Beste bestuurder. Informatiebeveiliging begint bij u. T +31 (0) F +31 (0)

Maat: px
Weergave met pagina beginnen:

Download "Beste bestuurder. Informatiebeveiliging begint bij u. info@dearbytes.nl www.dearbytes.nl T +31 (0)251 750 250 F +31 (0)251 750 249"

Transcriptie

1 Beste bestuurder Informatiebeveiliging begint bij u DearBytes B.V. Postbus AA Beverwijk T +31 (0) F +31 (0) K.V.K. Amsterdam nr BTW nr. NL B01 Rabobank

2 Informatiebeveiliging begint bij u Erik Remmelzwaal Beste bestuurder, informatiebeveiliging begint bij u... ICT-afdelingen hebben behoefte aan leiding in informatiebeveiliging binnen hun organisatie. Bestuurders zijn aan zet. Tweede druk DearBytes BV, Beverwijk Illustraties: Nicoline Heemskerk Alle rechten voorbehouden / All rights reserved Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfi lm of op welke andere wijze en/of ander medium ook, zonder voorafgaande schriftelijke toestemming van DearBytes BV. Deze uitgave is met de grootst mogelijke zorgvuldigheid samengesteld. De maker stelt zich echter niet aansprakelijk voor eventuele schade als gevolg van eventuele onjuistheden en/of onvolledigheden in deze uitgave. 2

3 Inhoud Voorwoord 4 Stap 1 - Beleid 7 Stap 2 - Inventaris 10 Stap 3 - Prioriteiten 12 Stap 4 - Kwetsbaarheden 14 Stap 5 - Bedreigingen 16 Stap 6 - Risico 18 Stap 7 - Technologie 20 Stap 8 - Afdwingen 22 Stap 9 - Evalueren 24 Stap 10 - Compliancy 26 Nawoord 28 3

4 Informatiebeveiliging begint bij u Voorwoord Informatiebeveiliging is vandaag de dag een veel besproken thema. Niet in de minste plaats als gevolg van een grote hoeveelheid datalekken en incidenten dat zich de afgelopen tijd heeft voorgedaan. Het gevolg is dat men naarstig op zoek is naar antwoorden op de vraag hoe informatiebeveiliging verbeterd kan worden. Het antwoord is niet te vinden in techniek alleen. Wat nu bij bijna alle organisaties die ik de afgelopen tijd heb bezocht nodig is, heet beleid én een goede, werkbare toepassing van dat beleid. Als bestuurder speelt u daarom binnen uw organisatie een sleutelrol in de verbetering van informatiebeveiliging. Om die rol te kunnen vervullen, is het nodig dat u begrijpt hoe dit proces optimaal functioneert. Daarom heb ik besloten dit boekje te schrijven, speciaal voor bestuurders. Hierin behandel ik in 10 stappen hoe risicomanagement kan worden toegepast op informatiebeveiliging. Het resultaat van deze aanpak is optimale preventie, overeenkomstig met veel gebruikte normeringen zoals ISO Bestuurders zien IT Security vaak als een puur technische taak en laten het in de praktijk daarom over aan de ICT-afdeling. Dit terwijl de gevolgen van een datalek de (soms hoofdelijke) verantwoordelijkheid van de directie zijn. In de honderden Nederlandse bedrijven die ik bezocht heb de afgelopen twaalf jaar, heb ik de afstand van directie tot de beveiliging van hun eigen digitale goud regelmatig tot incidenten zien leiden. Incidenten met soms grote financiele gevolgen die met meer betrokkenheid eenvoudig voorkomen hadden kunnen worden. Alleen op directie-niveau kunnen de fundamentele en soms moeilijke beslissingen genomen worden die nodig zijn om beveiliging echt te laten functioneren. En die beslissingen zijn in de basis helemaal niet technisch van aard. Informatiebeveiliging gaat om het herkennen en afwegen van risico s, dus de keuze te maken om een risico te accepteren, dan wel het op te lossen. 4

5 Risico s die geaccepteerd worden, kunnen leiden tot incidenten. Een plan voor hoe te handelen bij incidenten is daarom ook onomtbeerlijk. Uiteindelijk bestaat informatiebeveiliging dus vooral uit preventieve en reactieve maatregelen met als doel om continuiteit te waarborgen en de gevolgen van incidenten tot een acceptabel niveau te beperken. Daarbij kunnen we als wetmatigheid aannemen dat hoe meer aan de preventieve kant wordt gedaan, des te minder kosten zullen in reactieve zin gemaakt worden en andersom. Waar de balans ligt, wat acceptabel is, is typisch zo n fundamentele beleidsbepaling die iedere individu en elke organisatie voor zich moet maken. Voor het digitale tijdperk, pakweg een halve eeuw geleden, konden bestuurders ook heel goed begrijpen dat hun intellectuele eigendommen achter slot en grendel moesten worden opgeslagen. 5

6 Informatiebeveiliging begint bij u Ook toen werd gevoelige informatie in een afgesloten kast gelegd, of in een kluis bewaard. Ook toen werd al besloten welk gereedschap, welke informatie, voor wie en wanneer beschikbaar is. En wie de sleutel beheert. En over wat te doen bij calamiteiten. Diezelfde betrokkenheid van bestuurders is nodig om informatiebeveiliging te laten slagen. Ik heb in de praktijk geleerd dat het goed werkt om een metafoor te gebruiken vanuit een andere vorm van beveiliging om de benodigde keuzes te verduidelijken. In dit boekje trek ik dan ook de parallel tussen informatiebeveiliging en de beveiliging van een bedrijfspand. Zo wordt het proces van informatiebeveiliging begrijpbaar voor bestuurders en kan de nodige betrokkenheid door hen worden ingevuld. 6

7 Stap 1: Beleid Het Pand Stelt u zich voor dat u een nieuw bedrijfspand betrekt dat al helemaal ingericht is en waar uw bedrijfsdocumenten ook zullen worden opgeslagen. Tot uw niet geringe verbazing staan alle deuren en ramen permanent open. Iedereen kan in- en uit lopen en alles meenemen, zonder dat iemand ook maar iets in de gaten heeft. Klinkt belachelijk? Toch is dit de situatie die zich voordoet als het computernetwerk niet beveiligd is. Terug naar het bedrijfspand. Voordat we deze bizarre situatie gaan oplossen, moet eerst duidelijk zijn wat we precies willen bereiken met beveiliging. Het doel is om alle documenten op een veilige manier op te bergen. Dit wordt schriftelijk vastgelegd, zodat iedereen weet wat er wordt verwacht in termen van beveiliging. Begin altijd de essentie te formuleren, waar in geval van onduidelijkheid op teruggevallen kan worden. Zoals op het water de eerste regel Goed Zeemanschap is. De eerste beleidsregels: Alleen bevoegden mogen het pand betreden en de belangrijkste documenten worden opgeborgen in een kluis die in de archiefruimte staat. Op zich voor de hand liggende regels, maar wat betekenen ze in de praktijk? Een voorbeeld: Alle medewerkers zijn bevoegd om het pand in te gaan en zij worden van onbevoegden gescheiden door een elektronische toegangspas. Slechts een paar medewerkers krijgt toegang tot de archiefruimte. De kluis is alleen toegankelijk voor de directie. Bezoekers, klanten of leveranciers krijgen een tijdelijke toegangspas tot de gebouwen of bepaalde ruimtes. Alle gebruikers worden in groepen ingedeeld, zodat 7

