top of page
Zoeken

Waarom organisaties met ISO 27001 tóch worden gehackt

Veel organisaties zien een ISO 27001-certificering als het bewijs dat hun informatiebeveiliging op orde is.


En eerlijk is eerlijk: het behalen van een certificering kost tijd, geld en inzet. Het laat zien dat processen zijn ingericht, risico’s worden beoordeeld en dat security serieus wordt genomen.


Toch zien we in de praktijk dat ook organisaties met een volwassen compliance programma slachtoffer worden van cyberincidenten.


Niet omdat ISO 27001 niet werkt. Maar omdat compliance en security twee verschillende dingen zijn.


Compliance organiseert security — het garandeert het niet


ISO 27001 helpt organisaties om hun informatiebeveiliging te structureren.


Het dwingt organisaties bijvoorbeeld om:

  • risicoanalyses uit te voeren

  • beleid en procedures vast te leggen

  • verantwoordelijkheden te definiëren

  • periodiek te controleren of maatregelen werken


Dat zijn belangrijke fundamenten.


Maar een certificaat betekent niet automatisch dat:

  • monitoring altijd goed functioneert

  • kwetsbaarheden direct worden opgelost

  • accounts correct worden beheerd

  • securityteams voldoende capaciteit hebben


Met andere woorden: een organisatie kan volledig compliant zijn en toch kwetsbaar blijven.



De meeste hacks beginnen niet meer met malware


Als je recente incidenten analyseert, zie je een duidelijk patroon.


Veel aanvallen beginnen met:

  • gestolen accounts

  • phishing

  • social engineering

  • misbruik van toegang tot systemen

Niet met complexe malware.


Een bekend voorbeeld is de aanval op MGM Resorts International.

Daar kregen aanvallers toegang door simpelweg de helpdesk te bellen en zich voor te doen als een medewerker. Na een account reset hadden ze toegang tot interne systemen. Het resultaat: hotelsystemen vielen uit en de schade liep op tot honderden miljoenen dollars.

De organisatie had uitgebreide security programma’s. Maar de aanval zat in een operationeel proces.



Supply chain: risico buiten je eigen organisatie


Een tweede oorzaak van incidenten ligt in de keten.


De supply-chain aanval op SolarWinds liet zien hoe groot dit risico kan zijn.

Aanvallers wisten malware in software-updates te plaatsen, waardoor duizenden organisaties wereldwijd werden getroffen — waaronder overheden en grote bedrijven.

Veel van die organisaties hadden sterke security programma’s. Maar de aanval kwam via software die zij vertrouwden.


Compliance focust vaak op de eigen organisatie, terwijl risico’s steeds vaker buiten de organisatie ontstaan.



Compliance controleert processen, geen realiteit


Een audit controleert bijvoorbeeld:

  • of er een patchproces bestaat

  • of rollen en verantwoordelijkheden zijn vastgelegd

  • of risico’s worden geanalyseerd


Maar een audit kan niet altijd zien:

  • of patches daadwerkelijk snel genoeg worden uitgevoerd

  • of monitoringalerts worden opgevolgd

  • of securityspecialisten structureel overbelast zijn


Daar zit vaak het verschil tussen paper security en real security.



Scope: certificering geldt niet altijd voor alles


Nog een belangrijk punt: de scope van een certificering.


ISO 27001 kan bijvoorbeeld gelden voor:

  • een specifieke afdeling

  • een specifiek platform

  • een specifieke dienst


Maar niet altijd voor:

  • legacy systemen

  • nieuwe cloudomgevingen

  • externe leveranciers


Daardoor kan een organisatie gecertificeerd zijn, terwijl delen van de IT-omgeving buiten de scope vallen.



Security is geen momentopname


Een certificering wordt meestal periodiek getoetst.

Maar security verandert continu:

  • nieuwe kwetsbaarheden

  • nieuwe systemen

  • nieuwe leveranciers

  • nieuwe aanvalstechnieken


Daarom is informatiebeveiliging geen project en ook geen eindpunt.

Het is een continu proces.



Wat betekent dit voor organisaties?


ISO 27001 is waardevol. Het helpt organisaties structuur aan te brengen in hun security.

Maar het is geen einddoel.


Organisaties die hun security volwassen willen maken, kijken verder dan compliance alleen.

Ze investeren in:

  • continue monitoring

  • sterke identity-beveiliging

  • duidelijke rolverdeling in securityteams

  • voldoende capaciteit om processen echt uit te voeren


Want uiteindelijk wordt security niet bepaald door een certificaat.

Maar door wat er dagelijks in de praktijk gebeurt.



Slot


ISO 27001 helpt organisaties om hun securityproces te organiseren.

Maar een certificaat betekent niet dat aanvallers buiten blijven.


Security ontstaat niet op papier. Security ontstaat in de uitvoering.



Opmerkingen

bottom of page