MAGAZINE EN VERDER. Visie op Governance, Risk & Compliance ICT helpt organisaties bij het nastreven, naleven en navolgen van regels

VOOR PROFESSIONALS IN INFORMATIEVOORZIENING EN -BEVEILIGING

MAGAZINE

Nr. 01 — voorjaar 2011

Visie op Governance, Risk & Compliance

ICT helpt organisaties bij het nastreven, naleven en navolgen van regels > P. 12

LEVERANCIER IN DE SCHIJNWERPERS

RSA Archer maakt compliant zijn en blijven proactief > P. 38 PETER VAN SCHELVEN, ICT~OFFICE

‘Een contract dat alleen de harde kant van ICT regelt is een lacuneus contract’ > P. 42

EN VERDER RISICOBEHEERSING BOUWT VERTROUWEN IN FINANCIËLE SECTOR STEEDS MEER BEDRIJVEN AAN DE SLAG MET HET NIEUWE WERKEN

> P. 6

Gesprek met Rob Duiven kwartiermaker NCSS

Nationale Cyber Security Strategie bundelt publiek/private krachten voor weerbaar internetgebruik

I T E M H E A D L I N E › PA G . X X I T E M H E A D L I N E › PA G . X X

MAGAZINE Nr. 01 — voorjaar 2011

Motivator Magazine is een uitgave van Motiv IT Masters BV

Coverbeeld: Rob Duiven, NCSS, gefotografeerd door Anjoescha Odufré > p. 6

VOORWOORD

IN DIT NUMMER

6 N ationale Cyber Security

Strategie bundelt publiek/private krachten voor weerbaar internetgebruik

12 ICT helpt organisaties bij het

nastreven, naleven en navolgen van regels

14 Risicobeheersing bouwt

vertrouwen in financiële sector

20 Steeds meer bedrijven aan de slag met Het Nieuwe Werken

46 Social engineering: manipulatie en misleiding in uw organisatie

EN VERDER 4 Nieuws van Motiv 18 Sabbatical Time! 24 Motiv steunt de GBF bij doelstellingen voor groei, governance, risk & compliance 26 Opinie: Consumentenelectronica op de werkvloer 26 Digitale Agenda.nl van de Rijksoverheid 27 Het belang van certificeren van managementsystemen 28 Motiv versterkt het fundament onder de beveiligingsarchitectuur van het Amphia Ziekenhuis 31 Een blik in de innovatiekeuken van Motiv

32 Fujitsu Technology Solutions vindt waardevolle partner in Motiv 34 Extenzo integreert dankzij Motiv werkprocessen van GGZ-professionals 38 RSA Archer maakt compliant zijn en blijven proactief 42 Interview ICT~Office 44 SOX, de moeder van alle GRC-maatregelen 49 Opinie: Papierloos Werken 50 Update: Motiv in Oeganda 52 Cisco IronPort waakt over de Cloud 54 Column: iPhone gehackt 55 Servicepagina

Motivator nieuwe stijl wil meer vragen oproepen dan beantwoorden Met een flinke plof viel vandaag de nieuwe Motivator bij u op de mat. Dat kan een aardige verrassing geweest zijn, want u was Motivator gewend als een ‘krant’ van vier pagina’s. Met gepaste trots presenteren we nu een rijkgevuld magazine van maar liefst 56 pagina’s. De reden hiervoor is niet dat wij vinden dat wij u zoveel te vertellen hebben. Maar wij willen wel veel met u bespreken. Bijvoorbeeld welke uitdagingen u tegenkomt rond het thema Governance, Risk & Compliance (GRC). Waarschijnlijk staat GRC ook in uw organisatie hoog op de agenda. Tenslotte worden de eisen van weten regelgeving op dit gebied steeds complexer. En treden toezichthouders steeds strenger op als er niet aantoonbaar voldaan wordt aan de regels, richtlijnen en gedragscodes. In deze editie van Motivator hebben we dit thema extra belicht. Wij geven onze visie, maar laten ook anderen daarover aan het woord. Zo zetten een aantal van onze leveranciers uiteen hoe hun oplossingen kunnen helpen bij GRC. Wij hebben in Motivator ook veel ruimte ingedeeld voor de experts. Zo vertelt Peter van Schelven, juridisch adviseur van ICT~Office, dat het succes van ICT-projecten niet alleen door contracten verzekerd kan worden. Rob Duiven, kwartiermaker van de Nationale Cyber Security Strategie, doet uit de doeken hoe dit beleidsstuk van het Ministerie van Veiligheid en Justitie tot stand kwam. Als het aan de overheid ligt, krijgt veilig internetgebruik bij alle burgers en bedrijven topprioriteit. Een positieve ontwikkeling daarbij is dat de overheid hiervoor nauw gaat samenwerken met het bedrijfsleven en de wetenschap. Peter Hafkamp van certificatiebureau DEKRA licht het proces toe dat hij hanteerde bij het verstrekken van de ISO 20000-1-certificering aan Motiv. Wij zijn vooral verheugd te horen dat Peter dit ziet als een interne drive bij Motiv voor een nog professionelere organisatie en dienstverlening. Daar hoort zo’n volwassen magazine ook wel bij, vinden wij. Wij hopen dat u geniet van de nieuwe Motivator en dat u wat opsteekt van de inhoud. Dat horen wij graag van u. Wat zijn uw specifieke vraagstukken en hoe kunnen wij u hierbij van dienst zijn? En, natuurlijk, wat vindt u van Motivator en de onderwerpen en meningen die u leest? Laat het ons weten via e-mail, de telefoon, LinkedIn of gewoon bij een kop koffie. Ton Mooren, algemeen directeur van Motiv 3

H E A D L I N E S MO T I V B E H A A LT I S O 2 0 0 0 0 - C E R T I F I C E R I NG • V E I L I G T E L E W E R K EN ME T T O K EN S EN S M S AU T H EN T I C AT I E

motiv nieuws

H E A D L I N E S PAT I Ë N T E N G E G E V E N S O N V O L D O E N D E A F G E S C H E R M D • O N D E R Z O E K I M A G O M O T I V D O O R H O G E S C H O O L U T R E C H T

motiv nieuws

Motiv behaalt ISO20000-certificering

Patiëntengegevens onvoldoende afgeschermd tegen ‘nieuwsgierig’ personeel

Motiv heeft in april 2011 het ISO/IEC 20000-1:2005-certificaat ontvangen voor het leveren van beheerdiensten op beveiligingsconfiguraties en infrastructuren, Security-as-a-Service-diensten en het beheren en secure hosten van maatwerkapplicaties. Uit de onafhankelijke externe audit door DEKRA Certification (het voormalige KEMA Quality) is gebleken dat Motiv ruim voldoet aan deze objectieve norm voor de kwaliteit van IT Service Management. ISO 20000 is een algemeen geldend instrument om de kwaliteit van de IT-dienstverlening aan te tonen en te borgen.

Motiv heeft in maart een onderzoek laten uitvoeren onder de bezoekers van beurs Zorg & ICT 2011 in de Jaarbeurs Utrecht. Onderzocht is in welke mate patiëntgegevens van zorginstellingen beveiligd en afgeschermd zijn tegen ongeautoriseerde inzage. Bijna alle ondervraagden geven aan dat personeel bij hun organisatie met een persoonlijk wachtwoord moet inloggen, voordat men patiëntengegevens kan bekijken of bewerken. Slechts 4% zegt dat hun zorginstelling gebruik maakt van één algemeen wachtwoord voor iedereen die toegang heeft tot de patiëntengegevens.

Motiv is sinds 2010 in het bezit van het ISO 9001-certificaat voor kwaliteit en het ISO27001-certificaat voor het information security management system (ISMS). Deze laatste norm is beter bekend als de norm voor informatiebeveiliging. Met het verkrijgen van het nieuwe certificaat plaatst Motiv zich in een unieke positie binnen haar branche, aangezien het vanaf vandaag het eerste en vooralsnog het enige bedrijf is dat voldoet aan deze drie verschillende ISO-standaarden op het gebied van IT-beheer.

Volgens de geënquêteerden heeft 72% van het geautoriseerde zorgpersoneel toegang tot de gegevens van alle patiënten. Bij 20% kan het zorgpersoneel uitsluitend bij de gegevens van de patiënten die zij op dat moment behandelen. Bij slechts 8% van de zorginstellingen waar de ondervraagden werkzaam zijn, hebben alle medewerkers toegang tot alle patiëntgegevens. Dat geldt dus ook voor bijvoorbeeld het administratief personeel. Uit deze antwoorden blijkt dat 80% van alle zorginstellingen het zorgpersoneel inzage geeft in dossiers van alle patiënten, ook als deze niet onder hun zorg vallen.

Met het voldoen aan de ISO 20000-norm, bewijst Motiv dat er gebruik wordt gemaakt van een effectief managementsysteem, waardoor kwalitatieve goede IT-diensten toetsbaar geborgd zijn. De centrale registratie van handelingen en activiteiten wordt binnen het proces inzichtelijk gemaakt, waardoor de geleverde kwaliteit van de dienstverlening objectief gerapporteerd wordt. Bovendien constateert Motiv dat bij grote aanbestedingen steeds vaker naar specifieke ISO-certificering wordt gevraagd. Motiv ziet dit als een uitstekende manier om op objectieve wijze aan te tonen dat de kwaliteitsprocessen in orde zijn.

Motiv heeft ook de bekendheid en de acceptatie van de norm NEN 7513 onderzocht. Het Nederlands normalisatie-instituut (NEN) heeft recent deze nieuwe norm gepubliceerd die richtlijnen geeft voor het vastleggen van activiteiten binnen het patiëntendossier. Deze zogenoemde 'logging' levert een rapportage op die duidelijk maakt wie in welk dossier heeft gekeken en welke gegevens zijn aangepast of gewijzigd. Op de vraag: ‘Past uw organisatie de ITsystemen aan om te voldoen aan de norm NEN 7513’, bekent 40% van de ondervraagden niet te weten wat NEN 7513 is. Bijna de helft (48%) van de respondenten geeft aan dat de organisatie voor het einde van dit jaar aan de norm zal voldoen en 12% antwoordt dat de zorginstelling bij wie zij werkzaam zijn, nu of binnen enkele maanden aan de norm voldoet. Van de ondervraagden die kennis hebben van NEN 7513, is 92% het eens met de stelling: ‘Het invoeren van NEN 7513 werkt alleen als ook het gebruik van persoonlijke gebruikersgegevens bij het personeel verplicht is. Dat zou dan vanuit de wettelijke regelgeving verplicht moeten worden.’ ME E R I N FOR MAT I E ? www . motiv . nl / ni e uws

ME E R I N FOR MAT I E ? www . motiv . nl / ni e uws

Veilig telewerken met tokens en sms-authenticatie Veilig telewerken valt of staat bij het gebruikersgemak van de werknemer en de werkgever. Motiv levert oplossingen en diensten voor het creëren van een veilige telewerkoplossing op verschillende beveiligingsniveaus. Motiv introduceert nu een eenvoudig te benaderen portaal, dat automatisch het gebruik van bijvoorbeeld een virusscanner of het gebruik van encryptie-software afdwingt. Ook is het mogelijk om de apparatuur te controleren waarmee wordt ingelogd. Dit kan bijvoorbeeld gaan om een laptop, smartphone of pda die door het bedrijf is uitgeven. De oplossing waarborgt dat deze voldoet aan de veiligheidseisen van het bedrijf.

Bij het gebruik van een telewerkoplossing is het belangrijk zeker te weten dat alleen werknemers of derden met toestemming daar gebruik van maken. Motiv maakt de controle hierop gemakkelijk met verschillende vormen van sterke authenticatie. Die variëren van een oplossing met hardware tokens tot authenticatie door middel van een sms-bericht. De oplossingen die Motiv biedt, maken gebruik van open protocollen zoals SSL (https), LDAP en radius. Dit zorgt ervoor dat de oplossingen eenvoudig en eenduidig te integreren zijn in het bestaande bedrijfsnetwerk.

Communicatiestudenten van Hogeschool Utrecht onderzoeken imago Motiv Vanaf april onderzoeken vier derdejaars studenten van de Utrechtse HBO opleiding Communicatiemanagement het imago van Motiv. De vier studenten werken tijdelijk als consultants voor het adviesbureau Scompany. Alles wat zij in de voorgaande jaren in de schoolbanken hebben geleerd, kunnen ze tijdens het onderzoek toepassen. Het Scompany-team is dit voorjaar gestart met een interne en externe analyse. Dit houdt in dat zij zich volledig verdiepen in database security en de IT-branche. Ook worden alle factoren die invloed uitoefenen op Motiv en zijn werkzaamheden onderzocht, om zo een volledig beeld te krijgen van het bedrijf. In het uiteindelijke rapport zullen de jonge onderzoekers het imago van Motiv beschrijven, wat vervolgens gebruikt kan worden als ondersteuning voor het realiseren van Motiv’s ambitie: ‘Cloud intermediair van 2015’ worden. Het onderzoek wordt gedaan door middel van enquêtes en interviews met de medewerkers en belangrijke klanten van Motiv.

ME E R I N FOR MAT I E ? W W W. MO T I V. N L

4

MM 01 | voorjaar 2011

5

H E A D L I N E N ationale C y ber S ecurit y S trategie bundelt publiek / private krachten voor weerbaar internetgebruik

volgende pagina eti q uette voor zakeli j k sociale mediagebruik • " R ondeta f el s e s s ie s " sociale netwerken populair › P . 1 1

I nterview met R ob D u iven , k wartierma k er N ational C y ber S ec u rit y S trategie

BB: Bij de samenstelling van de NCSS en de Raad zijn meerder ministeries betrokken. Hebben zij allen afzonderlijk bijdragen geleverd? RD: Alle ministeries die met dit onderwerp te maken hebben, leveren bijdragen en zijn betrokken bij implementatie van de NCSS. Maar dat is slechts een deel van het verhaal. De strategie wil ook over publiek/private grenzen heen gaan. De regering vraagt daarom nadrukkelijk om een brede bijdrage van de private sector en de academische wereld. Dat heeft mogelijk gemaakt om de NCSS in een bijzonder korte tijd te realiseren. We hebben snel gewerkt, want dat doen cybercriminelen ook. De NCSS is over het algemeen positief ontvangen, juist omdat alle partijen die er toe doen, of er iets van vinden, erbij betrokken waren. BB: Voordat NCSS gepresenteerd werd, waren er al veel initiatieven binnen de verschillende ministeries en departementen, zoals GovCERT en DefCERT. Worden deze vervangen door de NCSS?

Bastiaan Bakker (l) en Rob Duiven

Op 22 februari 2011 presenteerde Ivo Opstelten, Minister van Veiligheid en Justitie, de Nationale Cyber Security Strategie.

Bastiaan Bakker (BB): Bij de strategie, de raad en het centrum wordt ‘Cyber Security’ steeds vooraf gegaan door ‘Nationaal’. Waarom is in de optiek van het kabinet een nationale aanpak van internetbeveiliging noodzakelijk?

of uitval van ICT of door misbruik van ICT.

Rob Duiven (RD): Dat is een strikvraag, want cyber crime, en dus Cyber Security waar

en de academische sector samen onder de noemer ‘slagkracht door samenwerking’. MM 01 | voorjaar 2011

Twee maanden na zijn aantreden neemt Rob Duiven, die als kwartiermaker verantwoordelijk is voor de implementatie van de NCSS, de tijd om de Nationale Cyber Security Strategie, de Raad en het Centrum te bespreken met Bastiaan Bakker van Motiv.

Dit is een plan van aanpak voor het tegengaan van verstoring De strategie brengt partijen uit de overheid, het bedrijfsleven

6

BB: Om slagkracht te creëren moeten er toch keuzes worden gemaakt. Binnen veel ministeries bestaande dezelfde initiatieven. Welke daarvan zullen sneuvelen? Fotografie: Anjoescha Odufré

Nationale Cyber Security Strategie bundelt publiek/private krachten voor weerbaar internetgebruik

RD: De NCSS heef een paraplufunctie: waar alles wat al werd gedaan of waar in werd voorzien in ondergebracht wordt. Zodoende kunnen we het beste uit alle initiatieven combineren en de gezamenlijke kracht versterken. We willen echter blijven stimuleren dat de afzonderlijke ministeries en departementen nieuwe initiatieven blijven ontwikkelen. Zij hebben namelijk diepgaande kennis van hun expertisegebieden. Binnen het NCSC worden deze ideeën beoordeeld, onderlinge verbanden gevonden en geïntegreerd in de ontwikkeling van de NCSS. Dat is essentieel, want het voorkomt dat wielen dubbel uitgevonden worden.

cyber crime deel vanuit maakt, kent natuurlijk geen landsgrenzen. Het gaat om ‘Nationale Cyber Security’, omdat het een initiatief is van de Nederlandse overheid. Het kabinet heeft de ambitie om een koers uit te zetten om Nederlandse burgers en bedrijven te beschermen tegen de steeds kwaadaardigere en criminele bedreigingen op internet. Dat kan tot het verlies, diefstal of misbruik van financiële of persoonsgegevens leiden. Een virus of DDoS-aanval kan de maatschappij of het bedrijfsleven echter ook ernstig ontwrichten of verstoren. We waken voor de Nederlandse internetgebruiker, maar dat vraagt natuurlijk ook om een internationale aanpak. De internationale dimensie is dan ook een van de speerpunten van de NCSS. Dit is dus geen nationale aangelegenheid alleen.

RD: Als ik die beslissing nu kon nemen, zou de Raad bijna overbodig zijn! Dat is nu juist een mooi onderwerp waar de Raad zich over kan buigen. Daar komen alle inzichten samen, gebundeld in een weloverwogen en goed onderbouwd advies. Op basis daarvan zal de Raad de koers bepalen, en adviseren aan het kabinet. Als de Raad tot hoogwaardige, gezaghebbende adviezen komt, dan zal iedereen het ermee eens zijn dat dit verstandige adviezen zijn. En dan wil men daar gezamenlijk de schouders onder zetten.

BB: U noemde de bezuinigingen bij Defensie al en daar heeft ieder ministerie mee te maken. In de strategie staat dat alle plannen gedekt of gefinancierd moeten worden uit bestaande budgetten. Is die eis niet een doodsteek voor de NCSS? RD: Voor het inrichten van de nieuwe Raad en het NCSC is het benodigde budget structureel beschikbaar. Natuurlijk wenst iedereen dat er veel geld beschikbaar is, maar de conjunctuur is nu eenmaal anders. Voor de NCSS is dat gelukkig niet zo ernstig, want veel activiteiten waren al gefinancierd. Bovendien bespraken we zojuist hoe bestaande initiatieven mogelijk gecombineerd kunnen worden. Door deze over de ministeries heen te koppelen, kunnen we meer doen met hetzelfde geld. Door slagvaardig te werk te gaan kan de NCSS uit bestaande budgetten binnen de rijksbegroting worden gefinancierd. BB: NCSS brengt private en publieke initiatieven onder één paraplu, is dat ook zichtbaar in de NCS-Raad?

RD: Het doel is dat de samenstelling van de Raad zo breed en rijk mogelijk geschakeerd is en dat er een groot aantal invalshoeken in vertegenwoordigd is. De Raad is een adviesorgaan voor de regering. Dat advies is weliswaar niet bindend, maar het moet wel gezaghebbend zijn. Daarom is het essentieel dat de belangrijkste onderwerpen aan bod komen. Als dat te beperkt is, is het advies dat ook en zal niet iedereen zich daarin kunnen vinden. De leden van de Raad moeten daarom > 7

I nterview met R ob D u iven , k wartierma k er N ational C y ber S ec u rit y S trategie

> de juiste onderwerpen op tafel kunnen brengen. En de invalshoeken moeten daarin complementair zijn. Daar houden we rekening mee bij de samenstelling van de Raad.

