De (waan?)zin van certificeringen

Internetproviders kennen hem. De vraag: Bent u ISO 27001, ISO 9001, SAS 70 (ISAE 3402), NEN 7510, PCI DSS gecertificeerd? Ik ben er vast een aantal vergeten…

En wij staan voor de keuze: willen wij ons aan zo een standaard conformeren? En zo ja, welke dan? Waarom eigenlijk? Hoeveel werk, tijd en geld gaat het ons kosten?

Even hardop denken:
Als we een certificering hebben, een die “garandeert” dat je volgens jouw policies werkt, is er weer geen klant die kijkt wat jouw policies zijn. En als je klant dan wil lezen wat bijvoorbeeld ISO27001 inhoud moet hij eerst afrekenen. En dé policies kunnen ook hele slechte policies zijn. De controle gaat over of je je policies naleeft, de kwaliteit van de policies is van ondergeschikt belang.

Maar daarvoor zijn er normen. Bijvoorbeeld NEN7510. Die is wel gratis te downloaden na het aanmaken van een account met inlognaam en wachtwoord (waarom eigenlijk?). Dus we vullen onze gegevens in, downloaden de PDF en lezen hem door. De richtlijnen na hoofdstuk 8 zijn zeker wel zinnig. Sterker nog, er zijn veel overeenkomsten met onze policies. De eerste 8 hoofdstukken gaan over hoe te controleren of de richtlijnen in de laatste hoofdstukken opgevolgd worden en wie er verantwoordelijk is. Geen van die controles voorkomt echter dat iemand toch wegloopt zonder zijn werkstation te locken, en precies dat hebben wij (Ronald én Mark) meerdere keren in een ziekenhuis zien gebeuren. Het voorkomt ook niet dat iemand data op een USB stick zet of mailt naar een Gmail/Hotmail account om lekker thuis te werken. Op zijn best wordt geconstateerd dat het gebeurt is met een hele riedel incidentmanagement handelingen tot gevolg. En dat constateren, komt dat dan doordat er richtlijnen zijn of doordat gecontroleerd wordt of de richtlijnen gevolgd worden? (Of is het gewoon dom toeval of pech dat men er achter komt? Want al dat papierwerk…)

Dus welke garantie krijgt de klant nu helemaal? Dat alles in orde is omdat er een geplande audit is geweest waarbij een stapel papier als bewijs aangeleverd is door een aangestelde werknemer? Dat incidenten gedocumenteerd en gemeld worden? Dat kunnen er dus ook gewoon 10 (van de 30?) zijn die op de juiste manier afgehandeld zijn. Dat worden dan verbeterpunten voor de volgende audit.

De meeste certificering zeggen dan ook bar weinig over de kwaliteit, hoewel de klant wel de aanname doet dat certificering kwaliteit garandeert. Dus als de klant vraagt: “zijn jullie XYZ gecertificeert?” weet hij niet wat er eigenlijk gecertificeerd is, want om de policies vraagt hij niet en hij wil vooral een “ja” horen omdat het nu eenmaal geëist is door iemand. Want: Gecertificeerd = kwaliteit! Toch?

Maar hoe weet ik dan wat voor een policies een leverancier heeft en hanteert?
Daar is een heel oude oplossing voor. Dat heet vragen. Ik mag hopen dat u, voordat u al uw data toevertrouwt aan een partij, even een gesprek aan gaat en niet zomaar alles slikt dat op een mooie website staat gepresenteerd? Gewoon even kennis maken. Het verhaal aanhoren van een verkoper en vragen of je een engineer kunt spreken. Praat met wat medewerkers. U merkt snel genoeg of het bedrijf zich bewust is van beveiliging, privacy, clean desk, social engineering en dergelijke.

Bottomline:
Als een ISP besluit al hun verkeer door een E-tech SOHO router met een default wachtwoord te laten lopen, of een medewerker besluit data buiten de deur te zetten, is er geen certificering die dat voorkomt.

En wat gaan wij doen?
Wij hebben er dus voor gekozen om geen certificering van die aard te doen omdat de meerwaarde voor de klant niet zo groot is als hij denkt en het ons en onze klanten enorm veel tijd, geld en waarschijnlijk zelfs frustratie kost. De flexibiliteit van Tuxis zou zeker in de problemen komen. In plaats daarvan hebben wij ervoor gekozen om transparant te zijn. Dat we kwaliteit leveren mag de klant vragen aan bestaande klanten, komen bekijken in het datacenter en ons alle vragen stellen die hij kan bedenken tijdens de persoonlijke gesprekken.

Hebben wij dan geen policies? Maar natuurlijk wel. Heel veel zelfs, en vrij stevige. En u mag ze gewoon lezen en er vragen over stellen. Onze policies staan hier. Want wij zijn wél van mening dat je policies moet hebben. Als je geen policies hebt kun je personeel niet sturen of leren hoe wij omgaan met (klant)gegevens. Gegevensbeveiliging is een manier van werken, en als iemand iets doet wat niet hoort, dan wijzen wij die persoon erop en zorgen we dat hij dat goed gaat doen.