Security Professionals - ipfw add deny all from eindgebruikers to any

Waarde ISO certificering?

02-08-2012, 10:13 door Bitwiper, 23 reacties
In http://www.nu.nl/binnenland/2873437/iso-keurde-functioneren-odfjell-goed.html valt te lezen dat olieboer Odfjell in Rotterdam voldeed aan ISO 9001 en ISO 14001, en op basis daarvan een verzekering kon krijgen. Het bedrijf blijkt echter (bijna letterlijk) zo lek te zijn als een mandje.

Ook DigiNotar voldeed vorig jaar aan standaarden (zodanig dat PWC vond dat ze hun zaken voldoende op orde hadden). Welke standaarden precies weet ik niet, maar ik kan me voorstellen dat je voor PKI Overheid aan ISO 27001 (a.k.a. ISO27k) moet voldoen (conform de VIR en VIRBI).

Insiders weten dat dit soort certificeringen vooral managementprocessen en documentatie betreffen, maar niet of nauwelijks tot "het niveau van de werkvloer" doordringen. Sterker, dit soort standaarden eisen dat je documenteert hoe je de processen in je bedrijf/organisatie hebt ingericht, niet wat de kwaliteit daar vervolgens van is. Als je opschrijft "wij repareren lekken niet omdat dit economisch niet rendabel is", dan is dat goed genoeg.

Outsiders (inclusief -kennelijk- verzekeringen in dit geval) zijn kennelijk in de verondertstelling dat zo'n certificering iets zegt over de overall kwaliteit van alle processen bij een organisatie.

Wat is de waarde nog van dit soort certificeringen als de meeste mensen geen idee hebben wat ze voorstellen?
Reacties (23)
02-08-2012, 10:27 door SirDice
Wat ik het probleem met deze certificering vind is dat het niet uitmaakt hoe slecht je organisatie is, als jouw processen maar van A tot Z beschreven zijn dan krijg je die certificering.
02-08-2012, 11:38 door RickDeckardt
Bij een ISO audit kijkt de auditor of de procedures juist zijn omschreven en steeksproefsgewijs of ze ook worden uitgevoerd. Een ongeluk zit in een klein hoekje en 100% de procedures volgen is een utopie. Je hebt een boel mankracht nodig om de zaak goed op te zetten voor de ISO, en maar 1 eikel die zich niet aan de regels houdt om het alsnog in de soep te laten draaien.
02-08-2012, 11:55 door SirDice
Door RickDeckardt: Bij een ISO audit kijkt de auditor of de procedures juist zijn omschreven en steeksproefsgewijs of ze ook worden uitgevoerd. Een ongeluk zit in een klein hoekje en 100% de procedures volgen is een utopie. Je hebt een boel mankracht nodig om de zaak goed op te zetten voor de ISO, en maar 1 eikel die zich niet aan de regels houdt om het alsnog in de soep te laten draaien.
Buiten dat, voor zover ik weet wordt er ook niet gekeken of die procedures uberhaubt wel correct zijn (dan bedoel ik of dat wel de juiste manier is). Er wordt alleen gekeken of de procedures op papier staan en of ze worden uitgevoerd.
02-08-2012, 12:10 door Anoniem
Als er geen management commitment is die de gedachte achter ISO kwaliteitssystemen hoe dan ook wil afdwingen, dan is het kwaliteitssysteem kansloos. Bij ISO gaat het om een proces waarbij voortdurend terugkoppeling tussen doelstellingen en realisatie van die doelstellingen plaatsvindt en waarbij door deze terugkoppeling een continu verbeteringsproces werkzaam is. Dat is the theorie. Hoe goed dat verbeteringsproces werkt hangt sterk af van de beschrijving van het kwaliteitssysteem.

Vaak wordt een kwaliteitssysteem opgezet "om dat het er nu eenmaal bij hoort" of "omdat de klanten het eisen". Aan een gammel functionerend kwaliteitssysteem heb je in werkelijkheid niets, ook al is het gecertificeerd.#dr9bf
02-08-2012, 12:20 door Anoniem
Er zijn een paar problemen hier.

- een ISO certificering die enkel gebasseerd is op processen is niet waard. Processen moeten door technologie worden ondersteund en ook de inrichting en beheersing van deze technologieen moeten in een certificering meegenomen worden. En tenslotte moet de bewustwording van een doorsnede van de medewerkers gemeten worden.

