Proefaudit zet informatiebeveiliging

Transcriptie

1 2 Kwaliteit in Bedrijf oktober 2012 Objectieve meting is vaak dé aanzet tot verdere actie Proefaudit zet informatiebeveiliging formeel op agenda Bijna wekelijks zijn de risico s van de geautomatiseerde samenleving in het nieuws. Informatiebeveiliging staat in de schijnwerpers, terwijl menige organisatie het nog nauwelijks formeel op de agenda voert. Een proefaudit kan daar verandering in brengen; niet zelden is objectieve meting dé aanzet tot verdere actie. Door Heleen Aalders De trend die we zien, is dat IT steeds grootschaliger wordt, met een fundamentele invloed op ons dagelijks leven. Steeds meer gegevens over meer mensen zijn opgeslagen in steeds meer systemen met meer doeleinden. Onzekerheidsfactoren zijn er te over. De risico s lopen uiteen van persoonlijke schade voor een enkele betrokkene tot technische, financiële en imagoschade voor bedrijven, overheden en zelfs complete sectoren. Integrale beveiliging is een serieuze zaak. Waarom is informatiebeveiliging dan geen conditio sine qua non? 30% Systemen, 70% mensenwerk De bewustwording groeit snel signaleert Mike Wetters, Lead Auditor van DNV Business Assurance. Wetters is één van Nederlands specialisten in Information Security Management. Als auditor komt hij dagelijks over de vloer bij bedrijven en overheden. Het gevaar van informatielekken is reëel zegt hij. Zo n lek wordt dan pijnlijk breed uitgemeten in de media, met alle gevolgen van dien. Het is in het belang van de organisatie én van cliënten om dat te voorkomen. Gelukkig is er steeds meer bereidheid om werk te maken van informatiebeveiliging, bijvoorbeeld door borging met een objectieve norm zoals ISO Daarbij gaat het overigens meer dan om alleen techniek; 70% van de veiligheid wordt uitgemaakt door mensenwerk. Wetters illustreert zijn betoog met een recente ervaring bij een groot Nederlands bedrijf. Bij de entree vanuit de parkeergarage opende een behulpzame medewerker de deur voor de auditor. Het kostbare toegangssysteem dat kort geleden was geïnstalleerd, werd goedbedoeld omzeild. Wetters: Informatiebeveiliging valt en staat met het bewustzijn van medewerkers. Meestal gaat het onbewust mis. Zo ook bij medewerkers die het bedrijf verlaten. Men levert de telefoon en de laptop in. Niemand gaat na of er nog bestanden op de privé pc en telefoon staan; het neveneffect van thuiswerken. Zo ontstaan informatielekken, waarover meestal niemand behalve de IT er zich opwindt. Op het niveau van directie of Raad van bestuur wordt de sense of urgency vaak nog niet gevoeld. Proefaudit: de thermometer in de organisatie Gelukkig zijn er ook positieve uitschieters, zoals Riagg Zuid in Roermond. Hier besloot de afdeling Informatievoorziening & Beheer onlangs tot een proefaudit, gevolgd door een consultancy-dag, uitgevoerd door certificerende instelling DNV Business As- surance in samenwerking met consultancy firma BMGrip. Opdrachtgever Jan Hendrik van Weelderen: Een Riagg focust op zorg, zelfs de IT er of ICT er. Een onafhankelijke auditor focust op informatiebeveiliging, vanuit specifieke kennis én vanuit specifieke ervaring. De proefaudit was dé manier om informatiebeveiliging serieuze aandacht te geven. Na twee intensieve dagen lag er een heldere rapportage. ISO of NEN 7510 certificering Riagg Zuid is goed bezig! concludeert Mike Wetters. Riagg Zuid investeerde kort geleden in een digitaliseringsslag. Van Weelderen: Die ervaring had ons al bewust gemaakt van de gevoeligheid van cliënteninformatie. Op alle niveaus zijn we alert op de vertrouwelijkheid van gegevens, behandelingen en ook over onze medewerkers en behandelaars zelf. Toch is het prettig om met een externe, onafhankelijke partij te sparren, om impulsen te krijgen en gescherpt te worden. In no time werden de kaders duidelijk en hebben we het traject naar certificering bepaald. Onze gedachten zijn omgezet in een concept-beleidsplan, concreet met toetsmomenten. Informatiebeveiliging is geagendeerd. Dat is goed voor ons en voor de buitenwacht. Q

