAE 3XXX en SOC2/3 verklaringen het volledig uit elkaar halen en analyseren van belangrijke onderdelen in een auto.
Er zijn veel misvattingen over de verschillende standaarden en certificaten. Het is ook erg complex gemaakt door de verschillende organisaties. Vereenvoudigd zit het volgens mij zo:

ISO certificaten zeggen alleen iets over het 'Information Security Management Systeem' en niet over het behalen van beheersingsdoelstellingen of de effectiviteit van de getroffen maatregelen.

De ISAE 3000 standaard is een zeer algemene standaard voor assurance waar je als in kan stoppen, zolang het maar niet gaat over historische financiële gegevens.

ISAE 3402 is een invulling van de 3000 standaard om de accountants van klanten van service organisaties te voorzien van de assurance die ze nodig hebben om te kunnen aftekenen. Voor elk ander gebruik is deze eigenlijk niet bedoeld.

De NOREA heeft richtlijnen gemaakt voor IT auditors in Nederland zodat zij bovenstaande ISAE standaarden kunnen toepassen in het IT domein.

SOC2 is bedacht door de AICPA en is een 100% Amerikaanse standaard die bedoeld is om breder te kijken naar IT binnen IT service organisaties. Eigenlijk mag die buiten de USA niet gebruikt worden. Het is echter wel een goed idee, daarom zie je dat men de inhoud hiervan (trust services criteria) toepast op de bovengenoemde ISAE-standaarden. De NOREA heeft hier ook een zogenaamde handreiking voor, zodat de SOC2 inhoud in een NOREA 3000-rapport gestopt kan worden.

Ik verwacht dat het initiatief wat hier beschreven is er op is gericht om de SOC2-handreiking tot een standaard te evolueren die tevens breder inzetbaar is dan enkel service organisaties, met wellicht nog wat aanvullende verbeteringen. Wat mij betreft een hele logische ontwikkeling.
Gewoon even ter zijde maar de iso is een norm de isae een verklaring. Plus de isae kan je tegen elke norm aan houden.
Het dient ook als een soort vrijwaring voor de gecertificeerde bedrijven. Je bent gecontroleerd door de auditor, de klant kan van te voren weten wat zo'n audit wel en niet omvat, en dus moet er niet gezeurd worden als de boel desondanks toch gehackt wordt.
En ongetwijfeld sluit de auditor elke verantwoordelijkheid uit als je ondanks je certificering en succesvolle audits toch wordt gehacked.
Standaarden zijn goed; je moet er zoveel mogelijk hebben :)
Verdiep je eens in die standaarden :).
Die dekken niet wat dit afdekt. Waarom een nieuw vervoersmiddel uitvinden als je olietankers en vliegtuigen hebt. Ja, zo klinkt je opmerking.
Mochten die auditors dan ook echt kennis hebben van zaken, dan zou dat een grote meerwaarde hebben. Maar ik heb al de meest idiote vragen en suggesties gehoord ui de mond van een auditor.

En daarnaast hebben veel van die audit bedrijven zelf hun it niet op orde.
Het is echt verbazingwekkend hoeveel mensen hier een mening hebben over materie die ze niet kennen of via ‘horen zeggen’ na-toeteren.

ISO27001 is een gamechanger, geen papieren krijger. Er verandert nogal wat in je organisatie wil je dit toepassen zoals de bedoeling is. Zeker als je vanaf 0 begint en geen idee hebt over procedureel werken.

De ISO27001 omvat de gehele organisatie, (je kan het een en ander uitsluiten, maar dat is beperkt en niet de bedoeling) het heeft een certificering en verplichte audit moment en een set vereisten die je bedrijfsvoering beïnvloeden. En is dus omvangrijk.

Een ISAE 3000 of 3402 1 of 2 is een verklaring. Dit kan je tegen elk framework doen. SOC, ISO of je eigen verzonnen framework. (Dit heeft niet veel nut, maar kan.) dit is iets compleet anders dan een normenkader.

De bedoeling van NOREA is een basis set over te brengen van kennis om schade en impact te beperken. Denk hierbij aan wachtwoordbeleid, access controls, netwerk segmentatie, update procedures, leveranciers beoordelingen.

