Digitale veiligheid. Risico s en maatregelen. Publicatie van de CIO Interest Group Informatiebeveiliging. CIO Platform Nederland, juni 2012

CIG Informatiebeveiliging

Digitale veiligheid Risico’s en maatregelen

Publicatie van de CIO Interest Group Informatiebeveiliging CIO Platform Nederland, juni 2012 www.cio-platform.nl/publicaties

CIG Informatiebeveiliging - Digitale veiligheid - CIO Platform Nederland - juni 2012


CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 2 van 19


Van de opstellers Alle CIO Interest Groups (CIGs) van het CIO Platform Nederland hebben het doel om kennis te delen op die terreinen waarvan de leden hebben aangegeven deze belangrijk te vinden. De Bestuurscommissie Informatiebeveiliging van het CIO Platform Nederland worstelde met een aantal vragen, onder andere naar aanleiding van het ‘Diginotar-incident’ in de tweede helft van 2011. Om antwoord te kunnen geven op deze vragen heeft de CIG een inventarisatie uitgevoerd onder de deelnemers met als belangrijkste vraag: “waar lig je ’s nachts wakker van?”. Wat houdt beveiligingsspecialisten van private en publieke organisaties in Nederland bezig? Wat zijn de belangrijkste aandachtspunten voor organisaties, en in het bijzonder de CIO, voor informatiebeveiliging? Met de opgedane ervaring van onder andere het Diginotar traject zijn we aan de slag gegaan om een antwoord te vinden op bovenstaande vraag. Daarover gaat deze publicatie. We onderkennen, na inventarisatie, zeven belangrijke aandachtsgebieden, waarover in deze publicatie meer details. Om de organisaties te helpen de risico’s binnen deze aandachtsgebieden tot een aanvaardbaar niveau te verminderen zijn voor elk van deze gebieden de meest relevante beheersdoelstellingen en -maatregelen uit de Code voor Informatiebeveiliging (ISO 27002) geselecteerd. Eerder maakten wij als CIG al de awareness toolkit, ons intern security benchmark tool, de checklist voor het procurement traject en enkele publicaties. We bedanken onze organisaties die ons de gelegenheid geven op deze manier onze deskundigheid te delen binnen het CIO Platform. De opstellers (zie pagina 18).



Inhoudsopgave 1!

2! 3!

4!

5!

6!

7!

Aanleiding en vraag .............................................................................. 5! 1.1! !Aanleiding ....................................................................................... 5! 1.2! !Vraag ............................................................................................... 6! Werkwijze............................................................................................... 7! Risico Top-11 ......................................................................................... 8! 3.1! !De rangschikking ............................................................................ 8! 3.2! !Het overzicht ................................................................................... 9! Zeven aandachtsgebieden .................................................................10! 4.1! !Cloud computing / Uitbesteding ..................................................10! 4.2! !Awareness / Kennis informatie Interne organisatie / Compliance .10! 4.3! !Interne organisatie / Compliance..................................................10! 4.4! !Cybercrime / Incident Management .............................................10! 4.5! !Complexiteit / Kennis m.b.t. systemen ........................................11! 4.6! !Het Nieuwe Werken (HNW)/ Bring Your Own Device (BYOD) ........11! 4.7! !Identity & Access Management (IAM)............................................11! Beheersmaatregelen ...........................................................................12! 5.1! !Cloud Computing / Uitbesteding ..................................................13! 5.2! !Awareness / Kennis mbt bedrijfsinformatie .................................13! 5.3! !Interne organisatie / Compliance..................................................13! 5.4! !Cybercrime / Incident management .............................................14! 5.5! !Complexiteit / Kennis mbt systemen ...........................................14! 5.6! !Het Nieuwe Werken/Bring Your Own Device ................................14! 5.7! !Identity & Access Management .....................................................15! Verbeteren van informatiebeveiliging ..............................................16! 6.1! !Relevante publicaties.....................................................................16! 6.2! !Awareness toolkit ..........................................................................16! 6.3! !Checklist Informatiebeveiliging.....................................................16! 6.4! !Benchmark van leden ....................................................................17! Deelnemers CIG Informatiebeveiliging.............................................18!



