Digitale veiligheid. Risico s en maatregelen. Publicatie van de CIO Interest Group Informatiebeveiliging. CIO Platform Nederland, juni 2012

Transcriptie

1 Digitale veiligheid Risico s en maatregelen Publicatie van de CIO Interest Group Informatiebeveiliging CIO Platform Nederland, juni CIG Informatiebeveiliging - Digitale veiligheid - CIO Platform Nederland - juni 2012

2 CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 2 van 19

3 Van de opstellers Alle CIO Interest Groups (CIGs) van het CIO Platform Nederland hebben het doel om kennis te delen op die terreinen waarvan de leden hebben aangegeven deze belangrijk te vinden. De Bestuurscommissie Informatiebeveiliging van het CIO Platform Nederland worstelde met een aantal vragen, onder andere naar aanleiding van het Diginotar-incident in de tweede helft van Om antwoord te kunnen geven op deze vragen heeft de CIG een inventarisatie uitgevoerd onder de deelnemers met als belangrijkste vraag: waar lig je s nachts wakker van?. Wat houdt beveiligingsspecialisten van private en publieke organisaties in Nederland bezig? Wat zijn de belangrijkste aandachtspunten voor organisaties, en in het bijzonder de CIO, voor informatiebeveiliging? Met de opgedane ervaring van onder andere het Diginotar traject zijn we aan de slag gegaan om een antwoord te vinden op bovenstaande vraag. Daarover gaat deze publicatie. We onderkennen, na inventarisatie, zeven belangrijke aandachtsgebieden, waarover in deze publicatie meer details. Om de organisaties te helpen de risico s binnen deze aandachtsgebieden tot een aanvaardbaar niveau te verminderen zijn voor elk van deze gebieden de meest relevante beheersdoelstellingen en -maatregelen uit de Code voor Informatiebeveiliging (ISO 27002) geselecteerd. Eerder maakten wij als CIG al de awareness toolkit, ons intern security benchmark tool, de checklist voor het procurement traject en enkele publicaties. We bedanken onze organisaties die ons de gelegenheid geven op deze manier onze deskundigheid te delen binnen het CIO Platform. De opstellers (zie pagina 18). CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 3 van 19

4 Inhoudsopgave 1! Aanleiding en vraag... 5! 1.1!!Aanleiding... 5! 1.2!!Vraag... 6! 2! Werkwijze... 7! 3! Risico Top ! 3.1!!De rangschikking... 8! 3.2!!Het overzicht... 9! 4! Zeven aandachtsgebieden... 10! 4.1!!Cloud computing / Uitbesteding... 10! 4.2!!Awareness / Kennis informatie Interne organisatie / Compliance. 10! 4.3!!Interne organisatie / Compliance... 10! 4.4!!Cybercrime / Incident Management... 10! 4.5!!Complexiteit / Kennis m.b.t. systemen... 11! 4.6!!Het Nieuwe Werken (HNW)/ Bring Your Own Device (BYOD)... 11! 4.7!!Identity & Access Management (IAM)... 11! 5! Beheersmaatregelen... 12! 5.1!!Cloud Computing / Uitbesteding... 13! 5.2!!Awareness / Kennis mbt bedrijfsinformatie... 13! 5.3!!Interne organisatie / Compliance... 13! 5.4!!Cybercrime / Incident management... 14! 5.5!!Complexiteit / Kennis mbt systemen... 14! 5.6!!Het Nieuwe Werken/Bring Your Own Device... 14! 5.7!!Identity & Access Management... 15! 6! Verbeteren van informatiebeveiliging... 16! 6.1!!Relevante publicaties... 16! 6.2!!Awareness toolkit... 16! 6.3!!Checklist Informatiebeveiliging... 16! 6.4!!Benchmark van leden... 17! 7! Deelnemers CIG Informatiebeveiliging... 18! CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 4 van 19