BB: Motiv is een expert op het gebied van informatiebeveiliging en internet security. Ik kan mij voorstellen dat onze kennis en kunde van grote waarde kan zijn voor de NCSS. In hoeverre zijn ICT-experts vertegenwoordigd in de Raad? Cyber Security is tenslotte een hightech onderwerp. RD: Dat is het zeker, maar het is ook meer dan dat. Technologie is een belangrijk facet, maar we moeten voorkomen dat technologie het dominante element wordt. Het borgen van een vrij en toegankelijk internet heeft ook met veel andere zaken te maken. Bewustzijn over veilig internetgebruik is ook een menselijke kwestie. Daarnaast spelen fysieke beveiliging, juridische vraagstukken en wettelijke regels een rol. We willen zeker niet dat technologie zoekraakt tussen de andere zaken, maar we willen het ook niet overwaarderen. BB: U zegt dat alle invalshoeken van Cyber Security binnen de Raad aan bod moeten komen. Hoe komen de technische onderwerpen op tafel als er geen ICT-experts in de Raad zitten?

RD: In de Raad zitten vertegenwoordigers die vanwege hun verantwoordelijkheid, rol, positie of bedrijfstak aan technologie verbonden zijn. Zij kennen de innovaties op dat terrein dus wel degelijk, hoewel ik ze geen technische experts wil noemen. Daarom zal de ambtelijke secretaris van de Raad de werkorganisatie van de Raad aansturen. Die werkorganisatie biedt een breder palet van partijen die ervoor zorgen dat de juiste onderwerpen op de agenda verschijnen. Dat geldt dus ook voor onderwerpen die technologisch georiënteerd zijn. Als specifieke deskundigheid nodig is, zullen we ervoor zorgen dat dit in enige vorm ter beschikking komt aan de Raad. Maar ook voor de overname van het advies is het belangrijk dat dit niet té technisch van aard is. Diegenen die op basis van het advies het beleid bepalen hebben namelijk meestal ook geen technologische achtergrond. Daarom moet het advies zodanig gepresenteerd worden dat het geaccepteerd kan worden.

BB: Is cyber crime niet té goed georganiseerd om er überhaupt nog iets aan te kunnen doen? RD: Als de kwaden zich versterken, moeten de goeden dat ook doen. Het kabinet maakt zeker niet de

BB: De onderwerpen die aan bod komen binnen de Raad gaan per definitie om bedreigingen, storingen en andere calamiteiten die al plaats hebben gevonden. Hoe houdt de Raad zicht op nieuwe en opkomende bedreigingen? Tenslotte kan een nieuw virus al binnen enkele uren enorme schade aanrichten.

keuze om dit soort misstanden op internet maar te laten gaan, integendeel. Niets doen is geen optie. Maat wat we doen moet integraal en gezamenlijk gebeuren. De NCSS en het NCSC bieden daar de basis voor. We proberen om ook de schaarse expertise van dergelijke high-end technologie erbij te betrekken zodat we, als iets zich aandient, snel weten en delen wat het is, wat de gevolgen zijn en wat er aan gedaan kan worden om het tegen te gaan. Niemand kan pretenderen dat hij alle kennis of expertise heeft. Gezamenlijk moeten we de risico’s onderkennen, de ernst bepalen en het tegengif geven. Dat klinkt evident, maar het zal nog vele discussies vergen om het maatschappelijke belang van het tegenhouden van deze internetbedreigingen duidelijk te maken. Maar dat is het waard.

RD: De Raad kijkt niet alleen terug, maar ook vooruit. De analyse van internetdreiging is een

BB: Voorlichting wordt dus ook een belangrijke taak van het NCSC?

belangrijk product van het NCSC, als dit aan het einde van dit jaar is gerealiseerd. Die analyse zal de agenda en de discussie in de Raad mede bepalen. En ook die analyse komt voor uit publiek/ private samenwerking en kennisdeling. Bovendien moet die analyse breed plaatsvinden. Want het gaat niet alleen om virussen of diefstal van creditcard gegevens. Er is een hele caleidoscoop aan bedreigingen op internet. Het Nationale Cyber Security Centrum zal een belangrijke rol krijgen in de aanpak van die bedreigingen en concrete incidenten.

BB: Spionage is daar ook een goed voorbeeld van. Hackers zijn heel knap en creëren beveiligingsincidenten waarvan nog weinig mensen begrijpen hoe het mogelijk is. Hoe kan de NCSS dat tegengaan?

RD: Spionage is zeker een zorgwekkend fenomeen, dat blijkt ook uit de trendanalyse die vorig jaar in oktober door GovCERT werd gepubliceerd. En spionage is al lang niet meer het werk van whizzkids of mensen die uit hobby hacken of voor hun eigen ego of belang. Er zitten organisaties achter die hun kennis en kunde tegen betaling beschikbaar stellen voor afnemers. Dat kunnen criminelen of terroristen zijn, maar ook inlichtingendiensten. De volgende stap is dat die kennis en kunde ook door staten of bedrijven zelf wordt ontwikkeld om zodoende spionage te signaleren en onmogelijk te maken. Die toegenomen organisatiegraad is iets wat het aanpakken van dit probleem wel lastiger maakt, of in ieder geval de urgentie daarvan benadrukt. Maar de NCSS is breder opgesteld dan afzonderlijke facetten of een beperkte blik. 8

“ We waken voor de Nederlandse internetgebruiker, maar dat vraagt natuurlijk ook om een internationale aanpak”


RD: Wel als we in acht nemen dat het NCSC bestaat uit meer partijen dan alleen de overheid. Iedereen moet zijn aandeel en verantwoordelijkheid nemen om burgers, klanten en gebruikers bewust te maken van de risico’s van internetgebruik. Maar ook bijvoorbeeld leveranciers dienen daarvoor ook goede producten en diensten te leveren. Awareness is belangrijk, maar het niet de volledige oplossing om cyber crime tegen te gaan. We moeten gezamenlijk het evenwichtspunt vinden tussen de verantwoordelijkheid van producenten, dienstverleners en gebruikers. De NCSS spreekt van individuele verantwoordelijkheid, van personen, maar ook van leveranciers, de overheid, organisaties, etc. Dat de regering de NCSS initieert en presenteert, wil niet zeggen dat de regering ook de volledige verantwoordelijkheid draagt voor het creëren van bewustzijn. BB: Als de Raad eenmaal is geïnstalleerd, en het Centrum geopend, is uw taak dan succesvol afgerond?

RD: Ik heb inderdaad de mooie taak mijzelf als kwartiermaker misbaar te maken. Maar als ik klaar ben en de governance structuur staat, moet het dus gewoon doorgaan. De NCSS, noch het NCSC zijn statisch van aard. Het einde van mijn taak is het begin van het integreren van bestaande en nieuwe initiatieven die de NCSS levend houden. Cyber Security is een dynamisch onderwerp; dat vraagt om een toekomstvaste wijze van samenwerking en regie.

H E A D L I N E S eti q uette voor zakeli j k sociale mediagebruik • E x clusieve " R ondetafelsessies " • sociale netwerken populair V O L G E N D E P A G I N A I C T helpt organisaties bi j het nastreven , naleven en navolgen van regels › P . 1 2

The sky is not the limit.

Laat uw business veilig doorgaan dankzij onze nieuwe Cloud Security Service.

Branchenieuws L E UK O M T E W E T E N

» onderzoek

Etiquette voor zakelijk sociale mediagebruik

Sociale netwerken populair

Sociale media, zoals Twitter, LinkedIn en weblogs, zijn het hobbyniveau ontstegen. Bedrijven zetten sociale media in om met hun doelgroep te communiceren. Communicatie via sociale media geeft bedrijven een menselijk gezicht. Dat vraagt wel om enige omgangsvormen. De meest succesvolle gebruikers van sociale media stellen zich geïnteresseerd, betrokken en interactief op. Ze informeren op een objectieve manier over feiten waar een ander ook echt iets aan heeft. Ze luisteren en helpen waar mogelijk. Zij melden niet alleen (korte) berichten over zichzelf en hun bedrijf. Ze reageren vooral ook op meldingen en discussies van anderen. En ze houden het leuk en luchtig, bijvoorbeeld met koppelingen naar een foto, video of interessant en relevant artikel.

Volgens marktonderzoeksbureau Ruigrok maakt 72 procent van de Nederlanders gebruik van minimaal één sociaal netwerk. Hyves, Facebook, LinkedIn en Twitter zijn daarbij het populairst. Vier procent van de Nederlanders twittert minstens wekelijks, wat het hoogste aantal is in Europa. 67 procent van de Nederlanders leest regelmatig weblogs. Hoewel Ruigrok hierover geen details geeft, kunnen we met zekerheid stellen dat steeds meer mensen met Motiv van gedachten wisselen via sociale netwerken:

Waar wordt het meest gekwetterd? 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Amsterdam 29048 Rotterdam 9849 Utrecht 8862 Den haag 6386 Groningen 5605 Eindhoven 3098 Tilburg 2455 Nijmegen 2443 Haarlem 2329 Arnhem 2283 Bron: Twittergids.nl

Motiv Tweets via MotivNL Team Motiv op LinkedIn Expert blogs op www. motiv.nl Motiv Movie Channel op YouTube

Motiv Presenteert: Exclusieve “Rondetafelsessies”

Waarneembaar en aantoonbaar in control binnen IT www.bluecoat.com/products/cloud Ultieme beveiligingsdienst voor protectie vanuit de cloud. De nieuwe Blue Coat Cloud Service biedt bescherming en controle zonder kosten vooraf en met een oneindige schaalbaarheid. De dienst is vanaf heden beschikbaar en kent een gegarandeerde uptime van 99,999%. Bel voor meer informatie Angelique Verkaik (030 - 687 7007) van Motiv en stap over op de Blue Coat Cloud Service.

Malware Protection

★

Content Filtering

★

Web App Control

★

Policy Management

★

Reporting

Aanleiding

Doelgroep

Programma

Hoe kunt u IT-kennis, -ervaring en -vaardigheden de organisatie binnenhalen en behouden, waarborgen en ontwikkelen? Dit zijn enkele vragen die organisaties nu enorm bezig houden vanwege de huidige en toekomstige IT-ontwikkelingen in de markt. Vooral infrastructuur, beveiliging en het lekken van informatie vragen de nodige aandacht.

IT Managers, Security Officers Security Engineers

Motiv organiseert de rondetafel volgens het zeer aangename en informele ‘Cloud Insight’ principe. Op www.motiv.nl leest u hier meer over.

Doel van de middag Motiv is als samenwerkingspartner op het gebied van IT, informatiebeveiliging en informatievoorziening behoorlijk in de weer met deze vraagstukken. Motiv deelt graag deze ervaringen met u. Motiv neemt het initiatief om u in de gelegenheid te stellen deze kennis, ervaringen, vraagstukken en best practices rondom IT in Control uit te wisselen met andere collegabedrijven. Motiv luistert graag naar wat er bij u en ook in de markt speelt.

Data Juni 2011, September 2011, December 2011 *Exacte data en tijden worden op de www.motiv.nl bekendgemaakt

Locatie Utrecht

uitnodiging

Inschrijven U kunt zich nu al inschrijven door een e-mail te sturen naar [email protected], o.v.v. ‘Aanmelding rondetafelsessies “Waarneembaar en aantoonbaar in control binnen IT”. Ook via www.motiv.nl kunt u zich inschrijven.

Branche Zorginstellingen Banken Verzekeraars Pensioenfondsen Overheden Vervoersorganisaties

Let op: Elke rondetafel kent een maximum in aantal deelnemers. Uw deelname wordt persoonlijk bevestigd. Heeft u vragen of wilt u op de hoogte worden gehouden, neem dan contact op met Bastiaan Schoonhoven bij Motiv, via e-mail: [email protected] of telefonisch: 030-687 70 07. 11

H E A D L I N E I C T helpt organisaties bi j het nastreven , naleven en navolgen van regels V O L G E N D E P A G I N A R i s i c obeheer s in g bouwt vertrouwen in f inan c i ë le s e c tor › P . 1 4

visie van M otiv op G overnance , R is k & C ompliance

ICT helpt organisaties bij het nastreven, naleven en navolgen van regels basisbeginselen van GRC netjes onder controle had. Vandaag de dag is GRC echter veel complexer. Er komen steeds meer regels, richtlijnen en gedragscodes. En de eisen daarvan zijn meer dwingend. Dan is het afturven van vragenlijstjes niet meer voldoende om aan te tonen dat het wel goed zit met GRC.” Naarmate organisaties groeien, wordt het voldoen aan de externe en interne

Toezichthouders op de naleving van weten regel-

Fotografie: Ruud Jonkers

geving gaan vaker en hogere boetes uitdelen. Daarbij kunnen ook bestuurders persoonlijk in de buidel tasten als hun organisatie over de schreef gaat. Niet voor niets staan governance, risk & compliance hoog op de agenda in de directiekamer. Want verantwoordelijkheid is synoniem aan aansprakelijkheid en rekenschap. De kern daarvan is altijd inzicht in, en bewustzijn van, de activiteiten van de organisatie. Met andere woorden: verantwoordelijkheid vraagt bestuurders aantoonbaar ‘in control’ en ‘compliant’ te zijn.

ICT biedt meer dan automatisering alleen “Natuurlijk hebben nagenoeg alle bestuurders een rechtschapen inborst,” vervolgt Mooren. “Zij willen leiding geven onder de normen van goed bestuur, de verantwoordelijkheid niet uit de weg gaan en de risico’s kunnen nemen. Dat kan alleen als alle feiten bekend zijn. Maar het moet ook tijdig bekend zijn wanneer welke zaken mis dreigen te lopen. Dan dienen de juiste maatregelen klaar te staan om de organisatie weer in het gareel te krijgen. Want voorkomen is beter dan genezen. In control en compliant zijn betekent dat bestuurders kunnen aantonen dat zij er alles aan gedaan hebben om ervoor te zorgen dat hun organisatie de eisen van weten regelgeving naleeft.” Bestuurders zoeken daarom oplossingen die hun helpen bij het GRC-proces. Informatietechnologie speelt daarbij een steeds belangrijkere rol. “In het verleden vond er een audit plaats en de afdeling juridische zaken keek of alles gedekt was,” vertelt Bakker. “Dat zorgde ervoor dat het bedrijfsleven de

12

Die bevinding is niet altijd te wijten aan een gebrek aan inzicht van het bestuur. Een frauderende medewerker kan toch heel bewust de feiten verdoezelen? De Weerd; “Met GRC kunnen organisaties niet voorkomen dat er gefraudeerd wordt. Maar ze kunnen het risico wel verlagen en de impact daarvan verminderen. Zo geeft het GRC-proces bestuurders in ieder geval grip op die risico's. Dan kunnen zij zelf bepalen welke risico’s acceptabel zijn en welke meteen aangepakt moeten worden. De maatregelen daarvoor zijn dan ook helder en duidelijk opgesteld.”

M

otivator sprak met Ton Mooren, Vincent Kalkhoven, Gerard de Weerd en Bastiaan Bakker over de uitdagingen en oplossingen rond governance, risk & compliance (GRC). Er lijkt een hernieuwde aandacht te zijn voor GRC, waar komt die vandaan? “Na de boekhoudschandalen rond de eeuwwisseling moest de kristallen bol van de directietafel,” zegt Mooren. “Dit leidde tot een groot aantal internationale en lokale wetten, regels, richtlijnen en gedragscodes. Wie zijn handtekening zet onder de jaarverslagen moet daar zijn hand voor in het vuur kunnen steken. Dit wordt nu nog dringender omdat toezichthouders bij aantoonbare tekortkomingen steeds regelmatiger hun tanden laten zien en een stevig normoverdragend gesprek voeren of geldboetes uitdelen.”

“Boetes zijn natuurlijk nooit fijn,” zegt Kalkhoven. “Maar een afstraffing door de De Nederlandse Bank of de Inspectie voor de Gezondheidszorg is vooral schadelijk voor het imago. Als het publiekelijk bekend wordt dat ziekenhuizen of banken volgens toezichthouders niet netjes omgaan met patiënten- of cliëntengegevens, hebben ze een probleem.”

Incidenten roepen om actie eisen lastiger. “ICT biedt daar een oplossing voor,” zegt De Weerd. “Door de groei is ICT een bedrijfsmiddel geworden dat aan alle facetten van een organisatie raakt. Het voordeel daarvan is dat ICT ook een bijdrage kan leveren aan het GRC-beleid. Want de controle op naleving en het inzichtelijk en aantoonbaar maken hiervan loopt ook dwars door de hele organisatie heen. Het gaat om digitale gegevens, dus toetsen of er aan deze governance wordt voldaan is belegd in ICT.” De oplossing ligt in een centraal management systeem waarin meerdere governance modellen zijn opgeslagen. “Een organisatie kan dan zelf de vertaalslag maken wat de regels en richtlijnen betekenen voor de controleprocedures,” aldus Bakker. “Dat is niet alleen handig om compliance statements in te vullen. Het bespaart enorm veel tijd en daarom geld. Maar het is ook een basis voor goed geïnformeerde adviezen en beslissingen. Zo helpt dit systeem bij het verbeteren van de audits en de resultaten.”

Risico verminderen en voorkomen Juist in een digitale wereld is het echter belangrijk dat bestuurders weten wat er binnen de organisatie gebeurt. Want zij lopen aanzienlijke risico’s.

Het niet naleven van wettelijke regels of interne beleidsregels heeft consequenties in de vorm van risico’s. Bakker: “Daarom is het belangrijk dat bedrijven naast compliance ook goed nadenken over governance en risk. Die beantwoorden de vraag 'wat doe ik dan'? Er zijn weliswaar systemen geïmplementeerd die het naleven van wetten, regels en richtlijnen controleren. Maar als daaruit blijkt dat de organisatie niet compliant is, wat moet men dan vervolgens doen? Een rood stoplicht zegt niets als men niet weet hoe het weer op groen moet komen.” Door het hele GRC-proces te automatiseren kan het gekoppeld worden aan doeltreffende acties. “Bestuurders bewijzen hiermee welke risico's er daadwerkelijk gelopen worden,” aldus Mooren. “Op basis daarvan maken zij de keuze in welke middelen zij willen investeren om de risico’s af te schermen. Dat maakt risicomanagement dynamisch. ICT is dus niet alleen belangrijk om het proces efficiënter te maken, maar ook om inzicht te geven. Bestuurders kunnen zich er dankzij ICT van vergewissen dat zij weten, en begrijpen, wat er gebeurt. En daarvoor de verantwoordelijkheid en aansprakelijkheid accepteren.” 13

H E A D L I N E R i s i c obeheer s in g bouwt vertrouwen in f inan c i ë le s e c tor

V O L G E N D E P A G I N A Juniper N etworks brengt N etworks M A G S eries Junos P ulse G atewa y s O P D E M A R K T B lue Coat introdu c eert Cloud Servi c e › P . 1 6

door Gerwin Foppen, Information Security Consultant bij Motiv

Risicobeheersing bouwt vertrouwen in financiële sector Door internationale en nationale ontwikkelingen moeten financiële dienstverleners aan

risicobeheersing die voortvloeien uit deze

Door de ontwikkelingen in weten regelgeving groeit de druk op de financiële dienstverleners, zowel binnen de organisatie als op de ICTafdelingen. Denk hierbij aan monitoring, rapportages, bedrijfscontinuïteit en disaster recovery. Deze processen zijn nodig om de belangen van klanten te behartigen. Ze worden echter ook ingezet om HR- en faciliteitsprocessen binnen de organisatie te begeleiden. Bij financiële dienstverlening gaat het om vertrouwen van klanten. Om dit te winnen en te behouden, staan de financiële dienstverleners voor de uitdaging om risico’s tijdig te beheersen en processen goed in te delen. Zo kunnen zij voldoen aan de eisen van weten regelgeving en toezichthouders, maar ook van klanten.

wetten, worden door nieuwe aanpassingen en

Beheersen van de span of control

steeds meer, en veelal wisselende weten

Door de ontwikkelingen in weten regelgeving groeit de druk op de ICT-afdeling

De financiële sector is enorm in beweging, zeker nu de economie in Nederland en Europa weer gestaag op gang komt. De dienstverlener moet steeds vaker aan zeer complexe, wisselende en strengere financiële weten regelgeving, richtlijnen en gedragscodes voldoen. Het toezicht hierop moet herhaling van een crisis voorkomen.

regelgeving voldoen. Voorbeelden hiervan zijn de Wet op het financieel toezicht en de Wet toezicht accountantsorganisaties. De eisen voor

dat financiële dienstverleners aantoonbaar

Allereerst moet de organisatie weten welke weten regelgeving voor hen van toepassing is. Waar moet en waar wil de organisatie aan voldoen? En wat ligt hiervan binnen de eigen reikwijdte van besturing? Kennis van de wetten en regels wordt vaak door de compliancy en/ of security officer vergaard. Zij zetten vervolgens een beleid op dat de gehele organisatie omvat. Deze is gefundeerd op de vastgestelde visie en strategie. Vervolgens kan er gewerkt worden aan informatiebeveiliging en toezicht op het naleven van dit beleid.

