Unngå sertifikatfella – ISO27001 ingen sikkerhetsgaranti

Ikke la deg lure. Et ISO27001-sertifikat er ingen garanti for at produktet eller tjenesten du kjøper er sikker.

Advokater og jurister kommer stadig oftere borti begreper som ISO27001, ISO27002 og andre 27k referanser når databehandleravtaler og kontrakter skal skrives med leverandører av IT-tjenester. Løsningsarkitekter og systemutviklere kommer borti de samme begrepene under tjenesteutvikling hvor de tar i bruk tredjepartsløsninger. De færreste vet imidlertid hva som ligger bak nummerseriene, bortsett fra at de har noe med informasjonssikkerhet å gjøre. (Mitt forrige blogginnlegg om ISO27001 vs. ISO27002 gir en kort intro.) Det som også er kjent for flere er at bedrifter kan få seg et ISO27001-sertifikat. Denne standarden har opparbeidet seg status og blitt en slags gullstandard for informasjonssikkerhet. Da må jo produktene eller tjenestene fra sertifiserte leverandører være sikre også…? Feil (eller mer politisk korrekt – ikke nødvendigvis). Slike assosiasjoner er et stort problem, og kan misbrukes rått av sertifiserte bedrifter i markedsføringssammenheng.

Hvorfor er ikke et ISO27001-sertifikat nødvendigvis en sikkerhetsgaranti? Noen velmente råd og tips følger:

I sammenheng med kjøp av produkt

  • ISO27001-sertifikater sier kun noe om en virksomhets styringssystem for informasjonssikkerhet. Produkter (for eksempel ulike software- eller hardwarekomponenter) sertifiseres ikke. Produkter har en egen sikkerhetssertifiseringsordning, aka. Common Criteria (aka ISO15408).

I sammenheng med kjøp av tjeneste

  •  Et sertifikat skal ha et klart avgrenset scope/omfang. Sjekk scope for sikkerhetssertifikatet til tjenesteleverandøren din. Ligger ikke leveranse av tjenesten i scope, sier ikke sertifikatet noe om styringen av sikkerheten i tjenesten du kjøper.
  • Hva er risikoprofilen til virksomheten du skal kjøpe en tjeneste fra (f.eks en skytjeneste)? For å motta en sertifisering er det krav om at virksomhetsledelsen skal kjenne til risikobildet, at man innfører nødvendige risikoreduserende tiltak og godtar restrisiko. Flott dette. Faktum er imidlertid at risikoviljen til en tjenesteleverandør kan være langt fra kundens. Sikkerhetsmekanismer koster penger. Leverandører gjør en kost/nytteanalyse, og ett sted går grensen for hva de kan tilby av sikkerhet sett opp mot hvor mye de kan tjene. Kan din virksomhet leve med restrisikoen tilbyder har akseptert? Satt helt på spissen kan en leverandør få et sertifikat uten så mye som å innføre et eneste sikringstiltak, gitt at ledelsen signerer på at de forstår og godtar restrisiko.
  • I nær sammenheng med å vurdere leverandørens restrisiko, vil det være interessant for en kunde å få innsyn i den sertifiserte bedriftens dokument kalt ”statement of applicability”. I dette dokumentet skal den sertifiserte virksomheten dokumentere hvilke sikringstiltak (ISO27002 med flere) som er implementert. I tillegg, og like viktig, viser dette dokumentet hvilke sikringstiltak som ikke er implementert – inkludert en begrunnelse på hvorfor ikke. Er du enig i vurderingene?

Det er ikke meningen å slakte ISO27001-sertifiseringsordningen. Jeg har stor tro på standarden som et godt hjelpemiddel for virksomheter til å organisere sikkerhetsarbeidet internt. Min skepsis kommer imidlertid når sertifikater benyttes i markedsføringssammenheng, og spesielt som ”bevis” på at produkter eller tjenester til salgs er sikre. Det er lett å bli villedet.