Waarom wij elke dag zoveel energie steken in (jouw) security?

De maand juni staat bij VIP Internet in het teken van informatieveiligheid en privacy. Dat komt wellicht niet als verrassing. De afgelopen weken heeft ieders mailbox overuren gedraaid om alle mailtjes over de nieuwe Europese privacywet te kunnen verwerken. Nu deze storm is gaan liggen, lichten we graag verder toe hoe wij er voor zorgen dat jouw gegevens bij ons in goede handen zijn. Want hoewel de nieuwe privacywet daar zeker aan bijgedragen heeft, borgen wij onze informatieveiligheid op meer manieren.

Waarom is security zo belangrijk voor ons?

Bij VIP Internet zijn we ons al geruime tijd bewust van het feit dat informatieveiligheid als serieus thema behandeld moet worden. Onze klanten geven ons namelijk inzicht in een flink aantal vertrouwelijke gegevens. Als hostingbedrijf houdt dat niet op bij enkel wat NAW-gegevens. Veel van onze klanten hosten hun website bij ons, waar vaak ook een database aan gekoppeld is. In die database kunnen ook weer gegevens verzameld worden. Gegevens die benodigd kunnen zijn het verzenden van bestellingen, voor het uitvoeren van betalen of voor het verzenden van gepersonaliseerde nieuwsbrieven. En als onze klant een reseller van onze dienst is, neemt dit aantal persoonsgegevens vaak alleen maar toe. Reden genoeg voor ons om security in alle geledingen van ons bedrijf als serieus thema te behandelen.

Het team van VIP Internet bestaat uit deskundige medewerkers met veel technische know-how. We hebben er voor gezorgd dat toegang tot ons netwerk en onze infrastructuur goed beveiligd is. We gebruiken zelf een password manager, waarmee we afdwingen dat we sterke en unieke wachtwoorden voor al onze systemen gebruiken. We voeren regelmatig zogenaamde penetratietesten uit op onze eigen infrastructuur, om technische kwetsbaarheden tijdig te ontdekken en vervolgens te verhelpen. Maar ruim een jaar geleden hebben we ervoor gekozen om onze aandacht voor security te bekrachtigen middels een certificering voor de ISO 27001 norm.

VIP Internet voldoet aan ISO 27001

De ‘International Organization for Standardization’ (ISO) is een bedrijf dat standaarden uitgeeft voor tal van onderwerpen. Een van de meest bekende is de ISO 9001 norm, die een aantal eisen stelt rondom de kwaliteit van je organisatie. Dit is overigens ook een norm waar VIP Internet aan voldoet. In het thema van security is echter ISO 27001 van groot belang. Deze norm stelt een groot aantal eisen die rechtstreeks ingaan op de informatieveiligheid van je organisatie. Ruim een jaar geleden zijn wij door DEKRA gecertificeerd voor deze norm. Een aantal maanden geleden heeft DEKRA in haar jaarlijkse audit vastgesteld dat wij nog steeds voldoen aan ISO 27001. Dat is natuurlijk fijn om te horen, maar wat houdt die norm eigenlijk in?

ISO 27001 in een notendop

Het officiële document van de ISO 27001 norm is erg uitgebreid en niet voor iedereen even goed leesbaar. Hoewel alle onderdelen uit de norm van belang zijn, hechten we zeker veel waarde aan de volgende tien onderdelen:

  • Creëer bewustzijn binnen de gehele organisatie voor informatieveiligheid.
  • Zorg ervoor dat je als organisatie je informatieveiligheid constant blijft verbeteren.
  • Voer risico analyses uit en zorg dat je de maatregelen die hier uit voortvloeien oppakt.
  • Registreer (security) incidenten als je afwijkt van de norm en leer daar van.
  • Onderwerp al je leveranciers aan een uitgebreide beoordeling, ook omtrent security.
  • Voer regelmatig een stakeholder analyse uit, en beoordeel de impact van hen op informatieveiligheid.
  • Blijf je eigen systemen en infrastructuur technisch testen, om zwakheden tijdig te ontdekken.
  • Definieer processen om vast te leggen hoe je werkzaamheden veilig uitvoert.
  • Stel beleidsdocumenten voor de gehele organisatie op, gericht op informatieveiligheid.
  • Voldoe aan alle relevante wetgeving rondom security.

Wat hebben onze klanten aan ISO 27001?

Wanneer een bedrijf gecertificeerd is voor een ISO-norm, weet je dat er een onafhankelijke organisatie langs is geweest die een uitgebreide audit uitgevoerd heeft. Hierin worden alle aspecten van de norm zorgvuldig getoetst. Als in de norm bijvoorbeeld staat dat je als organisatie een wachtwoordbeleid moet hebben, dan kun je er dus van uit gaan dat organisaties met ISO 27001 hier aan voldoen. Daarmee geeft een ISO-certificaat een stukje zekerheid dat de betreffende organisatie zijn zaken op orde heeft en daadwerkelijk doet wat er in de norm gevraagd wordt.

Elk van de tien hierboven genoemde onderdelen uit de ISO 27001 norm, heeft rechtstreeks invloed op de informatieveiligheid van onze klanten. Als al onze medewerkers zich bewust zijn van hoe belangrijk security is, zullen deze medewerkers ook veilig omgaan met persoonsgegevens of met de toegang tot systemen waar deze in staan opgeslagen. Als wij ervoor zorgen dat we alleen maar diensten gebruiken van leveranciers die zelf ook aan onze veiligheidseisen voldoen, zijn alle gegevens van onze klanten ook beter beveiligd. Wij zullen dus bijvoorbeeld niet zomaar een datacenter selecteren om onze servers in onder te brengen, maar kiezen alleen voor partners die goed uit onze leveranciersbeoordeling komen. Doordat wij elke maand flink wat uren in penetratietesten stoppen, merken we dat we de security van onze gehele infrastructuur constant blijven verbeteren en aanscherpen. En ook daar plukken al onze klanten natuurlijk de vruchten van!

ISO 27001 als basis voor de privacy wetgeving

Een aantal aspecten waar bedrijven vanuit de nieuwe Europese privacywet nu aan moeten voldoen, is ook onderdeel van de ISO 27001 norm. Denk bijvoorbeeld aan het creëren van bewustzijn voor informatieveiligheid in het algemeen en privacy in het bijzonder. Maar ook het registreren van incidenten is iets wat al lang in de ISO-norm is opgenomen en wij daardoor al geruime tijd doen. Daarmee hadden we met onze ISO 27001 certificering reeds een goede basis gelegd voor het voldoen aan de AVG / GDPR. Binnenkort zullen we een interview publiceren met onze Security Officer, waarin we dieper ingaan op wat wij allemaal hebben veranderd voor deze wetgeving en wat daar het voordeel van is voor onze klanten.

Jeroen Roelofs - Project manager

Jeroen is sinds mensenheugenis werkzaam bij VIP Internet als operationeel manager en heeft een passie voor Scrum en ISO.

Reageer op dit artikel