1

Aanleiding en vraag

1.1 Aanleiding Het afgelopen jaar is Informatiebeveiliging vaak om vervelende redenen in het nieuws geweest. Denk hierbij aan digitale inbraken (hacks) bij Diginotar, Babydump en KPN, beveiligingsissues bij overheden in ‘lektober’ en denial of service bij diverse partijen. Er is veel aan de hand waarbij niet alleen de incidenten zelf in het nieuws waren, maar ook achterliggende processen en bedrijven die werden getroffen. De gevolgen van een hack trof dus vaak veel meer partijen dan alleen degene die “het overkwam”. Zo plaatste de Diginotar affaire vraagtekens bij de betrouwbaarheid van de beveiliging van “veiligheid-als-dienst”-biedende partijen. Ook het toezicht op die dienstenleveranciers werd ter discussie gesteld en zelfs het systeem van certificaten zelf. De hack bij Babydump en KPN leidde tot aandacht voor de veiligheidsbewustheid bij netwerkpartijen en MKB-bedrijven. De noodzaak voor eindgebruikers en klanten, kortom ieder individu, om actief met hun eigen (digitale) veiligheid om te gaan is hierdoor weer actueel. Denk hierbij aan het alert zijn waar iemand welke gegevens invult en achterlaat, het kiezen van goede wachtwoorden et cetera. De behoefte om, met lering uit deze voorbeelden, voor BV Nederland hierin een constructieve en structurele aanpak te kiezen nam sterk toe. Overheid, IT-leveranciers en –gebruikers werken sinds medio 2011 actief samen bij het aanpakken van digitale veiligheid in de Cyber Security Raad. Door het in kaart brengen van dreigingen en maatregelen en deze samen te brengen kunnen we de digitale veiligheid verbeteren. Alleen zo kunnen we de waarden van onze maatschappij en economie beschermen. Daarvoor moeten we wel weten wat er op ons af komt, waar we kwetsbaar zijn en welke risico’s we lopen.



1.2 Vraag Genoeg reden dus om na te denken over actuele risico’s en mogelijk nieuwe of hernieuwde inzichten die de actualiteit ons geeft. Aan de CIG Informatiebeveiliging is daarop gevraagd een antwoord te geven op de vraag wat de professionals in dit vakgebied, in casu de deelnemers van deze interest group, zien als de grootste aandachtspunten op het gebied Informatiebeveiliging voor 2012 en verder. Met de opgedane ervaring van de gememoreerde incidenten zijn we aan de slag gegaan om een antwoord te vinden op bovenstaande vraag.



2

Werkwijze

In de bijeenkomst van de CIG Informatiebeveiliging in september 2011 is door de aanwezige deelnemers een inventarisatie van ‘de grootste bedreigingen’ gemaakt. Hieruit is een lijst voortgekomen met veertig aandachtspunten, risico’s, bedreigingen en ‘beroepsmatige zorgen’ die de aandacht moeten krijgen. Deze lijst is toegestuurd aan alle deelnemers van de CIG met het verzoek om aan te geven welke aandachtspunten voor hun organisatie in 2012 het belangrijkst zijn. Het resultaat van deze ranking, zie de ‘Risico Top-11’ op de volgende pagina, is gepresenteerd in de CIG en Bestuurscommissie bijeenkomsten in december 2011. Vervolgens zijn de aandachtspunten geclusterd en zijn deze met het aantal stemmen gewogen. Daarna hebben we de clusters gekoppeld aan de beheersmaatregelen uit de Code voor Informatiebeveiliging. Nadat de bestuurscommissie de notitie hierover had besproken kwam het verzoek om van de resultaten een publicatie te maken, te presenteren op de jaardag van het CIO Platform in juni 2012. Dit hebben we in gang gezet en toegevoegd de wens dat ons informatiebeveiligingsbenchmark-tool “BMTool” van het CIO Platform hierin ook de voortgang en vergelijking mogelijk moest maken. Naast deze publicatie is er voor gezorgd dat leden van het CIO Platform de tool nu ook kunnen gebruiken om te meten waar je als organisatie staat ten opzichte van de aandachtsgebieden uit deze inventarisatie. De CIG deelnemers hebben een actieve en constructieve bijdrage geleverd aan deze publicatie, waarvoor dank. Deze deelnemers staan achterin deze publicatie opgenomen.