Dit zorgt voor een behapbare set aan tools die uitgewerkt worden, je houvast krijgt en toelichting om te zorgen dat je infra minder risico loopt.

Dit is voor veel bedrijven veel aantrekkelijker dan een ISO implementatie. Alleen is een ISO-lite bij gebrek aan een beter woord net zo waardevol als Gekke Henkie zijn IT regels v2.7. Met een subset kan er veel bereikt worden, door de mogelijkheid van toetsing toe te voegen heeft de invoering ervan gewicht en krijg je een zekere mate van ‘garantie’ dat je leverancier de hoofdzaken van zijn it rommel op orde heeft.

Dat dit geld/tijd/energie kost lijkt mij duidelijk , dat hiervoor betaald moet worden ook. Dat de roep hiernaar groot is wordt hier wel gigantisch onderschat.

Elk bedrijf werkt met computers, die allemaal een beperkte tot grote mate invloed hebben op de bedrijfsvoering, dan is het toch super om niet een draconische norm te implementeren maar een subset waaraan gewicht gehangen kan worden.

Heb je daar geen zin aan, dan doe je het niet, moet je het doen en doe je het voor een ander maar niet voor jezelf, kan je jezelf afvragen of je er dan überhaupt aan moet beginnen.

Ik juich dit ENORM toe, het is een goede stap om informatiebeveiliging verder door naar ‘beneden’ te laten vloeien.

Als je vragen over deze zaken hebt kan je mij pm’en. Ik implementeer ISO/NEN en prepareer organisaties voor ISAE verklaringen als interne auditor.
"De Nederlandse vereniging van it-auditors Norea werkt aan een certificaat waarmee bedrijven kunnen aantonen dat hun netwerken veilig zijn."
:+
Werken aan een lokale standaard terwijl er al verschrikkelijk veel internationale standaarden zijn...
Klinkt als geldverspilling, een verspilling die vast in de zakken komt van Norea.
En omdat single dipping natuurlijk niet genoeg is...
Bedrijven moeten zich straks certificeren middels IT auditors van.... you guessed it :> Norea!
Of middels een gecertificeerd persoon, maar een persoon kan zich alleen gecertificeerd noemen middels examens van... (daar zijn we weer) Norea!
Ik zal het wel te pessimistisch inzien I hope, toch denk ik niet dat het scenario van hierboven erg ver van de realiteit afzit helaas.

[Reactie gewijzigd door GekkeR op 24 juli 2024 08:17]

Sorry, maar volgens mij ben je wel iets te kort door de bocht.

Ik ben niet in dienst van NOREA, maar wel ingeschreven bij het NOREA - overigens zonder een examen bij het NOREA te hebben gedaan, maar wel doormiddel van het kunnen aantonen dat ik voldoende relevante werkervaring heb en middels het voltooien van een studie. Dat laatste kan wellicht een klein haakje naar NOREA zijn, maar echt niet zo groot als je denkt.

Wanneer ik mijn werk als auditor uitvoer houdt dat in dat ik onafhankelijk en integer werk. Ik dien dus niet het belang van de klant, of van NOREA. Voor mijn werk gebruik ik de normenkaders en rapportage standaarden (waar dit dus ook over gaat) die voorhanden zijn.
Werkt u voornamelijk in opdracht van opsteller van de jaarrekening/jaarverantwoording, of rechtstreekse verantwoording aan het gecontroleerde bedrijf/instantie ?
Nog mooier de meeste auditors werken voor de Big4 en die zien de kassa al rinkelen -- zal niet de eerste keer zijn dat NOREA zich door de BIG4 laat beinvloeden -- meeste leden werken voor de BIG4 -- helemaal eens dat er al genoeg internationale standaarden zijn, wat gaat kikkerland Nederland daaraan toevoegen
Waarom kijken ze niet gewoon of de bedrijven voldoen aan de huidige standaarden, zoals bijvoorbeeld ISO 27001? Het lijkt me niet logisch om nu een nieuw ICT-certificaat te maken.
Waarom kijken ze niet gewoon of de bedrijven voldoen aan de huidige standaarden, zoals bijvoorbeeld ISO 27001? Het lijkt me niet logisch om nu een nieuw ICT-certificaat te maken.
Wat voor mij een enorm bezwaar tegen ISO27001 is, is dat de inhoud van de standaard geheim is!
Je moet betalen om te mogen zien wat er nu precies in staat. Hoe kan ik nu in godsnaam vertrouwen hebben in een certificaat van iemand als ik niet weten mag wat het certificaat zegt?

