Informatiebeveiliging is anno 2024 belangrijker dan ooit tevoren. Van identiteitsbewijzen en cv’s tot concurrentiegevoelige informatie: Een VMS zit vol met data die hackers graag willen bemachtigen. Nétive VMS is opnieuw gecertificeerd voor ISO27001, de internationale norm voor informatiebeveiliging. Mike van der Wal, Chief Information Security Officer, legt uit waarom dit zo belangrijk is.
Security is hét uitgangspunt bij alles wat we doen
‘Onze VMS Suite wordt door verschillende grote opdrachtgevers gebruikt voor hun inhuurproces. En diverse partners gebruiken het systeem voor hun dienstverlening. In zo’n systeem worden allerlei documenten geüpload. Daar zitten persoonsgegevens in en concurrentiegevoelige informatie. Denk bijvoorbeeld aan persoonsgegevens van sollicitanten, informatie over de uren die ze schrijven en data over de tarieven waarvoor mensen worden ingehuurd.’
Grote verantwoordelijkheid
Dat legt een grote verantwoordelijkheid neer bij Nétive VMS. Om die gegevens zo goed mogelijk te beveiligen en om te voorkomen dat iemand oneigenlijke toegang krijgt. ‘Volgens de GDPR ben je sowieso verplicht om bepaalde maatregelen te nemen rondom beveiliging. Dat is het wettelijk kader’, geeft Van der Wal aan. ‘Maar los van de wet; de visie van Nétive VMS op informatiebeveiliging is Secure by Design. Dit houdt in dat we focussen om te zorgen dat de dataveiligheid geen sluitstuk is van onze bedrijfsvoering, maar hét uitgangspunt bij alles wat we doen.’
Veilig verbinden
De missie van Nétive VMS luidt ‘Wij willen iedere speler in de arbeidsmarkt doeltreffend, duurzaam en veilig verbinden’, legt Van der Wal uit: ‘We zien informatiebeveiliging niet als een eenmalig project, maar als een doorlopend fundament in al onze bedrijfsactiviteiten. Het feit dat we nu opnieuw gecertificeerd zijn volgens de nieuwe en strengere ISO-normen is vanuit dat oogpunt ook fantastisch nieuws. We vinden het een bevestiging dat we onze missie ook echt naar de praktijk vertalen.’
In de acht jaar dat Mike van der Wal bij Nétive VMS werkt heeft hij het belang van informatiebeveiliging zien toenemen. ‘Tegenwoordig heb je de AVG, hogere boetes en verscherpte controles. Daarnaast worden hackers steeds professioneler.’
Zes jaar geleden certificeerde Nétive VMS zich voor de eerste keer voor de ISO27001-norm. Drie jaar geleden werd na een uitgebreide audit die certificering verlengd en in 2023 gebeurde dat opnieuw met verscherpte criteria. ‘Dat certificaat geeft aan dat onze security een volwassen niveau heeft. Ieder jaar controleert een externe auditor onze security-maatregelen op basis van steekproeven en eens in de drie jaar wordt alles tegen het licht gehouden.’
Het VMS-systeem wordt zelf niet gecertificeerd, maar het gaat om de organisatie. ‘Hoe gaan medewerkers met de risico’s van informatiebeveiliging om? Hebben we als bedrijf een goede onboarding-procedure als iemand in dienst komt? Worden medewerkers getraind op het gebied van informatiebeveiliging? En het gaat om technische zaken, zoals netwerkbeveiliging, penetration testing en toepassing van encryptie op data.’
Iedere dag verbeteren
Bij de audit worden onder meer medewerkers van het bedrijf geïnterviewd om te kijken of die de processen kennen. Mike van der Wal: ‘Zo’n auditor is hier dan vijf dagen op kantoor. Los van die audits proberen we uiteraard iedere dag de systemen te verbeteren en de processen aan te scherpen. Is er een hackpoging? Dan kijken we wat de hackers geprobeerd hebben en of we nog aanvullende maatregelen kunnen nemen.’
Ook al heb je je processen nog zo op orde, security begint bij de mens. De meeste incidenten ontstaan door menselijk falen. Iemand deelt bijvoorbeeld zijn wachtwoord, gebruikt voor ieder systeem hetzelfde wachtwoord of klikt per ongeluk op een phishing link. Informatiebeveiliging begint en eindigt bij de mens.
Van der Wal: ‘We geven nieuwe medewerkers een security-training op hun eerste werkdag. Verder hebben we maandelijks een security awareness-training. En we leren onze medewerkers aan dat ze bij alles wat ze doen van begin af aan nadenken over informatiebeveiliging. Werk je samen met een klant? Maak dan bij de start afspraken over hoe je informatie veilig uitwisselt. En als een ontwikkelaar een nieuwe toepassing ontwerpt en uitwerkt, moet hij al nadenken over de vraag hoe hij de code veilig maakt. Zoals gezegd: Wij gaan uit van Security by Design. Veiligheid voor alles, die garantie geven we aan iedereen die met Nétive VMS werkt.’
De certificering is uitgevoerd door DEKRA, één van de grootste test- en certificatie-instellingen ter wereld. DEKRA heeft uitgebreide expertise in het auditen en certificeren van managementsystemen op het gebied van kwaliteit, veiligheid, duurzaamheid en informatiebeveiliging.