Aareon gaat voor ISO27001 Informatie-beveiliging

Geplaatst door CorporatieMedia op
 

Vanuit Aareon doen we veel aan beveiliging van data. De komende periode gaan we dit extern laten toetsen en dat moet uitmonden in het verkrijgen van het NEN-ISO/IEC27001 certificaat in 2016.

Het is nauwelijks nog voor te stellen, maar slechts een paar jaar geleden draaide de meeste software alleen bij u op de server of er lagen ‘dikke’ verbindingen naar een datacenter. Als uw klanten iets wilden doorgeven, konden ze dat doen op uw kantoor of telefonisch, waarna uw medewerker de wijziging in het systeem doorvoerde.

De laatste jaren wordt steeds meer software als “Software as a Service” (SaaS) aangeboden en zien we dat gebruikers massaal kiezen voor deze variant waarbij de software bij de leverancier draait in plaats van op uw eigen servers. U krijgt toegang via internet en kunt wereldwijd inloggen in uw systeem. Als u daar behoefte aan heeft uiteraard…. Uw klanten kunnen via portalen wijzigingen doorgeven of direct afspraken plannen voor reparatie. In de nabije toekomst zal dit verder toenemen en zullen systemen steeds meer op elkaar worden aangesloten en wordt digitale uitwisseling van gegevens de standaard.

Met deze verdere digitalisering neemt de roep om beveiliging van uw data ook steeds verder toe. U wilt natuurlijk voorkomen dat ongewenste personen toegang krijgen tot uw informatie en, nog belangrijker, de informatie van uw klanten. De overheid geeft het belang van databeveiliging ook prioriteit door de introductie van wetgeving op dit gebied.

Vanuit Aareon doen we veel aan beveiliging van data. De komende periode gaan we dit extern laten toetsen en dat moet uitmonden in het verkrijgen van het NEN-ISO/IEC27001 certificaat in 2016. De term ISO staat voor International Organization for Standardization en geeft aan dat het een internationale norm is. IEC staat voor International Electrotechnical Commission. Dit geeft aan dat het een wereldwijde standaard is. Ook logisch, want databeveiliging stopt niet bij de landsgrenzen.

In de ISO27001 staat een groot aantal beheersmaatregelen beschreven die organisaties geïmplementeerd moeten hebben en gedocumenteerd in een managementsysteem. De beheersmaatregelen kunnen in grote lijnen worden ingedeeld naar de bekende cyclus van Plan, Do, Check, Act. Als organisatie moet je onderkennen waar de risico’s op het gebied van informatie-beveiliging liggen. Je moet aangeven wat je gedaan hebt of gaat doen om deze risico’s te elimineren en je moet controleren of het gewerkt heeft.

De beheersmaatregelen beslaan een hele brede basis van de organisatie. Bij databeveiliging denkt iedereen al snel aan goede backups, virusscanners en toegangscontrole tot de SaaS-oplossing middels password en extra code. In de norm staat inderdaad ook dat er beheersmaatregelen op dit gebied genomen moeten worden. Maar de norm praat ook over personeelsbeleid, toegangsbeheer tot het pand van de leverancier of toegang tot het datacenter. En dat is ook logisch. Wij kunnen allerlei technische maatregelen opwerpen om te voorkomen dat ongewenste via internet toegang krijgen tot het systeem. Maar als die personen vervolgens wel ongezien het pand van de leverancier inlopen en toegang hebben tot de servers omdat er geen toegangsbeveiliging zit op het de systemen, dan zijn uw data nog niet beschermd.

De nieuwe wetgeving op het gebied van datalekken en de implementatie van ISO27001 gaat u op sommige gebieden ook direct merken in onze dienstverlening. Een voorbeeld hiervan is het bewaren van uw gegevens bij Aareon. Als u vragen heeft aan onze Service Desk, dan ontkomen we er soms niet aan om in uw database te kijken. Als u werkt via SaaS dan kunnen we daar, uiteraard na uw toestemming, vlot bij. Als uw data elders staan, dan moet u de data naar ons opsturen. Deze data mogen we straks niet meer bewaren. Na het afsluiten van de melding zal de database dus ook verwijderd gaan worden. Het kan dus voorkomen dat u vaker een database moet gaan opsturen. Maar zoals een wijs filosoof ooit zei “ieder voordeel, heb zijn nadeel”.

Om het certificaat ISO27001 te behalen moeten alle risico’s in beeld gebracht zijn in een managementsysteem en moeten de beheersmaatregelen worden beschreven. Uiteraard moet hier op worden getoetst middels interne audits. Een externe auditor zal vervolgens bepalen of alles voldoende is en dat belonen met een ISO27001-certificaat. Daarna zal er periodiek controle plaatsvinden of er nog steeds voldaan wordt aan de eisen.

In het proces van certificering zullen de onderdelen Facilitor en de unit Treasury als eerste beoordeeld gaan worden. Het streven is om deze onderdelen in Q3 van 2016 gecertificeerd te hebben. De overige onderdelen van Aareon Nederland zullen vlot volgen. Aareon Duitsland is overigens reeds volledig gecertificeerd volgens ISO27001.

Bron: Aareon

Klik hier om de bedrijfsprofielpagina van Aareon in de CorporatieGids 2016 te bekijken.