Het is natuurlijk niet echt geheim want met een klein beetje zoeken kun je het zo downloaden van internet, maar dat kun je als bedrijf natuurlijk niet maken. Eigenlijk zou ik van iedereen die met zo'n geheime standaard aan komt zetten moeten eisen dat ze ook maar betalen om ons toegang te geven tot de inhoud.
Helaas al 30 jaar lang een discussie. Nu zijn deze ISOnormen geen wetgeving maar slechts onderlinge afspraken tussen bedrijven, maar andere NEN-normen worden wél via wetgeving voorgeschreven.
ISO normen zijn geen afspraken tussen bedrijven. Het zijn letterlijk International Standards; afspraken tussen de nationale standaardisatie-organisaties zoals NEN.

En is het is ook onzin dat die informatie "geheim" is. Het is net zo geheim als het 8-uur journaal: niet. De normen zijn wel copyrighted, maar goed, dat is het 8-uur journaal ook.
En is het is ook onzin dat die informatie "geheim" is. Het is net zo geheim als het 8-uur journaal: niet. De normen zijn wel copyrighted, maar goed, dat is het 8-uur journaal ook.
Ik vind het toch wel een verschil hoor. Het NOS-journaal kan ik zo online bekijken, de ISO27001 normen niet. Dat ze copyrighted zijn heeft er maar weinig mee te maken. Het probleem is dat de copyrighthouder heeft besloten dat anderen geen kopietjes mogen maken. Dat iets copyrighted is betekent nog niet dat je er geld voor hoeft te vragen of de verspreiding moet verbieden. Dat is een keuze, andere standaarden hebben die keuze niet gemaakt.

Ik vind dat dergelijke standaarden gratis toegankelijk moeten zijn, het is te belangrijk direct een drempel op te werpen, zeker als je verwacht dat je anderen ergens van kan overtuigen op grond van die standaarden (zoals dat je bedrijf veilig is).

Ik heb overigens geen probleem tegen betalen voor een versie op papier of een mooie/handige website, maar de standaard zelf zou vrij verspreidbaar moeten zijn.

Het is (nog) niet helemaal hetzelfde, maar het lijkt voor mij op het principe dat iedere burger de wet moet kennen maar dus ook het recht heeft om de wet in te zien. Ik weet dat het anders is omdat wetten van de overheid komen, maar we zitten er niet ver van af dat iso27001 praktisch gezien wel verplicht is. Het zou me niet verbazen als het ook in praktijk al zo is dat je niet aan bepaalde wetten kan voldoen zonder zo'n certificering.
ISO27001 is niet bepaald een uitzondering; alle ISO normen zijn copyrighted. Daar heeft ISO niet echt keuze in, ze zijn niet zelf de auteurs.

Standaarden van ad-hoc consortia zijn een ander verhaal. Daar zijn de deelnemende partijen vaak bedrijven, en die maken een eigen afweging. JEDEC normen zijn ook niet openbaar, bijvoorbeeld. Andere normen zijn openbaar - nog steeds copyrighted, maar gratis te downloaden van de site van de destbetreffende organisatie. Het is natuurlijk makkelijk openbaar te maken als de inhoud van die standaard toch al gepatenteerd was en om die reden openbaar. De houders van die patent-licenties hebben natuurlijk een financieel bij het breed gebruik van de desbetreffende standaard.

De beruchte standaard qua wetgeving is overigens NEN1010; elektrische veiligheid. Die norm is niet algemeen verbindend, maar de wet en jurisprudentie maakt wel duidelijk dat NEN1010 een breed aanvaarde methode is om het minimum vereiste veiligheidsnivo te halen. Dat wil zeggen dat een partij die zich op NEN1010 beroept in een rechtzaak gelijk krijgt tenzij de tegenpartij specifiek aantoont waarom er in die zaak van de norm afgeweken zou moeten worden,
ISO27001 is niet bepaald een uitzondering; alle ISO normen zijn copyrighted. Daar heeft ISO niet echt keuze in, ze zijn niet zelf de auteurs.
Copyright is niet het probleem. Zo'n beetje alle teksten vallen onder copyright. Het gaat er om hoe je daar mee om gaat. Het probleem is dat ze dat copyright gebruiken om anderen te verbieden om kopietjes te maken. Dat is een keuze.Je geeft zelf al aan dat andere organisaties hun standaarden wel openbaar publiceren.