‘in control’ dienen te zijn.

Niet alleen technisch, maar ook organisatorisch

aanvullingen steeds complexer. De bedrijfsvoering en het vertrouwen in deze sector zijn gebaseerd op risicobeheersing. Dit betekent

Het komt regelmatig voor dat de normenkaders worden vastgesteld door de ICT-afdeling. Echter, de naleving van de meeste eisen van wet-en regelgeving is geen kwestie van techniek alleen. Het vraagt meestal ook om organisatorische maatregelen, bijvoorbeeld hoe incident management is geregeld of hoe de fysieke pandbeveiliging is gewaarborgd. Dit zijn uiteraard zaken die niet met een geautomatiseerd, technisch systeem zijn op te lossen. Wel is het mogelijk om deze vraagstukken met een governance, risk en compliance (GRC) -applicatie te beantwoorden. Met een GRC-applicatie is het mogelijk een normenkader (gebaseerd op wet –en regelgeving) te borgen binnen de organisatie. De controles die nodig zijn om te weten dat alle activiteiten binnen het normenkader plaatsvinden, kunnen in handen gegeven worden van een medewerker. Deze is hierdoor gedelegeerd eigenaar van een proces. Een onderdeel van een GRC-applicatie is het zogenoemde “kwaliteitsborgingsysteem”. Voor elk proces binnen het kwaliteitsborgingsysteem kan een opzet (is er een ontwerp?) bestaan (is er een procesbeschrijving?) en resultaten (werken zoals bedoeld?) gedefinieerd 14


worden. Op deze punten beoordeelt een auditor de naleving van de gestelde weten regelgeving.

Grip op compliance- en risicomanagement Motiv heeft een oplossing ontwikkeld om deze problematiek te beheersen voor klanten. De eerste stap die hierin genomen wordt is de introductie van een Security Incident & Event Management (SIEM)-oplossing. Met behulp van deze oplossing kan een organisatie controle krijgen over potentiële risico’s binnen de IT-infrastructuur. Hierbij staat de vraag centraal in hoeverre een organisatie in staat is om op juiste wijze verantwoording af te leggen over de bedrijfsactiviteiten. ‘Wanneer is iets gebeurd en door wie werd dit gedaan’ is een vraag die dan beantwoord moet worden. Voor organisaties binnen de financiële sector is dit van wezenlijk belang. Het vermindert onder andere incidenten doordat changes worden vastgelegd. Hierdoor is er beter zicht op wie wat doet op welk moment. Bovendien kunnen transacties zichtbaar gemaakt worden, zodat deze traceerbaar zijn. Dit heeft een directe invloed op de bewustwording van de medewerker.

Motiv levert SIEM-diensten voor het opslaan, analyseren, rapporteren en alarmeren van gegevens op basis van logging. De dienst richt zich op het controleren van de naleving van een beveiligingsbeleid, zodat wordt voldaan aan normen die horen bij compliancy regelgeving of IT-governance. Motiv biedt een complete solide, betrouwbare dienst voor: • Centraal logmanagement voor alle netwerk & security componenten, besturingssystemen en (enterprise) applicaties; • Het vereenvoudigen van IT-compliance procedures door geautomatiseerde controle, bewaking en rapportage; • Het verbeteren van IT-security en het reduceren van beveiligings risico’s door middel van realtime threat analysis en uitgebreide forensic tooling. GRC en SIEM Met GRC is het mogelijk om het normenkader te managen en met SIEM kunnen de controls hiervan automatisch worden gerapporteerd en gecontroleerd. De oplossing van Motiv is zo gebouwd dat de SIEM-oplossing kan rapporteren aan de GRC-applicatie. Dit helpt een organisatie om meer dan 30% van het proces voor informatiebeveiliging te automatiseren. Het aantoonbaar in control zijn is een steeds belangrijker wordende vraag. Motiv helpt u deze te beantwoorden. Meer informatie? www.motiv.nl

15

H E A D L I N E S Juniper N etworks brengt N etworks M A G S eries Junos P ulse G atewa y s O P D E M A R K T • B lue C oat introduceert Cloud Servi c e

- ADVERTORIAL -


Juniper Networks brengt Networks MAG Series Junos Pulse Gateways op de markt De MAG-serie Junos Pulse Gateways is een convergentietool voor een veilige toegang tot, en verbinding met, het bedrijfsnetwerk. De tool is gericht op de mobiele werknemer die altijd online is. Samen met de Junos Pulse-client mobile biedt het netwerktoegang en toegang op afstand via een SSL VPN-oplossing van Juniper. Tegelijkertijd is lokale toegang mogelijk via Unified Access Control (UAC). Dit is beschikbaar via een modulair, speciaal gebouwd chassis. De MAG-serie Junos Pulse Gateways zorgt voor veilige verbindingen voor gebruikers, ongeacht hun locatie of het apparaat dat ze gebruiken. Daarnaast zorgt de inzet van de Junos Pulseclient, gecombineerd met de MAG-serie Junos

Pulse Gateways, ervoor dat een bedrijf minder vaak software-updates hoeft uit te voeren op individuele en bedrijfsapparatuur. Dat bespaart tijd en kosten voor de IT-afdeling. De MAG-serie is ontworpen voor kleine, middelgrote en grote organisaties. Het ondersteunt honderd tot veertigduizend mobiele gebruikers of gebruikers op afstand, en tweehonderd tot zestigduizend NAC-gebruikers, gelijktijdig. Bovendien kunnen de applicatiemodules Junos Pulse Secure Access Service en Junos Pulse Access Control Service wisselen van ‘persoonlijkheid’. Een beheerder kan daardoor de gateway makkelijk herconfigureren van de ene toegangsmodus naar de andere.

MOTIV TRAININGEN EN WESTCON SLAAN DE HANDEN INEEN

ME E R I N FOR MAT I E ? W W W. J U N I PE R . N L

Westcon Security Value Add distributeur van Motiv

Blue Coat introduceert Cloud Service De Blue Coat Cloud Service is een schaalbare, webgebaseerde dienst die gebruik maakt van de bewezen technologie van Blue Coat en de kracht van de WebPulse-gemeenschap van meer dan 70 miljoen gebruikers. De eerste abonnementmodule voor de Blue Coat Cloud Service, de Web Security Module, voorziet in een volledige en directe internetbescherming die vanaf iedere locatie beheerd en geïnstalleerd kan worden. De Blue Coat Cloud Service biedt bedrijven een alternatief om het internetgebruik overal en altijd te beveiligen. Bedrijven kunnen hun investeringen beschermen door het toevoegen van appliances binnen de eigen ITomgeving of het gebruiken van een pure Cloud-dienst zonder extra appliances. Een desktop agent waarborgt dat mobiele, thuis- en telewerkers automatisch beschermd zijn, waar zij zich ook bevinden. Met de Web Security-module voor de Blue Coat Cloud Service kunnen organisaties van iedere grootte internetbeveiliging implementeren die medewerkers volgt van flexibele werkplekken tot thuis of een internetcafé. Een ingebouwd automatisch volgsysteem leidt internetverkeer dynamisch naar het dichtstbijzijnde Blue Coat datacenter op basis van de huidige locatie van de gebruiker. Het toepassen van wereldwijde beleidsregels zorgt voor consequente bescherming voor, en naleving door medewerkers overal ter wereld, zelfs medewerkers op afstand. Doordat de Blue Coat Cloud Service weet waar gebruikers zich bevinden en aan welke beleidsregels zij zich moeten houden, voorziet de dienst in snelle, volledige en wereldwijde internetbeveiliging om medewerkers te beschermen. ME E R I N FOR MAT I E ? W W W. B LUE C OAT. C OM

16


Op het moment dat de door u aangekochte hard- en software geïnstalleerd wordt, zijn er vele partijen die uw order bekeken en bewerkt hebben. Eén van die partijen is Westcon Security, partner van Motiv en de belangrijkste schakel tussen de fabrikant en de reseller. Westcon Security behoort tot de groep zogenaamde ‘Value Add’ distributeurs en is onderdeel van de wereldwijd opererende Westcon Group. Naast Security oplossingen, levert de Westcon Group oplossingen en diensten op het gebied van Telefonie en Netwerk Infrastructuur. Primaire taken van een distributeur liggen op het gebied van logistiek en voorraad. Westcon Security, als ‘Value Add’ distributeur, levert veel meer dan producten. Met onze kennis en ervaring, en specialisme in Security, kunnen wij resellers op de juiste manier adviseren op het gebied van marketing en sales en ondersteunen met technische kennis. Motiv Trainingen, een toegevoegde waarde vanuit Westcon Een belangrijk terrein waarop Motiv en Westcon Security samenwerken, is op het gebied van trainingen. Westcon Security heeft voor een aantal belangrijke fabrikanten de zogenaamde ATC status (Authorized Training Center). Namens fabrikanten verzorgt Westcon wij certificeringstrainingen voor zowel resellers als eindgebruikers en de trainers zijn in feite senior security consultants. Een uitgebreid overzicht van alle trainingen vindt u op de website van Westcon Security: www.westconsecurity.nl/content/academy. Naast deze product gerelateerde trainingen verzorgt Westcon Security ook unieke security trainingen (zie kader).

Motiv en Westcon Security hebben hun expertise samengevoegd en willen hun kennisdomein op het gebied van trainingen nu positioneren in een gezamenlijk trainingsaanbod. In de praktijk worden deze trainingen door Westcon verzorgd waarbij ook maatwerk geleverd kan worden, bijvoorbeeld het organiseren van de training op locatie. Een samenwerkingsmodel waarbij u kunt rekenen op kwaliteit, kennis en ervaring en die u knowhow oplevert als sleutel voor het succesvol implementeren en beheren van ICT systemen en processen. Op www.motiv.nl vindt u meer informatie over de Motiv Trainingen.

IP3: Certified Information Systems Security Professional (CISSP) De echte security professional heeft de CISSP op zijn lijstje staan. In CISSP leren managers en zeer ervaren beheerders de wereldwijde standaard in informatiebeveiliging kennen en gebruiken. Een uitgebalanceerde combinatie tussen beleid en techniek wordt behandelend aan de hand van tien domeinen. CISSP professionals staan voor kwaliteit. De marktwaardering is groot, mede doordat de CISSP certificering ISO geaccrediteerd is. EC-Council: Certified Ethical Hacker In deze training wordt de deelnemer in een interactieve omgeving geplaatst waar wordt getoond hoe je je eigen systemen kunt scannen, testen, hacken en beveiligen. De uitgebreide lab omgeving geeft de deelnemer grondige kennis van, en praktische ervaring met, de huidige security systemen. Deelnemers leren hoe beveiligingen werken en hoe je vandaar uit je eigen omgeving kan scannen en testen. VMtraining: Advanced VMware security Een kritisch en vaak vergeten aspect van het migreren naar virtuele omgevingen is het juist opzetten en configureren van de security parameters. Standaard virtuele omgevingen zijn niet optimaal beveiligd en VMware is daar geen uitzondering op. Deze training focust op de kwetsbare gebieden van een virtuele omgeving en hoe de risico’s kunnen worden beperkt. Deze training gaat verder dan de standaard beveiligingsprotocollen die netwerkbeheerders gebruiken en gaat dieper in op de feitelijke werking en beperkingen van de VMware omgeving.

17

‹H PE AAGD.L XI NX EC Os abbati N T E N T Hc Eal A Dtime L I N E! V O L G E N D E P A G I N A het nieuwe werken › P A G . 2 0

I T E M H E A D L I N E › PA G . X X I T E M H E A D L I N E › PA G . X X

I T E M C A T E G CO H interview R IREI S T I A N E N G E L E N , M O T I V

Christian Engelen (25) Software Engineer Motiv

“Afgelopen jaar heb ik een reis van een half jaar gemaakt naar landen waar je in een gewone vakantie niet snel naartoe zou gaan. De eerste twee maanden heb ik onder andere trektochten gemaakt in Nepal, jungletochten gedaan en gedoken in Thailand. In de overige vier maanden heb ik Nieuw-Zeeland en Australië aangedaan en heb ik gewandeld, geskydived, gesnorkeld, gletsertochten gemaakt, gezwommen en nog veel meer activiteiten ondernomen. Terugkijkend waren de wandeltochten door de Himalaya in Nepal en het zuiden van Nieuw-Zeeland het indrukwekkendst. Het is een onvergetelijke reis geweest en ik merk nu dat ik meer gezien heb dan mooie plaatsen alleen. Zodra je de Westerse wereld verlaat, ontdek je andere culturen en ervaar je hoe andere mensen leven. Dit was een reis waarin ik veel ervaren heb en waarvan ik nog veel meer geleerd heb.”

18


Het sabbatsverlof (sabbatical leave) komt in Nederland steeds vaker voor. Werknemers én werkgevers zien de voordelen van het periodiek toekennen van een langdurig verlof aan trouwe medewerkers. Organisaties maken gebruik van het sabbatsverlof om medewerkers te stimuleren, het ziekteverzuim en burn-out verschijnselen terug te dringen en om een concurrerend voordeel te hebben op de arbeidsmarkt. Werknemers verbreden hun horizon en komen geïnspireerd terug. Ook Christian Engelen, Software Engineer bij Motiv, pakte zijn rugzak en vertrok voor een half jaar naar het verre oosten.

19 19

V O L G E N D E P A G I N A 3 D S ecurit y : een nieuwe ki j k op beveiliging › P . 2 2

H E A D L I N E het nieuwe werken

door Bart Verhaar, Information Security Consultant bij Motiv

Nieuwe technologische vernieuwingen, zoals Web 2.0, jagen de adoptie van Het Nieuwe Werken aan. In de media is dit volop in de aandacht en er zijn nog maar weinig organisaties die niet in een of andere vorm met Het Nieuwe Werken aan de slag zijn. ICT en de mogelijkheden van internet zijn de afgelopen jaren enorm vergroot. Zij geven bovendien een boost aan allerlei mobiele toepassingen. Maar Het Nieuwe Werken heeft niet alleen te maken met technische oplossingen, stelt Bart Verhaar, Information Security Consultant bij Motiv.

H

et Nieuwe Werken (HNW) stelt organisaties en medewerkers in staat om slimmer, efficiënter en effectiever te werken. De bedrijfssystemen en –gegevens zijn overal beschikbaar, waar en wanneer men dit wil. HNW gebeurt via internet, dat eindelijk snel en dynamisch genoeg is om deze nieuwe manier van werken goed te ondersteunen. Dit maakt flexwerken, thuiswerken en mobiel werken mogelijk. “Toch is technologie misschien wel het kleinste onderdeel van HNW,” aldus Verhaar.

HET NIEUWE WERKEN

STEEDS MEER BEDRIJVEN AAN DE SLAG MET

20


“De eisen die de moderne kenniseconomie stelt aan organisaties zorgt dat medewerkers tijden plaatsonafhankelijk willen werken. Zij worden steeds vaker gevraagd om taakgericht te gaan werken en hierbij zelf de verantwoording te nemen. Dit is voor velen niet even gemakkelijk, omdat zij tot op heden alleen verantwoordelijk waren voor een proces. Ook voor managers heeft dit grote impact. Zij moeten veel strakker gaan controleren op het eindresultaat. En niet de weg er naar toe.” “HNW vraagt dus vooral inhoudelijk en organisatorisch om een nieuwe manier van werken. Dat lijkt een aanzienlijke barrière in de adoptie van HNW, maar het brengt ook bijzonder veel voordelen. Mensen en organisaties kunnen door HNW zeer flexibel te werk gaan. Werknemers hoeven ’s morgens niet meer per definitie aan te sluiten in de file en zijn minder op kantoor door de komst van HNW. Tegelijkertijd moet een organisatie er wel voor zorgen dat werknemers

overal en altijd toegang hebben tot de informatie die nodig is voor het uitoefenen van hun taken. Op dit stuk grijpt ICT voor het grootste deel in. Onder de noemer ‘any time, any place, anywhere’ brengt menig ICT-leverancier de diverse oplossingen onder de aandacht die toegang tot informatie via internet mogelijk maken.” “Motiv is voor veel organisaties de partner voor informatievoorziening en informatiebeveiliging. Daardoor kan Motiv oplossingen bieden voor de kansen en uitdagingen die HNW creëren. Er zijn, in de optiek van Motiv, meerdere invalshoeken

Technologie is misschien wel het kleinste onderdeel van HNW’ die een organisatie kan kiezen om die informatie veilig bij de gebruiker te krijgen. Zo bestaat de keuze om de informatie centraal te houden en de gebruikers op een veilige manier centraal met die informatie te laten werken. Dit kan via een online portaal waar de gebruikers via een beveiligde verbinding de informatie benaderen. Het grote voordeel hiervan is dat de informatie in een gecontroleerde en beveiligde omgeving blijft. Het nadeel is echter dat de

gebruikers alleen ‘online’ bij de informatie kunnen. Zij zullen dus altijd een internetverbinding ter beschikking moeten hebben.” “Een andere invalshoek is om de gebruikers te voorzien van apparatuur die gecontroleerd en beveiligd is door de ICT-organisatie. De gebruikers kunnen informatie vrij meenemen op deze apparaten, zonder dat de organisatie zich zorgen hoeft te maken over de informatiebeveiliging. Voor deze manier van werken ontstaan steeds meer mogelijkheden. Het versleutelen (encryptie) van laptops is al lang gemeengoed. Ook voor het beveiligen van mobiele apparatuur, zoals tablet-pc’s en smartphones, komen steeds meer oplossingen. Deze maken het mobiel werken met bedrijfsinformatie veilig. Een andere opkomende ontwikkeling is het gebruik van een virtuele werkplek op een USBstick. Deze stick kan in iedere pc worden geplaatst om de werkplek op te starten. Deze biedt vervolgens veilige en gecontroleerde toegang tot de informatie.” “Al deze ontwikkelingen maken het ook steeds beter mogelijk om gebruikers zelf hun gereedschap uit te laten kiezen. Mede daarom kiezen organisaties vaker voor een ‘bring your own device’-beleid. Werknemers krijgen een bedrag en mogen zelf kiezen of ze en laptop of tablet-pc met Windows, Linux of Macintosh aanschaffen. De techniek is er klaar voor om met al deze 'gereedschappen' op een veilige manier met bedrijfsinformatie om te gaan.” 21