8 Informatiebeveiliging begint bij u toegangsmogelijkheden op functieprofiel kunnen worden gesorteerd. Kortom, niemand kan het pand in of uit zonder dat dit geregistreerd wordt. De eerste stappen zijn op papier gezet. Persoonsgebonden toegang tot ruimtes in het gebouw waar de documenten worden opgeslagen. Helder, gaan we regelen! Het Netwerk In de vergelijking met het bedrijfspand stellen de verschillende computers in het netwerk de verschillende ruimtes in het bedrijfspand voor. Veel computers kunnen door alle medewerkers gebruikt worden en een aantal alleen door een beperkte groep. En wat er op die computers gedaan kan worden of welke programma s er gebruikt kunnen worden, is afhankelijk van het functieprofiel. 8

9 In het geval van het bedrijfspand lijkt het grootste deel van de beleidsbepalingen volstrekt logisch en dat komt omdat de voorbeelden zeer tastbaar zijn. Bij het netwerk- en de informatiebeveiliging zijn de verschillende regels misschien minder tastbaar maar vaak net zo goed volstrekt logisch. Zo logisch zelfs, dat u bepaalde basiswaarden als vanzelfsprekend beschouwt, terwijl ze in de praktijk helemaal niet geregeld zijn. De beveiliging van het netwerk valt of staat bij dit inzicht van urgentie en basale logica. Het bepalen van het beleid moet daarom worden geformuleerd en uitgedragen door het management van dat bedrijf zodat de ICT-afdeling een handleiding heeft. Want als de ICT-afdeling zelf moet bepalen dat een deur die altijd open heeft gestaan ineens op slot moet, botst de afdeling met collega s die dit beleid ongedaan willen maken omdat zij het lastig vinden om altijd de sleutel bij zich te hebben. Het maken van ICT-beleid is de eerste stap naar een beveiligde omgeving dit is een dynamische exercitie en zal worden aangescherpt naarmate de volgende stappen worden ondernomen. 9

10 Informatiebeveiliging begint bij u Stap 2: Inventaris Het pand De volgende stap: Wanneer het beleid bepaalt dat alleen bevoegden toegang hebben tot de bedrijfsruimten, dan moet in kaart worden gebracht welke ruimten beschikbaar zijn en hoe ze gebruikt worden. We hadden al besloten om een archiefruimte in te richten met daarin een kluis. Maar hoeveel deuren verschaffen toegang tot die ruimte? Meerdere deuren naar één ruimte levert gebruikersgemak op, maar ook meer risico dat er een deur blijft openstaan. Welke ruimten zijn er en wat is de functie daarvan? Eigenlijk is er dus een plattegrond nodig om te zien waar de risico s zich bevinden om daar gericht iets aan te kunnen doen. Vervolgens moet er geregeld worden dat die plattegrond ook wordt bijgewerkt als er uitbreidingen aan of verbouwingen in het pand plaatsvinden. Als er een nieuwe archiefruimte komt op een andere plaats moet dit worden meegenomen. De plattegrond blijft dus actueel! Het netwerk Ook bij het beveiligen van het computernetwerk is een actuele plattegrond vereist. In dit geval spreken we van de inventaris, of in het Engels inventory. In de inventaris staan alle systemen opgesomd die onderdeel uitmaken van het netwerk. En net als bij de bedrijfsruimten is dit niet alleen een lijst met systemen, maar is ook in kaart gebracht wat de functie is van al die systemen. Is het een gewone computer of een laptop? Is het een server en zo ja, wat is de functie ervan? Of is het misschien zelfs een mobiele telefoon of een printer? Tegenwoordig wordt steeds meer apparatuur aangesloten op een netwerk en dit moet in beeld worden gebracht om een compleet beveiligingsbeleid te kunnen maken en uitvoeren. In de praktijk is zoiets fundamenteels als een up-to-date inventaris vaak helemaal niet beschikbaar. Er is 10

11 geen actueel beeld van de systemen die onderdeel uitmaken van het netwerk, waardoor de beveiliging ervan dus al direct op losse schroeven komt te staan. Immers: als je niet weet wat je bezit, hoe kun je het dan beveiligen? Vraag gerust eens aan uw ICT-afdeling of zij over een continu actuele inventaris beschikken. De kans is groot dat u schrikt. 11

12 Informatiebeveiliging begint bij u Stap 3: Prioriteiten Het pand Het beleid schrijft voor dat er alleen persoonsgebonden toegang tot ruimtes (of kasten in die ruimtes) is. Er is dus verschil in het soort ruimte en de ene ruimte is belangrijker dan de andere. In het voorbeeld heeft de veiligheid van de documenten in de kluis prioriteit boven documenten in de archiefruimte, en deze hebben weer prioriteit boven de documenten die elders in het pand aanwezig zijn. Stel dat de receptionist na een korte afwezigheid constateert dat een onbevoegd persoon is gepasseerd en zich ergens in het pand moet bevinden. Waarheen moeten de bewakers als eerste worden gestuurd? Of een ander voorbeeld: Als de stroom in alle ruimten is uitgevallen en het noodaggregaat slaat aan, welke ruimten moeten dan in ieder geval van stroom worden voorzien? Het netwerk Ook de ICT-systemen hebben prioriteiten ten opzichte van elkaar. Ze zijn ondersteunend voor bepaalde werkzaamheden en die werkzaamheden zijn in min of meerdere mate belangrijk voor de business. Het kan een zuiver financiële afweging zijn welke systemen voorrang krijgen als alles uitvalt. Als het om een industrieel bedrijf gaat, zal de fabriek in elk geval moeten kunnen functioneren. In een ziekenhuis zijn de medische systemen natuurlijk letterlijk vitaal. Gaat het om een dienstverlener? Dan is de bereikbaarheid voor de cliënten wellicht het belangrijkste. 12

13 Als niet wordt gekozen welke systemen het belangrijkst zijn voor de business, is de kans groot dat bij calamiteiten de ICT-afdeling het eerst in actie komt bij de manager die het hardst roept. Dan kan het zomaar zijn dat de laptop van die manager eerder werkt dan die belangrijke robot in de fabriek. Het indelen van systemen in prioriteiten kan onderdeel uitmaken van een organisatiebrede Business Impact Analyse (BIA). Belangijk is wel dat dit niet een eenmalige actie is: ICT-systemen komen en gaan vaak elke dag, en moeten dus bijna continu op prioriteit kunnen worden ingedeeld. 13