2 Informatiebeveiliging - nummer Lex Borger We hebben zeker meer lekken dan vroeger. Maar we hebben ook veel meer informatie dan vroeger om te lekken. Daar waar twintig jaar geleden de kunst nog was om te weten waar de schaarse informatie te halen was, is er nu zoveel data te krijgen dat je goed moet filteren om de juiste informatie over te houden. Daar heeft iedereen last van, ook de instanties die persoonsgegevens verwerken - als we ons even tot persoonsgegevens beperken. Ik denk zelfs dat men relatief goed werk levert. De aanwas van data gaat sneller dan de aanwas van lekken. En waarom wordt gelekte informatie niet meer gepubliceerd? Het is kennelijk niet meer de moeite waard of men houdt het achter om het mogelijk te verkopen. Dit is de twilight zone tussen de script kiddie en de organized crime. Maar een ding is zeker: er zijn zoveel mogelijkheden om in te breken dat we weten dat preventie ervan altijd wel ergens te kort zal schieten. Hans Brinkers - Een Amerikaans/Nederlands icoon. Ik denk dat de vraag waar hij is niet de juiste is om te stellen. Maar het is een goede vergelijking in de zin dat naast goede preventie vroege detectie van het falen ervan cruciaal is. En ook duidelijk uit het verhaal van de zilveren schaatsen: weten hoe je de repressie uitvoert is ook belangrijk. Toch zie ik om mij heen nog vaak een maniakale focus op preventie en preventie alleen. Goede monitoring is niet weggelegd voor security, laat staan analyse van resultaten, alerting en incident response. Maar is informatie dan niet al gelekt ten tijde van het incident? Ja, als er maar één dijk is wel. Maar wij polderaars weten al eeuwen dat goede dingen in drieën komen: de waker, slaper en dromer. Dat geeft je twee kansen tot detectie en repressie voordat jouw persoonsgegevens lekken. Het wordt tijd dat we beveiliging echt op die manier gaan aanvliegen. DNV EN DE CERTIFICERINGSMARKT Een redacteur van Informatiebeveiliging bezocht onlangs de Zorg & ICT Beurs en raakte in gesprek met DNV. DNV Business Assurance is een belangrijke speler in de certificeringsmarkt. Als certificerende instelling certificeert en traint DNV volgens (inter)nationale- en branchespecifieke normen en standaarden op gebieden als o.a. kwaliteit, veiligheid, duurzaamheid, arbo, voedselveiligheid en informatiebeveiliging. We vroegen Mike Wetters, lead auditor informatiebeveiliging van DNV Business Assurance, naar de norm NEN Wetters: De norm NEN 7510 is een afgeleide van ISO en toegesneden op informatiebeveiliging in de zorg. Deze norm is specifiek bedoeld voor instellingen in de zorgsector om de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie ten behoeve van verantwoorde zorg voor patiënten te waarborgen. Naast het borgen van informatiebeveiliging moeten de informatiebeveiligingsmaatregelen volgens de norm zo zijn ingericht dat ze zijn te controleren. NEN 7510 kan worden gezien als een kader waarbinnen iedere proceseigenaar relevant geachte informatie voor het proces kan specificeren, inclusief bijbehorende maatregelen. De norm dekt het hele gebied van informatiebeveiliging en blijft dus niet beperkt tot technische specificaties maar geeft ook richting aan de organisatie en het menselijk handelen. Bij informatiebeveiliging, ongeacht welke branche het betreft, gaat het om 70% menselijk handelen en 30% ICT systemen. Wetters vertelt over de proefaudits die DNV Business Assurance verzorgt voor bedrijven en organisaties. Zo n proefaudit is geschikt voor elke organisatie die wil starten met het opzetten en implementeren van een ISMS (information security management system). Men krijgt dan een overzicht van de al aanwezige elementen van een ISMS en inzicht in hoeverre dit correct is geïmplementeerd. Een goede graadmeter of de organisatie klaar is voor een externe NEN 7510 of ISO audit. DNV Business Assurance ontwikkelde de whitepaper In 10 stappen starten met informatiebeveiliging volgens NEN 7510 of ISO De whitepaper is te downloaden via (

