2
Kwaliteit in Bedrijf
oktober 2012
Objectieve meting is vaak dé aanzet tot verdere actie
Proefaudit zet informatiebeveiliging formeel op agenda Bijna wekelijks zijn de risico’s van de geautomatiseerde samenleving in het nieuws. Informatiebeveiliging staat in de schijnwerpers, terwijl menige organisatie het nog nauwelijks formeel op de agenda voert. Een proefaudit kan daar verandering in brengen; niet zelden is objectieve meting dé aanzet tot verdere actie. Door Heleen Aalders De trend die we zien, is dat IT steeds grootschaliger wordt, met een fundamentele invloed op ons dagelijks leven. Steeds
leen techniek; 70% van de veiligheid wordt
surance in samenwerking met consultancy
meer gegevens over meer mensen zijn
uitgemaakt door mensenwerk.’
firma BMGrip. Opdrachtgever Jan Hendrik van Weelderen: ‘Een Riagg focust op zorg,
opgeslagen in steeds meer systemen met meer doeleinden. Onzekerheidsfactoren
Wetters illustreert zijn betoog met een
zelfs de IT’er of ICT’er. Een onafhankelijke
zijn er te over. De risico’s lopen uiteen
recente ervaring bij een groot Nederlands
auditor focust op informatiebeveiliging,
van persoonlijke schade voor een enkele
bedrijf. Bij de entree vanuit de parkeerga-
vanuit specifieke kennis én vanuit speci-
betrokkene tot technische, financiële en
rage opende een behulpzame medewerker
fieke ervaring. De proefaudit was dé manier
imagoschade voor bedrijven, overheden
de deur voor de auditor. Het kostbare
om informatiebeveiliging serieuze aandacht
en zelfs complete sectoren. Integrale be-
toegangssysteem dat kort geleden was
te geven. Na twee intensieve dagen lag er
veiliging is een serieuze zaak. Waarom is
geïnstalleerd, werd goedbedoeld omzeild.
een heldere rapportage.’
informatiebeveiliging dan geen conditio
Wetters: ‘Informatiebeveiliging valt en staat
sine qua non?
met het bewustzijn van medewerkers. Meestal gaat het onbewust mis. Zo ook bij
ISO 27001 of NEN 7510 certificering
30% Systemen, 70% mensenwerk
medewerkers die het bedrijf verlaten. Men
‘Riagg Zuid is goed bezig!’ concludeert
levert de telefoon en de laptop in. Niemand
Mike Wetters. Riagg Zuid investeerde
‘De bewustwording groeit snel’ signaleert
gaat na of er nog bestanden op de privé
kort geleden in een digitaliseringsslag.
Mike Wetters, Lead Auditor van DNV
pc en telefoon staan; het neveneffect van
Van Weelderen: ‘Die ervaring had ons al
Business Assurance. Wetters is één van
thuiswerken. Zo ontstaan informatielek-
bewust gemaakt van de gevoeligheid van
Nederlands specialisten in Information
ken, waarover meestal niemand behalve de
cliënteninformatie. Op alle niveaus zijn we
Security Management. Als auditor komt
IT’er zich opwindt. Op het niveau van di-
alert op de vertrouwelijkheid van gegevens,
hij dagelijks over de vloer bij bedrijven en
rectie of Raad van bestuur wordt de sense
behandelingen en ook over onze mede-
overheden. ‘Het gevaar van informatielek-
of urgency vaak nog niet gevoeld.’
werkers en behandelaars zelf. Toch is het
ken is reëel’ zegt hij. ‘Zo’n lek wordt dan
prettig om met een externe, onafhankelijke
Proefaudit: de thermometer in de organisatie
partij te sparren, om impulsen te krijgen en
alle gevolgen van dien. Het is in het belang van de organisatie én van cliënten om dat
Gelukkig zijn er ook positieve ‘uitschieters’,
kaders duidelijk en hebben we het traject
te voorkomen. Gelukkig is er steeds meer
zoals Riagg Zuid in Roermond. Hier be-
naar certificering bepaald. Onze gedachten
bereidheid om werk te maken van informa-
sloot de afdeling Informatievoorziening &
zijn omgezet in een concept-beleidsplan,
tiebeveiliging, bijvoorbeeld door borging
Beheer onlangs tot een proefaudit, gevolgd
concreet met toetsmomenten. Informatie-
met een objectieve norm zoals ISO 27001.