ISO heeft er voor gekozen om deze normen tot standaard te verheffen. Ze hadden andere normen of auteurs kunnen kiezen die wel gratis verspreid mogen worden. Ik besef ook wel dat dit een beetje kort door de bocht is en ISO het ook maar moet doen met wat de leden vragen. Maar dat maakt het probleem niet kleiner. Wat mij betreft moet ISO in de regels opnemen dat alle ISO-standaarden vrij verspreidbaar moeten zijn (met toestemming van de copyrighthouders).


Gelukkig heb ik dan weer de mogelijkheid om wel of niet om ISO27001 te vragen. Niet dus. ;)
Ik geloof dat je niet weet hoe ISO werkt.

ISO is de overkoepelende organisatie van standaardisatie-organisaties. ISO kiest geen auteurs, of leden.

ISO kiest er niet voor om "een norm tot standaard te verheffen". Een ISO norm is synoniem aan een ISO standaard.

ISO kiest er niet voor om de verspreiding te verbieden. Dat is het automatische gevolg van copyright in alle landen. ISO kán niet kiezen om daarvan af te zien; dat is geen recht wat ze van de deelnemende organisaties hebben gekrengen. ISO is een uitvoerende organisatie.

ISO doet overigens niet bepaald moeilijk over die copyrights. De ISO C++ standaard bijvoorbeeld is copyrighted, maar de huidige ontwikkel-versie (draft) staat gewoon online. Dat is al zo'n 25 jaar het geval. Ik weet niet of het PDF'je nog steeds $18 kost, maar dat was ook nauwelijks meer dan kostendekkend. En de Algol'60 standaard kan nooit financieel rendabel zijn, maar ook dat is een ISO standaard. Die moet ook in het archief blijven.

Een belangrijk voordeel van ISO is dat de juridische status ervan in de meeste landen goed geregeld is. Bedrijven die hun medewerkers aan het schrijven van ISO standaarden laten meewerken kunnen niet vervolgd worden voor kartel-vorming. ISO standaardisatie is expliciet een legitieme vorm van samenwerking. Bij private alternatieve organisaties is dat niet vanzelfsprekend.
Ik geloof dat je niet weet hoe ISO werkt.
Duidelijk, want ik snap er niks van.
ISO heeft talloze regels waar hun standaarden aan moeten voldoen.
Kijk maar:
https://www.iso.org/ics/01.120/x/

Ik zie geen fundamentele reden waarom daar niet een regel aan toegevoegd kan worden dat standaard verspreid moeten kunnen worden voor ze het label "ISO standaard" mogen krijgen.
dat is geen recht wat ze van de deelnemende organisaties hebben gekrengen.
Het is een vereniging, de leden bepalen. Als ik de vereniging ergens op aanspreek dan spreek ik dus eigenlijk de leden aan.
En de Algol'60 standaard kan nooit financieel rendabel zijn, maar ook dat is een ISO standaard. Die moet ook in het archief blijven.
Ik vind de verwachting dat een organisatie als deze rendabel moet zijn zo vreemd. Ik snap dat het de huidige praktijk is en dat ze ook niet zonder geld kunnen maar dan moeten we daar eens naar kijken. Die nationale standaardisatieclubs waar ISO uit bestaat halen hun geld ook ergens vandaan (de overheid). Over het algemeen werkt de overheid niet op basis van rendabiliteit (financieel gezien dan, de wereld beter maken is ook een vorm van rendement).

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 08:17]

Ik ben het met je eens dat het belachelijk is dat dit niet openbaar en gratis is. Hetzelfde geldt voor COBIT. Om de standaarden geadopteerd te krijgen is het juist belangrijk dat mensen de kennis tot zich kunnen nemen.

