Technologische cyberontwikkelingen volgen elkaar in rap tempo op, cybercriminelen opereren steeds geavanceerder en cybersecurity-professionals krijgen het moeilijker om incidenten te voorkomen. Daarom is het best vreemd dat sommige zaken in deze sector niet lijken te veranderen.
Neem de ISO27001 certificering, die ook in de huidige tijd nog vaak wordt gezien als een ‘bewijs van goede cybersecurity’. Maar is dat wel zo? Een ISO27001-certificering zegt namelijk alleen of een organisatie überhaupt maatregelen/procedures heeft op het gebied van cybersecurity, en hoe deze worden opgevolgd. Het zegt helaas niets over hoe goed deze maatregelen daadwerkelijk zijn en hoe effectief zij de digitale risico’s wegnemen.
De ISO27001-certificering is eigenlijk een papieren exercitie en vooral gericht op IT. Ik zeg niet dat het niet goed is om ISO27001 gecertificeerd te zijn, want een ISO27001-certificering is vaak nog steeds vereist. Maar men moet zich er wel van bewust zijn dat het eigenlijk niets zegt over hoe ‘cyber-veilig’ de organisatie daadwerkelijk is.
Als het management daadwerkelijk benieuwd is naar de cyberveiligheid van de eigen organisatie, dan voldoet een ISO27001-certificering niet. In dat geval zal een overkoepelend risico assessment moeten plaatsvinden. Met ‘overkoepelend’ bedoel ik het in acht nemen van alle systemen op het gebied van IT, OT en IoT binnen die organisatie. Want juist het geheel van deze systemen vormt de digitale aanvalsoppervlakte van die organisatie. En cybersecurity moet wel overkoepelend zijn, gezien het feit dat cybercriminelen zich de afgelopen jaren meer en meer hebben gericht op het aanvallen van OT- en IoT-systemen.
Helaas constateer ik dat veel organisaties zich nog steeds blindstaren op een ISO27001-certificering. Soms in samenhang met een pen-test of red-team project, die ook voornamelijk IT-gericht zijn. Nogmaals, een ISO27001-certificering is beter dan niets doen (want dat is nog veel kwalijker), maar organisaties moeten zich wel beseffen dat dit schijnveiligheid is. Echte cybersecurity vereist een overkoepelende aanpak voor zowel IT, OT als IoT.
Fred Streefland is CEO van Secior, voorheen was hij Senior Director Cybersecurity EMEA bij Hikvision, CSO bij Palo Alto Networks en werkzaam bij onder meer bij Defensie, IBM en Accenture.
Dit artikel verscheen eerder in ITchannelPRO magazine nummer 4