14 Informatiebeveiliging begint bij u Stap 4: Kwetsbaarheden Het pand Nu wij de prioriteiten op een rijtje hebben, kan er aan het risicoprofiel van de onderneming worden gewerkt. De eerste stap in dit proces is het in kaart brengen van de kwetsbaarheden. Het pand in het voorbeeld heeft verschillende ruimtes en de documenten worden op verschillende manieren en op verschillende plaatsen opgeborgen. Die plaatsen zijn voor verschillende mensen toegankelijk. Uit de voorgaande inventarisatie worden de mogelijke kwetsbaarheden gehaald. Neem bijvoorbeeld het aantal deuren dat toegang geeft tot het archief. Welk systeem hebben we aangebracht om de deur te beveiligen? Kunnen medewerkers dezelfde toegangspas voor verschillende ruimtes gebruiken? Omdat er zich op de toegangspas bijvoorbeeld geen pasfoto bevindt, kan deze aan derden worden uitgeleend. Ook al is het elektronische pasjessysteem een erkende beveiligingsmethode, het kan in bepaalde situaties toch kwetsbaarheden hebben. Het is dus belangrijk om, net als bij de plattegrond, ook de kwetsbaarheden regelmatig te analyseren en na te gaan op welk soort en aantal ruimten die kwetsbaarheden betrekking hebben. Het netwerk Computersystemen zitten vol met kwetsbaarheden, waardoor zij niet altijd voldoen aan het vastgestelde beleid. Als het beleid bepaalt dat onbevoegden geen gebruik mogen maken van de systemen, dan is een kwetsbaarheid bijvoorbeeld dat een medewerker zijn of haar wachtwoord verliest. Of dat de medewerker eenzelfde, zeer eenvoudig te achterhalen wachtwoord gebruikt mensen kiezen immers vaak voor 14

15 gebruikersgemak, hetzelfde wachtwoord voor allerlei verschillende diensten, zowel zakelijk als privé. Er kan dan wel een goed beleid zijn voor zakelijk gebruik, maar als de werknemer op een andere website, of bij een webshop, hetzelfde password gebruikt, dan levert dat ook een gevaar op voor de beveiliging van uw organisatie. Ook kan een medewerker thuis werken aan een document dat is meegenomen op een USB-stick. Door het thuisgebruik kan er een virus op de sitck komen te staan die vervolgens op het interne systeem voor schade zorgt. 15

16 Informatiebeveiliging begint bij u Stap 5: Bedreigingen Het pand Een kwetsbaarheid is pas gevaarlijk als er ook een actieve bedreiging bestaat die het kwetsbare onderdeel kan bereiken. U moet daarom op de hoogte zijn van de actuele bedreigingen, zodat u daar waar nodig adequaat kunt ingrijpen. Als een pasjessysteem wordt gebruikt voor toegang tot het pand en het blijkt dat de gekozen pasjes nagemaakt kunnen worden, dan is dat zeker een kwetsbaarheid. De vraag in hoeverre inbrekers op de loer liggen om met dit soort nagemaakte pasjes uw pand te betreden, bepaalt echter in hoge mate de bedreiging voor de organisatie. Het is logisch om elke kwetsbaarheid te willen afdichten en te zoeken naar het juiste systeem om dit zo goed mogelijk aan te pakken. De snelheid waarmee dit moet gebeuren, en de kosten die hiermee gemoeid zijn, worden echter mede bepaald door de inschatting van het dreiginggevaar. Het netwerk Bedreigingen voor computernetwerken zijn legio en nemen elk jaar toe, de kranten staan er vol mee. In de analyse moet staan welke bedreigingen er specifiek voor uw netwerk bestaan, en dat gekoppeld aan de kwetsbaarheid van data en systemen. De bekendste bedreigingen voor het netwerk zijn hackers en virussen. Hackers kunnen proberen bij wijze van uitdaging of gewoon uit baldadigheid op uw netwerk te komen. Maar tegenwoordig gaat het dikwijls om specifieke aanvallen op specifieke onderdelen van organisaties. Daarbij wordt uiteraard gezocht naar de kwetsbaarheden, waarbij de menselijke factor en verouderde software in de praktijk het vaakst misbruikt worden. 16

17 Virussen komen veelal op een netwerk door een toevalligheid of onzorgvuldigheid. Een USB-stick kan een virus van een thuiscomputer overdragen naar het netwerk op kantoor. Bedreigingen kunnen ook ontstaan omdat er aanpassingen zijn verricht aan het besturingssysteem. Als bijvoorbeeld Microsoft een update uitbrengt, betekent dit heel vaak dat er sprake is van een kwetsbaarheid in de software van de fabrikant. Het feit dat er een kwetsbaarheid is ontstaan, en dat dit bekend wordt, levert een nieuwe potentiële bedreiging op. Het lek moet nu zo snel mogelijk worden gedicht. Het is echter ook goed mogelijk dat de leverancier dit lek nog niet ontdekt heeft, maar een cybercrimineel wel en die heeft dan bij gebrek aan een update dus vrij spel. 17

18 Informatiebeveiliging begint bij u Stap 6: Risico Het pand Het risiconiveau wordt bepaald door zowel de kennis van de relevante kwetsbaarheden en de daarvoor geldende bedreigingen. Stel dat tijdens een inbraak een briefje met de combinatie van uw kluis is gestolen. De kluis bevat zeer vertrouwelijke informatie, dus de kwetsbaarheid is kritisch. Het feit dat de code mogelijk bewust is ontvreemd, betekent een hoogst actuele bedreiging. Zonder te aarzelen zet u een andere combinatie op de kluis. In geval van een acuut risico moet er direct gehandeld worden. Door het risiconiveau goed te bepalen, kan adequaat worden ingegrepen. Dat wil onder meer zeggen: Niet onnodig in actie komen voor relatief onschuldige zaken, maar direct handelen wanneer de organisatie werkelijk gevaar loopt. Met deze kennis van zaken worden onnodige kosten vermeden en kan zeer gericht gewerkt worden. Het netwerk Het kritisch karakter van kwetsbaarheden in computernetwerken kan zeer verschillend zijn. Wanneer softwareleveranciers of security specialisten online informatie over een kwetsbaarheid publiceren, geven ze daar zelf een waardering aan die de ernst (dreiging) ervan weerspiegelt. Deze waardering of dreigingrisico is niet altijd één op één te vertalen naar elke specifieke organisatie. Het kan bijvoorbeeld zijn dat een lek bij Microsoft invloed heeft op een aantal individuele computers, maar dat wil niet automatisch zeggen dat er een acute bedreiging en kwetsbaarheid is voor uw server (uw prioriteit). 18