5 1 Aanleiding en vraag 1.1 Aanleiding Het afgelopen jaar is Informatiebeveiliging vaak om vervelende redenen in het nieuws geweest. Denk hierbij aan digitale inbraken (hacks) bij Diginotar, Babydump en KPN, beveiligingsissues bij overheden in lektober en denial of service bij diverse partijen. Er is veel aan de hand waarbij niet alleen de incidenten zelf in het nieuws waren, maar ook achterliggende processen en bedrijven die werden getroffen. De gevolgen van een hack trof dus vaak veel meer partijen dan alleen degene die het overkwam. Zo plaatste de Diginotar affaire vraagtekens bij de betrouwbaarheid van de beveiliging van veiligheid-als-dienst -biedende partijen. Ook het toezicht op die dienstenleveranciers werd ter discussie gesteld en zelfs het systeem van certificaten zelf. De hack bij Babydump en KPN leidde tot aandacht voor de veiligheidsbewustheid bij netwerkpartijen en MKB-bedrijven. De noodzaak voor eindgebruikers en klanten, kortom ieder individu, om actief met hun eigen (digitale) veiligheid om te gaan is hierdoor weer actueel. Denk hierbij aan het alert zijn waar iemand welke gegevens invult en achterlaat, het kiezen van goede wachtwoorden et cetera. De behoefte om, met lering uit deze voorbeelden, voor BV Nederland hierin een constructieve en structurele aanpak te kiezen nam sterk toe. Overheid, IT-leveranciers en gebruikers werken sinds medio 2011 actief samen bij het aanpakken van digitale veiligheid in de Cyber Security Raad. Door het in kaart brengen van dreigingen en maatregelen en deze samen te brengen kunnen we de digitale veiligheid verbeteren. Alleen zo kunnen we de waarden van onze maatschappij en economie beschermen. Daarvoor moeten we wel weten wat er op ons af komt, waar we kwetsbaar zijn en welke risico s we lopen. CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 5 van 19

6 1.2 Vraag Genoeg reden dus om na te denken over actuele risico s en mogelijk nieuwe of hernieuwde inzichten die de actualiteit ons geeft. Aan de CIG Informatiebeveiliging is daarop gevraagd een antwoord te geven op de vraag wat de professionals in dit vakgebied, in casu de deelnemers van deze interest group, zien als de grootste aandachtspunten op het gebied Informatiebeveiliging voor 2012 en verder. Met de opgedane ervaring van de gememoreerde incidenten zijn we aan de slag gegaan om een antwoord te vinden op bovenstaande vraag. CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 6 van 19

7 2 Werkwijze In de bijeenkomst van de CIG Informatiebeveiliging in september 2011 is door de aanwezige deelnemers een inventarisatie van de grootste bedreigingen gemaakt. Hieruit is een lijst voortgekomen met veertig aandachtspunten, risico s, bedreigingen en beroepsmatige zorgen die de aandacht moeten krijgen. Deze lijst is toegestuurd aan alle deelnemers van de CIG met het verzoek om aan te geven welke aandachtspunten voor hun organisatie in 2012 het belangrijkst zijn. Het resultaat van deze ranking, zie de Risico Top-11 op de volgende pagina, is gepresenteerd in de CIG en Bestuurscommissie bijeenkomsten in december Vervolgens zijn de aandachtspunten geclusterd en zijn deze met het aantal stemmen gewogen. Daarna hebben we de clusters gekoppeld aan de beheersmaatregelen uit de Code voor Informatiebeveiliging. Nadat de bestuurscommissie de notitie hierover had besproken kwam het verzoek om van de resultaten een publicatie te maken, te presenteren op de jaardag van het CIO Platform in juni Dit hebben we in gang gezet en toegevoegd de wens dat ons informatiebeveiligingsbenchmark-tool BMTool van het CIO Platform hierin ook de voortgang en vergelijking mogelijk moest maken. Naast deze publicatie is er voor gezorgd dat leden van het CIO Platform de tool nu ook kunnen gebruiken om te meten waar je als organisatie staat ten opzichte van de aandachtsgebieden uit deze inventarisatie. De CIG deelnemers hebben een actieve en constructieve bijdrage geleverd aan deze publicatie, waarvoor dank. Deze deelnemers staan achterin deze publicatie opgenomen. CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 7 van 19