- er zijn teveel certificeerders die enkel naar processen kijken. dit komt omdat de technologie te snel veranderd en men begrijpt enkel nog de administratieve wereld.

- Er zijn legio bedrijven die voor marketing redenen een heel ISO traject optuigen en 2 werelden in stand houden. De echte en een cosmetische wereld. als de auditor daar niet doorheen weet te prikken heb je een probleem. Helaas rent de kwaliteit van de auditors achteruit omdat ze enkel nog maar naar processen kijken en de technologie laten liggen. Deze is te moeilijk en te veranderlijk. Er moet een ander soort auditor komen.
02-08-2012, 13:15 door Bitwiper
Door Anoniem: Helaas rent de kwaliteit van de auditors achteruit omdat ze enkel nog maar naar processen kijken en de technologie laten liggen. Deze is te moeilijk en te veranderlijk. Er moet een ander soort auditor komen.
Dat is -helaas- ook mijn ervaring!
02-08-2012, 16:21 door WhizzMan
De ISOstandaarden waar Odfjell aan voldoet, gaan niet over de veiligheidsvoorschriften waar ze aan moest voldoen waardoor ze nu in het nieuws komen. Dit is hetzelfde als zeggen dat een MCSEdiploma niet deugt omdat het geen garantie geeft of iemand een goede vrachtautochauffeur is. Ze zijn totaal niet gerelateerd aan elkaar.
02-08-2012, 16:39 door [Account Verwijderd]
[Verwijderd]
02-08-2012, 16:40 door [Account Verwijderd]
[Verwijderd]
02-08-2012, 16:47 door [Account Verwijderd]
[Verwijderd]
02-08-2012, 16:51 door Anoniem
Je kunt een betonnen zwemvest ISO certificeren. Beantwoord dat je vraag?
02-08-2012, 18:26 door Anoniem
Paper auditors zijn compleet overbodig.
Technical auditors komen de bruikbare rapporten vandaan.

ISO 27001 is wel degelijk een mooie guideline om eea op orde te krijgen.

Punt is dat management enkel de paper auditors interessant vindt. Omdat deze op dezelfde lijn zitten als zijzelf.
02-08-2012, 21:47 door slartibartfast
Tjonge, wat een hoop onkunde hier wat deze normen betreft. Ik werk er al 15 jaar mee, heb vele bedrijven begeleid en doe audits voor een certification body. Ben dus gekwalificeerd ISO27001 Lead Auditor.

Laat 1 ding even gezegd zijn; een ISO27001 certificaat zegt weinig of niets over de staat van de beveiliging van een organisatie!

Net zo goed als een certificaat voor kwaliteitsmanagement (ISO 9000) niets zegt over de kwaliteit van het product van een bedrijf en een certificaat voor milieumanagement (ISO 14000). Zowel een Skoda fabriek als een Rolls-Royce fabriek kunnen een ISO9001 certificaat hebben, iedereen zal het met me eens zijn dat een Rolls-Royce een 'betere' auto is.

Wat zegt een ISO27001 certificaat dan wel? Dat het management maatregelen getroffen heeft voor die risico's die men te hoog acht en dat de werking van die maatregelen regelmatig getoetst wordt, intern en extern. That's all.

En de opmerking dat je een betonnen zwemvest ISO kunt certificeren zegt ten eerste dat die poster niets weet van certificering want een product of dienst van een bedrijf kun je niet ISO certificeren maar alleen het voortbrengingsproces of de organisatie zelf, niet dat wat men maakt dus. Dat zou productcertificering zijn, CE markering bijvoorbeeld.

En ten tweede is het al sinds een tiental jaren zo dat een ISO9001 gecertificeerde organisatie de klanttevredenheid moet meten en dus de juiste producten/diensten moet leveren die de klant verwacht. En een bedrijf dat betonnen zwemvesten maakt, een veelgehoorde fabel uit de jaren '90, kan dus beslist geen ISO9001 certificaat krijgen.

Ik heb veel bedrijven begeleid en wat je algemeen wel kunt stellen is dat ISO27001 gecertificeerde bedrijven veel beter met informatiebeveiliging bezig zijn dan toen ze dat certificaat nog niet hadden.