19 Om een juiste inschatting te maken van het risico dienen stappen 1 tot en met 5 te zijn doorlopen. Door het wisselende karakter van, vooral, de kwetsbaarheden en bedreigingen, moet regelmatig een risicoanalyse worden uitgevoerd om een inschatting van de veiligheidsituatie te maken. Door regelmatig een risicoanalyse uit te voeren kan voorkomen worden dat er onnodig, niet of niet adequaat wordt omgegaan met de bedreigingen. 19

20 Informatiebeveiliging begint bij u Stap 7: Technologie Het pand Pas nadat de risicoanalyse is uitgevoerd kan er voor technologische oplossen worden gekozen om de geïdentificeerde risico s af te dekken. Er is een aangepast beleid opgesteld en inzichtelijk gemaakt met een plattegrond, een overzicht van waarvoor de verschillende ruimtes worden gebruikt en welk risico er aan het gebruik van de ruimtes kleeft. Het is nu mogelijk om de verschillende ruimtes technologisch te beveiligen: de kluis is slechts toegankelijk met een code; de archiefruimte kan alleen geopend worden door geautoriseerde pasjes en de verschillende toegangen worden bewaakt door camera s. Doordat een actuele plattegrond voorhanden is, kan exact bepaald worden hoeveel camera s nodig zijn en een overschot aan technologie worden voorkomen. Bij de aanschaf en implementatie van de technologie moeten wel diverse mogelijkheden overwogen worden: Wordt er geregistreerd welke werknemer op welk moment zijn of haar toegangspas gebruikt? Kunnen de beelden van de camera s worden uitgelezen en hoe lang worden deze beelden bewaard? Vervolgens moet het beleid worden aangepast om de toegepaste technologie optimaal te laten functioneren. Bijvoorbeeld hoe vaak de technologie een reset nodig heeft en hoe snel een defecte camera moet worden vervangen. Het netwerk Risico s voor een computernetwerk kunnen vaak opgelost worden door updates voor software of hardware toe te passen. Dergelijke wijzigingen aan de apparatuur hebben echter soms verstrekkende gevolgen en daarom kan het ook niet altijd meteen. In dat geval verdient het wellicht de voorkeur om (tijdelijk) technologie in te zetten die het risico afdicht en zo dus tijd maakt om de benodigde updates 20

21 gedegen te testen alvorens toe te passen. Dit soort technologie vereist natuurlijk een investering in tijd en geld. Door een goed beeld van de ernst van het risico kan een goede afweging gemaakt worden: investeren of het risico (tijdelijk) accepteren. De mogelijkheden kunnen naast elkaar worden gezet, waarna de functionaris verantwoordelijk voor de beveiliging het eindoordeel velt over de te nemen stappen. 21

22 Informatiebeveiliging begint bij u Stap 8: Afdwingen Het pand Het aanschaffen van de beveiligingscamera s is één, maar het inzetten ervan is natuurlijk minstens zo belangrijk. Een partij camera s in de doos gaan het probleem immers niet oplossen. De technologie is in dit geval afgedwongen indien alle kwetsbare ruimtes voorzien zijn van een camera, en u moet erop (laten) toezien dat dit ook gebeurt. Het is heel logisch dat een werknemer die het bedrijf verlaat de sleutel van zijn werkplek retourneert. In het geval van een elektronische toegang, met een code, zal dus moeten worden afgedwongen dat deze regelmatig, desnoods automatisch, wordt vernieuwd om het risico van toegang door onbevoegden te vermijden. Het netwerk Wanneer bepaalde technologie gekozen wordt om een risico af te dekken, dan is het toepassen daarvan de volgende stap. Zonder kennis van de inhoud van het netwerk of de systemen is dat onbegonnen werk. Als alle Windows computers een bepaalde vorm van beveiliging nodig hebben, dan moeten ze allemaal in beeld zijn om die beveiliging ook te installeren. En pas wanneer dat overal gebeurd is, kan het risico als afgedekt worden beschouwd. 22

23 23

24 Informatiebeveiliging begint bij u Stap 9: Evalueren Het Pand U heeft geïnvesteerd in oplossingen om bepaalde risico s af te dichten. Uiteraard wilt u dan ook regelmatig evalueren of dit het gewenste resultaat oplevert. Dat betekent bijvoorbeeld dat een medewerker wordt aangesteld om de beelden van camera s in de gaten te houden. Misschien is een camera niet goed gericht, of is voor bepaalde ruimtes eigenlijk een nachtcamera nodig. Een verandering van het gebruik van een ruimte of een nieuwe gebruiker levert een nieuwe situatie op, dus alle facetten van beveiliging binnen het bedrijf moeten regelmatig worden geëvalueerd. De kennis van hoe een inbraak in een bepaalde ruimte heeft kunnen plaatsvinden, geeft meteen aanwijzingen voor een aanpassing van het beleid. Kortom, alle aanpassingen van het pand, de gebruiker en het beleid moeten regelmatig de revue passeren. Omdat de evaluatie verschillende onderdelen van het bedrijfsproces beslaan (camerabeveiliging, receptie, personeelsbeleid) is het dan ook logisch dat deze evaluatie op directieniveau plaatsvindt. Het netwerk Ook beveiligingssystemen voor computernetwerken moeten worden gecontroleerd. Zo kan worden vastgesteld of deze in staat zijn om de gesignaleerde kwetsbaarheden en risico s op te lossen, of dat door de inzet ervan heel andere problemen ontstaan. Een beveiligingsmaatregel kan in theorie ook zaken blokkeren die gewoon doorgang moeten vinden. Zoiets als het schoonmaakbedrijf dat per ongeluk was overgeslagen toen de toegangspasjes werden uitgedeeld en daarom haar werk niet kan doen. 24

25 Regelmatig evalueren betekent dat fouten in de systemen kunnen worden gesignaleerd en opgelost. Maar ook dat het gewenste resultaat is bereikt. 25

