Secure-By-Design en Secure-By-Default: wat is het verschil en wat betekent het voor ISO 27001 en ISO 27701?

Secure-By-Design betekent dat je vanaf het ontwerp al rekening houdt met informatiebeveiliging. Secure-By-Default houdt in dat systemen standaard zo veilig mogelijk zijn ingesteld. Samen zorgen ze ervoor dat beveiliging structureel en preventief wordt geborgd. Werk je met ISO 27001 of ISO 27701? Dan helpen deze principes je om risico’s vroegtijdig te beheersen en privacy-by-design aantoonbaar toe te passen.

Secure-By-Design betekent dat informatiebeveiliging vanaf het allereerste begin wordt meegenomen in het ontwerpproces van systemen, processen, applicaties of diensten. Niet achteraf een beveiligingslaagje toevoegen, maar al bij de tekentafel nadenken over risico’s, dreigingen en passende beveiligingsmaatregelen.

Dit principe voorkomt kwetsbaarheden door:

Dit principe gaat uit van preventie: hoe voorkom je dat kwetsbaarheden ontstaan? Het is een mindset die vraagt om samenwerking tussen IT, security, development, beleid en management. Denk bijvoorbeeld aan het uitvoeren van risicoanalyses voordat je een applicatie ontwikkelt of nieuwe technologie implementeert.

Secure-By-Default sluit hier naadloos op aan, maar legt de nadruk op de standaardinstellingen van systemen en diensten. Het idee:

Veiligheid is dus niet optioneel, maar ingebouwd in de basisconfiguratie.

Een concreet voorbeeld: een cloudapplicatie die standaard alle data versleutelt en alleen via multifactor-authenticatie toegankelijk is, past het principe van Secure-By-Default toe. Dit verlaagt het risico op menselijke fouten en verhoogt de weerbaarheid van je organisatie.

Beide principes versterken elkaar, maar ze hebben een ander uitgangspunt.

Het verschil tussen beide principes zit in het moment van toepassing:

Oftewel: eerst goed nadenken (design), dan goed instellen (default). Samen zorgen ze ervoor dat informatiebeveiliging geen sluitpost is, maar een integraal onderdeel van je organisatie.

ISO 27001 is de internationale norm voor informatiebeveiliging en beschrijft de eisen voor een Information Security Management System (ISMS). Binnen deze norm staat risicomanagement centraal: je brengt risico’s in kaart en neemt maatregelen die passen bij jouw context.

Secure-By-Design en Secure-By-Default sluiten daar perfect op aan. Ze helpen je om risico’s al in een vroeg stadium te beheersen en zorgen voor structurele borging van beveiliging in je processen, technologie en gedrag. Denk aan maatregelen zoals:

Ook in bijlage A van ISO 27001 (de set van beheersmaatregelen) vind je onderdelen die hierop aansluiten. Bijvoorbeeld onder de thema’s:

ISO 27701 is de uitbreiding op ISO 27001 voor privacyinformatiebeheer. Deze norm vertaalt informatiebeveiliging naar de bescherming van persoonsgegevens. Denk aan het voldoen aan de AVG, maar dan gestructureerd en aantoonbaar.

Juist bij privacy speelt Secure-By-Design een grote rol. Niet voor niets is het ook een expliciete eis uit de AVG (artikel 25: gegevensbescherming door ontwerp en standaardinstellingen).

Denk aan:

Door dit in te bouwen voldoe je aan ISO 27701 én de privacywetgeving.

Organisaties worden steeds afhankelijker van digitale processen en systemen. Daarmee nemen ook de risico’s op datalekken, hacks en reputatieschade toe. Door Secure-By-Design en Secure-By-Default toe te passen:

Secure-By-Design en Secure-By-Default zijn geen buzzwoorden. Het zijn fundamentele principes die je helpen om informatiebeveiliging en privacy serieus te borgen in je organisatie. Werk je (of wil je gaan werken) met ISO 27001 en ISO 27701? Dan zijn dit precies de uitgangspunten die je nodig hebt om je managementsysteem krachtig en toekomstbestendig in te richten.

Wil je weten hoe je dit praktisch aanpakt? Of hoe deze principes in jouw organisatie toegepast kunnen worden? Neem gerust contact met ons op. Wij denken graag met je mee.