3

Risico Top-11

3.1 De rangschikking Hieronder zijn de aandachtspunten gerangschikt die bij de inventarisatie de meeste stemmen kregen van de experts van de CIG. Uit de lijst met veertig punten mochten maximaal vijf worden aangekruist. Tussen [ ] is het aantal stemmen vermeld. 1. Awareness/verantwoordelijkheden en een soms laconieke houding [16] 2. Gebruik van privé- en mobiele apparatuur [16] 3. Geen inzicht hebben in toegang tot informatie (onvoldoende identity management, autorisatie management) [16] 4. IB nog steeds geen verantwoordelijkheid van de business (awareness) [14] 5. Onvoldoende grip op IB bij 'uit de Cloud'-dienstverlening (oa SaaS, PaaS) [13] 6. Onvoldoende grip op IB bij uitbesteden, hoe zekerheid te krijgen over het daadwerkelijke beveiligingsniveau [13] 7. Toenemende complexiteit en afnemende relevante kennis [12] 8. Cybercrime en het onvoldoende bewust zijn van de risico’s [11] 9. Onbewust, onbekwame gebruikers [11] 10. Onvoldoende kennis bij eigen organisatie over bedreigingen en mogelijkheden/noodzakelijkheden om die aan te pakken [11] 11. Geen inzicht in afhankelijkheden derden en/of het beveiligingsniveau van derden [11]



In de oorspronkelijke lijst met veertig aandachtspunten zijn dezelfde punten soms op verschillende manieren geformuleerd. Bijvoorbeeld: “Geen duidelijke contractuele afspraken over IB”, “Geen inzicht in niveau IB van derden” en “Geen inzicht in niveau IB van leveranciers”. 3.2 Het overzicht De ene formulering heeft de Top-11 wel gehaald, de andere niet. Om ook die scores recht te doen en de gevraagde koppeling met beheersmaatregelen overzichtelijk te houden, zijn de veertig aandachtspunten (met hun score) geclusterd in zeven aandachtsgebieden.

% stemmen per aandachtsgebied Identity & Access Management; 6% Het Nieuwe Werken / Bring Your Own Device; 8%

Cloud Computing / Uitbesteding; 28%

Complexiteit / Kennis mbt systemen; 8% Cybercrime / Incident management; 10%

Interne organisatie / Compliance; 13%

Awareness / Kennis mbt bedrijfsinformatie; 27%

Het resultaat is samengevat in onderstaand figuur 1:


Figuur 1: verdeling stemmen over de aandachtsgebieden


4

Zeven aandachtsgebieden

De zeven aandachtsgebieden kunnen als volgt worden gekarakteriseerd: 4.1 Cloud computing / Uitbesteding Het vermogen van de organisatie om de kansen die cloud computing biedt, optimaal te benutten maar tegelijkertijd grip te houden op de Informatiebeveiliging van de leveranciers van cloud services. Werkzaamheden kunnen vaak technisch eenvoudig en snel worden uitbesteed; de verantwoordelijkheid voor de betrouwbaarheid, integriteit en vertrouwelijkheid van bedrijfsinformatie blijft echter (volgens de wet) in alle gevallen bij de uitbestedende partij. 4.2 Awareness / Kennis m.b.t. informatie Interne organisatie / Compliance Het vermogen van de organisatie om security awareness en de kennis van de eigen bedrijfsinformatie op een dusdanig peil te brengen dat de betrouwbaarheid, integriteit en vertrouwelijkheid van die informatie afdoende beschermd kan worden in alle constructies: intern, traditioneel uitbesteed of ‘in de cloud’. Een belangrijk risico voor elke organisatie is de onachtzaamheid en onkunde van de medewerkers in het omgaan met vertrouwelijke informatie. 4.3 Interne organisatie / Compliance Het vermogen van de interne organisatie om te voldoen aan weten regelgeving en om te gaan met het verscherpte toezicht daarop. Het ontwikkelen van een beleid over het voldoen aan regelgeving en beveiliging van informatie is de eerste stap, minstens zo belangrijk zijn het controleren op naleving, signaleren van en reageren op incidenten en het eventueel aanpassen van beleid na incidenten. 4.4 Cybercrime / Incident Management Het vermogen van de organisatie om snel en doeltreffend te anticiperen en te reageren op incidenten en calamiteiten die veroorzaakt worden door steeds beter georganiseerde internetcriminelen. CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 10 van 19


