Informatiebeveiliging binnen DataLeaf

Informatiebeveiliging is tegenwoordig een belangrijk onderwerp voor bedrijven. Met de toenemende digitale revolutie is er een groeiende hoeveelheid aan bedrijfsgegevens die opgeslagen en verwerkt worden op computers en servers. Dit maakt het voor cybercriminelen makkelijker om deze gegevens te stelen of te beschadigen. Daarom is het noodzakelijk voor bedrijven om hun informatiebeveiliging serieus te nemen en zichzelf te beschermen tegen dreigingen van buitenaf. Informatiebeveiliging heeft bij DataLeaf een zware focus. Het ontwikkelen van veilige software is immers ons primaire bedrijfsproces. In deze blog vroegen we onze security officer Wim Dieke wat zo’n informatiebeveiligingssysteem nou precies inhoudt.

Wat is informatiebeveiliging?

Informatiebeveiliging is een verzamelterm voor alle maatregelen die genomen worden om bedrijfsgegevens te beschermen tegen ongeoorloofde toegang, misbruik, verlies of beschadiging. Hierbij moet worden gedacht aan technische en organisatorische maatregelen, zoals firewalls, encryptie, toegangsbeheer en beleid en procedures. Dit helpt niet alleen om de gegevens van het bedrijf te beschermen, maar ook om te voorkomen dat deze in verkeerde handen terechtkomen.

Het is belangrijk om te beseffen dat informatiebeveiliging niet alleen belangrijk is voor grote bedrijven, maar ook voor kleine en middelgrote bedrijven. Veel cybercriminelen richten zich namelijk op kleinere bedrijven, omdat deze minder waakzaam zijn en minder middelen hebben om zichzelf te beschermen. Als gevolg zijn deze bedrijven een gemakkelijke prooi voor cyberaanvallen.

Waarom informatiebeveiliging?

Een belangrijk aspect van informatiebeveiliging is het beschermen van vertrouwelijke bedrijfsgegevens. Dit omvat bijvoorbeeld persoonlijke gegevens van klanten, financiële gegevens en bedrijfsstrategieën. Als deze gegevens in verkeerde handen vallen, kan dit leiden tot ernstige gevolgen voor het bedrijf, zoals reputatieschade, financiële verliezen en juridische problemen.

Bovendien is informatiebeveiliging ook een belangrijk onderdeel van de AVG (Algemene Verordening Gegevensbescherming). De Europese Unie heeft deze wetgeving ingevoerd om de privacyrechten van individuen te beschermen en te waarborgen dat organisaties verantwoordelijk omgaan met persoonsgegevens. De AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, verlies, diefstal of vernietiging. Bedrijven die deze wetten overtreden, kunnen worden gesanctioneerd en moeten mogelijk forse boetes betalen.

Hoe gaan we binnen DataLeaf om met informatiebeveiliging?

Wim Dieke is security officer binnen DataLeaf, en is verantwoordelijk voor de strategische en organisatorische kant van informatiebeveiliging. Hier vallen o.a. de afspraken, keuzes en processen onder om de informatiebeveiliging te organiseren, sturen en regelen. Dit gebeurt door het opstellen van beleid, maar ook het houden van bewustwordingssessies met de medewerkers.

Wim: ‘Als organisatie hebben wij een zware focus op informatiebeveiliging, tijdens de gehele keten: van idee tot bouw en in het beheer van de software. Concreet kun je de maatregelen grofweg indelen in een paar domeinen, die samen ons informatiebeveiligingssysteem vormen:

• De menselijke kant: We checken of de mensen die bij ons in dienst komen betrouwbaar zijn. We doen bijvoorbeeld achtergrondchecks, diplomachecks, en vragen een VOG op. Gedurende de tijd dat ze hier werken krijgen houden ze zich aan strikte regels met betrekking tot safe coding. Daarnaast houden we onze mensen up-to-date met trainingen en voeren we regelmatig phishing simulaties uit.
• De beheerkant: Dit omvat alle technische maatregelen die systeem veilighouden en binnendringers tegengaan. We werken bij DataLeaf met een layered defense approach: één enkel incident leidt vrijwel nooit tot een informatiebeveiligingsincident. Klikt een medewerker bijvoorbeeld een keer op een phishing mail link, dan is er altijd nog een firewall of een malware omgeving die dat tegenhoudt. Diverse, gelaagde maatregelen dus waar je doorheen moet voordat je ons raakt.
• De procedurele kant: Ook hebben we enkele standaard operationele procedures: bijvoorbeeld standaard werkprocessen voor patches, maar ook een clean desk policy. Door gestandaardiseerd te werken voorkom je fouten die gevolgen hebben voor de informatiebeveiliging.’