26 Informatiebeveiliging begint bij u Stap 10: Compliancy Het pand Met compliancy wordt bedoeld dat bewezen kan worden dat voldaan wordt aan het vastgestelde beleid. Dit is de laatste stap van de cyclus en vormt het bewijs dat u net zo veilig bent als u denkt te zijn. Als het doel is dat onbevoegden buiten de deur worden gehouden, dan moet alles wat daaraan gedaan kan worden ook functioneren. Het alternatief is om af te wachten totdat het fout gaat om vervolgens te concluderen dat de beveiliging dus NIET functioneert. Met alle schade van dien. U bent als eindverantwoordelijke waarschijnlijk niet de enige die bewijs wilt zien van een werkend beveiligingssysteem. Ook de verzekeringsmaatschappij zal bewijs van gedegen beveiliging willen zien voordat zij in geval van calamiteiten overgaat tot uitkering. En niet alleen de verzekering, maar soms ook financiers, zoals de aandeelhouders in beursgenoteerde ondernemingen, willen in het jaarverslag een uitvoerige rapportage vinden over Risk Management and Control. Het netwerk Ook op het gebied van ICT-beveiliging is soms sprake van audits om de risico s en het beheren daarvan te testen. Deze audits worden voor sommige sectoren verplicht gesteld, bijvoorbeeld om PCI-compliancy aan te tonen. PCI-DSS is een richtlijn die wordt opgelegd aan partijen die te maken hebben met credit-card betalingen. In de zorgsector in Nederland is de NEN7510 norm een bekende richtlijn met betrekking tot ICT beveiliging. Juist in deze sector wordt gewerkt met zeer privacy gevoelige informatie en het is daarom een kwestie van tijd voordat een dergelijke richtlijn ook wetgeving zal worden. Op deze norm worden tegenwoordig actief audits uitgevoerd, met als doel compliancy via marktwerking af te dwingen. Op Europees en 26

27 Nederlands niveau wordt gewerkt aan een zogenaamde data breach notification wetgeving. Iets dergelijks is al van toepassing in landen als de Verenigde Staten, het Verenigd Koninkrijk en Duitsland. Deze wetgeving dwingt een organisatie waarvan data kwijt is, daarvan publiekelijk melding te maken. Een soort schandpaal-effect. In veel van die wetgeving is geregeld dat wanneer de organisatie in kwestie kan aantonen dat de verloren data versleuteld is geweest, en dus onbruikbaar is, de meldingsplicht vervalt of milder is. De mogelijkheid om te kunnen bewijzen dat voldaan wordt aan het beleid, is dus belangrijk voor interne maar ook voor externe controles. 27

28 Informatiebeveiliging begint bij u Nawoord Informatiebeveiliging begint bij beleid. Met behulp van een aantal eenvoudige voorbeelden, van gisteren en van vandaag, heb ik geprobeerd te illustreren dat de keuzes die gemaakt moeten worden eigenlijk vrij basaal en eenvoudig zijn. In de dagelijkse praktijk constateren wij echter dat in veel organisaties dat fundamentele beleid, dat eenvoudige basiswerk, juist ontbreekt. Als bestuurder heeft u een sleutelrol in informatiebeveiliging. Om het goed te laten verlopen, is vereist dat u bij stap 1 en 10 actief betrokken bent. Dus enerzijds bij het bepalen van het beleid, anderzijds bij de controle op naleving daarvan. Alle tussenliggende stappen zijn goed over te laten aan uw beheerders, maar door de benodigde handelingen te kennen, kunt u erop toezien dat ze ook worden uitgevoerd. Roep nu uw ICT-specialisten bijeen met de vraag: Jullie beheren de kluis van deze organisatie. Is die kluis wel op slot? Waar te beginnen? Wilt u informatiebeveiliging laten werken, roep dan binnenkort eens op de ICT-afdeling dat u het voorkomen van dataverlies als één van uw prioriteiten ziet en daar vanaf nu de eindverantwoordelijkheid voor neemt. Roep dan een team van specialisten bijeen en neem twee uur de tijd om hun verhalen en ideeën aan te horen. Leg ze dan die vraag voor of die kluis ook daadwerkelijk op slot is. Ik voorspel u: gejuich alom. 28

29 29

30 Informatietechnologie valt niet meer weg te denken uit het zakelijke en sociale verkeer. Met de toegenomen kracht, complexiteit en openheid van datastromen en middelen gaat echter ook kwetsbaarheid gepaard. Openheid houdt risico s en bedreigingen in. Daarom luidt de centrale vraag in informatiebeveiliging: hoe kunnen wij zorgen voor werkbare veiligheid, met een perfecte balans tussen functionaliteit en veiligheid? Dit boek wordt u aangeboden door DearBytes, adviseur in beveiliging van IT-systemen en kostbare informatie. Al 12 jaar helpen wij als All-Round Security Specialist onze relaties met informatiebeveiliging. Niet alleen met uitgebreide theoretische kennis maar juist met praktische oplossingen voor bedrijven en organisaties. De tekst is geschreven door Erik Remmelzwaal, algemeen directeur van DearBytes. De tekeningen zijn van Nicoline Heemskerk. Hoe past informatiebeveiliging binnen uw doelstellingen en hoe krijgt u IT-security onder controle? Wij geven u met dit boek een helder beeld van hoe informatiebeveiliging volgens alle bekende normeringen zoals ISO procesmatig moet worden ingericht. Om het begrijpelijk te houden, wordt daarbij de parallel getrokken met de beveiliging van een bedrijfspand. Zo biedt dit boek u momenten van herkenning en hopelijk veel leesplezier.

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Impact van de meldplicht datalekken

Impact van de meldplicht datalekken Impact van de meldplicht datalekken Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Pro-actief beheer voor uw systemen en netwerk

Pro-actief beheer voor uw systemen en netwerk Pro-actief beheer voor uw systemen en netwerk Heartbeat Monitoring De basis van ons beheer Het uitvallen van systemen kan voor vervelende situaties zorgen voor de bedrijfsprocessen binnen uw organisatie.

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Grip op uw bedrijfscontinuïteit

Grip op uw bedrijfscontinuïteit Grip op uw bedrijfscontinuïteit Hoe omgaan met risico s 1 Grip op uw bedrijfsdoelstellingen: risicomanagement Ondernemen is risico s nemen. Maar bedrijfsrisico s mogen ondernemen niet in de weg staan.

Nadere informatie

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u?

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Inleiding De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Veilig mobiel werken. Workshop VIAG 7 oktober 2013 1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde

Nadere informatie

Real-time betrouwbaarheid. Een geïntegreerd detectie-, vangst- en waarschuwingssysteem voor muizen met real-time rapportage

Real-time betrouwbaarheid. Een geïntegreerd detectie-, vangst- en waarschuwingssysteem voor muizen met real-time rapportage Real-time betrouwbaarheid Een geïntegreerd detectie-, vangst- en waarschuwingssysteem voor muizen met real-time rapportage De kern van uw bedrijf beschermd Ongedierte Plaagdieren kan kunnen uw organisatie

Nadere informatie

IT security in de mobiele MKB-wereld

IT security in de mobiele MKB-wereld IT security in de mobiele MKB-wereld Onderzoek onder o.a. Nederlandse MKB-bedrijven 14 maart 2013 Martijn van Lom General Manager Kaspersky Lab Benelux and Nordic PAGE 1 Onderzoek onder MKB-bedrijven in

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006 Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory

Nadere informatie

Bedrijfszekerheid. Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN

Bedrijfszekerheid. Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN Bedrijfszekerheid Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN Altijd in bedrijf Onderwerpen Liveplan remote beheer Firmtel Telefonie Liveplan server backup LivePlan Remote Beheer

Nadere informatie

Real-time confidence. Het geïntegreerde detectie-, vangst- en alarmeringssysteem voor muizen, inclusief snelle respons en real-time rapportage

Real-time confidence. Het geïntegreerde detectie-, vangst- en alarmeringssysteem voor muizen, inclusief snelle respons en real-time rapportage Real-time confidence Het geïntegreerde detectie-, vangst- en alarmeringssysteem voor muizen, inclusief snelle respons en real-time rapportage De kern van uw bedrijf beschermd Plaagdieren kunnen uw organisatie

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Geen verrassingen meer... ENTERPRISE EDITION. NoWorries!