8 3 Risico Top De rangschikking Hieronder zijn de aandachtspunten gerangschikt die bij de inventarisatie de meeste stemmen kregen van de experts van de CIG. Uit de lijst met veertig punten mochten maximaal vijf worden aangekruist. Tussen [ ] is het aantal stemmen vermeld. 1. Awareness/verantwoordelijkheden en een soms laconieke houding [16] 2. Gebruik van privé- en mobiele apparatuur [16] 3. Geen inzicht hebben in toegang tot informatie (onvoldoende identity management, autorisatie management) [16] 4. IB nog steeds geen verantwoordelijkheid van de business (awareness) [14] 5. Onvoldoende grip op IB bij 'uit de Cloud'-dienstverlening (oa SaaS, PaaS) [13] 6. Onvoldoende grip op IB bij uitbesteden, hoe zekerheid te krijgen over het daadwerkelijke beveiligingsniveau [13] 7. Toenemende complexiteit en afnemende relevante kennis [12] 8. Cybercrime en het onvoldoende bewust zijn van de risico s [11] 9. Onbewust, onbekwame gebruikers [11] 10. Onvoldoende kennis bij eigen organisatie over bedreigingen en mogelijkheden/noodzakelijkheden om die aan te pakken [11] 11. Geen inzicht in afhankelijkheden derden en/of het beveiligingsniveau van derden [11] CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 8 van 19

9 In de oorspronkelijke lijst met veertig aandachtspunten zijn dezelfde punten soms op verschillende manieren geformuleerd. Bijvoorbeeld: Geen duidelijke contractuele afspraken over IB, Geen inzicht in niveau IB van derden en Geen inzicht in niveau IB van leveranciers. 3.2 Het overzicht De ene formulering heeft de Top-11 wel gehaald, de andere niet. Om ook die scores recht te doen en de gevraagde koppeling met beheersmaatregelen overzichtelijk te houden, zijn de veertig aandachtspunten (met hun score) geclusterd in zeven aandachtsgebieden. % stemmen per aandachtsgebied Identity & Access Management; 6% Het Nieuwe Werken / Bring Your Own Device; 8% Complexiteit / Kennis mbt systemen; 8% Cloud Computing / Uitbesteding; 28% Cybercrime / Incident management; 10% Interne organisatie / Compliance; 13% Awareness / Kennis mbt bedrijfsinformatie; 27% Het resultaat is samengevat in onderstaand figuur 1: CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 9 van 19 Figuur 1: verdeling stemmen over de aandachtsgebieden

10 4 Zeven aandachtsgebieden De zeven aandachtsgebieden kunnen als volgt worden gekarakteriseerd: 4.1 Cloud computing / Uitbesteding Het vermogen van de organisatie om de kansen die cloud computing biedt, optimaal te benutten maar tegelijkertijd grip te houden op de Informatiebeveiliging van de leveranciers van cloud services. Werkzaamheden kunnen vaak technisch eenvoudig en snel worden uitbesteed; de verantwoordelijkheid voor de betrouwbaarheid, integriteit en vertrouwelijkheid van bedrijfsinformatie blijft echter (volgens de wet) in alle gevallen bij de uitbestedende partij. 4.2 Awareness / Kennis m.b.t. informatie Interne organisatie / Compliance Het vermogen van de organisatie om security awareness en de kennis van de eigen bedrijfsinformatie op een dusdanig peil te brengen dat de betrouwbaarheid, integriteit en vertrouwelijkheid van die informatie afdoende beschermd kan worden in alle constructies: intern, traditioneel uitbesteed of in de cloud. Een belangrijk risico voor elke organisatie is de onachtzaamheid en onkunde van de medewerkers in het omgaan met vertrouwelijke informatie. 4.3 Interne organisatie / Compliance Het vermogen van de interne organisatie om te voldoen aan wet- en regelgeving en om te gaan met het verscherpte toezicht daarop. Het ontwikkelen van een beleid over het voldoen aan regelgeving en beveiliging van informatie is de eerste stap, minstens zo belangrijk zijn het controleren op naleving, signaleren van en reageren op incidenten en het eventueel aanpassen van beleid na incidenten. 4.4 Cybercrime / Incident Management Het vermogen van de organisatie om snel en doeltreffend te anticiperen en te reageren op incidenten en calamiteiten die veroorzaakt worden door steeds beter georganiseerde internetcriminelen. CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 10 van 19