Hoe pakt DataLeaf beveiliging binnen een project aan?

Wim: ‘Elk project heeft een startfase waarin wordt gekeken naar de risico’s die kleven aan het project. Deze worden geïnventariseerd en indien nodig worden er al meteen maatregelen getroffen om deze risico’s te verkleinen. Om de impact op privacy te beoordelen wordt er ook een DPIA uitgevoerd, een Data Privacy Impact Assesment. Daarmee waarborgen we veilige omgang met persoonsgegevens. Daarnaast wordt de informatiebeveiliging tijdens een project continue in de gaten gehouden. Zitten we nog op dezelfde lijn, zijn er nieuwe risico’s ontstaan, hoe verloopt het project met betrekking tot de bestaande risico’s? Eventuele incidenten die zouden plaatsvinden worden dan ook behandeld, maar dat komt eigenlijk nooit voor. We hebben namelijk een heel goed track record met betrekking tot informatiebeveiliging. Onze maatregelen zorgen proactief al voor veel risicovermindering.’

PDCA-cyclus

Wim: ‘Belangrijk onderdeel van een informatiebeveiligingssysteem is een PDCA-cyclus: plan, do, check, act. Dat betekent dat indien zich een incident of event voordoet, we dit altijd volledig analyseren. Zijn onze maatregelen doeltreffend genoeg, moeten we andere maatregelen nemen? We zijn dus continu bezig met het verbeteren van ons informatiebeveiligingssysteem.’

ISO27001, NEN7510 en ISO9001

Bij DataLeaf hebben we diverse certificeringen die aantonen dat we onze informatiebeveiliging goed op orde hebben: de ISO7001, NEN7510 en ISO9001. ISO 27001 is een internationale standaard voor informatiebeveiliging die specifiek gericht is op de beveiliging van informatie in organisaties. Deze standaard beschrijft hoe een organisatie een beheersbaar en effectief informatiebeveiligingssysteem moet implementeren en onderhouden.

NEN 7510 is de Nederlandse versie van de ISO 27001-standaard en richt zich specifiek op de zorgsector. Het omvat zowel informatiebeveiligings- als gegevensbeschermingsmaatregelen die nodig zijn om patiëntengegevens te beschermen.

ISO 9001 is een internationale standaard voor kwaliteitsmanagement en richt zich op de verbetering van de kwaliteit van producten en diensten die door een organisatie worden aangeboden. Deze standaard beschrijft hoe een organisatie een effectief kwaliteitsmanagementproces moet implementeren, waaronder kwaliteitsbeleid, procesbeheersing en interne audits. Hoewel ISO 9001 niet specifiek gericht is op informatiebeveiliging, wordt het vaak gebruikt in combinatie met de ISO 27001-standaard om de kwaliteit van informatiebeveiligingsmaatregelen te waarborgen.

Tips voor bedrijven

Wat kun je als bedrijf zelf doen om te zorgen dat je de risico’s zo klein mogelijk maakt?

Wim: ‘Informatiebeveiliging is eigenlijk een holistisch proces; je moet kijken naar het totaal van je hele organisatie om te komen tot een sterke beveiliging. Als je alleen maar naar de organisatorische of technische kant kijkt, loop je substantiële risico’s. Kijk daarom over de volledige breedte van je organisatie hoe je informatiebeveiliging kunt en wilt toepassen. Het heeft geen zin om één aandachtsgebied te hebben; wees alomvattend. En zorg ervoor dat je heel goed de risico’s in kaart brengt die je denkt te lopen als organisatie. Kijk naar je omgeving en naar de gevaren waar je aan blootgesteld bent. Zorg er dan voor dat je daar passende maatregelen voor treft. En als je twijfelt of het niet weet; schakel een professional in.’