Klant met een lekke site wat nu? (column)

ISO certificaten stellen inderdaad geen bal voor als het om produkt kwaliteit gaat, want ISO certificaten schrijven alleen voor dat je alles moet doen zoals je bescrhijft dat je het doet, dus als je beschrijft dat je troep maakt, krijg je als nog een certificeering. Een ISO certificaat zegt niet of je product goed is en heeft dus niets met de daadwerkelijke kwaliteit te maken, alleen met de organisatie.

Maar buiten dat; als ik een auto koop en ik rij er veelste snel mee, dan heeft de auto dealer het toch ook niet gedaan ? want hij had er tenslote een snelheidsbegrenzer in kunnen bouwen.

Dit artikel haalt inderdaad een zeer reeel beeld aan, namelijk het zijn altijd de beheerders/hosters die het gedaan hebben.
Heel vaak worden tactische beslissingen gemaakt gedreven door
(het gebrek aan) geld.
Als je als beheerder/hoster dan publiekelijk gaat lopen schermen dat het de klant zijn eigen schuld is, maak je het voor de getroffene alleen nog vervelender.
Dus stilzwijgen is in dat geval misschien wel de meest voor de hand liggende optie.
Als je zo'n (grote) klant verliest kost het je misschien nog wel meer dan dat nu het geval is.

Ik word een beetje moe van alle negatieve uitlatingen aan het adres van de beheerders op diverse fora terwijl die vaak uitvoerend zijn en geacht worden volgzaam te klikken en vooral niet moeilijk te doen.

Patrick, niet elke ISO certificering is gericht op het enkel documenteren van processen. Er zijn ook ISO certificeringen die bepaalde processen eisen (normatief dus), bijvoorbeeld ISO27001.

Het probleem wat wordt besproken zou ik aanpakken door een makkelijke analogie maken (zoals Patrick bijvoorbeeld maakt) en die zo veel mogelijk communiceren. In principe zou de journalistiek wederhoor moeten plegen, dus hopelijk wordt jouw verhaaltje dan meegenomen. Een analogie zou bijvoorbeeld die met een verhuurder of woningcorporatie kunnen zijn: je levert woningen, maar wat daar binnen gebeurd kan je lang niet altijd controleren. Je kan er op hameren dat men geen kaarsen onder het gordijn zetten (onveilige situatie creëren), maar je kan het niet verbieden en vaak ook niet voorkomen.

@jochem,

Je hebt wel gelijk, tot een bepaald punt, want uiteindelijk ...

Design and implement a coherent and comprehensive suite of information security controls and/or other forms of risk treatment (such as risk avoidance or risk transfer) to address those risks that are deemed unacceptable.

wie of wat bepaald wat is unacceptable.

Ik zeg niet dat een ISO nomering niet goed is, ik denk dat het erg goed is als men over alles nadenkt, maar helaas blijkt in de praktijk dat(naar mijn mening) een ISO certificaat te snel wordt toegekend. Ik zou graag zien dat normeringen beter zouden kunnen worden vastgesteld. Of dat mogelijk is in een industrie die zo snel gaat als deze is dan natuurlijk ook nog maar de vraag.

Buiten dat; lijkt me veel van deze taken niet altijd bij een hoster thuishoren, tenzij deze natuurlijk deze diensten heeft aangeboden aan de klant. En dan zijn we weer terug bij het verhaal hier boven, mond dicht, of de journalisten een cursus geven ?

Blijkbaar is de heer Knieriem niet op de hoogte van het werkelijke verhaal. Triest dat een directeur van een hostingbedrif niet op de hoogte is dat een server van een derde partij was gehackt. Beetje goedkoop de "expert" uithangen.