• Utrechtseweg 92, 3702 AD Zeist
Laten we beginnen
  • Utrechtseweg 92, 3702 AD Zeist
Laten we kennismaken
Laten we kennismaken

Security of compliance? Of allebei?

Een interne audit kan leiden tot securitybevindingen, compliancebevindingen – of beide. Maar wat is het verschil? Onze visie? ISO27001 en NEN7510 zijn geen doel op zich. Ze zijn een middel om informatiebeveiliging structureel continu onder controle te krijgen.

Leestijd: 4 minuten 

In een eerder blog schreven we al waarom een interne audit belangrijk is. Een interne audit kan leiden tot securitybevindingen, compliancebevindingen – of beide. Maar wat is het verschil? 

 

Niet elke kwetsbaarheid is een complianceprobleem 

Een technische kwetsbaarheid die mogelijk leidt tot een ransomware aanval met grote impact? Dat is een securityrisico. Maar het betekent niet automatisch dat er ook een complianceprobleem is. 

ISO 27001 en NEN 7510 gaan namelijk niet over incidenten op zich, maar over het functioneren van het Information Security Management Systeem (ISMS). Oftewel: het kwaliteitssysteem achter je beveiliging. 

Een fout in een maatregel? Dat hoeft op zich geen probleem te zijn. Tenzij het laat zien dat je ISMS niet werkt. 

 

Wanneer wordt een securityrisico (ook) een compliance risico? 

  • Als risico’s structureel niet worden gemanaged 

  • Als het bestuur geen zicht heeft op incidenten of bewust risico’s negeert 

  • Als er geen sturing of controle plaatsvindt 

  • Als het kwaliteitssysteem faalt 

Zodra de sturing ontbreekt, gaat het mis. 

Incidenten en risico’s zijn geen probleem op zich. Ze horen bij het speelveld. Maar ze laten wél zien in hoeverre een organisatie grip heeft. Worden risico’s herkend? Worden ze gemanaged? En komt die informatie terecht waar het hoort – bij het bestuur? 

Als daar niets gebeurt, als risico’s worden genegeerd of onder het tapijt geschoven, dan is er een serieus probleem. Dan functioneert het kwaliteitssysteem niet. En dat ziet een auditor feilloos. 

Een lange lijst aan tekortkomingen in procedurele of technische maatregelen is geen toeval. Het is een symptoom. Een signaal dat er geen controle is. 

 

Incident vs. complianceprobleem  

En als de organisatie stelt dat risico’s zijn afgedekt met maatregelen, dan moeten die ook aantoonbaar zijn. Werken ze? Worden ze gecontroleerd? Of blijken ze bij het eerste incident vooral fictie?  

Een organisatie die denkt grip te hebben, maar dat in de praktijk niet blijkt te kloppen, leeft in een schijnwerkelijkheid. Dan wordt het risico niet alleen operationeel, maar ook compliance-technisch onhoudbaar. 

Toch is niet elke kwetsbaarheid een compliance-issue. Zolang de besturing werkt en bevindingen volgens afspraak worden opgevolgd, blijft het bij een securityrisico. Geen probleem, wél werk aan de winkel. 

Een auditor kijkt niet alleen naar maatregelen, maar vooral naar grip. Is er regie? Worden afspraken nagekomen? En klopt het beeld dat het bestuur heeft met de werkelijkheid?  

De kern is simpel: incidenten zijn geen diskwalificatie. Gebrek aan sturing wel. 

 

Sluit dit aan op ISO 27001 en NEN 7510? 

Volledig. ISO 27001 en NEN 7510 draaien om het managen van risico’s en continue verbetering. Niet of alle maatregelen perfect zijn gedocumenteerd en geïmplementeerd.  

De filosofie is helder:  

  • Start bij de context van je organisatie: top-down 

  • Inventariseer en begrijp de bedreigingen 

  • Breng de risico’s in kaart vóór je naar maatregelen kijkt 

Pas daarna bepaal je welke maatregelen nodig zijn. Geen dure sloten op een rammelfiets. Alleen gerichte maatregelen die passen bij het risico en het doel. Niet zwaarder dan nodig, maar wel onderbouwd en effectief. Want een maatregel zonder risico is weggegooid geld. 

 

Risico’s managen = ondernemen 

Kwetsbaarheden kun je op elk moment tegenkomen. De wereld en jouw organisatie verandert sneller dan je beleid. Alles van tevoren dichttimmeren? Onmogelijk. 

Wat wél werkt: zorgen dat je dagelijks risico’s kunt herkennen, beoordelen en bijsturen door maatregelen te verbeteren. Snel. Doordacht. En aantoonbaar. 

Dat vraagt geen perfecte wereld, maar een goed systeem. 

 

Certificering als bijvangst 

Onze visie? ISO27001 en NEN7510 zijn geen doel op zich. Ze zijn een middel om informatiebeveiliging structureel continu onder controle te krijgen. 

Dat een certificering commercieel belangrijk kan zijn, begrijpen we. Maar die haal je niet door te sturen op papier. Die haal je als: 

  • De basis op orde is 

  • Risico’s actief worden gemanaged 

  • Rapportage en besluitvorming goed zijn geregeld 

En: als je administratie klopt. Aantoonbaarheid blijft de sleutel. 

Wie veiligheid serieus neemt, maakt certificering vanzelfsprekend. Niet andersom.

 

Wil je weten hoe Beyond Ideas jouw organisatie verder kan helpen?

Neem contact op
Foto van Marcel de Haan

Marcel de Haan

Marcel helpt organisaties hun cybersecurityrisico’s inzichtelijk te maken en beheersbaar te krijgen. Hij ondersteunt pragmatisch bij compliance rond ICT, security en kwaliteitsnormen. Daarnaast voert hij beveiligingsbeoordelingen, GAP-analyses en interne audits uit op basis van relevante frameworks en wet- en regelgeving.

Gerelateerde artikelen