11 Om te voorkomen dat strategie en beleidsvorming in het gedrang komen door het toenemend aantal nieuwe incidenten is een duidelijke scheiding binnen de organisatie tussen beleid en uitvoering van groot belang. 4.5 Complexiteit / Kennis m.b.t. systemen Het vermogen van de organisatie om te reageren op twee gelijktijdig optredende trends: de toenemende complexiteit van het systeemlandschap en de afnemende kennis van belangrijke (legacy) systemen. Een forse uitdaging voor elke organisatie is het managen van het toenemende aantal te ondersteunen applicaties en de daarvoor benodigde competenties. 4.6 Het Nieuwe Werken (HNW)/ Bring Your Own Device (BYOD) Het vermogen van de organisatie om zowel tijdig als veilig te kunnen voldoen aan (nieuwe) behoeften van de klantorganisatie ( de business ) zoals Het Nieuwe werken en de wens met eigen apparatuur toegang te krijgen tot vertrouwelijke bedrijfsinformatie (BYOD). Gebruikers, zowel medewerkers en klanten, verwachten in toenemende mate dat elk platform/device gebruikt kan worden voor toegang tot voor hen relevante informatie. Als dit niet voldoende snel wordt gefaciliteerd vanuit de organisatie ontstaat ongecontroleerde verspreiding van de informatie, met bijbehorende risico s. 4.7 Identity & Access Management (IAM) Het vermogen van de organisatie om toegang voor bevoegde gebruikers te bewerkstelligen en onbevoegde toegang tot informatiesystemen te voorkomen. Recente ontwikkelingen als HNW en BYOD stellen hoge eisen aan de vaak toch al complexe inrichting van logische toegangsbeveiliging ( Identity- en Access management ). CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 11 van 19

12 5 Beheersmaatregelen De beheersmaatregelen uit de Code voor Informatiebeveiliging (ISO27002) kunnen organisaties helpen om de risico s binnen de aandachtgebieden tot een aanvaardbaar niveau te verminderen. We hebben voor elk van de geïdentificeerde aandachtsgebieden, de meest relevante beheersdoelstellingen en -maatregelen uit de Code opgenomen. Merk hierbij op dat: Sommige hoofdstukken/categorieën, zoals Risicobeoordeling en - behandeling (hoofdstuk 4), Beveiligingsbeleid (5), Classificatie van informatie (7.2) en Naleving (15) eigenlijk van toepassing zijn op alle aandachtsgebieden. Voor het aandachtgebied Cybercrime / Incident Management in feite alle maatregelen uit de Code relevant zijn. Voor het aandachtsgebied Complexiteit / Kennis m.b.t. systemen biedt de Code niet veel houvast. Cobit, het IT governance framework van ISACA, is hiervoor een betere gids. Op de volgende pagina s de uitwerking per aandachtsgebied, met daarbij de selectie beheersmaatregelen en bijbehorende relevante hoofdstukken uit de Code voor Informatiebeveiliging (ISO27002). CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 12 van 19

13 5.1 Cloud Computing / Uitbesteding 4 Risicobeoordeling en risicobehandeling 5 Beveiligingsbeleid 6.1 Interne organisatie 7.2 Classificatie van informatie 10.2 Beheer van de dienstverlening door derde partij 10.5 Back-up 10.7 Behandeling van media 10.8 Uitwisseling van informatie 10.9 Diensten voor e-commerce Telewerken Analyse en specificatie van beveiligingseisen Uitbestede ontwikkeling van programmatuur Bedrijfscontinuïteit en risicobeoordeling 15 Naleving CIG Informatiebeveiliging 5.2 Awareness / Kennis mbt bedrijfsinformatie 4 Risicobeoordeling en risicobehandeling 5 Beveiligingsbeleid 7.2 Classificatie van informatie Telewerken Betrokkenheid van de directie bij Informatiebeveiliging Beveiliging behandelen in de omgang met klanten Aanvaardbaar gebruik van bedrijfsmiddelen Rollen en verantwoordelijkheden Directieverantwoordelijkheid Bewustzijn, opleiding en training tav Informatiebeveiliging 5.3 Interne organisatie / Compliance Betrokkenheid van de directie bij Informatiebeveiliging Coördinatie van Informatiebeveiliging Toewijzing van verantwoordelijkheden voor Informatiebeveiliging Geheimhoudingsovereenkomst 15.1 Naleving van wettelijke voorschriften CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 13 van 19

