ISMS Copilot
ISO 27001-begrippenlijst

Wat is een kwetsbaarheid in ISO 27001?

Overzicht

Een kwetsbaarheid (Vulnerability) is een zwakte in een asset of beheersmaatregel die door een dreiging kan worden misbruikt om schade te veroorzaken. In ISO 27001:2022 is het identificeren van kwetsbaarheden essentieel tijdens de risicobeoordeling (Clausule 6.1.2), omdat ze de toegangspunten vormen waarlangs dreigingen invloed kunnen hebben op uw informatiebeveiliging.

Kwetsbaarheden komen voor in technologie, processen, mensen en fysieke infrastructuur — door deze aan te pakken verlaagt u de blootstelling aan risico's van uw organisatie.

Kwetsbaarheden in de praktijk

Tijdens de risicobeoordeling identificeert u kwetsbaarheden die horen bij uw informatie-assets. Een kwetsbaarheid op zichzelf vormt nog geen risico — deze moet gekoppeld zijn aan een geloofwaardige dreiging die er misbruik van kan maken.

Risico-vergelijking: Risico = Dreiging × Kwetsbaarheid × Assetwaarde × Impact

Beheersmaatregelen uit Annex A zijn ontworpen om kwetsbaarheden te verminderen of te elimineren, waardoor het voor dreigingen moeilijker wordt om succesvol te zijn.

Kwetsbaarheden veranderen na verloop van tijd naarmate systemen verouderen, nieuwe software wordt geïmplementeerd, configuraties afwijken en medewerkers wisselen. Regelmatige kwetsbaarheidsbeoordelingen (minstens jaarlijks of bij belangrijke wijzigingen) zijn essentieel.

Categorieën van kwetsbaarheden

Technische kwetsbaarheden

Zwakkere punten in technologiesystemen en software:

  • Niet-gepatchte software: Bekende beveiligingsfouten in besturingssystemen, applicaties of firmware

  • Misconfiguraties: Onveilige instellingen (standaardwachtwoorden, open poorten, overmatige machtigingen)

  • Zwakke encryptie: Verouderde cryptografische algoritmen of slecht sleutelbeheer

  • Gebrek aan invoervalidatie: Code die gevoelig is voor SQL-injectie, cross-site scripting

  • Ontbrekende beveiligingsmaatregelen: Geen firewall, antivirus of inbraakdetectie

Voorbeeld: Een e-commerce server die verouderde software draait met een bekende kwetsbaarheid voor uitvoering van code op afstand. Dreiging: Externe hacker. Beheersmaatregel: Patchbeheer (A.8.8).

Menselijke kwetsbaarheden

Zwaktes gerelateerd aan mensen en gedrag:

  • Gebrek aan beveiligingsbewustzijn: Medewerkers die niet op de hoogte zijn van phishing, social engineering of beveiligingsbeleid

  • Onvoldoende training: Personeel weet niet hoe ze veilig met gevoelige gegevens moeten omgaan

  • Slechte wachtwoordpraktijken: Zwakke, hergebruikte of gedeelde wachtwoorden

  • Overmatige privileges: Gebruikers met meer toegang dan nodig voor hun rol

  • Geen functiescheiding: Eén persoon controleert kritieke processen

Voorbeeld: Medewerkers zonder training in beveiligingsbewustzijn zijn kwetsbaar voor phishing-aanvallen. Dreiging: Social engineering. Beheersmaatregel: Bewustmaking, opleiding en training op het gebied van informatiebeveiliging (A.6.3).

Proceskwetsbaarheden

Zwakkere punten in organisatorische procedures en workflows:

  • Geen wijzigingsbeheer: Systeemwijzigingen die worden doorgevoerd zonder beoordeling of testen

  • Onvoldoende toegangsbeoordelingen: Oud-medewerkers hebben nog steeds actieve accounts

  • Slechte incidentrespons: Geen plan om beveiligingsgebeurtenissen te detecteren en erop te reageren

  • Zwak leveranciersbeheer: Derden worden niet beoordeeld op beveiligingsrisico's

  • Ontbrekende back-upprocedures: Geen betrouwbaar herstel bij gegevensverlies

Voorbeeld: Het ontbreken van een proces voor het deactiveren van accounts wanneer medewerkers uit dienst treden, creëert een kwetsbaarheid voor ongeautoriseerde toegang. Dreiging: Ontevreden ex-medewerker. Beheersmaatregel: Beheer van de identiteitslevenscyclus (A.5.18).

Fysieke kwetsbaarheden

Zwakkere punten in de fysieke beveiliging:

  • Onbeveiligde faciliteiten: Geen toegangscontrole voor serverruimtes of kantoren

  • Onvoldoende omgevingsbeheer: Geen brandblussysteem, temperatuurbewaking

  • Onbeschermde apparatuur: Servers, laptops of back-upmedia die onbeveiligd achterblijven

  • Slecht bezoekersbeheer: Onbeperkte toegang voor leveranciers of gasten

Voorbeeld: Een serverruimte die toegankelijk is voor alle medewerkers is kwetsbaar voor diefstal of sabotage. Dreiging: Kwaadwillende insider. Beheersmaatregel: Fysieke toegangsbeveiliging (A.7.2).