Zie het eens zo; als er geen noodzaak was om een rijbewijs te halen, zou je dan nog met een gevoel van veiligheid deelnemen aan het verkeer? Als je niet gelooft in certificering waarom is het dan toch wel fijn dat er zoiets als rijbewijzen bestaan? En ja; ook ik zie regelmatig mensen die niet goed rijden. Dus diginotar (overigens geen ISO27001 maar een ETSI TTP.NL certificaat) maakte een grove fout. Ook al was er een managementsysteem. Garantie geeft het dus niet, er blijven brokkenrijders op de weg maar met een rijbewijs rij je wel veiliger!
02-08-2012, 23:45 door Bitwiper
@slartibartfast: heldere reactie, dank daarvoor!
Door slartibartfast: Zie het eens zo; als er geen noodzaak was om een rijbewijs te halen, zou je dan nog met een gevoel van veiligheid deelnemen aan het verkeer? Als je niet gelooft in certificering waarom is het dan toch wel fijn dat er zoiets als rijbewijzen bestaan? En ja; ook ik zie regelmatig mensen die niet goed rijden.
Exact! Deze vergelijking gaat mank omdat slecht rijgedrag meestal al zichtbaar is vóór incidenten. Onvoldoende ICT beveiliging is pas zichtbaar tijdens of na een incident; een vergelijking met een APK keuring was al beter geweest - maar ook niet goed genoeg. Want een APK keuring bestaat uit het aflopen van een eenvoudig te verifiëren checklist (profieldiepte banden, dikte remblokken etc).

Jouw aanname dat ik niet geloof in certificeringen is onjuist. Mijn kritiek betreft certificeringen die bij de meeste mensen de indruk wekken dat iets in orde is (bijv. de beveiliging zelf) maar als puntje bij paaltje komt de certificering iets heel anders blijkt te betreffen (bijv. managementprocessen).

Laat 1 ding even gezegd zijn; een ISO27001 certificaat zegt weinig of niets over de staat van de beveiliging van een organisatie!
Opnieuw exact! Jij weet dat en ik weet dat. Maar wat wordt een gemiddelde Google apps klant geacht te denken als hij http://googleenterprise.blogspot.nl/2012/05/google-apps-receives-iso-27001.html leest? Die hebben hun beveiliging op orde of ze hebben een PDCA cyclus?

Ik heb veel bedrijven begeleid en wat je algemeen wel kunt stellen is dat ISO27001 gecertificeerde bedrijven veel beter met informatiebeveiliging bezig zijn dan toen ze dat certificaat nog niet hadden.
Klinkt leuk, maar uit "algemeen" maak ik op dat er bedrijven tussen zitten die security daarna heel serieus nemen, maar ook die het dan nog steeds geen ruk interesseert - en het alleen maar om het papiertje te doen was. In tegenstelling tot het voorbeeld in http://www.woorden.org/woord/kaf kun je met een ISO27k certificering dus niet het kaf van het koren scheiden...

Gegeven dat jij als auditor stelt dat "een ISO27001 certificaat weinig of niets zegt over de staat van de beveiliging": bestaan er minder abstracte certificeringen waarmee je als bedrijf of organisatie kunt aantonen dat je de informatiebeveiliging wel goed op orde hebt en houdt? En zo ja, welke zijn dat?

Nb. anderen dan slartibartfast worden natuurlijk ook uitgenodigd te antwoorden als zij goede certificeringen kennen of ideëen hebben hoe zo'n certificering vormgegeven zou kunnen worden!
03-08-2012, 10:26 door Anoniem
"In http://www.nu.nl/binnenland/2873437/iso-keurde-functioneren-odfjell-goed.html valt te lezen dat olieboer Odfjell in Rotterdam voldeed aan ISO 9001 en ISO 14001, en op basis daarvan een verzekering kon krijgen. Het bedrijf blijkt echter (bijna letterlijk) zo lek te zijn als een mandje. "

Wat heeft bijvoorbeeld ISO 14001 (dat betrekking heeft op environmental management) in hemelsnaam van doen met informatie beveiliging ? Dat je zaken milieuvriendelijk regelt heeft daar toch weinig mee te maken ?

ISO 9001 heeft daar evenmin betrekking op, en zegt ook niets over het niveau van beveiliging. Indien je in je processen van ISO 9001 zet dat je de voordeur wagenwijd openzet, dan is dat geen probleem, zolang je je maar consequent houdt aan je beschreven processen ;)

De vraag of ze gecertificeerd zijn volgens de ISO 27000 standaarden, die wel gaan over informatiebeveiliging, lijkt me een stuk interessanter.

