Opinie: De (waan)zin van certificeringen


Internetproviders kennen hem. De vraag: Bent u ISO 27001, ISO 9001, SAS 70 (ISAE 3402), NEN 7510, PCI DSS gecertificeerd? Ik ben er vast een aantal vergeten…

En wij staan voor de keuze: willen wij ons aan zo een standaard conformeren? En zo ja, welke dan? Waarom eigenlijk? Hoeveel werk, tijd en geld gaat het ons kosten?

Even hardop denken:
Als we een certificering hebben, een die ‘garandeert’ dat je volgens jouw policies werkt, is er weer geen klant die kijkt wat jouw policies zijn. En als je klant dan wil lezen wat bijvoorbeeld ISO 27001 inhoudt moet hij eerst afrekenen. En dé policies kunnen ook hele slechte policies zijn. De controle gaat over of je je policies naleeft, de kwaliteit van de policies is van ondergeschikt belang.

Maar daarvoor zijn er normen. Bijvoorbeeld NEN7510. Die is wel gratis te downloaden na het aanmaken van een account met inlognaam en wachtwoord (waarom eigenlijk?). Dus we vullen onze gegevens in, downloaden de PDF en lezen hem door. De richtlijnen na hoofdstuk 8 zijn zeker wel zinnig. Sterker nog, er zijn veel overeenkomsten met onze policies. De eerste 8 hoofdstukken gaan over hoe te controleren of de richtlijnen in de laatste hoofdstukken opgevolgd worden en wie er verantwoordelijk is. Geen van die controles voorkomt echter dat iemand toch wegloopt zonder zijn werkstation te locken, en precies dat hebben wij (Ronald én Mark) meerdere keren in een ziekenhuis zien gebeuren. Het voorkomt ook niet dat iemand data op een USB stick zet of mailt naar een Gmail/Hotmail-account om lekker thuis te werken. Op zijn best wordt geconstateerd dat het gebeurd is met een hele riedel incidentmanagement handelingen tot gevolg. En dat constateren, komt dat dan doordat er richtlijnen zijn of doordat gecontroleerd wordt of de richtlijnen gevolgd worden? (Of is het gewoon dom toeval of pech dat men erachter komt? Want al dat papierwerk…)

Dus welke garantie krijgt de klant nu helemaal? Dat alles in orde is omdat er een geplande audit is geweest waarbij een stapel papier als bewijs aangeleverd is door een aangestelde werknemer? Dat incidenten gedocumenteerd en gemeld worden? Dat kunnen er dus ook gewoon 10 (van de 30?) zijn die op de juiste manier afgehandeld zijn. Dat worden dan verbeterpunten voor de volgende audit.

De meeste certificering zeggen dan ook bar weinig over de kwaliteit, hoewel de klant wel de aanname doet dat certificering kwaliteit garandeert. Dus als de klant vraagt: “zijn jullie XYZ gecertificeerd?” weet hij niet wat er eigenlijk gecertificeerd is, want om de policies vraagt hij niet en hij wil vooral een “ja” horen omdat het nu eenmaal geëist is door iemand. Want: Gecertificeerd = kwaliteit! Toch?

Maar hoe weet ik dan wat voor een policies een leverancier heeft en hanteert?
Daar is een heel oude oplossing voor. Dat heet vragen. Ik mag hopen dat u, voordat u al uw data toevertrouwt aan een partij, even een gesprek aangaat en niet zomaar alles slikt dat op een mooie website staat gepresenteerd? Gewoon even kennismaken. Het verhaal aanhoren van een verkoper en vragen of je een engineer kunt spreken. Praat met wat medewerkers. U merkt snel genoeg of het bedrijf zich bewust is van beveiliging, privacy, clean desk, social engineering en dergelijke.

Bottomline:
Als een ISP besluit al hun verkeer door een E-tech SOHO router met een default wachtwoord te laten lopen, of een medewerker besluit data buiten de deur te zetten, is er geen certificering die dat voorkomt.

En wat gaan wij doen?
Wij hebben er dus voor gekozen om geen certificering van die aard te doen omdat de meerwaarde voor de klant niet zo groot is als hij denkt en het ons en onze klanten enorm veel tijd, geld en waarschijnlijk zelfs frustratie kost. De flexibiliteit van Tuxis zou zeker in de problemen komen. In plaats daarvan hebben wij ervoor gekozen om transparant te zijn. Dat we kwaliteit leveren mag de klant vragen aan bestaande klanten, komen bekijken in het datacenter en ons alle vragen stellen die hij kan bedenken tijdens de persoonlijke gesprekken.