Om te voorkomen dat strategie en beleidsvorming in het gedrang komen door het toenemend aantal nieuwe incidenten is een duidelijke scheiding binnen de organisatie tussen beleid en uitvoering van groot belang. 4.5 Complexiteit / Kennis m.b.t. systemen Het vermogen van de organisatie om te reageren op twee gelijktijdig optredende trends: de toenemende complexiteit van het systeemlandschap en de afnemende kennis van belangrijke (legacy) systemen. Een forse uitdaging voor elke organisatie is het managen van het toenemende aantal te ondersteunen applicaties en de daarvoor benodigde competenties. 4.6 Het Nieuwe Werken (HNW)/ Bring Your Own Device (BYOD) Het vermogen van de organisatie om zowel tijdig als veilig te kunnen voldoen aan (nieuwe) behoeften van de klantorganisatie (‘de business’) zoals ‘Het Nieuwe werken’ en de wens met eigen apparatuur toegang te krijgen tot vertrouwelijke bedrijfsinformatie (BYOD). Gebruikers, zowel medewerkers en klanten, verwachten in toenemende mate dat elk platform/device gebruikt kan worden voor toegang tot voor hen relevante informatie. Als dit niet voldoende snel wordt gefaciliteerd vanuit de organisatie ontstaat ongecontroleerde verspreiding van de informatie, met bijbehorende risico’s. 4.7 Identity & Access Management (IAM) Het vermogen van de organisatie om toegang voor bevoegde gebruikers te bewerkstelligen en onbevoegde toegang tot informatiesystemen te voorkomen. Recente ontwikkelingen als HNW en BYOD stellen hoge eisen aan de vaak toch al complexe inrichting van logische toegangsbeveiliging (‘Identity- en Access management’).



5

Beheersmaatregelen

De beheersmaatregelen uit de Code voor Informatiebeveiliging (ISO27002) kunnen organisaties helpen om de risico’s binnen de aandachtgebieden tot een aanvaardbaar niveau te verminderen. We hebben voor elk van de geïdentificeerde aandachtsgebieden, de meest relevante beheersdoelstellingen en -maatregelen uit de Code opgenomen. Merk hierbij op dat: •

Sommige hoofdstukken/categorieën, zoals Risicobeoordeling en behandeling (hoofdstuk 4), Beveiligingsbeleid (5), Classificatie van informatie (7.2) en Naleving (15) eigenlijk van toepassing zijn op alle aandachtsgebieden.

•

Voor het aandachtgebied ‘Cybercrime / Incident Management’ in feite alle maatregelen uit de Code relevant zijn.

•

Voor het aandachtsgebied ‘Complexiteit / Kennis m.b.t. systemen’ biedt de Code niet veel houvast. Cobit, het IT governance framework van ISACA, is hiervoor een betere gids.

Op de volgende pagina’s de uitwerking per aandachtsgebied, met daarbij de selectie beheersmaatregelen en bijbehorende relevante hoofdstukken uit de Code voor Informatiebeveiliging (ISO27002).



5.1

Cloud Computing / Uitbesteding 4 Risicobeoordeling en risicobehandeling 5 Beveiligingsbeleid 6.1 Interne organisatie 7.2 Classificatie van informatie 10.2 Beheer van de dienstverlening door derde partij 10.5 Back-up 10.7 Behandeling van media 10.8 Uitwisseling van informatie 10.9 Diensten voor e-commerce 11.7.2 Telewerken 12.1.1 Analyse en specificatie van beveiligingseisen 12.5.5 Uitbestede ontwikkeling van programmatuur 14.1.2 Bedrijfscontinuïteit en risicobeoordeling 15 Naleving

5.2

Awareness / Kennis mbt bedrijfsinformatie 4 Risicobeoordeling en risicobehandeling 5 Beveiligingsbeleid 7.2 Classificatie van informatie 11.7.2 Telewerken 6.1.1 Betrokkenheid van de directie bij Informatiebeveiliging 6.2.2 Beveiliging behandelen in de omgang met klanten 7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen 8.1.1 Rollen en verantwoordelijkheden 8.2.1 Directieverantwoordelijkheid 8.2.2. Bewustzijn, opleiding en training tav Informatiebeveiliging

5.3

Interne organisatie / Compliance 6.1.1 Betrokkenheid van de directie bij Informatiebeveiliging 6.1.2 Coördinatie van Informatiebeveiliging 6.1.3 Toewijzing van verantwoordelijkheden voor Informatiebeveiliging 6.1.5 15.1

Geheimhoudingsovereenkomst Naleving van wettelijke voorschriften



15.2 6.1.6 6.1.7 13.1

Naleving van beveiligingsbeleid en -normen en technische naleving Contact met overheidsinstanties Contact met speciale belangengroepen Rapportage van Informatiebeveiligingsgebeurtenissen en zwakke plekken