Wat dat betreft doet de NOREA dit wel goed met de richtlijnen en handreikingen die gewoon voor iedereen toegankelijk zijn.
Ik doelde er meer op dat ISO niet door overheidswetgeving van toepassing wordt verklaard, maar het is meer een afspraak tussen bedrijven (of een overheids-opdrachtgever) dat zij de ISO van toepassing verklaren voor de afgesproken werkzaamheden/scope.*

De overheid verklaard wel andere NENnormen dan ISO van toepassing in bijvoorbeeld bouw- en milieuwetgeving. Daarom blijft het raar dat je die NEN-normen moet kopen.

* (We zien helaas wel vaker voorkomen dat een gemeente bijvoorbeeld een ISO14001-certificering eist voordat ze een milieuvergunning afgeven. Maar dan gaan ze hun boekje ver te buiten.)

[Reactie gewijzigd door Dennisdn op 24 juli 2024 08:17]

Daarom bestaat er een Verklaring van Toepasbaarheid, in het Engels de Statement of Applicability. Dit laat zien welke van de Annex A controls van ISO27001 een organisatie van toepassing heeft verklaard en hiermee heeft geïmplementeerd. Het ISO27001 certificaat is een bevestiging van aanwezige processen, procedures en andere zaken om te bevestigen dat deze controls daadwerkelijk aanwezig zijn bij de organisatie.

Het is heel gebruikelijk om, wanneer je zaken doet met een organisatie dat gecertificeerd is voor ISO27001, deze verklaring op te vragen samen met het certificaat.
Daarom bestaat er een Verklaring van Toepasbaarheid, in het Engels de Statement of Applicability. Dit laat zien welke van de Annex A controls van ISO27001 een organisatie van toepassing heeft verklaard en hiermee heeft geïmplementeerd. Het ISO27001 certificaat is een bevestiging van aanwezige processen, procedures en andere zaken om te bevestigen dat deze controls daadwerkelijk aanwezig zijn bij de organisatie.

Het is heel gebruikelijk om, wanneer je zaken doet met een organisatie dat gecertificeerd is voor ISO27001, deze verklaring op te vragen samen met het certificaat.
Die verklaring zou je sowieso opvragen. Vrijwel niemand implementeert heel ISO27001 voor de hele organisatie. Het is eigenlijk altijd een deel van de organisatie die aan een deel van iso270001 voldoet.
Is niet wat ik zie. Meeste IT-organisaties implementeren vaak makkelijk rond de 110 controls van de 114. Als een organisatie niet aan ontwikkeling van applicaties doet, vallen twee hoofdstukken af.
Dan download je de gratis NEN7510 en lees je over de zorg specifieke maatregelen heen.

Plus het is geen geheim, maar als jij 150€ een barrière vindt, dan moet je maar verder geen bedrijf starten.

Plus als je het toch al geript hebt, lees dan even waarom de norm betaald is.
Jammer dat er niks op hun site staat waarin uitgelegd wordt welke meerwaarde of verschillen dit heeft met bijvoorbeeld ISO 27001 of ISAE 3402? Anders komt er wellicht een Nederlandse variant bij waar je internationaal gezien niet veel bekendheid mee hebt.
ISO27001 certificering houdt in dat je je managementsysteem op gebied van informatiebeveiliging op orde hebt. Het zegt niets over kwetsbaarheden in de ICT-infrastructuur.

En met de ISAE3402 kan een bedrijf zijn eigen scope bepalen. Dit houdt in praktijk in dat een bedrijf er bijvoorbeeld voor kan kiezen om de hele ICT-infrastructuur buiten beschouwing te laten.

Het heeft beide dus een beperkte scope.

[Reactie gewijzigd door VDS91 op 24 juli 2024 08:17]

ISO27001 certificering houdt in dat je je managementsysteem op gebied van informatiebeveiliging op orde hebt. Het zegt niets over kwetsbaarheden in de ICT-infrastructuur.

Het heeft beide dus een beperkte scope.
Nja "niets" is simpelweg niet waar. ISO 27001 Annex A bevat controls die gaan over het beheer van kwetsbaarheden.

Overigens kan je in beide gevallen (ISAE3402 & ISO27K1) inderdaad zelf de scope bepalen, maar misschien is dat ook het geval met NOREA. Daar weten we op dit moment nog niks over.