"Laat 1 ding even gezegd zijn; een ISO27001 certificaat zegt weinig of niets over de staat van de beveiliging van een organisatie!"

Het zegt wel degelijk wat over de vraag of een organisatie voldoet aan (minimale) standaarden op het gebied van informatie beveiliging. Maar compliant zijn wil natuurlijk niet zeggen dat je onkwetsbaar bent ;)

"Gegeven dat jij als auditor stelt dat "een ISO27001 certificaat weinig of niets zegt over de staat van de beveiliging": bestaan er minder abstracte certificeringen waarmee je als bedrijf of organisatie kunt aantonen dat je de informatiebeveiliging wel goed op orde hebt en houdt? En zo ja, welke zijn dat?"

Geen enkele certificering kan aantonen dat je veilig bent, wel dat je voldoet aan een reeks van controls, en daardoor compliant bent m.b.t. die certificering. Een ISO270001 certificering laat wel zien dat men informatie beveiliging serieus neemt, en dat men er gestructureerd mee bezig is.
03-08-2012, 10:39 door Anoniem
ISAE 3402 zou wel wat meer inzicht kunnen geven...aantonen van opzet, bestaan en werking vanuit operatie geeft een redelijk goed beeld over hoe processen functioneren. nadeel is wel dat de controls vaak door de organisatie zelf ingevuld worden.
03-08-2012, 11:28 door slartibartfast
@Bitwiper;

"Gegeven dat jij als auditor stelt dat "een ISO27001 certificaat weinig of niets zegt over de staat van de beveiliging": bestaan er minder abstracte certificeringen waarmee je als bedrijf of organisatie kunt aantonen dat je de informatiebeveiliging wel goed op orde hebt en houdt? En zo ja, welke zijn dat?"

Beste advies is testen, monitoren, IDS, IPS, pentesten, patch management etc. etc., zover ik weet kun je dat niet laten certificeren. Compliance met ISO27001 betekent voor PDCA op orde... of "Do" ook daadwerkelijk de dagelijkse risico's dekt is toch erg afhankelijk van de kwaliteit van alles wat je doet in "Do". Dus vooral goede mensen in dienst en heel veel realisatie dat je alleen leert of iets goed is door kritisch te zijn en vooral veel te testen.

"linkt leuk, maar uit "algemeen" maak ik op dat er bedrijven tussen zitten die security daarna heel serieus nemen, maar ook die het dan nog steeds geen ruk interesseert - en het alleen maar om het papiertje te doen was."

Ja. Helaas. Er zijn bedrijven die onder grote druk van klanten een certificaat moeten halen, anders raken ze die klanten kwijt. Geen fraai doel; het certificaat halen om het certificaat. Anderszins; als daardoor men zich iets bewuster wordt van IB is er toch winst.

En @Anoniem op 10:26:

"Het zegt wel degelijk wat over de vraag of een organisatie voldoet aan (minimale) standaarden op het gebied van informatie beveiliging. Maar compliant zijn wil natuurlijk niet zeggen dat je onkwetsbaar bent ;)"

Nee. Nee. Nee! Een ISO27001 certificaat betekent PDCA in place. Het zegt niets over dat wat jij 'minimale standaarden' noemt. En waarom? Omdat een organisatie in de SoA zelf de keuze mag maken welke controls wel/niet geimplementeerd zijn. In theorie (maar geen enkele CB geeft dan een certificaat) zou een organisatie alle controls kunnen uitsluiten en toch een certificaat krijgen! Dan hebben we dus weer dat betonnen zwemvesten verhaal :-)

Als je met minimale standaarden bedoelt de stappen in de PDCA cyclus (risicoanalyse, review, audit e.d.) dan ok, maar dat zijn allemaal activiteiten waar je beveiliging geen spat beter van wordt. Hoogstend het bewustzijn bij het management. Beveiliging wordt beter van firewalls, patch management, pentesten, scheiding etc.... allemaal controls die je allemaal mag uitsluiten als je dat wilt.

"Een ISO270001 certificering laat wel zien dat men informatie beveiliging serieus neemt, en dat men er gestructureerd mee bezig is."