Geen verrassingen meer... ENTERPRISE EDITION. NoWorries! Geen verrassingen meer... ENTERPRISE EDITION NoWorries! S Y S T E E M B E H E E R IK MAAK MIJ GEEN ZORGEN MEER OVER ONZE IT SINDS NoWorries! HET BEHEER VERZORGT Wat is systeembeheer eigenlijk... Volgens

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Geen verrassingen meer... BUSINESS EDITION. NoWorries!

Geen verrassingen meer... BUSINESS EDITION. NoWorries! Geen verrassingen meer... BUSINESS EDITION NoWorries! S Y S T E E M B E H E E R IK MAAK MIJ GEEN ZORGEN MEER OVER ONZE IT SINDS NoWorries! HET BEHEER VERZORGT Wat is systeembeheer eigenlijk... Volgens

Nadere informatie

Copyright by Katoen Natie en by Dicky voor de illustraties. Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van

Copyright by Katoen Natie en by Dicky voor de illustraties. Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van The Safety Bible Copyright by Katoen Natie en by Dicky voor de illustraties. Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke

Nadere informatie

Whitepaper. Inzetten op integrale veiligheid

Whitepaper. Inzetten op integrale veiligheid Whitepaper Inzetten op integrale veiligheid Inzetten op integrale veiligheid Verliezen lijden? Door fraude, diefstal of schade? Of letsel? Daar zit u niet op te wachten. Sterker nog, u heeft zich ertegen

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

systeembeheer Geen verrassingen meer... NoWorries!

systeembeheer Geen verrassingen meer... NoWorries! systeembeheer Geen verrassingen meer... NoWorries! S Y S T E E M B E H E E R IK MAAK MIJ GEEN ZORGEN MEER OVER ONZE IT SINDS TEPUCOM HET BEHEER VERZORGT Wat is systeembeheer eigenlijk... Volgens het woordenboek

Nadere informatie

Video Conferencing anno 2012

Video Conferencing anno 2012 White paper Video Conferencing anno 2012 +31 (0) 88 121 20 00 upc.nl/business Pagina 1 van 8 Video Conferencing De behoefte aan video-vergaderen groeit. Mensen gaan steeds flexibeler om met de begrippen

Nadere informatie

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Kinderen van een jaar weten tegenwoordig al de weg op een tablet. De computer en het internet zijn niet

Nadere informatie

CYBERCRIME. Datarisico s onder controle

CYBERCRIME. Datarisico s onder controle CYBERCRIME Datarisico s onder controle Wat is cybercrime? In het digitale tijdperk bent u als ondernemer extra kwetsbaar. Criminelen breken tegenwoordig niet meer alleen in via deuren en ramen. Ze maken

Nadere informatie

Cloud Services Uw routekaart naar heldere IT oplossingen

Cloud Services Uw routekaart naar heldere IT oplossingen Cloud Services Uw routekaart naar heldere IT oplossingen Uw IT schaalbaar, altijd vernieuwend en effectief beschikbaar > Het volledige gemak van de Cloud voor uw IT oplossingen > Goede schaalbaarheid en

Nadere informatie

Verborgen gebreken in de defence in depth theorie

Verborgen gebreken in de defence in depth theorie Verborgen gebreken in de defence in depth theorie Iedere beveiligingsprofessional kent waarschijnlijk het schillenconcept. Dit staat bekend onder verschillende benamingen zoals defence in depth of layers

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

Onderzoek IS Interned Services wijst uit: Back-up en archivering van bedrijfsinformatie met name pijnpunt binnen MKB

Onderzoek IS Interned Services wijst uit: Back-up en archivering van bedrijfsinformatie met name pijnpunt binnen MKB Onderzoek IS Interned Services wijst uit: Back-up en archivering van bedrijfsinformatie met name pijnpunt binnen MKB Onderzoek IS Interned Services wijst uit: Back-up en archivering van bedrijfsinformatie

Nadere informatie

Onderzoeksrapport. Kwetbaarheden in ICT

Onderzoeksrapport. Kwetbaarheden in ICT Onderzoeksrapport Kwetbaarheden in ICT mei 2013 Website: www.lemontree.nl Nederlandse bedrijven lopen onnodig beveiligingsrisico s Top 3 kwetsbaarheden zijn relatief eenvoudig op te lossen. Alphen aan

Nadere informatie

Installatie Remote Backup

Installatie Remote Backup Juni 2015 Versie 1.2 Auteur : E.C.A. Mouws Pagina 1 Inhoudsopgave BusinessConnect Remote Backup... 3 Kenmerken... 3 Beperkingen... 3 Gebruik op meerdere systemen... 3 Systeemeisen... 4 Support... 4 Installatie...

Nadere informatie

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Informatiebeveiling Zie ook het Privacyregelement 1. Beroepsgeheim De huisartsen, psycholoog en POH s hebben als BIG

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

DATAHACKING HALLOWEEN EVENT 31-10-2014

DATAHACKING HALLOWEEN EVENT 31-10-2014 DATAHACKING HALLOWEEN EVENT 31-10-2014 DOEL PRESENTATIE WIJ WILLEN GRAAG Wederzijds kennismaken Kennis delen rondom datalekken en cybercrime Toelichting op de verzekeringsmogelijkheden OVER HISCOX VERZEKEREN

Nadere informatie

DE MELDCODE IN UW PRAKTIJK

DE MELDCODE IN UW PRAKTIJK DE MELDCODE IN UW PRAKTIJK Een onmisbare handleiding voor eerstelijnspraktijken die de Meldcode Huiselijk Geweld en Kindermishandeling gaan implementeren. 4 INTRODUCTIE DE MELDCODE IN UW PRAKTIJK 6 8 12

Nadere informatie

Vertrouwen is het sleutelwoord bij outsourcen. IS Interned Services: Outsourcen doe je samen op basis van gelijkwaardig partnership

Vertrouwen is het sleutelwoord bij outsourcen. IS Interned Services: Outsourcen doe je samen op basis van gelijkwaardig partnership Vertrouwen is het sleutelwoord bij outsourcen IS Interned Services: Outsourcen doe je samen op basis van gelijkwaardig partnership Vertrouwen is het sleutelwoord bij outsourcen IS Interned Services: Outsourcen

Nadere informatie

Informatie. beveiliging in de ambulancezorg

Informatie. beveiliging in de ambulancezorg Informatie beveiliging in de ambulancezorg De norm voor informatiebeveiliging in de zorg, NEN 7510, is niet vrijblijvend L Vertrouwelijke informatie Werk je in de sector ambulancezorg? Dan is het belangrijk

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

Softwaregebruik in het compliance-tijdperk. Compliant softwaregebruik: is de IT-organisatie er wel klaar voor?

