Informatiebeveiliging, noodzakelijk kwaad of nuttig?
In dit verhaal deelt Rob Raven (KPN) zijn ervaring op het gebied van informatiebeveiliging. Welke invloed heb je als medewerker zelf? En wat kun je ertegen doen?
Onze wereld verandert. Agenda’s, adressen, correspondentie en ons sociale leven staan op onze laptop, tablet en telefoon. De wereld is groter geworden en tegelijk kleiner en toegankelijker dan ooit. Enthousiast maken we gebruik van de informatiemaatschappij. Ogenschijnlijk onbelangrijke gegevens vertrouwen we toe aan digitale systemen. We horen wel eens over risico’s. Maar die gelden toch zeker niet voor ons?
Onderzoeksjournalist Brenno de Winter zorgde voor opschudding met het thema Informatiebeveiliging tijdens de DNV Relatiedag. De strekking van zijn boodschap: veel mensen denken -ten onrechte- dat ze niks te verbergen hebben. Maar eerlijke informatie in foute handen, dat is linke soep. Naam- en adresgegevens, bankrekening- en creditcardnummers, paspoortgegevens, burgerservicenummers enzovoorts. ‘Foute lieden’ zijn meesters in het achterhalen van pincodes, wachtwoorden en het kraken van complete systemen. Zo belandt onze persoonlijke, gevoelige informatie op straat, bij concurrenten of bij criminelen. Bijna wekelijks zijn er nieuwe schandalen, vaak breed uitgemeten in de pers, waardoor een goede naam totaal onverwacht onderuit kan worden gehaald.
100% Sluitende informatiebeveiliging
Een oplossing die alle risico’s wegneemt of afdekt, bestaat niet. ,,Criminelen zijn net zo slim als wij,’’ zegt Rob Raven, Quality Manager bij KPN ,,maar er kan veel worden gedaan om risico’s te beperken.’’ Rob Raven was te gast tijdens de DNV relatiedag en bood aan om zijn ervaringen te delen met DNV’s relaties. KPN behandelt risicomanagement en informatiebeveiliging als geïntegreerd onderdeel van de bedrijfscultuur, net als andere te managen terreinen, zoals wet- en regelgeving, MVO, kwaliteit, milieu, arbo en betrouwbare financiële verslaggeving. Het zal niemand verbazen dat KPN beschikt over tal van certificaten, onder meer voor ISO 9001 (kwaliteit), 14001 (milieu) en beschikt KPN Zakelijke Markt over een ISO 27001 certificaat, de norm voor informatiebeveiliging. DNV Business Assurance voert daarvoor audits uit.
Daarnaast publiceert KPN jaarlijks een financieel en een maatschappelijk verslag over de prestatie en de werking van maatregelen. Over continuïteit rapporteert KPN aan de overheid. Toezichthouders Opta en NMA hebben vrij toegang tot de resultaten van interne controles. Rob Raven: ,,KPN werkt continu aan meer openheid en transparantie, om aan te tonen dat zij mét en voor haar klanten zorgvuldig is met beheer van gegevens en netwerk. Waarom? Deels omdat dat bij wet voorgeschreven is, bijvoorbeeld in de Telecommunicatiewet en de Wet Bescherming Persoonsgegevens. Maar vooral omdat KPN zich bewust is van haar maatschappelijke rol en verantwoordelijkheid.’’
Verantwoordelijkheid
Rob Raven: ,,Iedereen verwacht en vertrouwt erop dat communicatie het altijd doet. KPN ziet het als haar plicht om te zorgen voor betrouwbaarheid van de dienstverlening. Denk aan de rol van KPN in infrastructuren waarop onze maatschappij draait, zoals eten en drinken, zorg, energie, geld, transport en communicatie, openbaar bestuur en (inter)nationale veiligheid. Die infrastructuren zijn kwetsbaar voor fouten, criminaliteit, terrorisme, (bedrijfs)spionage en oorlog. Door liberalisering van markten en de verschuiving van taken van de overheid zijn tegenwoordig veel partijen betrokken om die infrastructuren te leveren, onderhouden en beschermen. Al die partijen zijn afhankelijk van elkaar en van informatie en communicatie. Toch verwacht de maatschappij dat we goed reageren op rampen zoals een terroristische aanval, een hittegolf, stroomuitval, zonnestorm, een overstroming of epidemie. Gebaseerd op eerdere ervaringen heeft KPN voor dergelijke situaties plannen klaar liggen om goed samen te werken met alle relevante partijen, inclusief afspraken over de betrouwbaarheid van de dienstverlening.’’
Openheid versus vertrouwelijkheid
In openheid afspraken maken over vertrouwelijke informatie, dat klinkt tegenstrijdig. Transparantie biedt echter kansen voor samenwerking, voor begrip en verdere ontwikkeling van beveiligingsmaatregelen. Rob Raven: ,,Ik gebruik graag de metafoor van de vergiet. ISO 27001 gaat over potentiële beveiligingsfouten -lekken-, de gaatjes in de vergiet. Als niet álle gaatjes dicht zijn, lekt het. Dat heeft bijvoorbeeld te maken met autorisaties. Wie heeft toegang tot welke lagen in het systeem? Controleer bijvoorbeeld regelmatig autorisaties en pas bevoegdheden aan als situaties veranderen. En wees daar transparant over. Zo kunnen de informatiesystemen veranderen terwijl risico’s beheerst blijven.’’
Verander mee
Rob Raven: ,,Neem privacy en security serieus. KPN doet veel aan preventie. Organisaties zouden ook moeten bedenken waar hun dienstverlening kwetsbaar voor is. Dat kan grotere of onherstelbare schade voorkomen. Een simpel begin is het regelmatig resetten van een wachtwoord of terughoudendheid bij het delen van (persoons-) gegevens via social media.’’
Wat doet KPN preventief?
In netwerken heeft KPN redundantie ingebouwd en uitwijk beschikbaar. KPN beheert en bewaakt landelijke netwerken op storingen, aanvallen, inbraken en calamiteiten. Om snel te kunnen reageren zijn voor verschillende potentiële alarmen adequate teams, processen en communicatie ingericht. KPN werkt samen met het Nationaal Cyber Security Centrum. De voorzitter van de raad van bestuur van KPN is lid co-voorzitter van de Cyber Security Raad. KPN heeft een Information Security Office. Recent heeft KPN de Principles of Cyber Resilience ondertekend. Als maatschappelijk bewuste leverancier van telecom en netwerken vervult KPN een voortrekkersrol bij (inter-) nationale investeringen, initiatieven, oefeningen, fora, congressen en samenwerking op het gebied van security en continuity met overheid en bedrijfsleven, waaronder ook concurrenten. Bijvoorbeeld met het Nationaal Cyber Security Centrum en Network for Cyber Security.
Verder lezen over informatiebeveiliging?
Download de whitepaper 'in 10 stappen naar informatiebeveiliging NEN 7510/ISO 27001'