Bingo! Spijker op de kop.
03-08-2012, 13:32 door Anoniem
"Nee. Nee. Nee! Een ISO27001 certificaat betekent PDCA in place. Het zegt niets over dat wat jij 'minimale standaarden' noemt. En waarom? Omdat een organisatie in de SoA zelf de keuze mag maken welke controls wel/niet geimplementeerd zijn. In theorie (maar geen enkele CB geeft dan een certificaat) zou een organisatie alle controls kunnen uitsluiten en toch een certificaat krijgen! Dan hebben we dus weer dat betonnen zwemvesten verhaal :-)"

Dank voor de toelichting, een zeer heldere uitleg, en ik was mij niet bewust van het feit dat je allerlij controls kunt uitsluiten. Nu snap ik hoe bepaalde bedrijven aan ISO 27001 komen terwijl ik zie dat ze volstrekt niet voldoen aan de eisen van sommige controls.
03-08-2012, 13:45 door cjkos
ISO zegt niets over veiligheid, ik wist niet eens dat er een iso270001 was. Maar Iso wil niets anders zeggen dat men volgens een minimale norm werkt, waarbij vooral de protocollen op papier zijn gesteld en dit bij elke werknemer bekend hoort te zijn/is en hier ook naar hoort te werken.

Of dit ook daadwerkelijk veilig is of gebeurd kan de ISO normering niet garanderen.

Mijn ervaring bij dit soort audits is dat men vaak in tijdnood lijkt te zijn en vaak alleen vragen waar de mappen met de protocollen staan (Meestal intern al rondgeschreven voordat de auditor komt, zodat het bijna onmogelijk is om niet te weten waar die mappen staan.) Vervolgens stellen ze de 'moeilijke' vragen aan een vooraf door het bedrijf aangestelde persoon die er tijd voor heeft gemaakt.

Ik heb gewerkt met ISO en NEN, en beide geven 0% garantie dat iets ook veilig gebeurd. Alleen dat het bedrijf en haar werknemers zouden moeten weten hoe het best gewerkt moet worden.

Ge-eist door klanten omdat er volgens de ISO norm ook iets in moet staan over een klachtenprocedure. Of die werkt wordt slechts 1 keer per jaar gecontroleerd door een certificeringsbedrijf, en 1 keer per jaar intern door een collega.
03-08-2012, 15:57 door StevenStip
voor de 27001 geeft het wel een hoop duidelijkheid over hoe eea is ingericht. Ik denk zeker dat een iso certificering iets toevoegd aan de beveiliging in dit geval maar zekerheid biedt het niet. Het werkt echter zeker wel bewustzijns verhogend.
04-08-2012, 01:05 door [Account Verwijderd]
[Verwijderd]
04-08-2012, 08:37 door Nerd
wel, als zij een ISO certificaat hadden, en ik lees hierboven dat dit een "management" ding is om mee te werken, dan hadden ze toch 's naar die techneuten moeten luisteren dat dingen niet in orde zijn. Dit werkt cumulatief als ze dat niet doen, want een techneut gaat geen tijd verspillen aan raporteren als hij denkt dat de organisatie er toch niks aan doet. Zeer zeker als daar al helemaal geen terugkoppeling over is. Dan kun je nog zo hard roepen dat er een "ISO certificering" is, maar dat maakt niet uit.

Er is nu eenmaal een groot verschil tussen "management" en de "uitvoer" kant. Management hoort ten dienste te zijn aan uitvoer, maar bijna altijd is het andersom. Daarom gaan kleinere bedrijven ook stukken beter, daar zit het management nog gewoon in de uitvoer.
04-08-2012, 11:27 door slartibartfast
@Nerd; beetje huilen met de wolven lijkt me. Ik kom bij veel bedrijven over de vloer en herken niet wat je zegt. Bij veel daarvan is er wel degelijk een goede connect tussen manager en operatie. Dat kan ook niet anders omdat die manager vaak afgerekend wordt op de prestatie van de operatie; hij/zij moet dan dus weten wat er gebeurt.

Probleem wat ik zie is wel vaak dat bij informatiebeveiliging - toch vaak een ICT zaak - die 'techneut' zoals jij ze noemt, de daadwerkelijke problemen niet goed onder de aandacht kan brengen. Een manager wil wel luisteren maar als die 'techneut' begint over dat er een IDS moet komen als we naar IPv6 gaan omdat de risico's dan groter worden haakt de manager wel af ja :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.