5.4

Cybercrime / Incident management 8.2.2. Bewustzijn, opleiding en training tav Informatiebeveiliging 8.3.3 Blokkering van toegangsrechten 10.4 Bescherming tegen virussen en ‘mobile code’ 10.6 Beheer van netwerkbeveiliging 10.7 Behandeling van media 10.8 Uitwisseling van informatie 10.9 Diensten voor e-commerce 10.10.2 Controle van systeemgebruik 11 Toegangsbeveiliging 12.3 Cryptografische beheersmaatregelen 12.5.4 Uitlekken van informatie 12.6 Beheer van technische kwetsbaarheden 13 Beheer van informatie beveiligingsincidenten 14.1.2 Bedrijfscontinuïteit en risicobeoordeling 15.2 Naleving van beveiligingsbeleid en -normen en technische naleving

5.5

Complexiteit / Kennis mbt systemen 4 Risicobeoordeling en risicobehandeling 6.2.1 Identificatie van risico's mbt externe partijen 6.2.3 Beveiliging behandelen in overeenkomsten met een derde partij 10.2 Beheer van de dienstverlening door een derde partij 14.1.2 Bedrijfscontinuïteit en risicobeoordeling

5.6

Het Nieuwe Werken/Bring Your Own Device 4 Risicobeoordeling en risicobehandeling 5 Beveiligingsbeleid CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 14 van 19


6.1.4 Goedkeuringsproces voor IT-voorzieningen 7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen 7.2 Classificatie van informatie 8.2.2 Bewustzijn, opleiding en training tav Informatiebeveiliging 8.3.2 Retournering van bedrijfsmiddelen 9.2.5 Beveiliging van apparatuur buiten het terrein 10.1.3 Functiescheiding (7) 10.7 Behandeling van media 10.8 Uitwisseling van informatie 10.10.2 Controle van systeemgebruik 11.3 Verantwoordelijkheden van gebruikers 11.7.1 Draagbare computers en communicatievoorzieningen 12.1.1 Analyse en specificatie van beveiligingseisen (voor informatiesystemen) 12.5.4 Uitlekken van informatie 12.6 Beheer van technische kwetsbaarheden 5.7

Identity & Access Management 6.2.2 Beveiliging behandelen in de omgang met klanten 7.2 Classificatie van informatie 8.1.1 Rollen en verantwoordelijkheden 8.3.3 Blokkering van toegangsrechten 10.1.3 Functiescheiding 11 Toegangsbeveiliging 13 Beheer van informatie beveiligingsincidenten



6

Verbeteren van informatiebeveiliging

De CIG Informatiebeveiliging is de grootste CIG van het CIO Platform. Informatiebeveiliging is een onderwerp dat bij elke CIO steeds prominenter op de agenda staat. Als CIG hebben we de afgelopen jaren een aantal producten opgeleverd voor onze leden en ook voor de buitenwereld. Op de site van het CIO Platform zijn de publicaties diverse CIGs te vinden. www.cio-platform.nl/publicaties 6.1 Relevante publicaties In relatie tot de hier besproken aandachtsgebieden zijn de volgende publicaties interessant: • • •

Publicatie End User Self Service: Seven Habits: Keys to a successful user portal (juni 2011) Publicatie Human Resource Management: De “nieuwe” medewerker (juni 2010) Publicatie Information Security: Empowered Employee – Surrender Control? (juni 2010)

Naast de publicaties kunnen, voor Informatiebeveiliging, onderstaande producten veel werk besparen en/of een belangrijke bijdrage leveren aan de kwaliteit van de Informatiebeveiliging. 6.2 Awareness toolkit Voor onze leden is een awareness toolkit ontwikkeld met daarin veel informatie en bruikbaar materiaal. In de toolkit zitten, naast voorbeelden van aanpak ook materialen die leden mogen gebruiken van elkaar voor hun awareness campagne. Deze toolkit is alleen voor leden beschikbaar. 6.3 Checklist Informatiebeveiliging De checklist is bedoeld om goed opdrachtgeverschap te bevorderen daar waar het gaat om Informatiebeveiliging gerelateerde aspecten van producten en diensten. Een uitermate goed bruikbare checklist in het procurement traject.