3 DNV /BALANS 7 ACTURE BEHAALT ISO CERTIFICAAT Jonge onderneming loopt voorop in informatiebeveiliging De veilige opslag van digitale informatie wordt steeds belangrijker, signaleert Rob Jansen in het hoofdartikel van dit blad. Acture realiseert zich dat ten volle. Acture is een relatief kleine organisatie, maar werkt met vertrouwelijke informatie van duizenden mensen. DNV Business Assurance certificeerde Acture volgens ISO 27001, de eerste norm die specifiek gericht is op informatieopslag en -beveiliging. In opdracht van haar klanten, uitzendbureaus en (middel)grote bedrijven, verzorgt Acture de uitvoering van de ziektewet, de uitbetaling van ziektewetuitkeringen en de begeleiding van zieke werknemers tot aan herstel door een casemanager. De verslaglegging gebeurt digitaal. Het betreft vertrouwelijke gegevens die worden opgeslagen op grote servers. In omvang is Acture compact, zoals procesmanager Sander Deriks omschrijft, maar het marktaandeel is behoorlijk: alleen in 2011 werden er al ruim ziekmeldingen verwerkt. In 2010 besloot Acture tot certificering van de informatieverwerking en -opslag. Acture bestond toen nog maar twee jaar. We wilden zichtbaar maken dat onze systemen op orde zijn, juist als jonge organisatie, zegt Deriks. De systemen kwamen glansrijk door de audit heen! Een goede basis om te groeien; Acture heeft een ambitieuze groeistrategie. De processen moeten dus gezond zijn en voorbereid zijn op die groei. Tijdens de certificeringsaudit is, in overleg met de auditor, extra aandacht besteed aan (toekomstige) risico s. We hebben geleerd om processen nog meer in de context van informatiebeveiliging te zien. Samen met DNV hebben we bereikt dat het certificaat inhoud heeft en waarde oplevert. DNV BIEDT CERTIFICERING EN TRAINING Prorail introduceert Veiligheidsprestatieladder NIEUW De ladder, die vijf treden telt, met eisen en criteria is ontwikkeld door DNV, ingenieursbureaus, adviesbureaus, de TU Delft en een aantal spooraannemers. Door kritische reflectie op conceptversies is een eindversie ontstaan met draagvlak in de branche. Vanaf 2013 zal ProRail de Veiligheidsprestatieladder gebruiken als beoordelingsinstrument bij aanbestedingen. De Veiligheidsprestatieladder moet bedrijven via positieve prikkels stimuleren om te investeren in hun veiligheidscultuur. Daarom zegt Prorail: Hoe hoger op de ladder, hoe meer fictieve korting een bedrijf krijgt op de inschrijfprijs. Vanaf 2013 zal Prorail deze Veiligheidsprestatieladder gebruiken bij aanbestedingen. ProRail introduceert 1 juli 2012 binnen de spoorbranche een instrument, dat in staat is veiligheidsbewustzijn in bedrijfsculturen te meten: de Veiligheidsprestatieladder. Het doel: mensen nog alerter maken op (on)veilige situaties in hun werk. Is de bedrijfscultuur zo dat iedereen elkaar makkelijk aanspreekt op risicovol gedrag? Hoeveel aandacht is er voor veiligheid in werkoverleg en andere gesprekken? CERTIFICERING De Veiligheidsprestatieladder kent vijf niveaus, met elk een specifiek eisenpakket. Het resultaat van de audit is dan ook een bevestiging -ofwel score- die aangeeft in hoeverre aan een niveau wordt voldaan. Audits in combinatie met andere certificeringen zullen in de toekomst tot de mogelijkheden behoren. Onze auditoren zijn tijdens de ontwikkelfase getraind om te auditeren tegen deze norm. TRAINING Een goed begrip van de achtergronden, criteria en eisen is essentieel voor betrokkenen. Enerzijds om het niveau op de ladder te kunnen vaststellen, anderzijds om verbeteringen in gang te zetten en een hoger niveau te bereiken. Daarom ontwikkelde DNV een training, bedoeld voor opdrachtgevers, opdrachtnemers en professionals, zoals interne en externe auditors, veiligheidsfunctionarissen en adviseurs.