14 15.2 Naleving van beveiligingsbeleid en -normen en technische naleving Contact met overheidsinstanties Contact met speciale belangengroepen 13.1 Rapportage van Informatiebeveiligingsgebeurtenissen en zwakke plekken 5.4 Cybercrime / Incident management Bewustzijn, opleiding en training tav Informatiebeveiliging Blokkering van toegangsrechten 10.4 Bescherming tegen virussen en mobile code 10.6 Beheer van netwerkbeveiliging 10.7 Behandeling van media 10.8 Uitwisseling van informatie 10.9 Diensten voor e-commerce Controle van systeemgebruik 11 Toegangsbeveiliging 12.3 Cryptografische beheersmaatregelen Uitlekken van informatie 12.6 Beheer van technische kwetsbaarheden 13 Beheer van informatie beveiligingsincidenten Bedrijfscontinuïteit en risicobeoordeling 15.2 Naleving van beveiligingsbeleid en -normen en technische naleving 5.5 Complexiteit / Kennis mbt systemen 4 Risicobeoordeling en risicobehandeling Identificatie van risico's mbt externe partijen Beveiliging behandelen in overeenkomsten met een derde partij 10.2 Beheer van de dienstverlening door een derde partij Bedrijfscontinuïteit en risicobeoordeling 5.6 Het Nieuwe Werken/Bring Your Own Device 4 Risicobeoordeling en risicobehandeling 5 Beveiligingsbeleid CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 14 van 19

15 6.1.4 Goedkeuringsproces voor IT-voorzieningen Aanvaardbaar gebruik van bedrijfsmiddelen 7.2 Classificatie van informatie Bewustzijn, opleiding en training tav Informatiebeveiliging Retournering van bedrijfsmiddelen Beveiliging van apparatuur buiten het terrein Functiescheiding (7) 10.7 Behandeling van media 10.8 Uitwisseling van informatie Controle van systeemgebruik 11.3 Verantwoordelijkheden van gebruikers Draagbare computers en communicatievoorzieningen Analyse en specificatie van beveiligingseisen (voor informatiesystemen) Uitlekken van informatie 12.6 Beheer van technische kwetsbaarheden 5.7 Identity & Access Management Beveiliging behandelen in de omgang met klanten 7.2 Classificatie van informatie Rollen en verantwoordelijkheden Blokkering van toegangsrechten Functiescheiding 11 Toegangsbeveiliging 13 Beheer van informatie beveiligingsincidenten CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 15 van 19

16 6 Verbeteren van informatiebeveiliging De CIG Informatiebeveiliging is de grootste CIG van het CIO Platform. Informatiebeveiliging is een onderwerp dat bij elke CIO steeds prominenter op de agenda staat. Als CIG hebben we de afgelopen jaren een aantal producten opgeleverd voor onze leden en ook voor de buitenwereld. Op de site van het CIO Platform zijn de publicaties diverse CIGs te vinden Relevante publicaties In relatie tot de hier besproken aandachtsgebieden zijn de volgende publicaties interessant: Publicatie End User Self Service: Seven Habits: Keys to a successful user portal (juni 2011) Publicatie Human Resource Management: De nieuwe medewerker (juni 2010) Publicatie Information Security: Empowered Employee Surrender Control? (juni 2010) Naast de publicaties kunnen, voor Informatiebeveiliging, onderstaande producten veel werk besparen en/of een belangrijke bijdrage leveren aan de kwaliteit van de Informatiebeveiliging. 6.2 Awareness toolkit Voor onze leden is een awareness toolkit ontwikkeld met daarin veel informatie en bruikbaar materiaal. In de toolkit zitten, naast voorbeelden van aanpak ook materialen die leden mogen gebruiken van elkaar voor hun awareness campagne. Deze toolkit is alleen voor leden beschikbaar. 6.3 Checklist Informatiebeveiliging De checklist is bedoeld om goed opdrachtgeverschap te bevorderen daar waar het gaat om Informatiebeveiliging gerelateerde aspecten van producten en diensten. Een uitermate goed bruikbare checklist in het procurement traject. CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 16 van 19