ONLY FOR THE BEST

H E A D L I N E 3 D S ecurit y : een nieuwe ki j k op beveiliging


3D Security: een nieuwe kijk op beveiliging auteur Jan-Paul Oosterom is account manager Endpoint Security Benelux bij Check Point Software Technologies Goede beveiliging begint bij het opstellen van een degelijk beveiligingsbeleid. Helaas maak ik vaak mee dat veel organisaties helemaal geen beveiligingsbeleid hebben. Toch maakt security een belangrijk onderdeel uit van het bedrijfsproces, soms zelfs zonder dat men er erg in heeft. Mobiel werken, de rechten van gebruikers op het netwerk en hoe als bedrijf om te gaan met uitzonderingen hierop, vormen steeds vaker een uitdaging. Beveiligingsmaatregelen zijn veelal technische oplossingen. De aankoop van beveiligingsoplossingen is daarom gebaseerd op technische eisen, waarbij prijs en features tegen elkaar worden afgewogen. Al te vaak blijkt achteraf echter een kloof te ontstaan tussen de business en de techniek, omdat het implementeren van security maatregelen getoetst wordt aan de technische haalbaarheid. Tot voor kort was dit vaak niet zo’n groot probleem, maar door nieuwe initiatieven en ontwikkelingen binnen het bedrijfsleven, wordt het organiseren van security op een dergelijke manier steeds lastiger. Bedrijven komen in aanraking met Cloud Computing, social

media, Het Nieuwe Werken, mobiele apparaten als smartphones en tablets, en moeten hier accuraat mee omgaan. Ook de inzet van ZZP’ers, freelancers, flexwerkers en externe consultants maken het goed organiseren van security lastig, en tegelijkertijd zeer belangrijk. Om als organisatie op deze trends te kunnen inspelen en ze zelfs in je voordeel te benutten, heeft Check Point 3D Security geïntroduceerd. Bij 3D Security staat de gebruiker centraal. Dit betekent dat een bedrijf heel eenvoudig het bedrijfsbeleid kan vertalen naar een technisch beleid op basis van de gebruiker of gebruikersgroep. Daarbij wordt niet alleen bepaald wie wat kan en mag op technisch vlak, maar wordt de gebruiker ook actief betrokken bij het beleid. Zo wordt hij geïnformeerd wanneer bepaalde acties niet meer mogelijk zijn en kan hij soms alsnog zelf beslissen om er al dan niet mee door te gaan. Deze ‘User Check’-optie is onder andere beschikbaar bij Application Control en Data Loss Prevention. Gebruikers worden gewaarschuwd als ze naar bepaalde sites surfen of als ze bepaalde documenten of gegevens versturen. Door hen te informeren dat ze een handeling uitvoeren die tegen het bedrijfsbeleid is of hen

MOTIV

ACADEMY

Jan-Paul Oosterom

zelfs de mogelijkheid te geven te beslissen of de handeling mag of niet, maakt hen veel bewuster van het beveiligingsbeleid en heeft tevens een educatief aspect. Naast een grotere betrokkenheid van de gebruiker, kan 3D Security ook het beveiligingsbeleid van de gebruiker volgen. Ongeacht de locatie van de gebruiker - thuis, onderweg, bij de klant of op kantoor - en het toestel dat hij gebruikt -mobiel, laptop of desktop-, is het altijd duidelijk wat hij mag en kan. Uiteraard kan een bedrijf hierin differentiëren. Een flexibel en daadkrachtig beveiligingsbeleid is onmisbaar. Het is belangrijk te realiseren dat de gebruiker hierin centraal staat.

Phishing zorgt voor kopzorgen sms authenticatie uitstekende maatregel voor protectie tegen phishing

UNIEKE POST HBO/UNIVERSITAIRE VERVOLGTRAINING INFORMATIEBEVEILIGING VOOR WIE: AFGESTUDEERDE STUDENTEN HBO/UNIVERSITAIR, RICHTING ICT START: 1 SEPTEMBER 2011 REAGEREN VOOR: 22 JUNI 2011

22


BESCHIKBARE PLAATSEN: 4X SOFTWARE ONTWIKKELAAR / INFORMATIEANALIST 4X SECURITY & NETWERKCONSULTANT/ NETWERKENGINEER 4X CONSULTANT INFORMATIEBEVEILIGING

voor alle informatie en inschrijven ga je naar www.motiv.nl/motivacademy

23

H E A D L I N E M otiv steunt de G B F bi j doelstellingen voor groei , governance , risk & compliance

V O L G E N D E P A G I N A C onsumentenelektronica I T E M H op E A Dde L I Nwerkvloer E › PA G . X X M inister V erhagen komt met D igitale A genda . n L van de I T ERMi j Hksoverheid E A D L I N E › P›A PG .. 2 X6 X

interview W I L L E M N I J S S E N , D E G R A F I S C H E B E D R I J fsfondsen

Motiv steunt de GBF bij doelstellingen voor groei, governance, risk & compliance De Grafische Bedrijfsfondsen (GBF) leerde Motiv kennen tijdens een project voor het vernieuwen van de netwerkinfrastructuur. Het vertrouwen groeide uit tot een overeenkomst waarbij Motiv het beheer van de IT-beveiliging volledig van de GBF overnam. Dankzij de

De situatie De GBF startte in 2009 met een gefaseerde vernieuwing van de ICT-systemen. “We wilden de technische levensduur verlengen, maar er waren ook veel functionele wensen,” aldus Nijssen. “Dit waren onder meer het actualiseren van de internet proxy-omgeving en de antispam-oplossing voor de mailomgeving. Om te voldoen aan de richtlijnen van SAS70 wilden we de rapportage en het geven van waarschuwingen automatiseren. Naleving van verschillende weten regelgeving vroeg ook om interne en externe audits en log-rapportages over toegangscontrole op het interne netwerk.” Willem Nijssen

organisatie in staat is om op juiste wijze verantwoording af te leggen over de bedrijfsactiviteiten. Men moet bijvoorbeeld aan kunnen tonen ‘wanneer iets gebeurd is en door wie'. Lograpportages maken dit inzichtelijk. Voor de

De voordelen De procedures en controlemechanismes die Motiv implementeerde stellen de GBF in staat om ‘in control’ te zijn en te blijven. In de praktijk werd door Motiv ook ruimte gereserveerd

Security-as-a-Service van Motiv kan de IT-afdeling de volle capaciteit en verhoogde kwaliteit inzetten voor de ambitieuze groeiplannen van de GBF.

De Grafische Bedrijfsfondsen (GBF) verzorgt voor branches, ondernemingen en hun pensioenfondsen de administratie, de communicatie, het beheer van het vermogen, de beleids- en bestuursondersteuning en financiën & risicomanagement. Met circa 165 medewerkers is de GBF een middelgrote uitvoeringsorganisatie. De grootste opdrachtgever van de GBF is het Pensioenfonds voor de Grafische Bedrijven (PGB). De GBF streeft echter naar schaalvergroting en investeert daarom onder meer in innovatie van systemen en processen. “Bovendien willen we de relevante benchmarks voor kosten, klanttevredenheid en de normportefeuille verslaan,” zegt Willem Nijssen, manager ICT & FD van de GBF. “Voor efficiencywinst is de inzet van een veilige ICT-omgeving dan ook van vitaal belang.” 24


Inhuren van hoogwaardige expertise De ICT-afdeling van de GBF wil zelf doen waar het goed in is, en andere gespecialiseerde taken binnen het beheer uitbesteden. De GBF ging daarom op zoek naar hoogwaardige expertise op het gebied van informatie- en systeembeveiliging. De keuze viel op Motiv vanwege het technologische portfolio, de mogelijkheden daarvan en de prijsstelling. Nijssen: “De oplossing van Motiv voor de vernieuwing van de netwerkinfrastructuur is gebaseerd op producten van Juniper. Juniper biedt meer capaciteit, een betere fouttolerantie, en is eenvoudiger en goedkoper te beheren. Dat was voor ons doorslaggevend.”

firewall en switches. Vervolgens segmenteerde Motiv het netwerk in afzonderlijke VLANs en verhoogde de bandbreedte. “Motiv leverde een dubbel uitgevoerde core switch met een aantal onderliggende switches uit het portfolio van Juniper,” zegt Nijssen. “Dat werd aangevuld met een firewall. We konden alles migreren zonder storingen in de netwerkinfrastructuur. De nieuwe componenten werden door Motiv naast de bestaande geïmplementeerd. Daarmee konden we stapsgewijs van oud naar nieuw gaan. Zodoende voorzag Motiv in een toekomstvast, flexibel, schaalbaar en redundant uitgevoerde netwerkomgeving.”

Governance, risk & compliance Stapsgewijs van oud naar nieuw Motiv is begonnen met het vervangen van de

De eisen van governance, risk & compliance (GRC) zetten de vraag centraal in hoeverre een

“ Dankzij Motiv kunnen we op elk gewenst moment zien wie wat deed, wanneer, vanaf welke plek, waarheen en waarmee” Willem Nijssen, manager ICT & FD van de GBF

GBF bleek een oplossing voor Security Incident and Event Management (SIEM) op basis van ArcSight de beste oplossing te zijn. “Motiv levert een beheerde SIEM-dienst voor het registeren en analyseren van activiteiten op het netwerk,” zegt Nijssen. “Dit systeem hanteert regels om verdachte of afwijkende patronen te herkennen en kan op basis hiervan alarmeren. Bovendien kopieert en archiveert het platform de data voor later gebruik. De dienst richt zich op het controleren en aantoonbaar maken van de naleving van het beveiligingsbeleid. Hierdoor wordt voldaan aan eisen die gesteld worden aan de IT-omgeving door normen die horen bij GRC.”

om maatwerk aanpassingen te doen. “Motiv kon doeltreffende adviezen geven over de gerapporteerde zaken,” zegt Nijssen. “Het voordeel daarvan is dat relatief kleine aanpassingen flexibel worden uitgevoerd. Zo blijft de dienst prima aangesloten op de actualiteit.” Dankzij de Security-as-a-Service van Motiv heeft de GBF echter geen zorgen over het beheer. Nijssen: “Alles, inclusief verantwoord internet, een veilige e-maildienst en de telewerkvoorziening, staat nu in een centraal beheerde omgeving. Ook training en certificering van ons eigen personeel is daardoor niet langer nodig.

Zodoende krijgen wij onze handen vrij om nog meer aandacht te geven aan de interne dienstverlening. Maar het betekent niet dat we met minder mensen werken. Daardoor is het IT-beheer nu ogenschijnlijk duurder. Maar het was ook niet de bedoeling om fte's te verminderen, we wilden onze medewerkers anders inzetten zodat we onze doelstellingen beter kunnen realiseren. Onze dienstverlening is daarom kwalitatief hoger en breder inzetbaar dan voorheen. Daarnaast beschikken we nu over een betrouwbare, schaalbare en toekomstvaste netwerkomgeving. De waarde daarvan is niet in geld uit te drukken.”

Eric Goossen, Account Manager bij Motiv, over de GBF: “Dankzij de open instelling van de betrokkenen bij de GBF bouwden we in korte tijd een goede vertrouwensband op. Dat maakte het project en de organisatie echt bijzonder. Dankzij dit vertrouwen mochten we een brede blik in de GBFkeuken werpen. Hierdoor waren we in staat echt met de GBF mee te denken. Zodoende konden we gezamenlijk een netwerkomgeving bouwen die niet alleen aansluit bij de bestaande situatie, maar die de GBF ook verder helpt bij het ontwikkelen van hun core business.” 25

H E A D L I N E S C onsumentenelektronica op de werkvloer • M inister V erhagen komt met D igitale A genda . n L van de R i j ksoverheid

H E A D L I N E H et belan g van c erti f i c eren van mana g ement s y s temen V O L G E N D E P A G I N A M otiv versterkt het fundament onder de beveiligingsarchitectuur van het A mphia Z iekenhuis › P . 2 8

OPINIE

gastcol u mn

auteur Peter Hafkamp, auditor bij certificatiebureau DEKRA

door Gerwin Foppen, Information Security Consultant bij Motiv

Consumentenelektronica op de werkvloer Smartphones en tablet-pc’s zijn niet meer weg te denken in het bedrijfsleven. Niet alleen de medewerkers, maar ook steeds meer managers hebben privé een tablet-pc en/of smartphone aangeschaft. Zij zien de ontelbare mogelijkheden, ook voor zakelijke toepassingen. Neem alleen al het snel e-mail lezen op elke gewenste plek. Je hoeft alleen maar even een klein apparaatje uit de binnenzak te halen, in plaats van een laptop op te starten. De volgende vraag die opkomt bij tablet- en smartphonegebruikers is: “hoe kunnen we bedrijfsapplicaties benaderen met dit apparaat?” Dit is een interessante vraag. Tenslotte zijn veel van deze apparaten van origine niet bestemd voor de zakelijke markt. Het komt daardoor vaak voor dat de medewerkers zelf de tablets of smartphones kopen, aanvankelijk voor privégebruik. Vervolgens proberen zij de zakelijke applicaties te ontsluiten op deze apparaten. Meestal gebeurt dit zonder de autorisatie van de IT-afdeling. Veel organisaties zitten ook met de kwestie dat er verjonging moet plaatsvinden binnen de organisatie. De jongere medewerkers zijn inmiddels allemaal opgegroeid met iPads, iPhones, Blackberries, etc. Een van de mogelijkheden om verjonging te stimuleren is ervoor zorgen dat de organisatie meegaat

met nieuwe technologie. Er zitten echter wel risico’s aan dergelijke apparaten. ‘De nieuwe medewerkers’ zien niet altijd de gevaren van deze moderne apparatuur. In hun optiek is het 'toch handig dat ik altijd en overal gegevens kan inzien?’ Tablets en smartphones vormen een dilemma voor veel organisaties. Gelukkig is de oplossing nabij. Het is inmiddels mogelijk om op elk device software te installeren die een veilige verbinding mogelijk maakt met het bedrijfsnetwerk. Externe mobiele apparaten kunnen zodoende veilig gebruikt worden voor zakelijke toepassingen. Zo kunnen apparaten met behulp van deze software op afstand gewiped worden. Ook is het mogelijk apparaten te lokaliseren en op afstand back-ups te maken. Bij verlies kan een geluid of trilling op afstand geactiveerd worden. Er kan zelfs gekeken worden of de originele fabriekssoftware van het apparaat niet is vervangen voor illegale software. Kortom, er is een hele waslijst aan mogelijkheden om smartphones en tablets veilig en doeltreffend voor ons te laten werken!


Minister Verhagen komt met Digitale Agenda.nl van de Rijksoverheid Minister Verhagen heeft op 17 mei zijn Digitale Agenda gepresenteerd. Digitale Veiligheid en Vertrouwen is een van de speerpunten in deze agenda. Consumenten moeten immers met gerechtvaardigd vertrouwen online kunnen gaan. Versterken van het vertrouwen in online zaken doen geeft zicht op ruim € 1 miljard aan extra omzet in de internethandel in Nederland in 2014.

Digitale Agenda.nl In de Digitale Agenda.nl zet Verhagen uiteen hoe we door ICT de economie harder kunnen laten groeien en bijvoorbeeld de vergrijzing kunnen opvangen. Er bestaan dus kansen voor economische groei als risico’s worden ingeperkt. Vertrouwen in ICT is hier het sleutelbegrip. Het kabinet kiest daarom als leidraad dat consumenten een gerechtvaardigd vertrouwen moeten ervaren bij het online gaan. Met de recente Nationale Cyber Security Strategie (NCSS) is een belangrijke stap gezet om het vertrouwen in ICT te versterken. De Digitale Agenda.nl bouwt hierop voort en legt de focus op een betrouwbare en veilige ICT- infrastructuur en veilige online transacties. 26


De Digitale Agenda.nl is een uitwerking van de Europese Plannen van Commissaris Kroes voor Nederland. Acties die in de Agenda staan op het gebied van digitale veiligheid en vertrouwen:

start programma veilig elektronisch zakendoen, gericht op veilig gebruik ICT en kennis over rechten en plichten in online handelsverkeer.

• Schone computers door aanpak van botnets. In 2012 via Platform Internetveiligheid implementatie een aanpak botnets; • Inzicht in beschikbaarheid netwerken: in 2011 worden telecom aanbieders verplicht storingen te melden, in 2012 komt er een website storingmeldingen; • Borging van de continuïteit: in 2012 met Nationaal Continuïteits overleg Telecommunicatie invulling geven aan maatregelen voor borging continuïteit; • In 2011 overleg met ICT-leveranciers over verhoging beveiligings niveau ICT-systemen; • In 2011 invoering meldplicht verlies persoonsgegevens voor tele comaanbieders; • In 2011 invoering cookiebepaling voor controle eindgebruikers over gebruik persoonsgegevens; • Consumenten moeten veilig zaken online kunnen doen. In 2012

Koploper in Europese Unie Volgens Commissaris Kroes is Nederland de eerste in Europa met een eigen Digitale Agenda en daarmee koploper in de EU. In het najaar 2011 volgt de Digitale Implementatie Agenda waarin het kabinet zaken als het recht op elektronisch zakendoen en het nieuwe open data beleid verder uitwerkt.

Het belang van certificeren van managementsystemen Het woord certificeren komt van het Latijnse “certificare” wat betekent “zeker stellen”. En dat is ook de kern van het certificeren. Het biedt opdrachtgevers en andere externe ‘stakeholders’ een waarborg dat een organisatie een managementsysteem, voor bijvoorbeeld kwaliteitsborging, (informatie)beveiliging, service management, milieu of andere aspecten heeft geïmplementeerd en blijft onderhouden. Daarbij is het ook een geruststelling voor de organisatie zelf, omdat binnen het managementsysteem belangrijke aspecten geregeld zijn. Afhankelijk van de normering zijn dit aspecten op een hoger abstractieniveau, zoals implementatie van processen binnen de kwaliteitsborging, die een organisatie zelf kan inrichten, of meer op detailniveau zoals informatiebeveiliging of service management. In deze laatste normen is meer in detail voorgeschreven aan welke aspecten aandacht moet worden geschonken met zekere randvoorwaarden. Als er zaken niet goed gaan, dan is er binnen ieder managementsysteem een verplichte terugkoppelling (de PDCA-cyclus) waarbij de oorzaak wordt onderzocht en de zaken worden verbeterd. Aan mij wordt soms de vraag gesteld of managementsystemen bureaucratisering in de hand werken omdat heel veel wordt voorgeschreven en moet worden aangetoond. Mijn antwoord is dat als de systemen slim worden ingericht en er geen onnodige ballast is, processen juist inzichtelijker worden en het later verzamelen of opzoeken van gegevens eenvoudiger wordt. Een goed ontwerp en automatisering helpt hierbij. Ook blijft onderhoud van managementsystemen nodig: wat niet goed werkt of overbodig is, moet gesnoeid worden. Onderzoek in het verleden heeft aangetoond dat organisaties die ISO 9001 (kwaliteitsmanagement) gecertificeerd zijn, winstgevender zijn dan niet gecertificeerde organisaties. De waarde van dit soort onderzoeken moet uiteraard met de nodige voorzichtigheid bekeken worden, maar het geeft wel een richting aan. Voor kleine tot middelgrote organisaties, blijf ik het na ruim 20 jaar adviseren en auditeren een prestatie vinden dat ze één of meer certificaten behalen en ook in de lucht houden. Ik onderscheid dan de organisaties die dit alleen marktgedreven doen en bedrijven die naast marktmotieven ook een interne drive voor verbetering hebben. Motiv behoort tot de laatste categorie. De Motiv certificaten voor kwaliteitsmanagement (ISO 9001), informatiebeveiliging (ISO 27001) en de meest recente voor IT-service management (ISO 20000-1) zijn dan ook de opstap voor een nog professionelere organisatie en dienstverlening aan opdrachtgevers.

