Op weg naar ISO 27001

Door Arthur Engel, technical director
10 december 2015 - 4451 x bekeken - Categorieën: Kennis, Health, Retail

Sinds we begin vorig jaar succesvol een DigiD audit hebben doorlopen voor één van onze klanten, zijn we ons nog serieuzer bezig gaan houden met informatie beveiliging. We willen meer grip krijgen op dit onderwerp en beter antwoord kunnen geven op de groeiende vraag hiernaar in de markt. Voor ons is het ook inherent aan de professionalisering die we als organisatie willen doormaken. Bij het werken met gevoelige data zoals persoonsgegevens komt nu eenmaal de nodige wet- en regelgeving kijken. En terecht. Niemand wil dat zijn of haar gegevens in de handen komen van mensen met de verkeerde bedoelingen.

Toename internet criminaliteit

De reden waarom informatie beveiliging steeds meer aandacht krijgt is tweeledig. Aan de ene kant is er een enorme toename in criminele activiteiten via internet en aan de andere kant is er een groeiende bewustwording bij mensen zelf dat persoonsgegevens bij steeds meer partijen komen te liggen.

Bron: Infographic Cybercrime, Ministerie van Veiligheid en Justitie (2014)

De groei van criminaliteit op internet is de afgelopen jaren enorm toegenomen. Deze praktijken zijn verschoven van ‘script kiddies’ naar georganiseerde misdaad. Met de opkomst van anonieme betaalmethodes als Bitcoin en andere cryptovaluta zijn er hele nieuwe verdienmodellen ontstaan waar hackers en criminele organisaties gretig gebruik van maken. Waar het vroeger bij wijze van spreken nog ging om het voor de lol proberen te manipuleren van een website, gaat het tegenwoordig om serieuze afpersingen en bedreigingen van organisaties. Bijvoorbeeld met DDOS aanvallen of zelfs het versleutelen en gijzelen van voor het bedrijf kritieke documenten (cryptoware). Naast afpersing hebben veel van deze activiteiten als doel om persoonsgegevens of zelfs patiënt- of financiële gegevens buit te maken.

Volgens een onderzoek (Follow the Data: Dissecting Data Breaches and Debunking Myths, september 2015) van het internationale software beveilingsbedrijf Trend Micro zijn persoonsgegevens vandaag de dag nog maar 1 dollar per stuk waard op de zwarte markt. Hieronder worden gegevens verstaan die ten minste naam, adres, geboortedatum en sofinummer bevatten. Een jaar geleden waren deze gegevens nog 4 dollar waard. Vanwege de toename in het aantal databreuken is het aanbod van dergelijke data zo enorm gegroeid, dat dit direct terug te zien is in deze waardedaling. De (zwarte) markt is zogezegd ‘overspoeld’ met persoonsgegevens.

Ook wij hebben de stijging in criminaliteit op internet de afgelopen jaren in de praktijk ondervonden. Zo hebben we op een Bredaas politiebureau aan een politieagent mogen uitleggen dat één van onze klanten afgeperst werd via een DDOS-aanval. Geen gemakkelijke taak, kan ik je vertellen. Zeker niet als de agent in kwestie in zijn hoofd nog bezig is met de gestolen fiets van de persoon voor je.

Gelukkig is de IT-sector, en uiteindelijk ook de politiek en justitie, zich bewust van deze tendens. Daardoor is er steeds meer aandacht voor het onderwerp en kennis beschikbaar. En zijn er steeds meer manieren om je te wapenen tegen dergelijke aanvallen.

Menselijk handelen is de zwakste schakel

Het inzetten van technische maatregelen is alleen niet voldoende. Tijdens het traject dat we gestart zijn met betrekking tot informatie beveiliging, hebben we gemerkt dat het vastleggen van je procedures, maar vooral een stuk bewustwording van de mensen in de organisatie misschien wel de belangrijkste maatregelen zijn die je kunt treffen. Waarschijnlijk nog belangrijker dan technische maatregelen.