17 Gebaseerd op de norm voor Informatiebeveiliging, ISO 27002, zijn criteria benoemd waarbij de leverancier wordt gevraagd inzicht te verstrekken hoe door hem invulling wordt gegeven aan Informatiebeveiliging. De checklist is gedeeld met de branchevereniging van ICT-leveranciers. Leveranciers kunnen dus bekend zijn met de vragen in de checklist en de gevraagde informatie aanleveren. Wanneer leveranciers binnen een aandachtsgebied een rol spelen is de Checklist Informatiebeveiliging van het CIO Platform een goede aanvulling op de, in deze publicatie beschreven, beheersmaatregelen. Deze checklist is vrij te downloaden vanaf de website van het CIO Platform Benchmark van leden Door de CIG Informatiebeveiliging is voor leden van het CIO Platform een benchmark tool (BMTool) ontwikkeld. Hiermee kan de volwassenheid van maatregelen voor Informatiebeveiliging worden vastgelegd en vergeleken met de aangesloten branchegenoten. Ook de eigen voortgang is door deze tool inzichtelijk te maken. De BMTool werkt met stellingen, gebaseerd op de norm ISO voor het scoren van de beveiligingsmaatregelen. Voor de zorginstellingen is de BMTool ook compliant met de NEN 7510 norm. De volwassenheid wordt afgemeten aan de CobiT 4.1 CMM matrix. Door de resultaten te vergelijken, kunnen sterke en zwakke schakels in de Informatiebeveiliging worden vastgesteld. Ultieme doelstelling is de aangesloten organisaties elkaar te laten helpen de zwakke schakels te elimineren door gebruik te maken van de kennis en ervaring van de leden die hier juist sterk scoren. De tool kan nu ook worden ingezet om te benchmarken met de specifieke aandachtspunten uit deze publicatie. Informatie over de BMTool is beschikbaar op CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 17 van 19

18 7 Deelnemers CIG Informatiebeveiliging Organisatie Voornaam Achternaam Schiphol Group Hans Aldenkamp Van Gansewinkel Groep Arjan Arendse Enexis B.V. Hans Baars Coöperatie VGZ UA Hendrikus Beck NXP Semiconductors Netherlands B.V. Kay Behnke Holland Casino Erwin Bosma De Nederlandsche Bank Edwin Bouwmeester PostNL Dick Brandt Tweede Kamer der Staten-Generaal Marcus Bremer Belastingdienst Gerrit Jan Brendeke Koninklijke BAM Groep N.V. René Colsen Royal Vopak Carlos Cordova Niewold Ahold / Albert Heijn Nico de Groot Telegraaf Media ICT Ernst de Rijk ABN AMRO Bank Martijn Dekker UMC Utrecht Evert Jan Evers LUMC Erik Flikkenschild CJIB Henk Gomis Facilicom Anton Harder SNS REAAL Rolf Heggie Marel Food Systems Rob Janssen ECT Ruud Jongejan PGGM Piet Kalverda Belastingdienst Peter Konings Nederlandse Spoorwegen Joseph Mager Sociale Verzekeringsbank Pamela Mercera Stichting SURF Alf Moens PostNL Robert Moonen Océ Eric Piepers CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 18 van 19

19 (vervolg deelnemers CIG Informatiebeveiliging) Organisatie Voornaam Achternaam Espria Erik Pieters Achmea Group Edwin Pol Gemeente Haarlemmermeer Michael Pols Nutreco Peggy Roothans CBS Roel Rot Eneco Anne Spoelstra PostNL Michel Tinga De Nederlandsche Bank Ewoud van Bentem UMC Groningen Ron van den Bosch Havenbedrijf Rotterdam Chris van den Hooven UMC Groningen Leon van der Krogt Ahold / Albert Heijn Frank van der Kroon De Nederlandsche Bank Bram van der Meulen Randstad Holding Sander van der Velden LUMC Margot van Ditmarsch Kluwer Nico Veenkamp Transavia.com Ronald Verstraeten Rabobank Nederland Jan Wessels Schiphol Group Wil Weterings CIO Platform Rik van Embden CIO Platform Ronald Verbeek CIO Platform Foppe Vogd CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni pagina 19 van 19

20 De vereniging van ICT eindverantwoordelijken in grote organisaties van de vraagzijde CIG Informatiebeveiliging - Digitale veiligheid - CIO Platform Nederland - juni 2012