Softwaregebruik in het compliance-tijdperk. Compliant softwaregebruik: is de IT-organisatie er wel klaar voor? RESEARCH NOTE Softwaregebruik in het compliance-tijdperk Het onderzoek Onderzoek onder business en IT managers naar software, compliance en licenties Bedrijfsleven en overheid 93 deelnemers Het gebruik

Nadere informatie

ICT-uitbestedingsdiensten en Software as a Service:

ICT-uitbestedingsdiensten en Software as a Service: ICT-uitbestedingsdiensten en Software as a Service: Betrouwbaardere ICT, minder zorgen! Maak kennis met Multrix Wilt u op maat gesneden ICT-diensten die volledig aan de wensen en behoeften van uw organisatie

Nadere informatie

Hoe zorgt u voor maximale uptime met minimale inspanning?

Hoe zorgt u voor maximale uptime met minimale inspanning? Hoe zorgt u voor maximale uptime met minimale inspanning? Qi ict Delftechpark 35-37 2628 XJ Delft T: +31 15 888 04 44 F: +31 15 888 04 45 E: info@qi.nl I: www.qi.nl De service-overeenkomsten van Qi ict

Nadere informatie

Meest mobiele organisatie van Nederland

Meest mobiele organisatie van Nederland Resultaten onderzoek Meest mobiele organisatie van Nederland Juni 2013 Uitkomsten onderzoek onder top organisaties in Nederland Uitgevoerd door Keala Research & Consultancy in de periode mei tot en met

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens Privacy & Security Statement / Werkend Nederland BV Inleiding Werkend Nederland werkt met persoonsgegevens. We zijn ons hiervan bewust en gaan integer om met uw gegevens. In dit document kunt u lezen hoe

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Nedap AEOS & Nedap LoXS

Nedap AEOS & Nedap LoXS Nedap AEOS & Nedap LoXS Doeltreffende combinatie van toegangscontrole met locker management Twee werelden komen samen Nedap AEOS is een marktleidend systeem voor toegangscontrole en beveiliging. Het wordt

Nadere informatie

Uw IT, onze business

Uw IT, onze business Techniek gaat prima samen. Uw IT, onze business Hoogendoorn IT Services biedt vele mogelijkheden om de kantoorautomatisering van bedrijven te beheren, optimaal te laten functioneren of het bedrijf zelfs

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

GOEDE ZORG VOOR ONDERZOEKSDATA.

GOEDE ZORG VOOR ONDERZOEKSDATA. GOEDE ZORG VOOR ONDERZOEKSDATA. Ziekenhuislaboratorium LabWest vertrouwt IT-infrastructuur toe aan Sentia Sinds 2011 werken verschillende ziekenhuizen in en rondom Den Haag met een gezamenlijke laboratoriumorganisatie.

Nadere informatie

Intern (On-Premise) Co-Location Infrastructure-as-a-Service (IaaS) Platform-as-a-Service (PaaS)

Intern (On-Premise) Co-Location Infrastructure-as-a-Service (IaaS) Platform-as-a-Service (PaaS) Tot een aantal jaren geleden was het redelijk vanzelfsprekend om in een gebouw met een groot aantal werkplekken een eigen serverruimte te maken. Dit heeft nog steeds een aantal voordelen. Vandaag de dag

Nadere informatie

Gebruik Kwaliteitseisen Model (KEM)

Gebruik Kwaliteitseisen Model (KEM) Gebruik Kwaliteitseisen Model (KEM) De business moet de eisen opstellen waaraan de hardware & software moet voldoen. Tegelijkertijd is het de business die vaak niet weet welke eisen je aan hardware & software

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Uw zakelijke ICT-omgeving goed geregeld en optimaal beveiligd voor een vast bedrag per maand

Uw zakelijke ICT-omgeving goed geregeld en optimaal beveiligd voor een vast bedrag per maand PC-Score introduceert: DÉ TOTAALOPLOSSING VOOR ONDERNEMERS Storingsdienst, netwerkbeheer, antivirus, onderhoud en hulp op afstand. Veilig en snel! Uw zakelijke ICT-omgeving goed geregeld en optimaal beveiligd

Nadere informatie

Risico Reductie Overzicht

Risico Reductie Overzicht Risico Reductie Overzicht Handleiding Auteurs Hellen Havinga en Olivier Sessink Datum 7 juli 2014 Versie 1.0 Inhoudsopgave 1.Risico Reductie Overzicht in vogelvlucht...4 2.Wie kan Wat met een Risico Reductie

Nadere informatie

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox A Algemeen 1. Gegevens aanvrager Naam: Adres: Dochter- Bedrijven 50% aandel of meer: Heeft u een vestiging in de VS/ Canada Graag een opgave van uw activiteiten: Graag een opgave van uw website(s) : 2.

Nadere informatie

HUISREGELS COMPUTERGEBRUIK

HUISREGELS COMPUTERGEBRUIK Informatiebeveiliging NEN 7510 HUISREGELS COMPUTERGEBRUIK 2010 03-08-2010 Hoorn Inleiding In dit document wordt aangegeven welke huisregels binnen het gelden voor het gebruik van informatiesystemen, computers

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Brochure ISO 27002 Foundation

Brochure ISO 27002 Foundation Brochure ISO 27002 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische

Nadere informatie

INVENTARISATIEFORMULIER CYBER VERZEKERING

INVENTARISATIEFORMULIER CYBER VERZEKERING INVENTARISATIEFORMULIER CYBER VERZEKERING A - Algemeen 1. Naam bedrijf :. 2. Datum oprichting :. 3. Contactpersoon :. 4. Hoofdadres :. 5. Postcode/plaats :. 6. Telefoon :. 7. Webadres :. 8. Bedrijfsactiviteiten

Nadere informatie

Functieprofiel: Ondersteuner ICT Functiecode: 0405

Functieprofiel: Ondersteuner ICT Functiecode: 0405 Functieprofiel: Ondersteuner ICT Functiecode: 0405 Doel Registreren en (laten) oplossen van vragen en storingen van ICT-gebruikers binnen de richtlijnen van de afdeling, teneinde bij te dragen aan efficiënt

Nadere informatie

Project Veilige Data Opslag

Project Veilige Data Opslag 10 goede redenen Sla al uw foto s veilig op Sla al uw films veilig op Sla al uw muziek veilig op Sla al uw documenten, Excel, Word, etc, etc veilig op Deel de data met uw huisgenoten Opslag van alle soorten