27

H E A D L I N E M otiv versterkt het fundament onder de beveiligingsarchitectuur van het A mphia Z iekenhuis V O L G E N D E P A G I N A I s uw sms - bericht goed ontvangen ? • B edri j ven onderschatten mobiel e - mailgebruik schade als gevolg van fraude met internetbankieren : e 1 0 mil j oen › P . 3 0 B u siness case - amphia

Motiv versterkt

het fundament onder de beveiligingsarchitectuur van het Amphia Ziekenhuis Het Amphia Ziekenhuis in Breda draagt een grote verantwoordelijkheid voor de optimale zorg van patiënten. Daarbij hoort ook het nemen van maatregelen die de beveiliging van patiëntinformatie waarborgen. Volgens nieuwe en strengere weten regelgeving moet dit zelfs aantoonbaar goed geregeld zijn.

M

otiv hielp het Amphia Ziekenhuis om ‘in control’ te zijn en blijven, vertelt Timo Schipperen, Security Officer van het Amphia Ziekenhuis. “Dat wordt nog dringender door de richtlijnen van de NEN 7510-norm voor informatiebeveiliging binnen de zorgsector. Het voldoen aan de eisen van NEN 7510 is niet alleen een technische kwestie. Het heeft gevolgen voor de hele organisatie. Daarnaast werd medio 2010 NEN 7513 geïntroduceerd met richtlijnen voor het registreren van acties op het elektronisch patiëntendossier. Op basis van logging moet inzichtelijk zijn wie er toegang had tot een patiëntendossier.”

Amphia ICT Security Zones & Layers

Amphia Ziekenhuis locatie Molengracht, Breda

28


Een Security Scan en risicoanalyse leidden tot een architectuurschema dat onder meer rekening hield met de eisen van NEN 7510. Onder de noemer “Amphia ICT Security Zones & Layers” legde dit plan het fundament onder een gefaseerde en modulaire aanpak voor het beveiligen

van de ICT-omgeving. Schipperen: “De verschillende processen met bijbehorende maatregelen maakten duidelijk waar de controlepunten voor de beveiliging zich moesten bevinden. Dit zijn de punten waarop informatie intern doorgegeven wordt van het ene proces of systeem naar het andere. Daarom werd de beveiligingsarchitectuur in lagen ingericht op basis van de gedefinieerde controlepunten, beleidsregels en procedures.” Het Amphia Ziekenhuis schakelde Motiv in om, op basis van deze architectuur, een doeltreffende oplossing te implementeren. De keuze viel op Motiv vanwege de ervaring met het beveiligen van complexe IT-infrastructuren. Dat heeft Motiv ook bewezen met verschillende projecten in de zorgsector. “In onze optiek was Motiv daarom uitermate geschikt om de inrichting van onze informatiebeveiliging te verzorgen,” zegt Schipperen. “Motiv bracht meteen een oplossing naar voren die volledig aansloot op de aanpak die we voorstonden.” > 29

H E A D L I N E S I s uw sms - bericht goed ontvangen ? • B edri j ven onderschatten mobiel e - mailgebruik schade als gevolg van fraude met internetbankieren : e 1 0 mil j oen

H E A D L I N E E en blik in de innovatiekeuken van M otiv V O L G E N D E P A G I N A I N T E R V I E W M I C H A E L M A U N D E R - C O C K R A M , F u j itsu T echnolog y S olutions › P . 3 2

B u siness case - amphia

> De oplossing van Motiv is gebaseerd op de Defense in Depth-strategie die het bedrijf ontwikkelde. Deze strategie sluit volledig aan op de richtlijnen van NEN 7510. “De keten is zo sterk als de zwakste schakel,” aldus Schipperen. “In ons geval bestaat de beveiligingsketen uit een serie maatregelen die elkaar aanvullen en versterken. Dat waarborgt de kwalitatief hoogwaardige beveiligingsomgeving die een ziekenhuis nodig heeft.”

ICT in control Dankzij Motiv beschikt het Amphia Ziekenhuis over een veilige, schaalbare en flexibele omgeving. Deze sluit bovendien aan op de richtlijnen van NEN 7510 en NEN 7513, maar ook op andere gangbare normeringen zoals IHE en GBZ. “Door Motiv zijn we goed voorbereid op de komst van nieuwe en strengere wetten en regels,” zegt Schipperen. “De NEN 7513 geeft richtlijnen voor informatiebeveiliging. Dat vereist het loggen van al het dataverkeer, dus niet alleen van acties op het medisch dossier. Motiv stelt ons in staat de

I nterview R onald E lzinga , M anager B u siness S ol u tions bij motiv

richtlijnen breder in te zetten. Ook op persoonlijke basis kunnen we nu aantonen wat er op het netwerk gebeurt. Dit heeft onder meer betrek-

" De keten is zo sterk als de zwakste schakel” Timo Schipperen, Security Officer van het Amphia Ziekenhuis

king op het internetgedrag van medewerkers, en de communicatie van apparaten, applicaties en gebruikers. Maar ook het herkennen, definiëren en categoriseren van informatie. Zo konden we tijdens het project pragmatisch kansen pakken wanneer ze zich voordeden.”

branchenieuws Is uw sms-bericht goed ontvangen? Bedrijven onderschatten mobiel e-mailgebruik Marktonderzoeker Mobilemetrics rapporteert dat steeds meer Nederlanders hun e-mail lezen op mobiele apparaten. Volgens onderzoek van Mobilemetrics wordt een op de twintig e-mails gelezen op een iPhone. De iPad is verantwoordelijk voor 1 procent van alle mobiel gelezen e-mails. Het e-mailgebruik voor smartphones met andere besturingssystemen, kon door Mobilemetrics niet gemeten worden. Daarom ligt het werkelijke cijfer van mobiel e-mailgebruik mogelijk twee keer zo hoog. Volgens Mobilemetrics wordt het mobiel lezen van e-mail onderschat. Bedrijven optimaliseren hun activiteiten wel voor mobiel internet en applicaties. Ze houden echter amper rekening met hoeveel e-mails mobiel worden geopend. 30


De netwerkbeveiliging bij het Amphia Ziekenhuis is een aanzienlijk project geworden. Is deze investering wel rendabel? Schipperen: “Informatiebeveiliging is een primaire eis. Dat moet aantoonbaar goed geregeld zijn. Want als de systemen ook maar één dag uitvallen, staan de operatiekamers leeg en komt de kwaliteit van zorgverlening in gevaar, en daarmee levens. Stel dat gedurende een dag de patiëntgegevens op slot staan, of juist helemaal open. Dat mag vanzelfsprekend nooit gebeuren. Met het voorkomen van één incident is de investering dus al vele malen terugverdiend.”

Schade als gevolg van fraude met internetbankieren: e 10 miljoen

L E UK O M T E W E T E N

In zakelijke communicatie wordt, naast e-mail en voicemail, ook gebruik gemaakt van sms-berichten. Veel mensen zijn daar nog niet op bedacht. Zij controleren hun sms-inbox daarom niet altijd. Een afleverbericht brengt hiervoor uitkomst. Dit laat u weten dat uw collega of relatie de sms inderdaad heeft ontvangen. Iedere provider hanteert hiervoor unieke combinatiecodes, bijvoorbeeld *T#. Raadpleeg de richtlijnen van uw provider om te weten welke code u kunt gebruiken om de ontvangst van sms-berichten te bevestigen.

De oplossing van Motiv maakt verschillende informatiestromen binnen het Amphia Ziekenhuis aantoonbaar veilig. “Dat is belangrijk want verscherpt toezicht op de naleving van weten regelgeving betekent dat wij op ieder moment steekhoudende bewijzen moeten leveren over de informatiebeveiliging. Omdat de ICT nu in control is kunnen we daar aan voldoen.”

Circa tien miljoen klanten bankieren tegenwoordig via internet. Daarmee is het digitale betalingsverkeer een aantrekkelijk doelwit geworden voor criminelen. De (potentiële) opbrengsten en impact van deze vorm van criminaliteit kunnen hoog zijn en het slachtofferschap kan wijdverbreid zijn. Veilig en betrouwbaar betalingsverkeer is van groot belang voor stabiliteit en de integriteit van het financiële stelsel. De afgelopen jaren is de financiële schade die financiële instellingen en consumenten hebben geleden, flink toegenomen. De schade wordt vooral veroorzaakt door phishing-aanvallen. De Nederlandse Vereniging van Banken maakte recent bekend dat in 2010 de schade als gevolg van fraude met internetbankieren € 9,8 miljoen bedroeg. In 2009 was dit nog € 1,9 miljoen. Naast de strenge beveiligingsmaatregelen die banken nemen en hun voortdurende monitoring is het ook belangrijk dat klanten zelf bepaalde maatregelen nemen om te voorkomen dat anderen toegang krijgen tot de bankrekening. Om klanten alert te maken is de succesvolle campagne Veilig Bankieren gestart. Dit is een vervolg op de campagne 'Drie Keer Kloppen'. Via deze campagne worden klanten onder meer geïnformeerd over het fenomeen phishing (geef nooit inlog- en/of betaalcodes af) en worden adviezen gegeven hoe de kans te verkleinen dat computers worden besmet met malware.

Een blik in de innovatiekeuken van Motiv Bij Motiv gaat innovatie niet alleen om de nieuwste ICT-technieken, maar ook om onderzoek en kennisspecialisatie binnen bepaalde markten. Motiv stimuleert medewerkers tijdens themasessies om hun kennis over specifieke branches, het portfolio en partnerships te delen. Hierdoor wordt het kennisniveau vergroot en de onderlinge samenwerking verstevigd. Zo krijgen klanten altijd de beste oplossing die past bij hun vraagstukken, gebaseerd op de nieuwste technieken. Innovatie, verbreden en verdiepen “We zijn altijd bezig om nieuwe ontwikkelingen en producten in de markt te spotten,” vertelt Ronald Elzinga, Manager Business Solutions bij Motiv. “We bekijken dan meteen hoe deze het beste toegepast kunnen worden. Een van de diensten die we recent hebben ontwikkeld is ‘Beveiliging Smartphones’. Hiervoor combineren we Junos Pulse, een Mobiele VPNclient van Juniper, met Mobility Security. Deze laatste module maakt het mogelijk om mobiele apparaten op afstand te beheren. Zo kunnen beheerders bijvoorbeeld een HTC-telefoon op afstand blokkeren of schoonvegen. Bedrijven met een grote buitendienst willen hun medewerkers vaak direct toegang geven tot het bedrijfsnetwerk en –gegevens. Hiervoor dienen zij over te stappen op telefoons met internet. Wij bieden beveiliging door te kijken welke extra mogelijkheden er hiervoor zijn, zoals het monitoren en scannen van SSL-verkeer.”

Continueren & borgen “Ontwikkelingen binnen ICT Security gaan snel. Dat heeft ook te maken met het bijna dagelijks ontdekken van nieuwe lekken, malware en virussen. Door nauw contact te houden met leveranciers, zijn onze consultants altijd op de hoogte van nieuwe en opkomende bedreigingen. Dit wordt verder versterkt door bijvoorbeeld bij te houden welke technische security blogs gepost worden op internationale sites. Dit betekent dat wij ook dagelijks kunnen schakelen en anticiperen, zodat we onze klanten goed kunnen helpen.”

twee kanten. Omdat we de producten in verschillende omstandigheden meemaken, geven we regelmatig feedback aan de leverancier. Dit wordt gewaardeerd, en vaak worden er na ons commentaar veranderingen in de producten aangebracht.”

Individueel werk en ontwikkel plan “Samen met elke medewerker stellen we ieder jaar een individueel werk en ontwikkel plan (IWOP) op. Op basis hiervan begeleiden en coachen wij de medewerker. Soms signaleren we dat bepaalde oplossingen veelvuldig worden verkocht en er kennistekort dreigt. Dan maken we tijd vrij voor producttrainingen. Als medewerker zich willen specialiseren, moedigen we dit aan. Zo willen we de begeleiding en coaching naar een hoger niveau brengen. Dit voorjaar hebben we de Motiv Academy opgestart. Hiermee halen we jonge, pas afgestudeerde ICT-talenten binnen. Dat zorgt voor een gezonde groei en instroom van nieuwe specialisten.”

Interne communicatie “Op gezette tijden organiseren we voor alle medewerker die hier geïnteresseerd in zijn themasessies. Het doel is om kennis van technieken en branches te delen. Projectmanagers krijgen hierdoor kennis van de producten die van belang zijn voor het slagen van een project. Omgekeerd krijgen onze technische specialisten zo ook inzicht in specifieke omstandigheden bij klanten. Dit creëert begrip en zorgt daarnaast voor onderlinge samenhang.

Partnerships met leveranciers “Als we een partnership aangaan met een leverancier is ons streven altijd om het hoogste partnerniveau te halen. Indien nodig volgen wij trainingen bij de leverancier of distributeur, maar er wordt ook veel gedaan aan online zelfstudie. Een goed partnership werkt altijd van

Motiv is de afgelopen jaren flink gegroeid. Daarom is het belangrijk dat de themasessies niet alleen kennis en verdieping bieden. Ze geven onze medewerkers ook ruimte om elkaar, en elkaars werk, beter te leren kennen. Want ook al groeien we nog zo hard, we blijven één team.” 31

H E A D L I N E F u j itsu T echnolog y S olutions vindt waardevolle partner in motiv volgende pagina E x tenzo integreert dankzi j M otiv primaire en secundaire werkprocessen van G G Z - professionals › P . 3 4

interview M I C H A E L M A U N D E R - C O C K R A M , F u jits u T echnolog y S ol u tions B V

Fujitsu Technology Solutions vindt waardevolle partner in Motiv

Grootzakelijke bedrijven die vertrouwen

Onder de noemer ‘Dynamic Infrastructures’ ondersteunt Fujitsu Technology Solutions klanten met een volledig portfolio aan IT-producten, -oplossingen en –diensten. Dat varieert van werkplekken tot en met het datacenter. Fujitsu neemt echter desgewenst ook de zorgen over beheer en onderhoud uit handen. Hiervoor biedt het bedrijf managed infrastructure services en Infrastruc-

“ Het is belangrijk om een partner te hebben waarmee we kunnen klankborden op het niveau waarop wij en onze klant zitten” ture-as-a-Service. Fujitsu Technology Solutions maakt deel uit van de Fujitsu-groep, wereldwijd de derde grootste ICT-dienstverlener.

op de beschikbaarheid en veiligheid van hun IT-omgeving rekenen op Fujitsu Technology Solutions. Deze dienstverlener ontwerpt, implementeert en beheert complexe, dynamische en grootschalige IT-infrastructuren. Maar waar vindt Fujitsu de benodigde expertise rond beveiligingscomponenten? En voor het aansluiten hiervan op de bedrijfsvraagstukken van klanten? “Bij Motiv,” is het besliste antwoord van Michael

Onder de klanten van Fujitsu bevindt zich de meerderheid van ’s werelds grootste bedrijven. Het bedrijf is daarom actief op alle fronten van de infrastructuur, met een breed palet aan oplossingen. De klanten wijden alle mensen en middelen aan hun kerncompetentie en Fujitsu Technology Solutions zorgt ervoor dat de ICT-infrastructuur dit optimaal ondersteunt. De grote en grootse aanpak van Fujitsu Technology Solutions betekent dat de IT-ers verstand moeten hebben van veel IT-vraagstukken en -oplossingen. “Dat betekent echter ook dat wij niet op alle vlakken volledig de diepte in kunnen gaan,” zegt Maunder-Cockram. “Wanneer een specifieke oplossing vereist is, zoeken wij de hulp van partners. Toen we voor enkele klanten een Security Information & Event Management (SIEM)oplossing wilden implementeren, was Motiv de logische keuze. Hoewel dat aanvankelijk om technische ondersteuning ging, bleek Motiv een volwaardige partner.”

Maunder-Cockram, Information Security Manager van Fujitsu Technology Solutions BV. Michael Maunder-Cockram

32


beleidsregels herkent RSA enVision ‘afwijkend’ gedrag en geeft hierover, afhankelijk van prioriteiten, waarschuwingen. Beveiligingsprofessionals kunnen vervolgens de juiste maatregelen nemen. Vooral bij het vertalen van 'business requirements' naar techniek en andersom speelde Motiv volgens Maunder-Cockram een belangrijke rol: “Motiv dacht met ons mee en ging ons soms

De SIEM-oplossing die Fujitsu Technology Solutions implementeerde bij deze twee klanten is RSA enVision. Dit SIEM-platform verzamelt en analyseert log- en eventgegevens uit de volledige ICT-infrastructuur. Op basis van vastgestelde

zelfs voor in het bedenken van pragmatische oplossingen. Dat is belangrijk, want organisaties stellen zelf vast welke beleidsregels, met welke prioriteit, gecontroleerd en gefilterd moeten worden door het SIEM-systeem. De medewerkers van Motiv kunnen dat technisch realiseren, maar denken ook mee op het niveau van de business om die regels en prioriteiten vast te stellen.” De analytische software van RSA zet ongestructureerde data om in waardevolle bedrijfsinformatie. Dit geeft beveiligingsmanagers het gereedschap dat zij nodig hebben om actief op te treden om te voldoen aan de eisen van compliance, risico’s te verminderen en het virtuele en fysieke netwerk te beveiligen. “Ook op het gebied van de rapportages uit het SIEM-systeem is het zakelijke inzicht van Motiv een uitkomst gebleken,” aldus Maunder-Cockram. “Een rapport is tenslotte niet een hoeveelheid data die in een Word-bestand wordt gestopt. Het gaat om het vertalen van die data naar bruikbare informatie die begrijpelijk wordt gepresenteerd. Alleen dan kan het management daarop vertrouwen om het beslissingproces te ondersteunen. Motiv begrijpt wat managers willen ontvangen qua rapportages. Het maken van goede, waardevolle rapportages is ook een leerproces. Dan is het belangrijk om een partner te hebben zoals Motiv, waarmee we kunnen klankborden op het niveau waarop wij en onze klant zitten.”

De rapportages van RSA enVision helpen om de hoogste beveiligingsniveaus voor het netwerk te waarborgen. Maunder-Cockram: “Als security manager heb ik een prachtige tool waarmee ik dagelijks of wekelijks kan kijken of bepaalde gedragingen wel, of juist niet, plaats vinden. Dan gaat het niet om de gewone, maar de buitengewone zaken op het netwerk. Dat maakt RSA enVision tot een leverancier van kritische bedrijfsen managementinformatie.” SIEM van RSA enVision biedt ook de benodigde bewijslast en onderbouwing voor compliance. “Voor beide klanten waar wij het SIEM-systeem implementeerden was forensisch onderzoek een van de redenen,” vertelt Maunder-Cockram. “Bedrijven zijn om diverse redenen verplicht om soms tot een jaar terug forensisch bewijsmateriaal op te slaan. Dit dient bovendien afgeschermd te zijn voor het normale beheerteam. Met RSA enVision wordt alle loginformatie in alle systemen real-time gekopieerd naar de appliance van RSA. Deze staat volledig op zichzelf, ook qua rechten. Zo is er een dubbele controle, want degenen die rechten hebben op de IT-omgeving, hebben dat niet op de RSA-omgeving.” Motiv werd door Fujitsu Technology Solutions ook gevraagd de SIEM-omgeving van twee klanten te beheren. Voor Maunder-Cockram was dat een eenvoudige keuze: “Normaal systeembeheer doen we iedere dag. We bouwen daar een constante ervaring en routine in op. Naar appliances zoals RSA enVision hoeven we echter hooguit eens per maand om te kijken. Die staan gewoon te zoemen en leveren hun output, er is normaal gesproken geen reden om daar wat aan te doen. Het gevolg daarvan is dat als er eens iets gebeurt er meteen specifieke kennis nodig is. Bij onze eigen mensen is de training dan al weer weggezakt en moeten we dus toch de leverancier bellen. Die omslachtigheid voorkomen we liever door de appliances direct in beheer te geven bij Motiv.” 33

H E A D L I N E E x tenzo integreert dankzi j M otiv primaire en secundaire werkprocessen van G G Z - professionals

volgende pagina j uniper networks emea partner event in barcelona 2 3 & 2 4 mei › P . 3 7

B u siness C ase - 1 n P E xtenzo

EXTENZO INTEGREERT dankzij Motiv primaire en secundaire werkprocessen van GGZ-professionals De stichting 1nP is het ‘1e netwerk Professionals in de ambulante geestelijke gezondheidszorg (GGZ)’. 1nP staat ook voor een visie op mensen, cliënten en hulpverleners. 1nP wil kwalitatief hoogwaardige zorg op een laagdrempelige wijze aanbieden waarbij de cliënt zoveel als mogelijk de regie voert. De GGZ-sector heeft te maken met een toenemende vraag, terwijl de overheid bezuinigingen wil doorvoeren. 1nP riep de hulp van Motiv in om een online applicatie te ontwikkelen die creatief ondernemerschap ondersteunt.