4 Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV /BALANS 5 Onze wereld verandert. Agenda s, adressen en correspondentie staan op onze laptop, tablet en telefoon. De wereld is groter geworden en tegelijk kleiner en toegankelijker dan ooit. Enthousiast maken we zakelijk en privé gebruik van de informatiemaatschappij. Ogenschijnlijk onbelangrijke gegevens vertrouwen we toe aan digitale systemen. We horen wel eens over risico s. Maar die gelden toch zeker niet voor ons? Onderzoeksjournalist Brenno de Winter zorgde voor opschudding met het thema Informatiebeveiliging tijdens de DNV Relatiedag. De strekking van zijn boodschap: veel mensen denken ten onrechte dat ze niks te verbergen hebben. Maar informatie in foute handen, dat is linke soep. Foute lieden zijn meesters in het achterhalen van pincodes, wachtwoorden en het kraken van complete systemen. Zo kan totaal onverwacht uw goede naam onderuit worden gehaald. 100% SLUITENDE INFORMATIEBEVEILIGING Een oplossing die alle risico s wegneemt of afdekt, bestaat niet. Maar iedereen kan iets doen om risico s te beperken, zegt Rob Raven, Quality Manager bij KPN. Rob Raven was gast tijdens de relatiedag en bood aan om zijn ervaringen te delen met DNV s relaties. Raven: KPN behandelt risicomanagement en informatie beveiliging als geïntegreerd onderdeel van de bedrijfscultuur met systemen, procedures, protocollen en niet te vergeten heel veel mensen om dat alles te bedenken, sturen en controleren. Het zal niemand verbazen dat KPN beschikt over certificaten voor ISO 9001 (kwaliteit), ISO (milieu) en KPN Zakelijke Markt voor ISO 27001, de norm voor informatiebeveiliging. DNV Business Assurance voert daarvoor audits uit. En KPN blijft investeren in verbetering. Dat kost wat en levert veel op! Maar de essentie ligt altijd in schijnbaar eenvoudige maatregelen die voor elke organisatie gelden: neem privacy en security serieus. Denk na over de kwetsbare plekken in de organisatie en voorkom schade. Een simpel begin is het regelmatig resetten van een wachtwoord of terughoudendheid bij het delen van (persoons) gegevens via social media. Lees online het volledige artikel waarin Rob Raven u vertelt over de aanpak van KPN als het gaat om informatiebeveiliging en ISO DNV Relatiedag: Leerzaam en inspirerend van top tot teen Op 8 november 2012 organiseerde DNV Business Assurance haar vijfde relatiedag. Een leerzame dag waar we trots op zijn. Niet in de laatste plaats om de locatie: in Corpus, het gezonde en interactieve museum met een Green Key Gold, hadden we de eer 250 relaties te mogen verwelkomen. Corpus directeur Huub Lazarom verzorgde een inleiding: via Corpus kernwaarden bewegen, verantwoord eten en gezond leven naar de drie p s people, planet, profit van Maatschappelijk Verantwoord Ondernemen, één van de dagthema s. Albron verzorgde de eerste gastlezing. Albron werd in 2011 door DNV gecertificeerd voor niveau 4 van MVO Prestatieladder. MVO- kartrekker Henk Voormolen vertelde over zijn ervaringen met handige tips & tricks. Het thema informatiebeveiliging werd geïntroduceerd door onderzoeksjournalist Brenno de Winter. Hij verhaalde met ontluisterend onderzoek hoe organisaties struikelen door gebrekkige informatiebeveiliging. Actuele thema s dus, in het middagdeel uitgewerkt in sessies en workshops om effectief aan de slag te gaan met MVO, Informatiebeveiliging en intern auditeren. Benieuwd naar de presentaties? Bekijk deze op de website en krijg een impressie van de dag.

5 Informatiebeveiliging Proefaudit NEN 7510 / ISO In een dag weten in hoeverre uw organisatie klaar is voor NEN 7510 of ISO certificering? Als organisatie heeft u vaak zelf al maatregelen getroffen als het gaat om het beveiligen van de informatie. Wellicht werkt uw organisatie zelfs al volgens een aantal eisen van de NEN 7510 of ISO Een externe proefaudit van DNV zorgt ervoor dat u het overzicht krijgt welke zaken al op orde zijn, maar ook punten die nog uw aandacht vergen. Na deze proefaudit weet u direct waar u kunt beginnen. Een proefaudit is geschikt voor elke organisatie: die wil starten met het opzetten en implementeren van een ISMS (information security management system). U wilt bijvoorbeeld weten welke elementen van een ISMS systeem al aanwezig zijn. die wil weten in hoeverre het ISMS-systeem correct is geïmplementeerd en wilt weten of zij klaar zijn voor een externe NEN 7510 of ISO audit. Wat houdt een proefaudit in? In één dag wordt uw organisatie op de belangrijkste aspecten van de informatiebeveiligingsnorm NEN 7510 of ISO doorgelicht. Een proefaudit geeft u een helder beeld waar uw organisatie zich op dit moment bevindt. Daarnaast vergroot u hiermee de interne betrokkenheid. Uw medewerkers maken direct kennis met onze unieke manier van auditeren.

6 Na een proefaudit krijgt u als organisatie: Een breed auditprogramma, verschillende afdelingen. Een uitgebreide management rapportage. Een gevisualiseerd overzicht met uw positie binnen de PDCA cyclus en actiepunten. Bewustwording hoe een informatiebeveiligingsaudit door DNV verloopt. Voorbeeld programma proefaudit 09:00 10:00 Openingsmeeting 10:00 11:30 IT afdeling: IT manager 11:30 13:00 HR afdeling: HR functionaris 13:00 14:00 Pauze 14:00 15:30 Facilitair/inkoop, rol externe contracten 15:30 17:00 Informatiemanager 17:00 17:30 Terugkoppeling resultaten (evt. aan het MT) Aanmelding proefaudit NEN 7510 / ISO Naam organisatie: Dhr. / Mevr. Voornaam Achternaam.. Telefoonnummer:. Datum:.. Handtekening: Mail het ingevulde formulier mail naar certificatie@dnv.com of bel met onze afdeling marketing via