door een consultancy-dag, uitgevoerd door
beveiliging is geagendeerd. Dat is goed
Daarbij gaat het overigens meer dan om al-
certificerende instelling DNV Business As-
voor ons en voor de buitenwacht.’ Q
pijnlijk breed uitgemeten in de media, met
gescherpt te worden. In no time werden de
Informatiebeveiliging - nummer 3 - 2012
Lex Borger We hebben zeker meer lekken dan vroeger. Maar we hebben ook veel meer informatie dan vroeger om te lekken. Daar waar twintig jaar geleden de kunst nog was om te weten waar de schaarse informatie te halen was, is er nu zoveel data te krijgen dat je goed moet filteren om de juiste informatie over te houden. Daar heeft iedereen last van, ook de instanties die persoonsgegevens verwerken - als we ons even tot persoonsgegevens beperken. Ik denk zelfs dat men relatief goed werk levert. De aanwas van data gaat
sneller dan de aanwas van lekken. En waarom wordt gelekte informatie niet meer gepubliceerd? Het is kennelijk niet meer de moeite waard of men houdt het achter om het mogelijk te verkopen. Dit is de twilight zone tussen de script kiddie en de organized crime. Maar een ding is zeker: er zijn zoveel mogelijkheden om in te breken dat we weten dat preventie ervan altijd wel ergens te kort zal schieten. Hans Brinkers - Een Amerikaans/Nederlands icoon. Ik denk dat de vraag waar hij is niet de juiste is om te stellen. Maar het is een goede vergelijking in de zin dat naast goede preventie vroege detectie van het falen ervan cruciaal is. En ook duidelijk uit het verhaal van de zilveren schaatsen: weten hoe je
de repressie uitvoert is ook belangrijk. Toch zie ik om mij heen nog vaak een maniakale focus op preventie en preventie alleen. Goede monitoring is niet weggelegd voor security, laat staan analyse van resultaten, alerting en incident response. Maar is informatie dan niet al gelekt ten tijde van het incident? Ja, als er maar één dijk is wel. Maar wij polderaars weten al eeuwen dat goede dingen in drieën komen: de waker, slaper en dromer. Dat geeft je twee kansen tot detectie en repressie voordat jouw persoonsgegevens lekken. Het wordt tijd dat we beveiliging echt op die manier gaan aanvliegen.
DNV EN DE CERTIFICERINGSMARKT Een redacteur van Informatiebeveiliging bezocht onlangs de Zorg & ICT Beurs en raakte in gesprek met DNV. DNV Business Assurance is een belangrijke speler in de certificeringsmarkt. Als certificerende instelling certificeert en traint DNV volgens (inter)nationale- en branchespecifieke normen en standaarden op gebieden als o.a. kwaliteit, veiligheid, duurzaamheid, arbo, voedselveiligheid en informatiebeveiliging. We vroegen Mike Wetters, lead auditor informatiebeveiliging van DNV Business Assurance, naar de norm NEN 7510. Wetters: “De norm NEN 7510 is een afgeleide van ISO 27001 en toegesneden op informatiebeveiliging in de zorg. Deze norm is specifiek bedoeld voor instellingen in de zorgsector om de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie ten behoeve van verantwoorde zorg voor patiënten te waarborgen. Naast het borgen van informatiebeveiliging moeten de informatiebeveiligingsmaatre-
gelen volgens de norm zo zijn ingericht dat ze zijn te controleren. NEN 7510 kan worden gezien als een kader waarbinnen iedere proceseigenaar relevant geachte informatie voor het proces kan specificeren, inclusief bijbehorende maatregelen. De norm dekt het hele gebied van informatiebeveiliging en blijft dus niet beperkt tot technische specificaties maar geeft ook richting aan de organisatie en het menselijk handelen. Bij informatiebeveiliging, ongeacht welke branche het betreft, gaat het om 70% menselijk handelen en 30% ICT systemen.” Wetters vertelt over de proefaudits die DNV Business Assurance verzorgt voor
bedrijven en organisaties. “Zo’n proefaudit is geschikt voor elke organisatie die wil starten met het opzetten en implementeren van een ISMS (information security management system). Men krijgt dan een overzicht van de al aanwezige elementen van een ISMS en inzicht in hoeverre dit correct is geïmplementeerd. Een goede graadmeter of de organisatie klaar is voor een externe NEN 7510 of ISO 27001 audit.” DNV Business Assurance ontwikkelde de whitepaper ‘In 10 stappen starten met informatiebeveiliging volgens NEN 7510 of ISO 27001’. De whitepaper is te downloaden via www.dnvba.nl/whitepaper.
