De afgelopen jaren vond er een explosieve toename plaats van het aantal datalekken door cyberaanvallen. Met name mkb’s zijn kwetsbaar en zijn zich geregeld onvoldoende bewust van de gevaren. Overheden reageren met meer voorlichting en strengere wetgeving. Informatiebeveiliging is dus belangrijker en actueler dan ooit. Daarom hebben we ons ten doel gesteld onze eigen cyberbeveiliging op Champions League-niveau te hebben én onze klanten te helpen met onze kennis en ervaring op dit gebied. Om dit aantoonbaar te maken voldoen wij aan de ISO/IEC 27001: een internationaal erkende norm voor de inrichting van gegevensbeveiliging. Door processen volgens deze standaard in te richten en jaarlijks onafhankelijk te laten toetsen, blijven we scherp en goed beschermd.
Risico’s minimaliseren
Robert Cikot, Security Officer, en Mark Schoenmakers, Manager Operations, zijn samen verantwoordelijk voor de informatiebeveiliging binnen Campai. Mark houdt zich vooral bezig met de technische aspecten hiervan, Robert bewaakt de processen en zorgt ervoor dat de procedures goed worden uitgevoerd. Robert legt uit waar de norm precies over gaat: ‘De ISO 27001 draait om de bescherming van informatie binnen een bedrijf. Hiervoor wordt vooral gekeken naar potentiële risico’s, om vervolgens te bepalen welke maatregelen moeten worden genomen om die risico’s te verkleinen. De ISO27001 norm bevat een bijlage met 114 van deze maatregelen, controls genaamd, die je op een passende wijze moet implementeren. We nemen dit erg serieus, omdat wij de sleutels in handen hebben tot de gegevens van onze klanten. Deze werkwijze, het in kaart brengen van risico’s en adviseren over de te nemen maatregelen, is ook de kern van onze dienstverlening.’
Gebruik van standaarden
‘De manier waarop wij nu met beveiligingsrisico’s omgaan is steeds verder gestandaardiseerd,’ vertelt Mark. ‘We hebben bij Campai een hoop slimme engineers rondlopen die verstand hebben van beveiliging, maar in het verleden had ieder een eigen kijk op hoe je dat het beste kon inrichten. Dat leidde ertoe dat iedereen het toch net even anders deed. Daarom hebben we standaarden geïntroduceerd. We gebruiken de standaarden van bestaande cybersecurity frameworks zoals het NIST, CIS en ISO en leggen deze vast in een speciaal softwareprogramma. Vervolgens voeren we doorlopend audits uit op de IT-omgevingen van onze klanten, om te controleren of alle standaarden en best-practices correct zijn toegepast. Het resultaat is een overzichtelijk dashboard met risico’s en verbeterpunten die we regelmatig met de klant doornemen. Het bijhouden en optimaliseren van alle standaarden is een doorlopend proces waar we veel tijd in investeren. Zo kunnen onze klanten erop vertrouwen dat hun IT-omgeving altijd volgens de nieuwste inzichten is beveiligd.’
Zero-Trust en Least Privilege
Campai kiest bovendien voor de extra beveiliging van het Zero-Trust-model. Mark legt uit: ‘Zero Trust is een beveiligingsconcept waarbij je standaard niks meer vertrouwt. Dat is fundamenteel anders dan hoe het vroeger ging. Van oudsher is het bedrijfsnetwerk een veilige zone die werd bewaakt door een geavanceerde firewall. Zolang je maar binnen het bedrijfsnetwerk was, fysiek of via een VPN-verbinding, mocht je van alles: applicaties openen, bestanden benaderen, inloggen zonder extra verificatie, dat soort dingen. Fijn voor de gebruiker, maar ook voor een hacker! Daarnaast is het IT-landschap tegenwoordig veel complexer. Denk aan mobiele apparaten, thuiswerken en cloudapplicaties. De digitale transformatie beperkt zich allang niet meer tot het bedrijfsnetwerk. De focus is daarom verlegd van vertrouwen naar controle. Iedere keer als je toegang tot iets wilt, word je automatisch gecontroleerd: wie ben je, waar ben je, wat wil je doen, heb je de juiste rechten en doe je het vanaf een veilig apparaat? Pas als alle vinkjes op groen staan, krijg je toestemming.’
Robert voegt toe: ‘Belangrijk is dat je zuinig moet zijn met rechten uitdelen. Vroeger mocht je eigenlijk veel te veel, lekker makkelijk. Medewerkers hadden gerust beheerdersrechten op hun eigen computer of in Office 365, met alle risico’s van dien! Tegenwoordig moet je dat omdraaien: standaard mag je nergens bij, tenzij je een goede reden hebt. Het ‘Least Privilege’ principe heet dit. Dit geldt voor een map op de server, maar ook voor instellingen op je computer. Als jij er niet bij kan, geldt dat ook voor een hacker die zich als jou voordoet! Dit principe passen we ook op onszelf toe: als iemand ergens niet bij hoeft krijgt diegene geen toegangsrechten. Op die manier proberen we zo veel mogelijk ingangen te dichten voor kwaadwillende partijen.’
Beveiliging is niet leuk
Bij veranderprocessen is het belangrijk dat iedereen meedoet, en dat geldt zeker voor beveiligingsbeleid. Dat kan soms een uitdaging zijn. Robert vertelt: ‘Voor mensen die bij een bedrijf werken zijn extra beveiligingsmaatregelen soms een belemmering. Mensen merken dat het lastiger is om ergens in te loggen vanwege de multifactor-authenticatie, dat ze minder toegang hebben, of dat sommige e-mail ineens in quarantaine terechtkomt. Dat kunnen werknemers als vervelend ervaren. Daarom is het belangrijker dat je goed communiceert waaróm deze dingen nodig zijn en hoe belangrijk het is dat de gegevens niet op straat komen. Mensen moeten zich meer bewust worden, zodat zij zich bij handelingen afvragen: mag dit op deze manier? Wie kan er bij deze data? Goed informeren helpt hierbij. Wij geven uitleg en trainingen aan klanten over data en veiligheid, bijvoorbeeld via Teams, e-learning of op locatie.’
Security is nooit ‘af’
Een externe instantie toetst jaarlijks of Campai voldoet aan de eisen van ISO 27001. Dit betekent dat iedere stap van het beveiligingsbeleid moet zijn uitgeschreven, én dat we moeten aantonen dat we ons aan dit beleid houden. Robert vertelt: ‘Om te blijven voldoen aan de eisen gebruiken we een cyclus van continu leren en verbeteren: Plan-Do-Check-Act. Ons security-team komt maandelijks samen om incidenten, ontwikkelingen en verbeteringen te bespreken zodat we voorop blijven lopen op het gebied van informatiebeveiliging. Dit is essentieel voor ISO 27001 en zorgt ervoor dat we in controle blijven. Er kan altijd iets misgaan, dan is het belangrijk dat je een beleid hebt voor hoe je dit corrigeert. In de IT veranderen dingen continu: hackers worden slimmer, technologie evolueert en belangen veranderen. We moeten dus voortdurend controles uitvoeren en blijven aanpassen. Security is een proces dat nooit eindigt.’
Zoek je cybersecurityadvies, neem dan contact met ons op.