Hebben wij dan geen policies? Maar natuurlijk wel. Heel veel zelfs, en vrij stevige. En u mag ze gewoon lezen en er vragen over stellen. Onze policies staan hier. Want wij zijn wél van mening dat je policies moet hebben. Als je geen policies hebt, kun je personeel niet sturen of leren hoe wij omgaan met (klant)gegevens. Gegevensbeveiliging is een manier van werken, en als iemand iets doet wat niet hoort, dan wijzen wij die persoon erop en zorgen we dat hij dat goed gaat doen.

Advertentie: De inhoud van dit blok bevat een mededeling van onze partner

Vacatures van Byte


Geschreven door Ronald Otto (Tuxis)

Dit ingezonden artikel is geschreven door Ronald Otto van Tuxis.

Lees ook de onderstaande artikelen van Tuxis

Stuur ook uw blog, achtergrond artikel of andere bijdrage in!

Indien u zelf een interessante bijdrage, zoals een blog, how-to of achtergrond heeft, dan plaatsen wij die graag en dat kost u niks. Neem contact op met de ISPam.nl redactie via redactie@ispam.nl of kijk op deze pagina voor meer informatie over het leveren van een bijdrage aan ISPam.nl.

ISPam.nl Job board

Sander, 11 februari 2016 4:09 pm

Ik vind dit artikel een beetje neigen naar een mening van iemand die de essentie van een managementsysteem niet begrijpt. Een goede (ISO) auditor zal m.i. altijd kijken of er een gedegen context- en risico-analyse ten grondslag ligt aan de set genomen maatregelen (waaronder policies) en of deze maatregelen effectief werken en zo bijdragen aan het behalen van de doelstellingen van een dergelijk systeem (waaronder het beheersen van risico's). De stelling dat je een certificaat kunt halen door alle data op straat te leggen, zolang je het maar beschrijft in een policy, houdt tegenwoordig echt geen stand meer. En als een certificering ten koste gaat van de flexibiliteit van een organisatie is er maar een oorzaak: een slechte implementatie van het systeem door waarschijnlijk een slechte adviseur die alles uit zijn la trekt ipv zich verdiept in de organisatie en (integraal) maatwerk levert.

Daarnaast is het doel van een certificering ook het voorkomen van klant-audits (en dus geld besparing). Liever eenmaal per jaar een grondige externe audit, dan het hele jaar door klanten hierin te moeten faciliteren.

Ik ben de eerste die zal bevestigen dat het tegenwoordig een beetje doorgeschoten is in de keten qua eisen op dit gebied. Men roept vaak maar wat zonder zich te verdiepen in de inhoud en/of door te vragen. Hierdoor gaat er veel geld verloren aan overhead en zaken die risico-technisch eigenlijk niet relevant zijn. Maar klanten willen zekerheid en een objectieve mening is nog altijd beter dan de mening van een slager die zijn eigen vlees keurt.

Desalniettemin, chapeau voor het standpunt van de auteur, maar ik vraag me af hoe lang dit stand kan houden zonder dat het ten koste gaat van de eigen business.

Sven, 12 februari 2016 9:32 am

Dank je Sander, stond op het punt iets soortgelijks te tikken. Een auditor gaat echt wel verder dan alleen papier controleren. Je zal moeten aantonen dat de genomen maatregelen ook effectief zijn. De ene dag leg ik uit aan de auditor wat we hebben bedacht, maar de volgende dag pakt de auditor een willekeurige servicedesk medewerker om te controleren of die het ook echt doet. Je policies delen is leuk, goed zelfs! maar wie controleert of jij je aan je policies houdt? Een externe auditor iets meer dan niets :)
Waar de schrijver gelijk in heeft is dat je inderdaad moet doorvragen en dat incidenten zullen voorkomen en dat je de boel zou kunnen flessen als je dat wilt. Maar een goed systeem zorgt er wel voor dat je incidenten detecteert en ervan leert. En in de ISO27001 mag je echt niet je verkeer door een soho router met default wachtwoord heen laten lopen. Ook niet als je dat in je policy schrijft.

Deel uw reactie met andere ISPam.nl lezers

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

MELD U AAN VOOR DE NIEUWSBRIEF
Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Uitgelicht bedrijfsnieuws van 27 januari 2017
apkdld: Enjoy most recent number one popular android apps game on your phone and tablet, also be aware that ...

Heartbleed – of de noodzaak om als provider altijd te patchen
showbox alternative: Is showbox not working? Don’t be anxious we have included a list of best Showbox alternative for y...

Naar de cloud of naar de haaien?
http://www.coins4games.us/: När jag för en gångs skull sitter uppe och läser precis när ämnet kommer... så ...