(www.dnvba.nl/informatiebeveiliging)
29
DNV/BALANS 7
ACTURE BEHAALT ISO 27001-CERTIFICAAT
Jonge onderneming loopt voorop in informatiebeveiliging De veilige opslag van digitale informatie wordt steeds belangrijker, signaleert Rob Jansen in het hoofdartikel van dit blad. Acture realiseert zich dat ten volle. Acture is een relatief kleine organisatie, maar werkt met vertrouwelijke informatie van duizenden mensen. DNV Business Assurance certificeerde Acture volgens ISO 27001, de eerste norm die specifiek gericht is op informatieopslag en -beveiliging. In opdracht van haar klanten, uitzendbureaus en (middel)grote bedrijven, verzorgt Acture de uitvoering van de ziektewet, de uitbetaling van ziektewetuitkeringen en de begeleiding van zieke werknemers tot aan herstel door een casemanager. De verslaglegging gebeurt digitaal. Het betreft vertrouwelijke gegevens die worden opgeslagen op grote servers. In omvang is Acture ‘compact’, zoals procesmanager Sander Deriks omschrijft, maar het marktaandeel is behoorlijk: alleen in 2011 werden er al ruim 35.000 ziekmeldingen verwerkt. In 2010 besloot Acture tot certificering van de informatieverwerking en -opslag. Acture bestond toen nog maar twee jaar. „We wilden zichtbaar maken dat onze systemen op orde zijn, juist als jonge organisatie”, zegt Deriks. „De systemen kwamen glansrijk door de audit heen! Een goede basis om te groeien; Acture heeft een
ambitieuze groeistrategie. De processen moeten dus gezond zijn en voorbereid zijn op die groei. Tijdens de certificeringsaudit is, in overleg met de auditor, extra aandacht besteed aan (toekomstige) risico’s. We hebben geleerd om processen nog meer in de context van informatiebeveiliging te zien. Samen met DNV hebben we bereikt dat het certificaat inhoud heeft en waarde oplevert.”
WWW.DNVBA.NL/INFORMATIEBEVEILIGING
NIEUW
DNV BIEDT CERTIFICERING EN TRAINING
Prorail introduceert Veiligheidsprestatieladder versies is een eindversie ontstaan met draagvlak in de branche. Vanaf 2013 zal ProRail de Veiligheidsprestatieladder gebruiken als beoordelingsinstrument bij aanbestedingen. De Veiligheidsprestatieladder moet bedrijven via positieve prikkels stimuleren om te investeren in hun veiligheidscultuur. Daarom zegt Prorail: Hoe hoger op de ladder, hoe meer fictieve korting een bedrijf krijgt op de inschrijfprijs. Vanaf 2013 zal Prorail deze Veiligheidsprestatieladder gebruiken bij aanbestedingen.
