.

IT Security en Privacy, zo doe je dat

We worden ons als individu, organisatie, overheid en maatschappij steeds meer bewust van de noodzaak van goede IT Security, Informatiebeveiliging en Privacy. We interviewden Fokko en Eddy over hoe zij dat bij organisaties aanpakken.

En terwijl collega Johan Zandhuis op het iBestuur symposium ‘Grip op Privacy’ vertelt over bewustwording en gedrag in het kader van Privacy, vertellen Eddy Brouwer (foto rechts) en Fokko Keuning (foto links) wat hen in de praktijk op dit gebied bezig houdt.

“Je zegt het goed”, vertelt Eddy Brouwer, “we worden ons steeds meer bewust van het feit dat we ‘iets’ moeten doen. Dat we vrijwel dagelijks, ook via de media, op de risico’s worden gewezen draagt daar natuurlijk aan bij. Er zit al jaren een lek in de systemen bij de Belastingdienst, recent lazen we dat dit ook het geval is bij het Kadaster, en de AIVD vertelt ons dat er per dag honderden aanvallen op onze overheid plaatsvinden, gericht op staatsgeheimen.

Dan wil je als organisatie gegevens van je bedrijf, je medewerkers en je klanten gaan beschermen. Maar hoe doe je dat? Hoe begin je?” Fokko Keuning legt dit uit aan de hand van, zoals hij zelf zegt, een ‘praatplaat’ (zie afbeelding).

Security Strategie en Compliance

Fokko Keuning: “Zie het als drie niveau’s, een strategie niveau, een netwerk niveau en een applicatie niveau. Op strategisch niveau helpen we je bij het opstellen en implementeren van een security strategie die aansluit bij de organisatie- en informatiestrategie van jouw organisatie. Een risicoprofiel, aan de hand van een risico analyse, vormt hiervoor de basis. We willen hiermee komen tot een veilige strategie, een goed ingerichte governance en borgen dat er wordt voldaan aan geldende compliance normen.”

Eddy Brouwer vult aan: “Rijksdiensten moeten bijvoorbeeld voldoen aan de BIR, de Baseline Informatiebeveiliging Rijksdienst. Gemeenten aan de BIG, Baseline Informatiebeveiliging Gemeenten. Of je hebt bijvoorbeeld te maken met ISO27001/2, de ISO norm voor informatiebeveiliging. Daar helpen wij bij het maken van beleid en het checken van beleid”.

Regelgeving op Privacy
Dat geldt ook voor Privacy. In 2018 valt de wet op dataprotectie, de ‘Algemene Verordening Gegevensbescherming” (AVG), onder europees recht. Het gaat dan ‘General Data protection Regulation’ (GDPR) heten. Fokko Keuning: “Lek je dan bijvoorbeeld medewerkergegevens, dan heb je een probleem. Er worden dan boetes van miljoenen euro’s uitgedeeld of een percentage van je jaaromzet. Bepaalde organisaties moeten dan zelfs verplicht een ‘Data Protection Officer’ in huis hebben die toeziet op de regelgeving. Dat is echter geen full-time taak. Daarom hebben wij zulke mensen in huis”.

Network Infrastructure Security

Fokko schakelt door naar het tweede niveau van zijn ‘praatplaat’, Network Infrastructure Security. “Je IT-infrastructuur en je netwerk ondersteunen je businessprocessen. Het is goed om te weten wat hiervan de kwetsbaarheden zijn. Dit brengen we in kaart door kwetsbaarheidsanalyses (vulnerability scan) uit te voeren. En om te checken of die kwestbaarheden ook echte bedreigingen zijn doen we penetratietesten. Op de gevonden bedreigingen nemen we samen met onze klanten mitigerende maatregelen om de bedreigingen weg te nemen”.

Application Security

Tot slot helpen we op het niveau van application security. Fokko Keuning: “Of je nu zelf applicaties ontwikkelt of je haalt ze uit de cloud, wij borgen de beveiligbaarheid van de data en de privacy van medewerkers en klanten. Dit doen we door security testen uit te voeren op de applicaties en de onderliggende databases en code. We houden ons op elk niveau in het ontwikkelproces bezig met security. Aan het begin van het traject met security requirements, tijdens het bouwen met secure programming tot na oplevering met security testen.”

IT Security volwassen

“Gelukkig zien we een toenemende vraag naar onze expertise”, sluit Eddy Brouwer af. “Het is natuurlijk veel populairder om budget te alloceren voor activiteiten die meetbaar resultaat opleveren, dan om geld uit te geven aan activiteiten die mogelijk een heleboel schade voorkomen. Het vakgebied was het al, maar beleid op IT Security wordt nu ook bij een sterk groeiend aantal organisaties volwassen.”

Security / informatiebeveiliging integreren

Het is ons doel om security / informatiebeveiliging zodanig in je organisatie te integreren dat het zichzelf actief beschermt tegen cyberaanvallen, hacking en identiteitsfraude. Maar ook tegen (kwaadwillend) menselijk gedrag. Security is namelijk meer dan alleen techniek en testen. Ook je kennis, houding en gedrag bepaalt de kwaliteit en veiligheid van je digitale organisatie.

We zien security als een ontzettend belangrijk onderdeel van quality assurance. We passen het dan ook toe op elk aspect van je producten en diensten, als integraal onderdeel van je bedrijfsprocessen. We helpen je de veiligheid en privacy van belangrijke digitale onderdelen van je organisatie, gebruikers en klanten te borgen met je strategische doelstellingen voor ogen.

Gerelateerde tags

Klik op een tag om meer artikelen over het betreffende onderwerp te vinden.

Foto Kim Do

Vraag het Kim

  • Wil je meer weten over hoe je de gegevens van je bedrijf, je medewerkers en je klanten beschermt?
  • Avatar Kim Do
    Stuur me een berichtje, of bel me op 036-5241199 om kennis te maken en hier over door te praten.

Updates ontvangen?

Regelmatig versturen we een overzicht van de nieuwste en meest relevante artikelen op deze website. Ontvang ze ook in je mailbox!