Veiligheid in het DNA
Robert van der Kleij, Technisch Directeur binnen Pixelzebra, over hoe wij omgaan met technische en organisatorische maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie te waarborgen.
Veiligheid in het DNA
Het nieuws staat bol van bedrijven die gehackt zijn. Daarbij gaat het meestal om ransomware waarbij het bedrijf wordt afgeperst om een bedrag in bitcoins te betalen voor het verkrijgen van een decryptiesleutel. Het niet meer verder kunnen werken met computers wordt dan als ergste probleem gezien door velen. Voor veel bedrijven is dit ook dramatisch en betekent het dat ze vaak stilliggen en het een aantal dagen tot weken kost om weer alles up en running te hebben. Wat minder bekend is dat er ook vaak gedreigd wordt met het bekend maken van vertrouwelijke bestanden en informatie. Naast het encrypten wordt de data ook vaak gestolen. Dit betekent dat gevoelige data op straat kan komen te liggen. Beide problemen kan de continuïteit van je bedrijf bedreigen. Hoe moeilijk het is om in te breken hangt af van de zwakste schakel. Je kunt alles als een fort inrichten, maar één raampje open laten staan is al genoeg. Om alle raampjes dicht te krijgen en te houden, is meer nodig dan één keer de buitenkant van het huis te lopen. Er dient structureel aandacht voor te zijn en een onderdeel van het dagelijks werk te zijn. Als Pixelzebra hebben we een managementsysteem voor het beheersen van de security en verbeteren dit continue om zo de wapenwedlooprace met het enge buitenste buitenbos voor te blijven.
Maatregelen en processen
Het opzetten van een managementsysteem is een kwestie van hard doorwerken en volhouden. Maatregelen en procedures moeten onderdeel worden van de standaard aanpak en bedrijfscultuur waarbij voorkomen moet worden dat het te omslachtig of onwerkbaar wordt voor collega’s. Creatieve gebruikers gaan anders alternatieve oplossingen verzinnen waardoor het beveiligingsrisico alleen maar groter wordt. Als Pixelzebra proberen we maatregelen in te voeren die structureel en blijvend zijn. Een aantal jaar geleden zijn we gestart met het integraal bekijken van de beveiliging. In plaats van individuele maatregelen te nemen wordt er gewerkt met een risico en impactanalyse. Op basis van een risicoanalyse voor alle belangrijke processen en systemen kijken we naar hoe we deze risico’s kunnen verminderen. Het succes van de maatregelen zit vaak in de invoering en de adoptie. Het leuke is dat hier veel raakvlakken zijn met het implementeren van CRM-systemen. Het succes ligt bij de mensen. Het bewustzijn van de risico’s en de manier waarop je ermee omgaat bepaalt het succes.
Awareness sessie
Als collega’s onderling issues of risico’s bespreken dan leren we er als organisatie van. Een mooi voorbeeld is hoe je omgaat met vertrouwelijke gegevens. Als Pixelzebra organiseren we awareness sessies op het gebied van beveiliging waar we wijzigingen in procedures bespreken. Dit kan een verbetering of verandering zijn van onze GDPR-procedures over welke gegevens hoe we informatie mogen delen. Dit is een eerste stap, maar het is veel mooier als collega’s onderling met een praktisch voorbeelden zich afvragen of we wel verstandig omgaan met informatie en of we daar geen verbeteringen kunnen doorvoeren in plaats van het lijdzaam volgen van bestaande stapjes. Hoe triviaal een vraag is of je bepaalde bijlages wel of niet kunt versturen in email. Wij hebben gemerkt dat we als organisatie meer leren van dit soort zaken dan alleen maar te blijven trainen en testen. We zorgen op die manier dat we de zwakste schakel, onszelf (de mensen), versterken.
Plan-Do-Act Cyclus
Dit is de basis van onze Plan-Do-Act Cyclus die een onderdeel is van het managementsysteem. In plaats van een van boven af opgelegde papieren tijger, proberen we een werkbaar en levend verhaal met elkaar te delen. Natuurlijk is dit gecertificeerd en geaudit en werken we volgens ISO27001, maar uiteindelijk is dat niet meer zo belangrijk. Dat is slechts het toefje op de pudding.