ProRail introduceert 1 juli 2012 binnen de spoorbranche een instrument, dat in staat is veiligheidsbewustzijn in bedrijfsculturen te meten: de Veiligheidsprestatieladder. Het doel: mensen nog alerter maken op (on)veilige situaties in hun werk. Is de bedrijfscultuur zo dat iedereen elkaar makkelijk aanspreekt op risicovol gedrag? Hoeveel aandacht is er voor veiligheid in werkoverleg en andere gesprekken? De ladder, die vijf treden telt, met eisen en criteria is ontwikkeld door DNV, ingenieursbureaus, adviesbureaus, de TU Delft en een aantal spooraannemers. Door kritische reflectie op concept-
CERTIFICERING De Veiligheidsprestatieladder kent vijf niveaus, met elk een specifiek eisenpakket. Het resultaat van de audit is dan ook een bevestiging -ofwel score- die aangeeft in hoeverre aan een niveau wordt voldaan. Audits in combinatie met andere certificeringen zullen in de toekomst tot de mogelijkheden behoren. Onze auditoren zijn tijdens de ontwikkelfase getraind om te auditeren tegen deze norm. TRAINING Een goed begrip van de achtergronden, criteria en eisen is essentieel voor betrokkenen. Enerzijds om het niveau op de ladder te kunnen vaststellen, anderzijds om verbeteringen in gang te zetten en een hoger niveau te bereiken. Daarom ontwikkelde DNV een training, bedoeld voor opdrachtgevers, opdrachtnemers en professionals, zoals interne en externe auditors, veiligheidsfunctionarissen en adviseurs.
WWW.DNVBA.NL/VEILIGHEIDSLADDER
DNV/BALANS 5
Informatiebeveiliging, noodzakelijk kwaad of nuttig? Onze wereld verandert. Agenda’s, adressen en correspondentie staan op onze laptop, tablet en telefoon. De wereld is groter geworden en tegelijk kleiner en toegankelijker dan ooit. Enthousiast maken we zakelijk en privé gebruik van de informatiemaatschappij. Ogenschijnlijk onbelangrijke gegevens vertrouwen we toe aan digitale systemen. We horen wel eens over risico’s. Maar die gelden toch zeker niet voor ons? Onderzoeksjournalist Brenno de Winter zorgde voor opschudding met het thema Informatiebeveiliging tijdens de DNV Relatiedag. De strekking van zijn boodschap: veel mensen denken – ten onrechte – dat ze niks te verbergen hebben. Maar informatie in foute handen, dat is linke soep. ‘Foute lieden’ zijn meesters in het achterhalen van pincodes, wachtwoorden en het kraken van complete systemen. Zo kan totaal onverwacht uw goede naam onderuit worden gehaald. 100% SLUITENDE INFORMATIEBEVEILIGING Een oplossing die alle risico’s wegneemt of afdekt, bestaat niet. „Maar iedereen kan iets doen om risico’s te beperken”, zegt Rob Raven, Quality Manager bij KPN. Rob Raven was gast
tijdens de relatiedag en bood aan om zijn ervaringen te delen met DNV’s relaties. Raven: „KPN behandelt risicomanagement en informatiebeveiliging als geïntegreerd onderdeel van de bedrijfscultuur met systemen, procedures, protocollen en – niet te vergeten – heel veel mensen om dat alles te bedenken, sturen en controleren. Het zal niemand verbazen dat KPN beschikt over certificaten voor ISO 9001 (kwaliteit), ISO 14001 (milieu) en KPN Zakelijke Markt voor ISO 27001, de norm voor informatiebeveiliging. DNV Business Assurance voert daarvoor audits uit. En KPN blijft investeren in verbetering. Dat kost wat en levert veel op! Maar de essentie ligt altijd in schijnbaar eenvoudige maatregelen die voor elke organisatie gelden: neem privacy en security serieus. Denk na over de kwetsbare plekken in de organisatie en voorkom schade. Een simpel begin is het regelmatig resetten van een wachtwoord of terughoudendheid bij het delen van (persoons) gegevens via social media.” Lees online het volledige artikel waarin Rob Raven u vertelt over de aanpak van KPN als het gaat om informatiebeveiliging en ISO 27001.