(ik gok dat NOREA veel meer gaat toetsen over de effectiviteit van maatregelen en dat daar het verschil in zit)

[Reactie gewijzigd door alionfire op 24 juli 2024 08:17]

Mwah, wellicht is 'niets' iets te gechargeerd. Wel kan je als organisatie ISO27001 gecertificeerd zijn ondanks een nonconformity in Annex A (dus controls over het beheer van kwetsbaarheden). Het geeft dus geen zekerheid. Hopelijk dit certificaat wel.

[Reactie gewijzigd door VDS91 op 24 juli 2024 08:17]

True, en dat is gelijk een zwakte van het hele ISO-gebeuren :)
Het zegt ook nog niet dat het management systeem ook gevolgd wordt... Dat is mijn grootste probleem met ISO27001 het kijkt alleen of je het papierwerk in orde hebt zeg maar. Niet wat de mensen letterlijk uitvoeren
Onzin. Plus ISAE is een verklaring, geen norm zoals de ISO, sterker nog je kan een ISAE krijgen op basis van 27001. Je kan voor een ISAE een framework uitkiezen, ook, Gekke Henkie’s Mega IT regelboek v2.7 bijvoorbeeld.
ISAE is een verklaring waar inmiddels de inhoud ervan de facto is afgesproken, en in praktijk dus gewoon overeenkomt als een "norm". De daadwerkelijke invulling is flexibel, net als met elk ISO-standaard.
Als het op papier maar in orde is toch? Als men zich er ook keihard aan houd, zou ik hier voorstander van zijn.
Om antwoord te geven op je vraag: Neen, er moet immers ook aangetoond worden dat hetgeen je op papier hebt staan als dusdanig wordt uitgevoerd over een bepaalde periode. Net als dat bij ISAE 3000/3402, SOC 1/2, IT Audit ihkv de jaarrekeningcontrole, etc.
Was dat bij diginotar ofzo ook niet het geval waarna achteraf bleek dat papier en praktijk mijlenver uit elkaar lagen. Dat is waar ik mij zorgen om maak..
Je hebt overduidelijk niet begrepen waar het om gaat. En dat is okee, maar doe dan niet alsof, je schaadt iets wat goed is door je loze opmerking.
Waar ik nu echt op zit te wachten is een ICT security certificaat voor gebruikers. Dit is m.i. nog steeds de zwakste schakel. Daarnaast is het buiten security en naleving van privacy regels ook goud waard wat betreft de productiviteit van medewerkers en opent de deur naar meer en eenvoudigere uitbreiding van automatisering.
Meeste bedrijven geven minimaal 1x per jaar security awareness trainingen --
Dat is dan waarschijnlijk branche gebonden want de instellingen waar ik werk zijn nog lang niet zo ver. En wat er wordt gedaan is vrijblijvend. Een no show van 50% voor trainingen (zelfs de trainingen door de afdeling zelf aangevraagd) is gebruikelijk. Laat staan dat er iets wordt opgelegd of voorwaardelijk wordt gesteld voor minimaal functioneren van een medewerker.
Hier zijn toch al internationale standaarden voor, zoals SCO2/3 rapport?
Dat is weer gericht op de IT serviceprovider. Als ik het artikel zo snel lees gaat het hierbij om elke organisatie als doelgroep.
Potje heeft soms ander dekseltje nodig. En ik verwacht dat dit meer gaat om common sense ipv een compleet ISMS.
Ik twijfel tussen : "vals gevoel van veiligheid aan klanten geven." en "geeft in ieder geval een ondergrens voor bedrijven (vooral kleine)" waaraan ze voldoen.
Dat er iets in deze hoek moet zijn lijkt me duidelijk, maar dan liefst opgesteld door onafhankelijke experts.
Ik twijfel tussen : "vals gevoel van veiligheid aan klanten geven." en "geeft in ieder geval een ondergrens voor bedrijven (vooral kleine)" waaraan ze voldoen.
Dat er iets in deze hoek moet zijn lijkt me duidelijk, maar dan liefst opgesteld door onafhankelijke experts.
Ik hoop dat dit een ondergrens wordt. De meeste audits die ik gezien hebben geven een bovengrens, geen ondergrens. Die hebben als conclusie "omdat je maar 14 punten hebt gescored op onderdeel 6 is je eindoordeel maximaal 'matig'".

Op dit item kan niet meer gereageerd worden.