Eén enkele kwetsbaarheid kan meerdere dreigingen mogelijk maken. Bijvoorbeeld: het ontbreken van multifactorauthenticatie (MFA) maakt systemen kwetsbaar voor diefstal van inloggegevens, phishing, het raden van wachtwoorden en misbruik door insiders.

Methoden voor kwetsbaarheidsbeoordeling

ISO 27001:2022 vereist het identificeren van kwetsbaarheden als onderdeel van de risicobeoordeling (Clausule 6.1.2). Veelvoorkomende beoordelingsmethoden zijn:

Geautomatiseerde kwetsbaarheidsscans

Gebruik tools om systemen te scannen op bekende kwetsbaarheden (CVE's), misconfiguraties en ontbrekende patches.

Tools: Nessus, Qualys, OpenVAS, scanners van cloudproviders (AWS Inspector, Azure Security Center).

Penetratietesten

Gesimuleerde aanvallen door beveiligingsprofessionals om exploiteerbare kwetsbaarheden te identificeren voordat echte aanvallers dat doen.

Codebeoordelingen

Handmatige of geautomatiseerde analyse van de broncode van applicaties om beveiligingsfouten te vinden.

Configuratie-audits

Beoordeling van systeeminstellingen ten opzichte van beveiligingsbaselines (CIS Benchmarks, richtlijnen voor hardening van leveranciers).

Gap-analyse

Vergelijk huidige beheersmaatregelen met de eisen van Annex A om ontbrekende of zwakke maatregelen te identificeren.

Annex A bevat A.8.8 (Beheer van technische kwetsbaarheden), wat vereist dat u informatie verkrijgt over technische kwetsbaarheden, de blootstelling evalueert en actie onderneemt om deze aan te pakken.

Levenscyclus van kwetsbaarheden

Het beheren van kwetsbaarheden volgt een continue cyclus:

  1. Identificatie: Ontdek kwetsbaarheden via scans, audits en threat intelligence

  2. Beoordeling: Evalueer de ernst op basis van exploiteerbaarheid en potentiële impact

  3. Prioritering: Rangschik kwetsbaarheden op basis van risico (overweeg CVSS-scores, dreigingscontext, asset-criticaliteit)

  4. Remediëring: Pas patches toe, herconfigureer systemen, implementeer compenserende maatregelen

  5. Verificatie: Bevestig dat kwetsbaarheden zijn opgelost

  6. Monitoring: Blijf continu letten op nieuwe kwetsbaarheden

Kwetsbaarheid vs. Dreiging vs. Risico

Deze concepten werken samen in de risicobeoordeling:

  • Kwetsbaarheid: Zwakte die kan worden misbruikt (bijv. niet-gepatchte webserver)

  • Dreiging: Potentiële oorzaak van schade die de zwakte misbruikt (bijv. een geautomatiseerde bot die scant naar kwetsbare servers)

  • Risico: Waarschijnlijkheid en impact van de dreiging die de kwetsbaarheid misbruikt (bijv. hoog risico op datalek door een SQL-injectieaanval)

Selectie van maatregelen: Implementeer kwetsbaarheidsbeheer (A.8.8), veilige configuratie (A.8.9) en beveiliging van webapplicaties om het risico te verlagen.

Voorbeelden van veelvoorkomende kwetsbaarheden

Technologiebedrijf

  • Kwetsbaarheid: API-endpoints missen rate limiting

  • Dreiging: Credential stuffing-aanval

  • Risico: Accountovername en datalek

  • Beheersmaatregel: Implementeer rate limiting en monitoring (A.8.16)

Gezondheidszorgorganisatie

  • Kwetsbaarheid: Medische apparatuur op het netwerk met standaardwachtwoorden

  • Dreiging: Ransomware die zich verspreidt via het netwerk

  • Risico: Verstoring van patiëntenzorg en gegevensversleuteling

  • Beheersmaatregel: Netwerksegmentatie (A.8.22), wachtwoordbeleid (A.5.17)

Financiële dienstverlening

  • Kwetsbaarheid: Medewerkers hebben onvoldoende phishing-bewustzijn

  • Dreiging: Gerichte spear-phishing-campagne

  • Risico: Factuurfraude of diefstal van inloggegevens

  • Beheersmaatregel: Bewustmaking, opleiding en training op het gebied van informatiebeveiliging (A.6.3), filtering van e-mail (A.8.7)

Gebruik ISMS Copilot om veelvoorkomende kwetsbaarheden voor uw asset-types te identificeren, kwetsbaarheden te koppelen aan de juiste Annex A-maatregelen, of remediëringsplannen te genereren op basis van resultaten van kwetsbaarheidsscans.

Documentatie-eisen

Uw risicobeoordelingsdocumentatie moet het volgende bevatten:

  • Geïdentificeerde kwetsbaarheden voor elke asset

  • Beoordeling van ernst en exploiteerbaarheid

  • Welke dreigingen elke kwetsbaarheid zouden kunnen misbruiken

  • Geselecteerde beheersmaatregelen om kwetsbaarheden aan te pakken

  • Tijdlijnen voor remediëring

  • Geaccepteerde restrisico's (kwetsbaarheden) met rechtvaardiging

Gerelateerde termen

Was dit nuttig?