Gebaseerd op de norm voor Informatiebeveiliging, ISO 27002, zijn criteria benoemd waarbij de leverancier wordt gevraagd inzicht te verstrekken hoe door hem invulling wordt gegeven aan Informatiebeveiliging. De checklist is gedeeld met de branchevereniging van ICT-leveranciers. Leveranciers kunnen dus bekend zijn met de vragen in de checklist en de gevraagde informatie aanleveren. Wanneer leveranciers binnen een aandachtsgebied een rol spelen is de Checklist Informatiebeveiliging van het CIO Platform een goede aanvulling op de, in deze publicatie beschreven, beheersmaatregelen. Deze checklist is vrij te downloaden vanaf de website van het CIO Platform. www.cio-platform.nl/publicaties 6.4 Benchmark van leden Door de CIG Informatiebeveiliging is voor leden van het CIO Platform een benchmark tool (BMTool) ontwikkeld. Hiermee kan de volwassenheid van maatregelen voor Informatiebeveiliging worden vastgelegd en vergeleken met de aangesloten branchegenoten. Ook de eigen voortgang is door deze tool inzichtelijk te maken. De BMTool werkt met stellingen, gebaseerd op de norm ISO 27002 voor het scoren van de beveiligingsmaatregelen. Voor de zorginstellingen is de BMTool ook compliant met de NEN 7510 norm. De volwassenheid wordt afgemeten aan de CobiT 4.1 CMM matrix. Door de resultaten te vergelijken, kunnen sterke en zwakke schakels in de Informatiebeveiliging worden vastgesteld. Ultieme doelstelling is de aangesloten organisaties elkaar te laten helpen de zwakke schakels te elimineren door gebruik te maken van de kennis en ervaring van de leden die hier juist sterk scoren. De tool kan nu ook worden ingezet om te benchmarken met de specifieke aandachtspunten uit deze publicatie. Informatie over de BMTool is beschikbaar op www.cio-platform.nl/bmtool



7

Deelnemers CIG Informatiebeveiliging

Organisatie Schiphol Group Van Gansewinkel Groep

Voornaam Hans Arjan

Achternaam Aldenkamp Arendse

Enexis B.V. Coöperatie VGZ UA

Hans Hendrikus

Baars Beck

NXP Semiconductors Netherlands B.V. Holland Casino

Kay Erwin

Behnke Bosma

De Nederlandsche Bank PostNL Tweede Kamer der Staten-Generaal

Edwin Dick Marcus

Bouwmeester Brandt Bremer

Belastingdienst Koninklijke BAM Groep N.V.

Gerrit Jan René

Brendeke Colsen

Royal Vopak Ahold / Albert Heijn Telegraaf Media ICT

Carlos Nico Ernst

Cordova Niewold de Groot de Rijk

ABN AMRO Bank UMC Utrecht

Martijn Evert Jan

Dekker Evers

LUMC CJIB

Erik Henk

Flikkenschild Gomis

Facilicom SNS REAAL Marel Food Systems

Anton Rolf Rob

Harder Heggie Janssen

ECT PGGM

Ruud Piet

Jongejan Kalverda

Belastingdienst Nederlandse Spoorwegen Sociale Verzekeringsbank

Peter Joseph Pamela

Konings Mager Mercera

Stichting SURF PostNL

Alf Robert

Moens Moonen

Océ

Eric

Piepers



(vervolg deelnemers CIG Informatiebeveiliging) Organisatie Voornaam

Achternaam

Espria Achmea Group Gemeente Haarlemmermeer

Erik Edwin Michael

Pieters Pol Pols

Nutreco CBS

Peggy Roel

Roothans Rot

Eneco PostNL

Anne Michel

Spoelstra Tinga

De Nederlandsche Bank UMC Groningen Havenbedrijf Rotterdam

Ewoud Ron Chris

van Bentem van den Bosch van den Hooven

UMC Groningen Ahold / Albert Heijn

Leon Frank

van der Krogt van der Kroon

De Nederlandsche Bank Randstad Holding LUMC

Bram Sander Margot

van der Meulen van der Velden van Ditmarsch

Kluwer Transavia.com

Nico Ronald

Veenkamp Verstraeten

Rabobank Nederland Schiphol Group

Jan Wil

Wessels Weterings

CIO Platform CIO Platform CIO Platform

Rik Ronald Foppe

van Embden Verbeek Vogd


“

De vereniging van ICT eindverantwoordelijken in grote organisaties van de vraagzijde

“

www.cio-platform.nl

CIG Informatiebeveiliging - Digitale veiligheid - CIO Platform Nederland - juni 2012

Digitale veiligheid. Risico s en maatregelen. Publicatie van de CIO Interest Group Informatiebeveiliging. CIO Platform Nederland, juni 2012

Recommend Documents