Nadere informatie

Antwoorden op vragen over verlies van gevoelige informatie nr. 2070801320

Antwoorden op vragen over verlies van gevoelige informatie nr. 2070801320 Postbus 20701 2500 ES Den Haag Telefoon (070) 318 81 88 Fax (070) 318 78 88 Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Plein 2 2511 CR s Den Haag Datum 5 november 2007 D2007029059 Ons kenmerk

Nadere informatie

Protocol Thuis- en telewerken

Protocol Thuis- en telewerken Protocol Thuis- en telewerken Versie 1.1 Datum 18 juni 2009 Pagina 2 / 8 Inhoudsopgave 1 Algemeen 4 2 Toestemming 4 3 Transport van vertrouwelijke informatie 4 4 Thuissituatie 5 4.1 Spelregels voor het

Nadere informatie

Veelgestelde Vragen Veilig Online Pakket van HISCOX

Veelgestelde Vragen Veilig Online Pakket van HISCOX Juni 2014 1 Veelgestelde Vragen Veilig Online Pakket van HISCOX Bescherming Verzekering Service Juni 2014 2 Inhoud 1. Waarom biedt Hiscox in samenwerking met ABN AMRO het Veilig Online Pakket aan? 3 2.

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

Informatie over EthicsPoint

Informatie over EthicsPoint Informatie over EthicsPoint Melden algemeen Beveiliging en vertrouwelijkheid van meldingen Tips en beste praktijken Informatie over EthicsPoint Wat is EthicsPoint? EthicsPoint is een uitgebreid en vertrouwelijk

Nadere informatie

ABC4U-online. ABC4U software levert en/of biedt huidige en toekomstige gebruikers:

ABC4U-online. ABC4U software levert en/of biedt huidige en toekomstige gebruikers: ABC4U software levert en implementeert geavanceerde softwarepakketten waarbij zij gespecialiseerd is in oplossingen voor de Bouwnijverheid en in het bijzonder voor gespecialiseerde Aannemers (Metsel- Voeg-

Nadere informatie

Handleiding Migratie. Bronboek Professional

Handleiding Migratie. Bronboek Professional Handleiding Migratie Bronboek Professional Laatste wijziging: 25/02/2015 Inhoudsopgave Controles en acties vooraf pag. 1 Installatie en configuratie Microsoft SQL met de Bronboek Helpdesk Tool pag. 3 Migratie

Nadere informatie

Remcoh Mobile Device beheer. Remcoh legt uit

Remcoh Mobile Device beheer. Remcoh legt uit Remcoh Mobile Device beheer Remcoh legt uit White Paper Middels deze white paper informeert en adviseert Remcoh u over slim beheer van mobiele apparaten en toegang daarmee tot uw bedrijfsgegevens. Waarom

Nadere informatie

Brochure ISO 27002 Advanced

Brochure ISO 27002 Advanced Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Checklist calamiteiten

Checklist calamiteiten Checklist calamiteiten Op grond van de Voorbeeld Samenwerkingsovereenkomst Volmacht dienen gevolmachtigde assurantiebedrijven te beschikken over een calamiteitenplan. Het calamiteitenplan moet erin voorzien

Nadere informatie

BPM voor Sharepoint: het beste van twee werelden

BPM voor Sharepoint: het beste van twee werelden BPM voor Sharepoint: het beste van twee werelden BPM voor Sharepoint: het beste van twee werelden Analisten als Gartner en Forrester voorzien dat Sharepoint dé standaard wordt voor document management

Nadere informatie

Vragenformulier Cyberverzekering

Vragenformulier Cyberverzekering Vragenformulier Cyberverzekering A Algemeen 1. Naam bedrijf 2. Datum oprichting 3. Contactpersoon 4. Adres hoofdkantoor 5. Postcode/plaats 6. Telefoon 7. Webadres 8. Bedrijfsactiviteiten 9. Eventuele nevenactiviteiten

Nadere informatie

Training en workshops

Training en workshops Mirabeau Academy HACKING OWASP TOP 10 Training en workshops MIRABEAU ACADEMY AHEAD IN A DIGITAL WORLD Digitaal denken zit in onze code. We weten exact wat er online speelt. Sinds 2001 ontwikkelen we platformen

Nadere informatie

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016 Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht

Nadere informatie

Automatische online en lokale backup en recovery van bedrijfsdata

Automatische online en lokale backup en recovery van bedrijfsdata Automatische online en lokale backup en recovery van bedrijfsdata Omdat u moet kunnen vertrouwen op uw backup... BACKUPAGENT, DE VOORDELEN OP EEN RIJ - Veilige backups zonder omkijken, alle bedrijfskritische

Nadere informatie

Kijken, kiezen, maar wat te kopen?

Kijken, kiezen, maar wat te kopen? Kijken, kiezen, maar wat te kopen? 15 aandachtspunten bij overgang naar de cloud Cloud biedt voor veel organisaties de mogelijkheid om te innoveren zonder hoge investeringen. Zowel Telecom providers als

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Kwaliteitsbewaking en testen in ICT beheerorganisaties

Kwaliteitsbewaking en testen in ICT beheerorganisaties DKTP Informatie Technologie Veembroederhof 1 1019 HD Amsterdam Telefoon 020 427 52 21 Kwaliteitsbewaking en testen in ICT beheerorganisaties Voor de meeste projectgroepen die software ontwikkelen vormt

Nadere informatie

SpicyLemon Beveiligingsonderzoek

SpicyLemon Beveiligingsonderzoek SpicyLemon Beveiligingsonderzoek Summary + Rapport Specificaties Uitvoerder Webwereld in opdracht van SpicyLemon Periode veldwerk 14-12-2011 t/m 04-01-2012 Response aantal: 274 Beveiligingsonderzoek -

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

VEILIGHEID & BEVEILIGING Facilitaire Dienst - Universiteit Maastricht

VEILIGHEID & BEVEILIGING Facilitaire Dienst - Universiteit Maastricht VEILIGHEID & BEVEILIGING REGLEMENT CAMERATOEZICHT UNIVERSITEIT MAASTRICHT Dit reglement ziet toe op het cameratoezicht op de terreinen en in de panden van de Universiteit Maastricht. Met behulp van camera

Nadere informatie

Personeels- en Salarisadministratie anno nu Snel schakelen door slimme online toepassingen. Audit Tax Advisory

Personeels- en Salarisadministratie anno nu Snel schakelen door slimme online toepassingen. Audit Tax Advisory Personeels- en Salarisadministratie anno nu Snel schakelen door slimme online toepassingen 2012 1 Overal en altijd toegankelijk Voor de toegang is alleen een pc nodig met een internetverbinding U heeft

Nadere informatie