In de praktijk blijft menselijk handelen namelijk altijd de zwakste schakel. Ook al timmer je technisch je systemen en architectuur zo goed mogelijk dicht. Als een gebruiker te simpele wachtwoorden gebruikt, of als een collega vertrouwelijke documenten laat rondslingeren, ben je alsnog een makkelijk doelwit.

Om deze redenen en om grip te krijgen op onze informatie beveiliging zijn we de processen in onze bedrijfsvoering gaan aanpassen naar de ISO standaard 27001.

ISO 27001

Deze norm staat geheel in het teken van informatie beveiliging en specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie.

Dit is geen simpel traject. Er komt veel bij kijken en het vereist de nodige focus, daadkracht en soms ook geduld van alle betrokkenen. Je kunt aardig verstrikt raken in alle normen, maatregelen, regels en wetten. En veel liever zijn we natuurlijk bezig met voor de voor ons leukste en belangrijkste werkzaamheden; het ontwikkelen van toffe digitale projecten en concepten voor onze klanten. Gelukkig worden we begeleid door een gekwalificeerde professionele partij en bijgestaan door twee studenten Bedrijfskundige Informatica die de benodigde slagkracht leveren om onszelf ertoe te dwingen gefocust te blijven op dit vlak. Dit zorgt ervoor dat het een niet-weg-te-denken onderdeel is geworden van onze processen en bedrijfsvoering.

Onderdeel van deze procedures is onder andere een periodieke risicobeoordelings-sessie. In deze sessie worden werknemers van verschillende afdelingen uitgenodigd om na te denken over wat op dat moment de belangrijkste risico’s zijn, voor de informatie beveiliging van de organisatie. Daaraan worden vervolgens kans, impact, eigenaren en maatregelen gekoppeld, waar in losse sessies navolging aan wordt gegeven. Door de maatregelen ‘SMART’ te maken, ernaar te handelen en door deze sessies consistent periodiek te laten plaatsvinden, verkleint de kans op het optreden van deze risico’s. Of worden ze in sommige gevallen zelfs in het geheel voorkomen.

Waar staan we?

Inmiddels heeft E-sites al behoorlijke stappen gemaakt en zijn we in de flow gekomen van de meetings en structuur die de normering biedt. We hebben informatie beveiliging vast op de agenda staan en de security officer zorgt ervoor dat het de aandacht krijgt die het vereist.

Na enkele externe audits voor specifieke klanten en systemen, hebben we afgelopen maand ook een interne audit laten uitvoeren op onze eigen organisatie. De resultaten hiervan zijn we aan het analyseren. Zodat we ervan kunnen leren en we voorbereid zijn op volgend jaar, wanneer we daadwerkelijk de certificering willen gaan behalen. Natuurlijk zullen we hier verslag van doen.

Wat in ieder geval al mooi is om te zien, is dat het intern enorm is gaan leven. Soms met een knipoog, zoals het invullen van het ‘beveiligings-incidenten-formulier’ als iemand even zijn sleutels niet kan vinden. Maar de bewustwording is er.

Hot topic

Dat informatie beveiliging momenteel een hot topic is, hebben we geweten. In minder dan een week tijd zijn we uitgenodigd voor drie verschillende seminars met beveiliging als thema. Blijkbaar begint ook het MKB zich bewust te worden van het toenemende aantal incidenten en de ernst daarvan. Maar ook van de veranderende wet- en regelgeving, zoals de komende meldplicht datalekken.

Terugkerende topics in deze verschillende sessies waren de (internationaal) veranderende spelregels rondom dataprivacy en de noodzaak voor organisaties om hier mee aan de slag te gaan. Inhoudelijk een bevestiging voor ons dat we op de juiste weg zitten.

E-sites ontwikkelt hartslagmeter app voor De Klassieker Feyenoord – Ajax

Door E-sites

Tijdens de klassieker Feyenoord-Ajax in de Kuip aanstaande zondag 8 november wordt live de hartslag gemeten van honderd Feyenoord supporters. - Lees meer

Lees verder