Het behalen van een ISO 27001 certificering is een mijlpaal. Het is het ultieme bewijs dat uw organisatie informatiebeveiliging serieus neemt. Echter, om te voldoen aan de ISO 27001 certificering eisen, kijken organisaties vaak alleen naar papierwerk en vergeten ze de techniek. Organisaties investeren aanzienlijk in het opstellen van beleid, het trainen van personeel en het implementeren van software. Maar in de race naar certificering wordt vaak één fundamenteel element over het hoofd gezien: de hardware waarop alles draait.

Een auditor kijkt verder dan uw documenten. De harde realiteit is dat het gebruik van verouderde hardware of niet-ondersteunde software een directe weg is naar een Major Non-Conformity – een afwijking die zo ernstig is dat de certificering direct in gevaar komt.

In dit artikel leggen we uit waarom hardware een van de cruciale ISO 27001 certificering eisen is en hoe u voorkomt dat uw investering op de valreep struikelt.

De blik van de auditor: bewijs van controle

De kern van ISO 27001 draait om het managen van risico’s. Een van de verplichte controls (Annex A.8.8) is het beheer van technische kwetsbaarheden. Een auditor zal daarom niet alleen vragen of u een beleid heeft, maar zal ook bewijs willen zien dat u dit beleid daadwerkelijk uitvoert.

De cruciale vraag die de auditor stelt is: “Kunt u aantonen dat al uw systemen voorzien zijn van de laatste beveiligingsupdates?” Met verouderde hardware kunt u dat simpelweg niet.

De dubbele dreiging: End-of-Life software en verouderde techniek

Het risico van verouderde hardware manifesteert zich op twee manieren, die beide funest zijn voor uw audit:

1. Het gebruik van “End-of-Life” software
   Stel, een deel van uw medewerkers gebruikt nog laptops met Office 2016. Microsoft heeft de ondersteuning voor dit product beëindigd. Dit betekent dat er geen beveiligingsupdates meer worden uitgebracht. Bekende kwetsbaarheden in deze software worden dus niet meer gedicht. Voor een auditor is dit een open deur voor hackers en een onacceptabel risico. Het is geen vraag of dit een afkeurpunt is, maar hoe zwaar de non-conformity zal wegen.
2. Het ontbreken van moderne beveiligingstechnologie (TPM 2.0)
   Moderne beveiliging, zoals de schijfversleuteling (encryptie) die Windows BitLocker biedt, leunt zwaar op een fysieke chip in de computer: de Trusted Platform Module (TPM). De huidige standaard is TPM 2.0, die vereist is voor Windows 11 en de meest robuuste vormen van encryptie. Oudere hardware (van voor ~2021) beschikt vaak niet over deze chip. Zonder TPM 2.0 kunt u niet garanderen of aantonen dat uw encryptie effectief is, waardoor u niet kunt voldoen aan de eisen voor databescherming.

“Kunnen we de oude systemen niet gewoon isoleren?”

Een veelgehoorde tegenwerping is het idee om verouderde systemen technisch te isoleren van de rest van het netwerk. In theorie klinkt dit als een slimme manier om kosten te besparen. In de praktijk is het een kostbare en ineffectieve schijnoplossing.

Zoals wij in de praktijk hebben ervaren, is het veilig inrichten van een dergelijke gesegregeerde omgeving technisch complex en extreem arbeidsintensief. De analyse is helder:

• De kosten voor de uren om een verouderde situatie complex ‘dicht te timmeren’ en te onderhouden, zijn hoger dan de aanschafwaarde van nieuwe hardware.
• U investeert in een tijdelijke noodoplossing voor technologie die alsnog op zeer korte termijn vervangen moet worden. Het is een investering in een doodlopende weg.

Conclusie: Hardware als harde ISO 27001 certificering eis

Om te voldoen aan de strengste ISO 27001 certificering eisen is moderne, ondersteunde hardware geen aanbeveling, maar een fundamentele voorwaarde. Het vervangen van verouderde systemen is onderaan de streep niet alleen noodzakelijk voor de audit, maar ook de meest kostenefficiënte en veilige keuze.

Het zorgt voor een uniforme standaard binnen uw organisatie, vereenvoudigt het beheer en legt een solide, veilig fundament waarop u uw informatiebeveiligingsmanagementsysteem (ISMS) kunt bouwen.

Staat uw organisatie aan de vooravond van een ISO 27001 traject?

Voorkom een kostbare misstap. Neem contact op met CloudCore Partners voor een ‘ISO Readiness’ hardwarescan. Wij analyseren uw huidige apparatuur, identificeren de risico’s en zorgen voor een concreet plan zodat uw hardware een stevige pijler onder uw certificering wordt, in plaats van de achilleshiel.