Welke IT security risico’s loop ik? 6 Vragen aan Chris Gralike over ISO 27001:2013 en NEN 7510
21 januari 2020 | Nieuws | Door: AMIS Conclusion
Deel
In een wereld waarin we steeds afhankelijker worden van IT en data, nemen de risico’s en de impact op ons dagelijks bestuur en leven toe. AMIS Conclusion neemt steeds vaker de verantwoording over de gehele IT-keten van klanten. Bij deze verantwoordelijkheid hoort ook dat we onze werk- en zienswijze continu blijven aanscherpen en onze kwaliteitsstandaarden rondom informatiebeveiliging formaliseren.
“Dat we kundig zijn wisten wij en onze klanten al langer. Met deze certificering hoef je ons niet meer alleen maar te vertrouwen op onze mooie blauwe ogen,” aldus Chris Gralike, Contract Manager en Security Officer bij AMIS. Chris heeft samen met een team de afgelopen vijf maanden hard gewerkt aan het formaliseren van ons informatiebeveiligingsbeleid en de inpassing daarvan binnen onze organisatie. Met succes! Vlak voor het nieuwe jaar is AMIS officieel ISO 27001:2013 en NEN 7510 gecertificeerd. Waarom dit voor jou belangrijk is? Lees hier het interview met Chris.
“Dat we kundig zijn wisten wij en onze klanten al langer. Met deze certificering hoef je ons niet meer alleen maar te vertrouwen op onze mooie blauwe ogen.”
Kan je kort vertellen wat ISO 27001:2013/NEN 7510 inhoudt?
Chris: “Het gaat om het continu verbeteren en borgen van de informatiebeveiliging. Als je het hebt over security, dan heb je het over de risico’s die je als organisaties loopt zodra je een computersysteem aanzet en gaat gebruiken. Daarbij gaat het om de afweging om deze risico’s wel of niet te accepteren. En zo niet passende maatregelen te treffen, te volgen en waar nodig bij te stellen.
Heb jij bijvoorbeeld nagedacht over alle data die je kunt verliezen als je computer stuk gaat? Je cloudomgeving niet meer bereikbaar is? Of wanneer je bent geinfecteerd bent met Malicious software? Als je concurrent onbedoeld toegang krijgt tot je orderinformatie, welke effecten heeft dit dan? Heb je contractuele regels opgesteld die het delen van je offertes met derden verbied?
Als IT-bedrijf denken we natuurlijk altijd heel goed na over deze dingen. Niet alleen in de ontwerpfase, maar we toetsen het hele proces van begin tot eind. We richten management systemen in en formuleren beleidsregels. Met deze norm geven we klanten de garantie dat we voldoen aan de hoogste internationale veiligheidseisen en dat alle data op adequate wijze wordt beveiligd.”
"Met deze norm geven we klanten de garantie dat we voldoen aan de hoogste internationale veiligheidseisen en dat alle data op adequate wijze wordt beveiligd.”
Waar is de behoefte ontstaan?
Chris: “Als je kijkt naar de IT ontwikkelingen in de jaren 80 tot op heden, dan is IT een steeds grotere rol gaan spelen binnen onze organisaties en maatschappij. Op dit moment is het zelfs ondenkbaar uit ons werk- en privéleven en zijn we sterk afhankelijk geworden van digitale informatievoorziening. Laten we vooropstellen dat deze ontwikkelingen vooral positief zijn. Maar we moeten ons ook bewust zijn dat de risico’s die we hiermee lopen enorm zijn toegenomen.
Kortgezegd: de afhankelijkheid van data wordt steeds groter en daarmee ook de risico’s en de impact op ons dagelijks leven. Daar hoort bij dat we ons gedrag, werk- en zienswijze aanpassen.”
De afhankelijkheid van data wordt steeds groter en daarmee ook de risico’s en de impact. Daar passen we werk- en zienswijze op aan.
Kan je voorbeelden noemen bij bijvoorbeeld onze klanten?
Chris: “Een van onze klanten is een belangrijke speler in het openbaar vervoer. Als daar de IT het even niet doet, staat heel reizend Nederland stil en zijn de risico’s die daarmee gepaard gaan erg groot. Heb je bijvoorbeeld voldoende capaciteit op de stations om de hoeveelheid gestrande mensen in goede banen te leiden? Hoe snel kunnen we de deelfunctionaliteit herstellen om het verkeer weer op gang te brengen? Welke systemen moeten eerst hersteld worden? Hoe informeer je iedereen om chaos te voorkomen?
Verder hebben we klanten die zonder de ingerichte IT-systemen niet zouden bestaan. Een handelsorganisatie waarbij alle transacties door een daartoe ingericht ERP-systeem gaan. Doet het systeem het niet dan staat letterlijk het hele bedrijf stil. Dat brengt veel risico’s met zich mee waarbij de omzetschade al snel in de miljoenen euro’s loopt. Wij denken met de klant mee, geven advies en zorgen ervoor dat ál deze risico’s zoveel als mogelijk worden afgedekt. Ook als zij hier zelf niet om gevraagd hebben.”
"Wij denken met de klant mee, geven advies en zorgen ervoor dat ál deze risico’s zoveel als mogelijk worden afgedekt. Ook als zij hier zelf niet om gevraagd hebben.”
Wat betekent dit voor onze klanten?
Chris: “Dat we kundig zijn wisten wij en onze klanten al langer. We kunnen nu aantonen dat onze expertise door een specialistische partij op kwaliteit is beoordeeld en laten zien hoe deze kwaliteit geborgen wordt. Niet alleen op ambities, maar op zekerheden.”
Voor klanten als Stichting CIS is dit heel erg belangrijk. Zij zijn volledig afhankelijk van onze beheersing op dat vlak. Wij doen er alles aan om geen enkele steek te laten vallen.”
Wat betekent het voor de organisatie?
Chris: “Voor AMIS was het is een kwestie van formaliseren wat we al deden. Deze formalisatie geeft de garantie dat, ook al stelt de klant ons de vraag niet, we áltijd een kader toepassen dat eisen stelt aan onze informatiebeveiliging.”
Waarom is dit bijzonder?
Chris: “Ik ken niet heel veel software ontwikkelaars met deze certificering. Dit zijn namelijk vaak infrastructuurleveranciers. De reden daarvoor is dat zij in het verleden vaak werden belast met het hosten van onze softwareoplossingen. In toenemende mate zien we dat AMIS gevraagd wordt ook het langdurige onderhoud van de geboden IT-oplossing op ons te nemen (DevOPS). Om de risico’s die daarmee samengaan het hoofd te bieden; moet je aantoonbare kennis hebben van die wereld. Met de ISO27001 certificering tonen we aan dat we die kennis hebben en klanten bij ons in goede kundige handen zijn.”
"In toenemende mate zien we dat AMIS gevraagd wordt ook het langdurige onderhoud van de geboden IT-oplossing op ons te nemen (DevOPS). Om de risico’s die daarmee samengaan het hoofd te bieden; moet je aantoonbare kennis hebben van die wereld."