WWW.DNVBA.NL/KPN
DNV Relatiedag: „Leerzaam en inspirerend van top tot teen”
Op 8 november 2012 organiseerde DNV Business Assurance haar vijfde relatiedag. Een leerzame dag waar we trots op zijn. Niet in de laatste plaats om de locatie: in Corpus, het gezonde en interactieve museum met een Green Key Gold, hadden we de eer 250 relaties te mogen verwelkomen. Corpus directeur Huub Lazarom verzorgde een inleiding: via Corpus’ kernwaarden – bewegen, verantwoord eten en gezond leven – naar de drie p’s – people, planet, profit – van Maatschappelijk Verantwoord Ondernemen, één van de dagthema’s. Albron verzorgde de eerste gastlezing. Albron werd in 2011 door DNV gecertificeerd voor niveau 4 van MVO Prestatieladder. MVO-‘kartrekker’ Henk Voormolen vertelde over zijn ervaringen met handige tips & tricks. Het thema
informatiebeveiliging werd geïntroduceerd door onderzoeksjournalist Brenno de Winter. Hij verhaalde met ontluisterend onderzoek hoe organisaties struikelen door gebrekkige informatiebeveiliging. Actuele thema’s dus, in het middagdeel uitgewerkt in sessies en workshops om effectief aan de slag te gaan met MVO, Informatiebeveiliging en intern auditeren. Benieuwd naar de presentaties? Bekijk deze op de website en krijg een impressie van de dag.
WWW.DNVBA.NL/RELATIEDAG
Informatiebeveiliging Proefaudit NEN 7510 / ISO 27001 In een dag weten in hoeverre uw organisatie klaar is voor NEN 7510 of ISO 27001 certificering? Als organisatie heeft u vaak zelf al maatregelen getroffen als het gaat om het beveiligen van de informatie. Wellicht werkt uw organisatie zelfs al volgens een aantal eisen van de NEN 7510 of ISO 27001. Een externe proefaudit van DNV zorgt ervoor dat u het overzicht krijgt welke zaken al op orde zijn, maar ook punten die nog uw aandacht vergen. Na deze proefaudit weet u direct waar u kunt beginnen. Een proefaudit is geschikt voor elke organisatie:
die wil starten met het opzetten en implementeren van een ISMS (information security management system). U wilt bijvoorbeeld weten welke elementen van een ISMS systeem al aanwezig zijn. die wil weten in hoeverre het ISMS-systeem correct is geïmplementeerd en wilt weten of zij klaar zijn voor een externe NEN 7510 of ISO 27001 audit.
Wat houdt een proefaudit in? In één dag wordt uw organisatie op de belangrijkste aspecten van de informatiebeveiligingsnorm NEN 7510 of ISO 27001 doorgelicht. Een proefaudit geeft u een helder beeld waar uw organisatie zich op dit moment bevindt. Daarnaast vergroot u hiermee de interne betrokkenheid. Uw medewerkers maken direct kennis met onze unieke manier van auditeren.
www.dnvba.nl/informatiebeveiliging
Na een proefaudit krijgt u als organisatie: Een breed auditprogramma, verschillende afdelingen. Een uitgebreide management rapportage. Een gevisualiseerd overzicht met uw positie binnen de PDCA cyclus en actiepunten. Bewustwording hoe een informatiebeveiligingsaudit door DNV verloopt.
Voorbeeld programma proefaudit 09:00 – 10:00 10:00 – 11:30 11:30 – 13:00 13:00 – 14:00 14:00 – 15:30 15:30 – 17:00 17:00 – 17:30
Openingsmeeting IT afdeling: IT manager HR afdeling: HR functionaris Pauze Facilitair/inkoop, rol externe contracten Informatiemanager Terugkoppeling resultaten (evt. aan het MT)
---------------------------------------------------------------------------------------------------------------
□ Aanmelding proefaudit NEN 7510 / ISO 27001 Naam organisatie: ………………………………………………………………………… Dhr. / Mevr. Voornaam……………………Achternaam…………………………..…… Telefoonnummer: ………………………….E-mail:……………………………………… Datum: …………………………………….. Handtekening: Mail het ingevulde formulier mail naar
[email protected] of bel met onze afdeling marketing via 0102922808.
www.dnvba.nl/informatiebeveiliging