Zorginhoudelijk is 1nP sterk gericht op innovatie, ontwikkeling en professionalisering van behandelmethoden. 1nP ondersteunt echter ook de organisatorische en logistieke activiteiten van het netwerk. Daarmee wil 1nP tot de kopgroep van Nederland behoren. Dit bereikt 1nP onder meer door de zorgadministratie en wettelijke controles dankzij slimme geautomatiseerde processen eenvoudiger en vollediger te maken.

Slimmer gebruik van techniek De overheid stimuleert marktwerking in de zorg en ook de tweedelijns zorg bereidt zich voor op de komst van het elektronisch patiëntendossier. Deze veranderingen in de sector betekenen dat de primaire zorgtaken niet langer gescheiden kunnen blijven van de secundaire administratieve en logistieke processen van behandelaars. 1nP wilde daarom een online applicatie creëren waarin alle werkprocessen geïntegreerd zijn.

Extenzo: maximale focus op zorg De gewenste webapplicatie, die de naam 34


Extenzo meekreeg, moest via een online portaal ambulante zorg mogelijk maken, overal waar

Extenzo, een totaaloplossing voor vooruitstrevende zorgorganisaties (mobiel) internet beschikbaar is. Vanzelfsprekend moest de beschikbaarheid en de beveiliging van het webplatform gewaarborgd zijn. Tot slot moest de webapplicatie peer reviews (collegiale toetsing) mogelijk maken. 1nP vond in Motiv een applicatieontwikkelingen beveiligingsspecialist die de definitieve keuze,

ontwikkeling en implementatie van een volledige integratie tussen primaire en secundaire werkprocessen kon ondersteunen voor de aangesloten zorgprofessionals. Motiv ging van start met een inventarisatie van de effecten van weten regelgeving en koppelingen met het EPD op het ontwerp van de webapplicatie. Motiv realiseerde ook de geautomatiseerde peer reviews. Daarmee realiseerde het bedrijf een ware noviteit binnen E-zorg. De peer reviews worden automatisch en anoniem voorgelegd aan vakgenoten. Deze geven vervolgens een vakkundig oordeel over de behandelmethode. Goede peer reviews worden gewaardeerd met rapportcijfers. Dat komt de kwaliteit van de behandeling ten goede en stimuleert het gebruik van dit systeem. Motiv automatiseerde binnen Extenzo ook de VECOZO-check om de verzekeringsgegevens van patiënten te controleren. Dat gebeurt zowel vooraf als achteraf. Zodoende zorgt de wizard binnen Extenzo ervoor dat er geen dubbele of onjuiste facturatie plaatsvindt. Motiv maakte > 35

H E A D L I N E E x tenzo integreert dankzi j M otiv primaire en secundaire werkprocessen van G G Z - professionals

H E A D L I N E j uniper networks emea partner event in barcelona 2 3 & 2 4 mei volgende pagina R S A A rcher maakt compliant zi j n en bli j ven proactief › P . 3 8

B u siness C ase - 1 n P E xtenzo

> het ook mogelijk dat Extenzo het zogenoemde Routine Outcome Monitoring (ROM) ondersteunt. De webapplicatie is hiervoor gekoppeld aan de systemen van servicepartner NetQ. Daardoor kan eenvoudig en automatisch vastgesteld worden of de behandeling aanslaat en effect sorteert. De communicatie met professionals wordt vanuit Extenzo aangestuurd.

doen met secundaire taken. Zij kunnen zich volledig richten op hun kernactiviteit. De behandelaars maken ook dankbaar gebruik van de peer reviews. De peer reviews leiden tot nieuwe inzichten voor verbeteringen in de primaire processen. Dit verhoogt de professionele resultaten van de professionals in het netwerk van 1nP.

door Bastiaan Bakker, Business Development Manager

Juniper networks EMEA partner event in Barcelona 23 & 24 mei

Patiëntendossier op elke werkplek

Prof. Dr. R. Kusters, hoogleraar bedrijfsprocessen en IT aan de TU Eindhoven, faculteit Industrial Engineering en Innovation Sciences over Extenzo: ‘Extenzo is een maatwerkoplossing voor eerste en tweedelijns GGZ. De toepassing levert een volledige integratie tussen de primaire en secundaire werkprocessen en de pakketondersteuning. Dit resulteert in procesuitvoering die zowel efficiënt als aantoonbaar van hoge kwaliteit is. Dit wordt gerealiseerd door consistente toepassing van slimme wizards in combinatie met bronregistratie. Daardoor is een forse afname van administratieve belasting voor professionals en organisatie gerealiseerd. Zorginhoudelijk is er een dubbelblind peer group review systeem ter borging en verhoging van de kwaliteit van behandelplannen als verplicht onderdeel aanwezig. ROM (Routine Outcome Monitoring) en online diagnostiek zijn modulair toegankelijk. Daarnaast is er onder andere sprake van naadloze integratie met webservices (zoals GBA- en VECOZOcheck). Dat alles maakt Extenzo tot een totaaloplossing voor vooruitstrevende zorgorganisaties.’

36


Diverse netwerken en professionals maken al gebruik van Extenzo. “Het dossier staat op elke werkplek ter beschikking,” zegt Gerard van Kesteren, General Director Mental Health van 1nP. “De volledige bronregistratie en invoerwizards zorgen voor een gemakkelijk invoerproces voor behandelaren.” Motiv zorgt met Extenzo voor de integratie van gegevens uit de primaire en secundaire processen. Hierdoor hoeven de professionals geen kostbare uren meer te ver-

Motiv bracht vanzelfsprekend ook de expertise op het gebied van informatiebeveiliging in. Zo is het webportaal van Extenzo en zijn alle patiëntendossiers uitsluitend toegankelijk voor bevoegde professionals. De authenticatie vindt plaats via gebruik van de UZI-pas. Zodoende creëerde Motiv een unieke, innovatieve en veilige omgeving die zeer ten goede komt aan de dienstverlening. Daarmee geeft Extenzo de zorgprofessional van 1nP maximale focus op de behandeling van de cliënt.

" Dankzij Extenzo kunnen alle professionals die zijn aangesloten bij 1nP effectiever en efficiënter werken via een E-zorg portal ” Gerard van Kesteren, General Director Mental Health van 1nP

> Voor meer informatie over onze activiteiten in de zorg en welzijn kunt u de themabrochure bekijken op www.motiv.nl/verticals of een gedrukt exemplaar opvragen op 030 - 6877007.

"It's time for the new network" is de centrale boodschap van Juniper Networks tijdens de Europese Partner conferentie in een zonnig Barcelona. Zo constateert John Morris, Executive Vice President, Worldwide Field Operations in zijn keynote speech dat er in 2015 volgens IDC-onderzoek meer dan twee miljard smartphones en tablet-PC’s zullen zijn. De gevolgen zijn enorm: miljoenen apps en vele zetabytes aan data transport over het newerk. Het traditionele netwerk is onvoldoende schaalbaar en onvoldoende veilig. Juniper Networks heeft als antwoord een visie voor the new network. Deze visie is gebaseerd op drie kernwaarden: • Eigen silicon chipset De eigen data center fabrics maken het moge lijk om een drielaags netwerkarchitectuur terug te brengen naar één laag. De fabrics vormen de basis voor extreme toename van de performance en bovendien veel minder stroomverbruik. • Eigen hardware Topkwaliteit hardware voor specifieke en generieke Security en netwerkfuncties. • Software Eén open unieke Junos Operating System voor alle hardware en krachtige netwerk applicaties. Het nieuwe netwerk is een propositie voor een andere aanpak voor het inrichten van het high performance netwerk in het datacenter (cloud) en gebruikersnetwerk met een bedrade en draadloze netwerkinfrastructuur. Juniper Networks heeft het Networking en Security portfolio middels eigen ontwikkelingen en overnames klaargestoomd voor het nieuwe netwerk. Samenvattend een heldere visie en strategie op de voorziene gigantische groei in dataverkeer en Cloud Computing.

37

H E A D L I N E R S A A rcher maakt compliant zi j n en bli j ven proactief

volgende pagina V olg - mi j - niet - functie in browser • Youtube biedt u ook zakeli j ke kansen › P . 4 0

L everancier in de schijnwerpers : R S A A rcher

Archer Technologies werd opgericht in 2000 door Jon Darbyshire. Daarvoor leidde hij de audit- en adviesafdeling van Ernst & Young in de VS. Daar zag hij in de praktijk hoe omslachtig het compliance-proces was voor veel bedrijven. “Darbyshire zag een mogelijkheid om dat te automatiseren. Daarmee wilde hij de audits en het compliance-proces vereenvoudigen. Dat evolueerde in een oplossing die de hele eGRCcyclus ondersteunt,” aldus Corné van Rooij,

RSA Archer maakt compliant zijn en blijven proactief 38


de securitydivisie van EMC.

A

rcher Technologies ontstond uit de visie om een IT-oplossing te creëren voor het beheer van governance, compliance en risico’s in de grootzakelijke markt. De Archer eGRC-suite wordt inmiddels gebruikt bij ruim een derde van alle Fortune 100-bedrijven. EMC nam in januari 2010 de oplossing van Archer over en bracht deze onder bij de beveiligingsdivisie RSA. “De software is gebaseerd op een bibliotheek waarin de regels en eisen van veel wetten, richtlijnen en gedragscodes zijn opgeslagen,” aldus Van Rooij. “Dat varieert van SOX tot ISO 27002, maar ook regels en gedragscodes van bijvoorbeeld de Food & Drug Administration (FDA) of de douane. Dit kan bovendien aangevuld worden met eigen beleidsregels van de onderneming.”

Fotografie: Ruud Jonkers

Corné van Rooij

district manager Benelux & Zwitserland van RSA,

Op basis van de toepasbaarheid van deze regels op de unieke omgeving van de organisatie vertaalt Archer deze in controleprocedures. Van Rooij: “Gezamenlijk met ICT-dienstverleners zoals Motiv stelt een organisatie vast wat er binnen het IT-landschap nodig is aan procedures om de naleving te controleren. Dat maakt de activiteiten en risico’s in de organisatie inzichtelijk.” Een controleprocedure is bijvoorbeeld een beleidsregel dat toegang op afstand alleen mogelijk is na dubbele authenticatie. In dat geval moet two-factor authenticatie actief zijn op de SSL-VPN-verbinding,” zegt Van Rooij. “Dat is controleerbaar en daarmee kan het management zien in hoeverre de organisatie deze regel naleeft.” 39

H E A D L I N E s volg - mi j - niet - functie in browser • y outube biedt ook zakeli j ke kansen

H E A D L I N E motiv pri j svraag volgende pagina interview P eter van S c helven , I C T ~ O f f i c e › P . 4 2

L everancier in de schijnwerpers : R S A A rcher

De controleprocedures kennen vele van dergelijke controles toe. Archer maakt dit inzichtelijk in een gebruiksvriendelijke interface. Als de lichten op het dashboard van Archer op oranje of rood springen, moet er actie worden ondernomen. “Archer levert de procedures die nodig zijn om het stoplicht weer op groen te krijgen automatisch af bij de technisch beheerder,” zegt Van Rooij. “Deze maakt de nodige wijzigingen en rapporteert dat aan het management. Met Archer is de actie automatisch opgestart, genomen, gerapporteerd en gecontroleerd.”

of de processen op orde zijn. Maar wat is daar het resultaat van? Van Rooij: “Iedere organisatie bepaalt zelf wanneer de lichten op groen, oranje of rood staan en welke risico’s daarbij worden gelopen. Vervolgens kan directe actie worden ondernomen, of een proces in gang worden gezet, om de problemen te verhelpen. Voor auditors is Archer ook een waardevol hulpmiddel. Zij zien in één oogopslag de onderbouwing van uitzonderingen, de plannen en gevolgen van acties en aandachtspunten waar zij op in kunnen zoomen.” Ook de Raad van Bestuur vindt in Archer grote steun. “De externe auditor controleert datgene wat is toegepast en geeft daar een oordeel over. Als er sprake is van non-compliance, rapporteert hij dit aan het bestuur. Zij hebben de verantwoordelijkheid voor zover ze van zaken met redelijkheid en billijkheid op de hoogte hadden kunnen zijn. Maar men werd tot nog toe op de hoogte gesteld door een externe auditor, niet door informatie vanuit de organisatie. Het was dus altijd een kwestie van achteraf bijsturen met terugwerkende kracht. Dankzij Archer krijgen zij die informatie wel direct en continu. Daardoor kunnen zij proactief ingrijpen als zaken verbeterd moeten worden. En dit onderbouwen en aantoonbaar maken voor de volgende audit.”

“ Bestuurders werken niet voor audits, maar voor de bedrijfsresultaten. Archer is daar een uitkomst voor” Corné van Rooij, RSA

Het is mooi dat Archer de wettelijke en beleidsregels kan vertalen en controleren. Maar dat is op zich niet het unieke verkoopargument van de software. “Voor nice-to-have betalen mensen niet meer,” weet Van Rooij. “Met Archer vergroot men de kans dat de organisatie binnen afzienbare tijd compliant is en dat men aantoonbaar in control is. Het management loopt niet meer achter de feiten aan. Het IT-landschap wordt steeds complexer door gedistribueerde of verzuilde IT-omgevingen en de adoptie van Cloud Computing. Bovendien komen er meer wetten en regels en wordt het toezicht strenger. Dat maakt compliance bijna ondoenlijk. Bestuurders werken niet voor audits, maar voor de bedrijfsresultaten. Archer is daar een uitkomst voor.” Er zijn natuurlijk altijd uitzonderingen en aandachtspunten om te zorgen dat de organisatie compliant is en blijft. Uit de verkeerslichten van Archer blijkt

branchenieuws


Volg-mij-nietfunctie in browser Microsoft heeft zijn nieuwe browser, Internet Explorer 9, voorzien van een ‘volg-me-niet’-functie. Deze is vergelijkbaar met het ‘bel-me-niet’-register. Internetgebruikers kunnen voorkomen dat websites hun surfgedrag traceren en registreren. Zij stellen hiervoor zelf een lijst op van websites die geen gebruiksgegevens mogen opslaan. Microsoft geeft met deze noviteit gevolg aan een voorstel van de Amerikaanse handelsautoriteit. Zowel particulieren als bedrijven kunnen gebruik maken van deze functie. Naar verluidt werken ook de ontwikkelaars van Firefox aan een systeem dat het traceren van internetgebruikers blokkeert. 40


Archer verzamelt hiervoor niet alleen informatie uit systemen. Veel kennis zit ook gevangen in de hoofden of bureauladen van medewerkers. De software maakt het mogelijk om questionnaires te maken, te volgen en te analyseren. “Zo kan het bestuur periodiek een vragenlijst uitsturen over de business practices in de organisatie,” zegt Van Rooij. “De compliance manager of CFO kan dan aangeven dat alles goed verloopt. Dat is dan wat het bestuur ook weet. Ze hebben het getoetst en ze weten wat ze moeten doen als er een incident is. Als er iets voorvalt en opgelost wordt, kan men dat ook uitleggen.”

YouTube biedt ook zakelijke kansen De populariteit van YouTube gaat onverminderd voort. Dat is niet gek, want internet is meer een ‘kijk’- dan een ‘lees’medium. In Nederland bezoeken maandelijks 14,5 miljoen mensen dit online videokanaal. Dat gaat al lang niet meer om muziekvideo’s, sportwedstrijden, bloopers of lachwekkende uitingen van zelfverheerlijking. YouTube heeft een gigantisch bereik, waar slimme adverteerders hun voordeel mee kunnen behalen. Hebt u wel eens gedacht aan een banner, voorfilm of overlayreclame? Bedrijven gebruiken YouTube ook om klanten te informeren. Motiv is daarin een van de koplopers. Via het Motiv movie channel op YouTube (http://www.youtube.com/ user/motivmoviechannel) houden we u graag op de hoogte van de nieuwste maatwerkoplossingen op het gebied van ICTsecurity en applicatieontwikkeling.

WETEN IS WINNEN

Meer weten over IT in Control? Vul de vier voordelen in en maak kans op een dag consultancy! Voordelen van IT in Control*

1 2 3 4

(*Tip: u kunt de antwoorden vinden op www.motiv.nl)

Peter,

ga n isa tie Wil jij m et d eze or E r is een ? en em n op ct ta n co aa n d iv erse d u id el ijk e beh oef te gen . bev eiligingsoplossin iv Maa twer k va n Mot b ied t u itkoms t. ngel iqu A , t e o r G

e

U kunt uw antwoorden voor 15 juli 2011 insturen naar [email protected], o.v.v. “Voordelen IT in Control”. De winnaar krijgt voor 1 augustus 2011 automatisch bericht. De naam van de winnaar wordt bekend gemaakt via www.motiv.nl. Over de uitslag kan niet worden gecorrespondeerd.

41

H E A D L I N E interview P eter van S c helven , I C T ~ O f f i c e volgende pagina S O X , de moeder van alle G R C - maatre g elen › P . 4 4

Peter van Schelven

I nterview peter van schelven , j u ridisch advise u r I C T ~ O ffice

Contracten zijn instrumenten om risico’s en de gevolgen daarvan te verdelen, stelt Mr. Peter van Schelven, juridisch adviseur van branchevereniging ICT~Office. Dat gaat relatief goed zo lang het om producten en diensten gaat. Het gaat echter ook om mensen. Draagkracht is een belangrijke voorwaarde voor het succes van ICT-projecten. Volgens Van Schelven is dit aspect bij veel nieuwe initiatieven van bedrijven en de overheid nog teveel een ondergeschoven kindje. ICT~Office vertegenwoordigt en behartigt de belangen van de Nederlandse IT-, internet-, telecom- en officesector. De brancheorganisatie biedt de leden bovendien ondersteuning in de vorm van marktstimulering, individuele dienstverlening, financiële voordelen en een groot netwerkplatform. Ook op het gebied van juridische zaken weten de leden van ICT~Office zich gesterkt. De branchevereniging beantwoordt vragen via de juridische helpdesk en geeft individuele adviezen. Veel ICT-bedrijven roepen de hulp in van ICT~Office bij het creëren van contracten, service level agreements (SLA’s) en licentieovereenkomsten.

