ISO 27001 wordt te vaak gezien als een eindstation. Een certificaat op de muur, een vinkje voor de auditor, een geruststelling voor de directie. Maar laten we eerlijk zijn: je kunt keurig gecertificeerd zijn — en alsnog pijnlijk kwetsbaar.
De waarheid is simpel. ISO 27001 zegt dat je hebt nagedacht over risico’s, beleid hebt ingericht, en dat je ‘in control’ bent over je informatiebeveiliging. Maar het zegt niets over hoe goed je firewall écht staat afgesteld, of dat je medewerkers die phishingmail ook echt herkennen, of dat er ergens in je cloudomgeving een vergeten adminaccount wacht op misbruik.
Een goed ISMS is waardevol — maar niet voldoende
Ik ben de laatste die het belang van een Information Security Management System (ISMS) zal bagatelliseren. Integendeel. Een goed ISMS helpt organisaties structuur aan te brengen, eigenaarschap te organiseren en informatiebeveiliging te verankeren in processen en besluitvorming.
Maar het wordt pas krachtig als het geen papieren werkelijkheid is, maar een levend systeem. En daarvoor moet je verder kijken dan beleid en procedures.
Pentesten brengen aan het licht wat beleid niet ziet
Ik heb organisaties gezien die ISO 27001-certificering behaalden terwijl hun Active Directory nog draaide op wachtwoorden van acht karakters zonder multifactor. Die keurig hun risico’s documenteerden, maar nooit een technische audit hadden laten uitvoeren. Of die volledig vertrouwden op hun cloudprovider — zonder ooit gecontroleerd te hebben of er shadow storage was ontstaan.
Een pentest is geen nice-to-have, het is een reality check. Het laat zien waar beleid stopt en waar kwetsbaarheid begint. Het legt bloot waar techniek achterloopt op beleid. Of erger: waar niemand het meer scherp had.
Mensen en techniek: de vergeten variabelen in veel audits
Een ander pijnpunt: te veel focus op papieren sporen, te weinig aandacht voor gedrag. Hoe vaak worden wachtwoorden gedeeld? Hoe reageren mensen op twijfelachtige mails? Wie heeft toegang tot wat, en wie controleert dat eigenlijk?
Evenmin mag techniek een black box zijn. Als je niet weet hoe je cloudomgeving is ingericht, of als je security door je leverancier laat ‘regelen’ zonder controle, dan ligt je risico elders. Het is niet genoeg om erop te vertrouwen dat ‘het geregeld is’. Je moet toetsen of het klopt.
Certificering is geen einddoel. Het is een bijvangst.
De kern van een gezonde beveiligingscultuur zit niet in het behalen van een certificaat. Het zit in:
- mensen die risico’s leren herkennen en ermee leren omgaan
- techniek die bewust en aantoonbaar veilig is ingericht
- een organisatie die vragen stelt en antwoorden durft te zoeken
ISO 27001 kan dat proces ondersteunen, maar niet vervangen.
En nu?
Als je al gecertificeerd bent: gefeliciteerd. Maar stel jezelf één simpele vraag: hoe weet ik zeker dat mijn technische maatregelen doen wat ze beloven?
Als je daar geen goed antwoord op hebt, dan is dat je volgende stap.
CyScientia helpt organisaties die stap te zetten. Niet door de checklist af te vinken, maar door écht inzicht te geven.
Nieuwsgierig wat een pentest of technische pre-audit oplevert? Stuur ons een bericht. Geen verplichting, wel inzicht.