In vrijwel alle (web-)applicaties heb je tegenwoordig te maken met gegevens. Met deze gegevens moet erg zorgvuldig omgegaan worden. Daarom is het belangrijk om tijdens het hele software development proces maatregelen te treffen zodat deze informatie goed beveiligd is en blijft. Daarbij wordt niet alleen gekeken naar de beveiliging van de informatie, maar ook naar de beschikbaarheid en integriteit. Veel van deze maatregelen zijn ontstaan vanuit een Risico Inventarisatie en Evaluatie (RI&E). In dit artikel lichten we een deel van de maatregelen uit die bij Recognize getroffen worden.
Geschreven door Bart Wesselink, Head of Development en Johan Kamp, Technisch en Functioneel beheerder
Om bij de basis te beginnen: er wordt een clean desk policy gehanteerd. Bij een clean desk policy zorg je ervoor dat er geen spullen op een bureau liggen, zoals A4’tjes met gevoelige informatie. Daarnaast dient een computer altijd vergrendeld te worden op het moment dat een medewerker van zijn bureau wegloopt. Zo voorkom je ongewenste toegang tot een PC.
Ten tweede moeten alle gegevensdragers versleuteld worden. Bij een gegevensdrager kun je denken aan een harde schijf. Zo kunnen de gegevens alleen uitgelezen worden als men de juiste sleutel heeft. Deze sleutel kan gezien worden als een soort wachtwoord. Op het moment dat de gegevensdrager in verkeerde handen valt, omdat deze bijvoorbeeld gestolen wordt, kunnen de gegevens niet uitgelezen worden omdat deze versleuteld zijn met deze sleutel.
Ook gebruikte software kan beveiligingslekken hebben. Het is daarom belangrijk om goed in kaart te hebben welke software gebruikt wordt en óf hiervoor (kritieke) beveiligingsupdates beschikbaar zijn. Wanneer deze beschikbaar zijn, worden deze zo snel mogelijk doorgevoerd naar alle apparaten.
Bij informatiebeveiliging draait het niet enkel om het beschermen van gegevens, ook om het bereikbaar houden van gegevens. Het is daarom cruciaal om een goede (cloud) infrastructuur te hebben met actieve monitoring op problemen. Door deze periodiek te onderhouden en schaalbaar te maken, voorkom je problemen.
Binnen softwareontwikkeling heb je ook al snel te maken met wachtwoorden voor toegang tot andere systemen met bijvoorbeeld een API-koppeling. Deze dienen altijd op een veilige manier verstuurd te worden. Eén van deze manieren is bijvoorbeeld VolkerWessels Transfer, een door Recognize ontwikkelde applicatie, die de inhoud van het bericht versleuteld en de sleutel middels een ander medium naar de gebruiker stuurt. Daarnaast is het belangrijk om deze wachtwoorden regelmatig te roteren, zodat het risico op het uitlekken geminimaliseerd wordt.
Al deze maatregelen hebben enkel zin wanneer medewerkers zich eraan houden. Zo worden nieuwe én bestaande medewerkers periodiek getoetst en moeten ze verplicht een cursus afronden die hun kennis over het beleid omtrent informatiebeveiliging toetst. Op deze manier wordt ervoor gezorgd dat de kennis van alle medewerkers up-to-date is, en iedereen zich bewust is van de maatregelen die gelden op het gebied van informatiebeveiliging.
Ook is het melden van incidenten voor informatiebeveiliging laagdrempelig gemaakt. Door het aanreiken van kennis én het makkelijk kunnen indienen van incidenten, is er een gezonde cultuur ontstaan ten aanzien van informatiebeveiliging. Medewerkers zijn eerder geneigd iets te melden, zelfs bij twijfel.
Voor het beheren van de beveiliging van informatie heeft Recognize gekozen voor het ISO-27001 framework. Het ISO-27001 framework is algemeen bekend bij onze klanten en partners. Recognize is al een aantal jaren ISO-27001 gecertificeerd. Het gehele framework wordt periodiek ge-audit, zowel intern als extern. Met name de externe audits geven een onafhankelijk waardeoordeel of de beveiliging van informatie, en alles wat daarmee te maken heeft, goed geregeld is. Meer weten over de informatiebeveiliging binnen Recognize? Neem contact op!
Benieuwd naar wat we voor jou kunnen betekenen? Of kun je iets voor ons betekenen? Dan horen we graag van je! Bel of mail gerust. We komen graag langs om kennis te maken. En natuurlijk staan onze deuren op de zevende verdieping van de Javatoren in Almelo ook altijd voor je open.