‘Een contract dat alleen de harde kant van ICT regelt is een lacuneus contract’ 42


“De relatie tussen bedrijven en ICT-leveranciers wordt steeds hechter,” zegt Van Schelven. “Veel organisaties willen de ICT-omgeving deels of volledig uitbesteden. Daarbij willen zij natuurlijk wel garanties voor de beschikbaarheid, het beheer en de beveiliging van hun informatie. Dit wordt nog eens vergroot door de huidige tendens van Cloud Computing. Dat brengt een hele stroom nieuwe juridische vragen met zich mee. De antwoorden op die vragen leiden soms tot contracten zo dik als een telefoonboek.” De contractpraktijk is daarom het leeuwendeel van het werk van de juridische adviesdienst van ICT~Office. Volgens Van Schelven zouden juristen echter ook aandacht moeten hebben voor de ‘zachte’ kant van ICT. “Een van mijn grote frustraties is dat men alleen oog heeft voor de harde, zichtbare kant van ICT, de machines en de middelen. Ze vergeten daarbij de mensen, de acceptatie en de adoptie van nieuwe systemen.

ICT raakt niet alleen bedrijfsprocessen, maar ook de bedrijfscultuur. Bij ICT gaat het al lang niet meer om informatietechnologie, maar om organisatietechnologie. Dus een contract dat alleen de harde kant regelt is een lacuneus contract.”

op zouden moeten staan. Dat kan door in een vroegtijdig stadium na te denken over privacy en beveiligingsvraagstukken. En hier draagvlak voor te creëren onder de burgerbevolking of de medewerkers.”

De zachte, menselijke kant van ICT betekent ook oog hebben voor de bescherming van vertrouwelijke en privacygevoelige informatie. Niet voor niets worden de juridische adviezen van ICT~ Office vaak ingeroepen bij vraagstukken over informatiebeveiliging. “De kwestie van beveiliging en privacy staat nu centraal in alle discussies,

De moeilijkheid hierbij is dat de boodschap rond de beveiliging van gevoelige en vertrouwelijke informatie en de bescherming van de privacy nagenoeg altijd negatief is. Het wijst mensen erop wat er allemaal mis kan gaan en dat wekt weerstand op. “Het gevolg daarvan is dat bijvoorbeeld bij overheidsinitiatieven veel

“De kwestie van beveiliging en privacy staat nu centraal in alle discussies, zowel zakelijk als maatschappelijk” zowel zakelijk als maatschappelijk,” zegt Van Schelven. “Onlangs nog struikelde het EPD in de Eerste Kamer doordat de senatoren van mening waren dat het onvoldoende waarborgen bood voor de bescherming van de privacy van patiënten. Hetzelfde zagen we bij de digitale vingerafdrukken in het nieuwe paspoort, de OV-chipkaart, maar ook bij initiatieven in het bedrijfsleven. Deze projecten worden vaak op de rails gezet zonder daar vooraf voldoende over na te denken. Hierdoor gaat het mis en daardoor ontstaat weerstand in de maatschappij en op de werkvloer. Het wordt soms ook te snel doorgedrukt, terwijl eigenlijk eerst de neuzen van alle betrokkenen dezelfde kant

trajecten opgestart worden zonder de adviezen van het College Bescherming Persoonsgegevens (CBP) volledig toe te passen,” zegt Van Schelven. “Daarom verschuift de rol van het CBP steeds meer naar het terrein van de handhaving. Dit maakt hen reactief in plaats van proactief en dat moet omgedraaid worden. Het CBP en de ministeries zouden meer een rol moeten spelen aan het begin van het traject. Het CBP zou er dan voor kunnen zorgen dat informatiebeveiliging technologisch ingebouwd is in de systemen. Informatiebeveiliging wordt dan gewaarborgd, niet langs lijnen van regels en wetshandhaving, maar langs de lijnen van technologie.” 43

headlines s ox , de moeder van alle g r c - maatre g elen

van alle GRC-maatregelen De eisen van de Amerikaanse SOX-wetgeving vormen de kern van alle internationale wetten en richtlijnen voor ‘corporate governance’. Dit staat voor goed bestuur, adequaat toezicht, transparantie voor de buitenwereld en een heldere systematiek voor het afleggen van verantwoording en rekenschap. De Verenigde Staten van Amerika reageerden op de boekhoudschandalen die rond de eeuwwisseling aan het licht kwamen met de implementatie van de Sarbanes-Oxley Act van 2002 (SOX). Deze wet vereist van beursgenoteerde vennootschappen dat zij investeerders voorzien van een accurate openbaring van bedrijfsinformatie door het verbeteren van en rapporteren over hun interne controles. Ook niet-Amerikaanse ondernemingen die niet in Amerika gebaseerd zijn, maar wel aandelen verhandelen in de VS, moeten aan de eisen van SOX voldoen. SOX, paragraaf 302 regelt de persoonlijke aansprakelijkheid van directieleden die hun handtekening onder de bedrijfsresultaten zetten. Paragraaf 404 van SOX stelt certificering van interne procedures verplicht die betrekking hebben op de financiële verslaggeving. SOX vereist dat een externe accountant deze verklaring certificeert. Bedrijfssystemen moeten dus niet alleen op orde zijn, dit moet ook bewezen worden. Voldoen aan de eisen van SOX betekent managers te laten vaststellen en te laten verklaren dat zij 'in control' zijn. Anders is er volgens SOX sprake van een 'material weakness'. Dit betekent een tekortkoming in de controles die mogelijk zou kunnen leiden tot een fout in de financiële verantwoording. Voor het kunnen vaststellen en verklaren dat het management 'in control' is, moet informatie binnen een organisatie goed beheerd worden. Om dit te bewerkstelligen moet informatie gerubriceerd, gestructureerd, gevalideerd, gewaardeerd, beveiligd, gecontroleerd en efficiënt en effectief beheerd worden. De financiële huishouding en rapportage wordt gezien als de lakmoestest die duidelijk maakt of bedrijven compliant zijn. Sinds circa het begin van de jaren '90 van de vorige eeuw is er daarom een sterke ontwikkeling geweest op het terrein van zowel de theoretische achtergronden van boekhoudsystemen en risicomanagement als de praktische uitvoering daarvan. 44


BEGRIPPENLIJST

SOX, de moeder

Wetten, regels, richtlijnen en gedragscodes Wbp - De Wet bescherming persoonsgegevens (Wbp) geeft regels ter bescherming van de privacy van burgers. De Wbp geeft de burger meer rechten. De burger heeft het recht om te weten wat er met zijn persoonsgegevens gebeurt. Hij mag zijn gegevens inzien en corrigeren en kan in veel gevallen bezwaar maken tegen het gebruik van zijn persoonsgegevens. Webv - De Wet elektronisch bestuurlijk verkeer (Webv) biedt een algemeen kader waarin wordt geregeld wanneer verkeer langs elektronische weg is toegestaan tussen partijen en aan welke voorwaarden dat verkeer moet voldoen, wil het even betrouwbaar zijn als conventioneel (schriftelijk) verkeer. Wfd - De Wet financiële dienstverlening (Wfd) geldt voor alle financiële dienstverleners en voor alle financiële producten. De wet bevat regels voor het aanbieden van, het bemiddelen in en het adviseren over financiële producten aan consumenten en - in het geval van verzekeringen - ook aan bedrijven. Wta - De Wet toezicht accountantsorganisaties (Wta) bepaalt dat alleen accountantsorganisaties die van de AFM een vergunning hebben verkregen wettelijke controles mogen verrichten. Voordat de AFM een vergunning verstrekt, moeten accountantsorganisaties aantonen dat zij en de bij hen werkzame of aan hen verbonden externe accountants voldoen aan alle eisen die de Wta aan hen stelt. Digitale Overheid - Naast de Archiefwet, de Wet openbaarheid van bestuur (Wob) en de Wet bescherming persoonsgegevens (Wbp) zien velen de Wet elektronisch bestuurlijk verkeer (Webv) als de basis voor elektronische communicatie tussen de burger en de ‘Digitale Overheid’. Tabaksblat - De ‘commissie Tabaksblat’ is ingesteld op initiatief van een aantal organisaties onder wie ondernemersvereniging VNO-NCW, de Vereniging van Effectenbezitters en beursorganisatie Euronext Amsterdam. De commissie kreeg in het voorjaar van 2003 de opdracht om een gedragscode voor behoorlijk bestuur op te stellen. In december van 2003 verscheen de Code voor Corporate Governance van de Commissie Tabaksblat. Basel II - In het Zwitserse Basel vergaderen regelmatig vertegenwoordigers van de Centrale Banken van de G10, tien toonaangevende landen in de geïndustrialiseerde wereld. Dit Comité van Basel publiceerde in 2001 het nieuwe ‘Kapitaal Akkoord’ (Basel II). Dit stelt strenge eisen aan de manier waarop banken, verzekeringsmaatschappijen, beleggingsfirma’s, pensioenfondsen en andere financiële instellingen zich tegen dubieuze debiteuren en andere bedrijfsrisico’s moeten beschermen. De kredietcrisis leidde in september 2010 tot een hernieuwd akkoord, Basel III, dat vanaf 2013 gefaseerd wordt ingevoerd. Solvency II - De Europese commissie wil met Solvency II bewerkstelligen dat de solvabiliteitsvereisten beter te laten aansluiten op de werkelijke risico's die een verzekeringsmaatschappij kan lopen en overige factoren, zoals berekeningsmethodiek van de technische voorzieningen en de waardering van de activa tegen marktwaarde. COSO - Het Committee of Sponsoring Organizations of the Treadway Commission(COSO) is een consortium van professionele financiële en accounting organisaties. COSO behandelt vraagstukken rond frauduleuze rapportage te behandelen. Het COSO comité heeft een raamwerk gecreëerd met dezelfde naam dat richtlijnen geeft voor risicobeoordeling, beheersactiviteiten, communicatie en controle van bedrijfsprocessen. COBIT - De Control Objectives for Information and related Technology(COBIT) werd gepubliceerd door het IT Governance Institute. De standaard komt voort uit het toepassen van COSO en wordt internationaal geaccepteerd als een goede werkwijze voor informatiebeheer. Het helpt bij het vertalen van COSO in acties die van toepassing zijn op de ICT-organisatie. ISO 27001 - ISO-standaard voor informatiebeveiliging. ISO 27001 geeft richtlijnen voor het procesmatig inrichten van informatiebeveiliging. In Nederland is het vastgesteld als NEN norm NEN-ISO/IEC 27001:2005 en verplicht gesteld voor Nederlandse overheden door het College standaardisatie. NEN 7510 - De norm NEN 7510 geeft richtlijnen voor informatiebeveiliging binnen de zorgsector. Hieronder wordt verstaan: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden. NEN 7513 - De norm NEN 7513 'Logging' voorziet in eisen voor stelselmatige registratie van acties op elektronische patiëntdossiers. Deze registratie maakt het mogelijk de rechtmatigheid van de toegang tot het patiëntdossier te controleren. Daarnaast kan analyse van de logging ondersteuning bieden bij het verbeteren van het proces van de toegangscontrole tot patiëntgegevens.

headline s o c ial en g ineerin g : manipulatie en mi s leidin g in uw or g ani s atie

volgende pagina papierloos werken › P . 4 9

door Corné de Keizer, Information Security Concultant bij Motiv

Een medewerker van een zorginstelling wordt gebeld door iemand van de politie. De politieagent in kwestie vertelt dat zojuist een persoon is aangehouden, die beweert ongeneeslijk ziek te zijn. De agent vertrouwt de zaak niet en wil graag meer informatie over deze patiënt, om te verifiëren of het verhaal klopt. Hij geeft de medewerker de naam en het BSN nummer van de arrestant. De medewerker geeft de agent de gevraagde informatie. De agent bedankt vriendelijk voor de hulp en verbreekt de verbinding. Bovenstaande gebeurtenis heeft recent plaatsgevonden in Nederland. Feitelijk mag de medewerker niet zomaar deze informatie geven. In dit geval was degene die het ziekenhuis belde daadwerkelijk een agent. Maar, hoe wist de ziekenhuismedewerker dat het echt een agent was en niet bijvoorbeeld een vileine journalist? Het is vrij eenvoudig jezelf voor te doen als iemand anders en op die manier informatie los te krijgen die eigenlijk niet voor deze persoon bestemd is. Het gebruikmaken van misleiding en manipulatie om informatie (documenten, wachtwoorden, etc.) te achterhalen wordt social engineering genoemd.

De keten is nog steeds zo sterk als de zwakste schakel. Doordat technische maatregelen steeds verbeteren, wordt het steeds lastiger op basis van hackingtechnieken binnen te dringen in informatiesystemen. Terugvallen op de zwakste schakel in de keten van informatieverwerking is voor een 46


kwaadwillende dan een logische stap: de mens. Want de keuze tussen het opzetten van een complexe, technische hack om informatie te achterhalen, of het simpelweg vragen aan een of meerdere personen is vrij eenvoudig. Juist doordat er enorme ontwikkelingen plaatsvinden op het gebied van technische maatregelen, maakt de kans dat kwaadwillenden social engineering toepassen alleen maar groter.

De inbreker kwam vriendelijk en sympathiek over en maakte ook nog eens gebruik van sociale bewijskracht. De inbreker droeg namelijk spullen een huis uit naar een auto, iets wat iedereen die wel eens verhuisd is ook heeft gedaan. De inbreker bevestigde dit nog eens hardop. Daarmee was de voorbijganger er van overtuigd dat het gedrag van de inbreker correct was en hij liep door.

Technieken Het is interessant om te onderzoeken van welke trucs een social engineer gebruik maakt om zijn of haar doel te bereiken. Hierover zijn veel boeken en publicaties beschikbaar, allen met veel overeenkomsten. Allemaal met de intentie om goedbedoelende mensen om te tuin te leiden. Denk bijvoorbeeld aan het televisieprogramma De Inbreker van een aantal jaren gelden. In dit programma testten een tweetal ex-inbrekers de beveiliging van huizen, waarna de bewoners werden geconfronteerd met de werkelijkheid. Tijdens een bepaalde uitzending waren de mannen een huis aan een drukke straat aan het leeghalen. Er kwam een voorbijganger voorbij die wat argwanend keek naar de inbrekers. Eén van de inbrekers riep joviaal naar de voorbijganger “altijd weer een hoop werk, zo’n verhuizing!”. Waarna de voorbijganger dit bevestigde, de inbreker succes wenste en weer doorliep.

Een social engineer maakt bij het verkrijgen van informatie gebruik van een aantal technieken: • Rondsnuffelen in informatie • Persoonlijk contact • E-mail Veel informatie is publiek beschikbaar. Met name in de voorbereiding wordt gebruik gemaakt van publiekelijk beschikbare informatie over de organisatie en de medewerkers. Naast het onderzoeken van bronnen op internet en in publicaties is Dumpster Diving een lucratieve bezigheid. Dumpster Diving betekent letterlijk “duiken in de afvalbak”. Het is onvoorstelbaar hoeveel informatie in de papiercontainers van organisaties is te vinden. Dumpster Diving wordt gezien als een van de meest waardevolle activiteiten in een onderzoek.

Persoonlijk contact wordt gelegd via de telefoon of door gewoon langs te gaan en mensen aan te spreken. Of een combinatie van deze twee. Op het moment dat een persoon van tevoren wordt aangemeld (door hemzelf of een ander), waarbij de urgentie van het bezoek duidelijk wordt gemaakt, gaan al snel de deuren open. Contact leggen via e-mail (phishing genoemd) is een zeer bruikbare manier om informatie te achterhalen, mits goed en geloofwaardig uitgevoerd. Iedereen kent wel de voorbeelden van de slecht vertaalde mails uit Oostbloklanden. Maar het richten van een specifiek gerichte mail aan een persoon kan (in combinatie met andere technieken) zeer effectief zijn. Het volgende praktijkvoorbeeld is hier een illustratie van. Een klant had ons gevraagd te onderzoeken hoe eenvoudig het was bepaalde informatie te achterhalen. Via publiek beschikbare informatie vonden we een naam en telefoonnummer van een medewerker bij onze klant. We belden deze persoon met de mededeling dat wij van de afdeling IT waren en of zij geïnteresseerd was om mee te doen in een pilot-project. We waren namelijk bezig met het inregelen van een automatische back-up voor de pc’s. De medewerkster wilde dat wel en vroeg wat ze er voor moest doen. Dat was heel weinig. Wij zouden haar meteen een e-mail sturen met een link erin. Ze hoefde alleen maar op de link te klikken, waarna ze in de back-up applicatie terechtkwam. Ze hoefde maar één keer in te loggen op deze webapplicatie (gebruikersnaam en wachtwoord identiek aan die op het netwerk) en vervolgens werd de de back-up automatisch geregeld.

Ze zou er verder niets van merken. Intussen hadden we een eenvoudige website online gezet met het logo van de klant erop en een inlogscherm. Na het klikken kwam de medewerkster terecht op deze site. Door het gebruikte logo (van de officiële website gekopieerd) en lettertype had zij totaal geen argwaan. Na het invoeren van de gegevens in de 'applicatie' kreeg de gebruiker de melding dat het inloggen gelukt was en dat er vanaf nu automatisch een back-up van de pc wordt gemaakt. Wij hadden daarmee de beschikking over de gebruikersnaam en het wachtwoord van een afdelingshoofd binnen de organisatie en toegang tot de belangrijkste gegevens.

de methoden en technieken van aanvallen. Door de diversiteit in bedreigingen is het creëren van bewustwording een van de moeilijkste onderwerpen voor een organisatie.

Maatregelen tegen social engineering

Motiv kan hier uiteraard bij helpen. Het nemen van maatregelen en het creëren van bewustwording begint bij het stellen van duidelijke beleidskaders rondom het verstrekken van medische informatie. Dit impliceert direct de noodzaak van draagvlak bij het hoger management. Voor concrete maatregelen zijn checklists beschikbaar. Samen met uw organisatie kiezen we op basis van mogelijke risico’s de relevante onderwerpen en maken we hier organisatiespecifieke maatregelen van.

Zijn er technische maatregelen mogelijk tegen social engineering? Het antwoord hierop is duidelijk. Maatregelen tegen social engineering hebben altijd te maken met bewustwording van medewerkers en hoe zij omgaan met informatie. Om hier een beeld van te vormen, is het van groot belang dat de medewerkers inzicht hebben in

Uiteraard moeten de maatregelen worden doorgevoerd binnen alle afdelingen op alle niveaus binnen de organisatie. Periodieke tests met bijvoorbeeld mystery guests helpen bij het toetsen van de effectiviteit van de genomen maatregelen en bieden weer inzicht in verbeterpunten. 47

H E A D L I N E S E M C / R S A S ecurit y neemt N et W itness over • intensieve samenwerking politie , j ustitie en banken tegen internetfraude • K ri j gsmacht kri j gt naast het zwaard ook toetsenbord en j o y stick in de hand

Branchenieuws

H E A D L I N E papierloos werken volgende pagina motiv in oe g anda › P . 5 0

OPINIE

auteur Bart Verhaar, Information Security Consultant bij Motiv


EMC/RSA Security neemt NetWitness over Data-opslagleverancier EMC neemt NetWitness over. NetWitness is leverancier van oplossingen voor monitoring en analyse van netwerkbeveiliging. Met de technologie van NetWitness kunnen beveiligingsteams geavanceerde bedreigingen detecteren en herstellen terwijl het onderzoeksproces naar incidenten geautomatiseerd is.

NetWitness wordt een onderdeel van RSA's Advanced Security Management Solutions, waarmee IT-beheerders netwerken kunnen monitoren en beveiligen tegen malware. De technologie van NetWitness wordt dan gecombineerd met RSA's enVision platform, RSA Data Loss Prevention Suite (DLP), RSA CyberCrime Intelligence service en het RSA Archer eGRC-platform.

NetWitness zal onderdeel gaan uitmaken van RSA, de securitydivisie van EMC. NetWitness biedt een platform voor de monitoring en analyse van netwerkbeveiliging. Het geeft organisaties een beeld van de activiteiten op hun netwerk. Met de oplossingen van NetWitness kunnen beveiligingsproblemen worden opgelost zoals insider bedreigingen, zero-day exploits en gerichte malware, geavanceerde aanhoudende dreigingen, fraude, spionage en datalekken.

De beveiligingsoplossingen van NetWitness kunnen ook gecombineerd worden met EMC’s Greenplum-technologie voor datawarehousing. Hierbij kan het beveiligingsplatform van NetWitness worden ingezet om grote hoeveelheden data te verzamelen en op te slaan.

Bron: Computable

Krijgsmacht krijgt naast het Intensieve samenwerking politie, justitie en banken zwaard ook toetsenbord en joystick in de hand tegen internetfraude Het Korps Landelijke Politiediensten (KLPD), het Landelijk Parket en de banken slaan de handen ineen in het voorkomen en aanpakken van digitale criminaliteit, zoals fraude met internetbankieren. Deze organisaties gaan samenwerken in het 'bankenteam' (de Electronic Crimes Taskforce, ECTF). De ECTF is een initiatief van het KLPD. Het team gaat voorlopig voor 1 jaar van start en wordt gehuisvest bij het KLPD. De ECTF brengt unieke en specifieke kennis, informatie en expertise samen. Er wordt publiek-private informatie gedeeld om gezamenlijk een vuist te maken tegen cybercriminelen. In het buitenland (VS, VK) zijn dergelijke ‘bankenteams’ al succesvol gebleken. De samenwerking in de ECTF zorgt voor betere analyses en versterking van de informatiepositie om cybercrime aan te vallen. De opsporing en vervolging van verdachten en/of criminele organisaties zijn een belangrijk onderdeel van de aanpak. Na een jaar wordt de samenwerking geëvalueerd. 48


De krijgsmacht moet volgens Minister van Defensie Hans Hillen in staat zijn digitale middelen in te zetten die het geïntegreerd optreden te land, ter zee en in de lucht versterken. Tijdens het congres van het Koninklijk Instituut Van Ingenieurs ligt Hillen de Defensiestrategie voor cyberoperations toe: "Onze krijgsmacht krijgt naast het zwaard nadrukkelijker ook toetsenbord en joystick in de hand.” Defensie wil meer kennisuitwisseling en betere bescherming van interne netwerken, systemen en informatie. Voor de periode 2011 tot 2015 gaat het om 50 miljoen euro, inclusief personeelskosten. De volledige cybercapaciteit moet in 2016 gereed zijn, waarna hiervoor structureel 21 miljoen per jaar wordt uitgetrokken. Hillen benadrukte de goede samenwerking met andere overheden, organisaties en het bedrijfsleven om Nederland digitaal veilig te stellen. De rol van cyber zal in militaire operaties alleen maar toenemen. Hillen: "Wij moeten deze manier van oorlogvoering onderkennen, begrijpen, beheersen en kunnen inzetten."

Je hoort het steeds vaker bij de overheid: ‘wij gaan papierloos werken’. Het is een uitstekende trend en buiten dat hierdoor veel meer bomen de kans krijgen om groter te groeien, kunnen ook de werknemers groeien. Papierloos werken is efficiënt, kostenbesparend en duurzaam. Medewerkers zijn niet meer afhankelijk van papieren dossiers die verstopt zitten in ordners, want nu is alles digitaal beschikbaar. Door de komst van de verschillende mobiele mogelijkheden kunnen gebruikers overal werken, of dit nu op kantoor is, thuis of onderweg, het maakt niet uit. Vooral mobiele devices zoals tablet pc’s en smartphones zijn fantastische apparaten die papierloos werken een extra boost kunnen geven.

Papierloos werken wordt zo dus efficiënt, kostenbesparend, duurzaam én veilig Het aspect ‘kunnen’ is hier belangrijk. Want overal lezen we dat papierloos werken efficiënt, kostenbesparend en duurzaam is, maar hoe zit het met de beveiliging? Zonder de correcte beveiliging heeft papierloos werken eigenlijk geen kans van slagen.

Er zijn twee relevante vraagstukken: hoe komt digitale informatie veilig op het mobiele device en hoe blijft die digitale informatie alleen beschikbaar voor medewerkers? Voor het eerste vraagstuk zou het mooi zijn als er applicaties op de mobiele devices geïnstalleerd kunnen worden, om zo toegang te krijgen tot de bedrijfsinformatie. Leveranciers komen nu met een oplossingen die het mogelijk maken om ook vanaf de diverse mobiele devices een veilige SSL VPN tunnel op te zetten. Het device wordt dan onderdeel van het bedrijfsnetwerk en men kan zo de informatie benaderen vanaf iedere gewenste applicatie. Het volgend punt is het veilig houden van deze informatie. Op internet zwerven genoeg filmpjes met instructies voor het kraken van de standaard beveilingsfuncties van iPhones en iPads. De standaard beveiligingsfuncties van deze devices zijn niet afdoende. Ook voor deze uitdaging wordt een oplossing geboden. Het is mogelijk om antivirussoftware, een personal firewall en een antispam-oplossing op de tablet te installeren. Daarnaast wordt de mogelijkheid geboden om beveiligingsfuncties centraal af te dwingen. Denk hierbij aan het afdwingen van password policies en het op afstand wissen (wipen) van een mobiel device, maar ook het maken van een volledige backup behoord tot de mogelijkheden. Het gaat zelfs zo ver dat wanneer iemand met zijn iPhone een foto maakt, deze foto binnen een paar seconden op de pc van de beheerder kan staan. Dit zelfde geld voor sms-jes en e-mail.

49

H E A D L I N E motiv in oe g anda

Motiv in Oeganda Al een aantal jaren ondersteunt Motiv de Uganda Child Care Foundation met projecten in Oeganda. De activiteiten vinden plaats in het dorpje Kakuuto in het zuiden van Oeganda. Dit is een van de armste gebieden in Afrika. In Oeganda worden de gewassen door elkaar gezaaid en geplant. Zo worden de zwakkere gewassen beschermd tegen de zon door de sterke gewassen.

Factsheet Oeganda Hoofdstad: Kampala Regeringsvorm: Republiek Inwoners: 32.369.558 (2009) Officiële talen: Engels, Swahili, Luganda

In 2009 is een basisschoolgebouw neergezet op het terrein van de Kakuuto School. In 2010 heeft Motiv de actie “leren kun je niet met honger” gestart en is via een groot aantal zakenpartners van Motiv een bedrag opgehaald. Dit bedrag is voor de helft gebruikt om eten voor schoolkinderen te kopen. En voor de andere helft is een stuk landbouwgrond aangeschaft. De middelbare school gebruikt deze landbouwgrond voor het verbouwen van voedsel voor de kinderen van de school. Ook wordt een deel van de oogst verkocht. Daarnaast heeft de grond ook een onderwijskundig doel, de grond wordt bewerkt

door de kinderen van de school, als onderdeel van hun opleiding. Hiermee krijgen zij praktijkonderwijs op het gebied van landbouw. Ook voor 2011 heeft Motiv plannen voor het verder ondersteunen van de school. Er zijn nieuwe latrines gebouwd en via Motiv wordt hierbij een hygiëneprogramma verzorgd. Daarnaast wordt er hard gewerkt om de school helemaal 'af' te maken. In overleg met het schoolbestuur wordt geholpen waar dit het hardst nodig is.

Sponsors en donateurs die het voedselproject in Oeganda mogelijk hebben gemaakt zijn: Broere Catering, E-wine, Mr.Present Merchandising, Schouten & Nelissen Persoonlijke & Organisatieontwikkeling, Studio Incognito - buro voor de vorm, Zeekhoe Communicatie, Techaccess Value Added IT Distribution, Infoblox, Avnet Technology Solutions, Westcon Security, RSA, Blue Coat Systems, Check Point Software, Juniper Networks en Cisco IronPort, Joan-knecht Accountants, Prorisc, JOM-IT en BSN Medical. 50


H E A D L I N E cisco ironport waakt over de cloud

volgende pagina P opulaire i P hone met gevoelige informatie gehackt - een beet j e dom B eveiliging i P hone en i P ad vaak niet goed geregeld › P . 5 4

Cisco IronPort waakt over de Cloud

Cisco IronPort beschermt de randen van het bedrijfsnetwerk, waar bedreigingen aan de poorten staan. De randen van het netwerk zijn echter al lang niet meer de grenzen van het netwerk. “Doordat applicaties op afstand en via internet gebruikt worden, verdwijnen de grenzen. En de controle. Wij geven security managers weer de regie, ook in de wereld van Cloud Computing,” zegt Jeroen Arends, SE Benelux van Cisco IronPort.

Cisco IronPort beschermt gebruikers en gegevens Beveiligingsbeheerders staan momenteel voor een groot probleem. Hoe kan men gebruikers op afstand controleren op zaken die ze op remote applicaties en devices doen? “We beschermen interne gebruikers al jaren bij veilig e-mail- en internetgebruik,” zegt Arends. “Die kennis en ervaring passen we nu toe in het Cisco Borderless Networking-concept. Daarmee bieden we diezelfde beveiliging bij het gebruik van Cloud Computing en SaaS-diensten. Tenslotte wordt er tegenwoordig steeds vaker buiten het bedrijf en buiten het bedrijfsnetwerk gewerkt met bedrijfsgegevens. Dan is het beheer en beveiligen van gebruikers heel lastig.” Daarbij zijn volgens Arends twee scenario’s denkbaar. “In het eerste scenario krijgen de 52


medewerkers via een VPN-verbinding veilige toegang tot het interne netwerk, de applicaties en de gegevens. Maar als zij gebruik willen maken van internet, moet dat via een VPN-verbinding tussen het interne netwerk en internet. Dat brengt het nadeel met zich mee dat gebruikers op afstand via internet naar het bedrijfsnetwerk gaan en van daaruit weer naar internet. Zodoende worden de netwerkverbindingen twee keer belast. Bovendien moet men twee keer inloggen: een keer voor de VPN-verbinding en een keer voor het bedrijfsnetwerk.” Cisco IronPort lost dit probleem op met appliances die voorzien zijn van het Security Assertion Markup Language (SAML)-protocol. Dit is een op XML gebaseerde open standaard voor het

uitwisselen van authenticatie- en autorisatiegegevens tussen beveiligingsdomeinen. Bijvoorbeeld tussen een bedrijfsnetwerk en een webservice. SAML biedt de mogelijkheid om interne gebruikersgegevens en –rechten ook toe te passen op de autorisatie bij online applicaties. De appliance van Cisco IronPort verzorgt de communicatie tussen online applicaties en de interne Active Directory. Zodoende worden online accounts van medewerkers aangemaakt met hun interne inloggegevens.” In het tweede scenario maakt de organisatie de accounts aan bij Cloud- of SaaS-diensten voor de medewerkers. De verbinding tussen de gebruiker op afstand en de online applicatie is dan direct, wat de VPN-verbinding ontlast. “De organisatie moet dan echter voor al die

medewerkers de online gebruikeraccounts beheren, wat bijzonder omslachtig is,” weet Arends. “Met de integratie van Scansafe en IronPort is dat niet meer nodig. De gebruiker wordt dan namelijk niet beveiligd vanuit de interne Active Directory, maar bij de Cloud- of SaaS-dienst zelf. Scansafe is een SaaS-dienst die bescherming biedt door het filteren van downloads en URLs. Voor mobiele apparaten is Scansafe gecombineerd in de AnyConnect VPN-client die men kan downloaden als App. Inloggen vanaf de smartphone gebeurt dan altijd via een rechtstreekse en versleutelde verbinding met Scansafe. Ook als men met de smartphone gebruik maakt van een browser, wordt het verkeer door AnyConnect onderschept en via Scansafe geleid en gecontroleerd.”

De C-Serie appliances van Cisco IronPort beveiligen e-mailgebruikers tegen virussen, spam en kwaadaardige content. De S-Serie appliances voor internetbeveiliging bieden een gelaagde verdediging tegen internetbedreigingen. URL-filters zien toe op het naleven van bedrijfsbeleid over welke websites wel of niet bezocht mogen worden. De Cisco Security Intelligence Operations, Cisco IronPort Web Reputation Filters en het Cisco IronPort Anti-Malware System bieden bescherming tegen webgebaseerde malware. Bovendien biedt de leverancier hiermee de mogelijkheid om uitgaande gevoelige en vertrouwelijke gegevens te filteren. De oplossingen voor e-mail- en internetbeveiliging worden aangevuld door de M-Serie appliances voor beveiligingsbeheer. Deze bieden centraal beheer, opslag en controle van alle beleidsregels van een organisatie. De appliance van Cisco IronPort waken ook voor verlies of diefstal van vertrouwelijke of gevoelige gegevens. Hiervoor is een Data Loss Prevention (DLP)-oplossing geïntegreerd die e-mail berichten scant en voorkomt dat vertrouwelijke gegevens worden uitgestuurd. DLP maakt het ook onmogelijk om vertrouwelijke gegevens te uploaden naar internet of sociale media-applicaties zoals Facebook en Twitter. 53

H E A D L I N E S populaire iphone met gevoelige informatie gehackt - een beet j e dom • beveiliging iphone en ipad vaak niet g oed g ere g eld

COLUMN

Motiv: Professioneel en eigenzinnig

door Bastiaan Bakker, Business Development Manager bij Motiv

Populaire iPhone met gevoelige informatie gehackt - een beetje dom Op 24 maart werd bekend dat de Vodafone voicemail van tal van politici eenvoudig was af te luisteren. Mogelijk zijn vertrouwelijke berichten in handen van derden terecht gekomen. Gevolg: veel negatieve berichtgeving waarbij verwijtend naar de politici werd gereageerd. Ik geloof niet dat ik het onze minister-president kwalijk kan nemen dat hij zijn standaard wachtwoord op de Vodafone voicemail niet heeft aangepast. Echter, vanuit het ministerie vind ik het wel een kwalijke zaak dat deze risico’s niet eerder zijn onderkend en dat er op basis van een dergelijke risicoafweging duidelijke voorschriften naar de ministers en rijksambtenaren zijn verstuurd. Een beetje dom van de interne ICT-afdeling. Het gevaar van het Vodafone voicemail lek is geweken. Weliswaar is het nu een stuk lastiger om vanaf een vast nummer of vanuit het buitenland je eigen voicemail af te luisteren. Echter, soortgelijke risico’s zijn zeker ook van toepassing voor het gebruik van de populaire iPhone en iPad. Ik zie het als een uitstekende ontwikkeling dat de iPads worden ingezet als zakelijk instrument voor e-mail, agenda en kantoorapplicaties. Snel, simpel en eenvoudig. Bring Your Own Device is een trend waar menig ICT-manager mee worstelt. De standaard beveiliging van de iPhone is door een hacker binnen zes minuten te omzeilen. Gevolg: alle telefoonnummers, sms berichten, persoonlijke foto’s en zakelijke e-mail in handen van onbevoegden. Zeker nu de iPhone en iPad steeds vaker ook zakelijk worden ingezet nemen de bedrijfsrisico’s van datalekken en datadiefstal naar mijn verwachting een te hoge vlucht.

Beveiliging iPhone en iPad vaak niet goed geregeld De iPad en iPhone van Apple zijn voldoende beveiligd voor gebruik binnen ondernemingen, mits deze een aantal maatregelen nemen. Volgens onderzoeksbureau Forrester kunnen deze apparaten anders het bedrijfsnetwerk in gevaar brengen. Tot die maatregelen behoren onder meer het versleutelen van e-mailverkeer, het wissen van de apparaatinhoud bij verlies of diefstal, wachtwoordbeveiliging en het instellen van automatische vergrendeling na een bepaalde periode van inactiviteit. Wanneer ondernemingen vertrouwelijke gegevens bewaren op hun mobiele Apple-apparaten zijn volgens Forrester bovendien nog extra beveiligingsmaatregelen nodig. De onderzoekers adviseren in dat geval onder meer om complexere wachtwoorden verplicht te stellen en om gebruik te maken van hardwareversleuteling. ME E R I N FOR MAT I E ? W W W. FOR RE ST E R . C OM

U heeft een netwerk- of databaseprobleem en zoekt een sparringpartner? Of u wilt nieuwe webtechnologie of een beveiligingsoplossing integreren in uw bestaande infrastructuur? Misschien heeft u gewoon een complex technisch probleem met uw IT-infrastructuur, dat opgelost moet worden.

Colofon Motivator is een uitgave van Motiv IT Masters BV, IJsselstein en verschijnt twee keer per jaar. © 2011 Motiv.

In al deze gevallen is Motiv u graag van dienst. Want ons uitgangspunt is, dat elke klant anders is. En daarom zijn we voor de ene klant een sparringpartner en voor de andere een system integrator. Bij weer een andere klant zorgen we er gewoon voor dat een probleem snel wordt opgelost. In welke rol u ons ook inschakelt, wij kijken altijd naar de veiligheid van uw infrastructuur en systemen. Want data- en systeembeveiliging loopt als een rode draad door onze activiteiten.

Motiv Poortdijk 13, 3402 BM IJsselstein T +31 (0)30 - 68 77 007 F +31 (0)30 - 68 77 006 www.motiv.nl [email protected]

Motiv Café

Redactie Bastiaan Schoonhoven (Motiv) Bastiaan Bakker (Motiv) Zeekhoe Communicatie

De Motiv-borrels zijn inmiddels een begrip in ICT-security land. Iedere 13e van de maand bent u van harte welkom in het Motiv Café. Tijdens deze informele netwerkbijeenkomsten ontmoeten medewerkers, klanten en fabrikanten elkaar onder het genot van een drankje en een hapje. Ook de komende maanden heeft Motiv weer een aantal verrassende borrels gepland. Kijk voor alle informatie op www.motiv.nl/evenementen.

Concept & Vormgeving Studio Incognito - buro voor de vorm, IJsselstein Fotografie Ruud Jonkers, Ruud Jonkers Fotografie Anjoescha Odufré, Studio 20 Druk Drukkerij van Midden, Benschop Oplage 3200 exemplaren

Motiv adviseert…

Advertentie-index 2 RSA 9 Check Point 10 Blue Coat 17 Westcon Security 45 Juniper Networks 51 SecurEnvoy 56 Cisco Systems Marketing [email protected] T: 030 - 68 77 007

Toch zie ik dat er bijzonder weinig maatregelen worden getroffen om de risico’s te beperken. Dus de geschiedenis zal zich ook zeer binnenkort wel herhalen: een beetje dom! Niet van onze ministerpresident die ook gebruik wil maken van coole gadgets zoals de iPhone, maar wel van de experts op het gebied van informatiebeveiliging.

54


55

Does your network security go everywhere your people go? Now, you can deliver secure network access to anyone—on any device— anywhere. And Cisco® Secure Borderless Networks makes it easy. This innovative approach to security integrates protection right into the network— so you can deliver secure user experiences seamlessly. It also uses the unrivaled protection of Cisco Security Intelligence Operations—giving you world-class threat defense. Whether you prefer on-site infrastructure, cloud security solutions, or a combination of both, our portfolio provides outstanding security for today’s mobile workforce. It also has the flexibility to adapt to trends—like IT consumerization and SaaS—without sacrificing security or causing downtime.

Provide any employee with access to any resource from anywhere— and do it securely. Visit cisco.com/go/security today to see what Secure Borderless Networks can do for your company.

welcome to the human network.

MAGAZINE EN VERDER. Visie op Governance, Risk & Compliance ICT helpt organisaties bij het nastreven, naleven en navolgen van regels

Recommend Documents