Verplichte certificering nodig bij werken met klantgegevens?

Dat is wel een interessant iets. Ikzelf ben (zoals sommigen wel weten) werkzaam binnen de Zorg sector en hier is dat natuurlijk één van de belangrijkste speerpunten. Hier kom je al gauw in de richting van NEN7510 bv.

Helaas is het jammere van NEN 7510 dat het echt uitermate slecht werkt binnen ondersteunende afdelingen. Je zorg instelling kan best nen 7510 gecertificeerd zijn terwijl er ondertussen echt wel een hoop mis gaat (en dan m.n. binnen IT omgeving). Deze normering stelt dan imho ook niet echt veel voor.

Certificering voor beheerders (zowel technisch als functioneel) als apart onderdeel van 7510 zou voor deze sector dan ook wel een uitkomst zijn. Immers. de ICT wordt steeds belangrijker binnen de Zorg en daarmee dus ook de kwaliteit en borging van al je gegevens. Net zoals de hoofdmoot zou ik dan specifiek voor een Informatie beveiligingsbeleid een jaarlijkse audit willen zien waarin van alles geconstateerd wordt, dus net als voor de zorg inhoudelijk.

Verder zijn er natuurlijk een hoop overheidsregels mbt dit onderwerp. Echter, een certificerings traject van bv. 3 of 4 dagen kan volgens mij ontzettend veel doen om het onderwerp wat levendiger te houden en maken bij de bewuste IT afdelingen. Kom maar op

Was er al niet een dergelijke certificering maar dan vrijwillig? Wellicht bij het thuiswinkel waarborg gebeuren?

In ieder geval wel voor banken/verzekeraars in de vorm van een eisenpakket van de DNB en de AFM (toezichthouders op de financiële markten). En nog maken die er een potje van.

Daarnaast, wat voor vorm zou het moeten hebben? Als je kijkt naar de certificering van bijvoorbeeld ISO dan is dat niets meer dan een papieren tijger tegenwoordig. Je haalt je certificering en daarna is het vaak afgelopen.

Het grootste probleem zal hem denk ik zitten in het feit dat veel webwinkels gestart zijn als een zolderkamer activiteit en vandaaruit gegroeid (of nog steeds in die fase zittend). Een verplichte certificering zou onevenredig veel kosten met zich meebrengen voor een startende onderneming die niet zo snel de kosten kunnen ophoesten om te gaan voldoen aan allerlei eisenpakketten.

LuckY schreef op maandag 26 april 2010 @ 15:33:
Ik ben van mening dat een certificaat niet gaat helpen, net zoals een certificaat niet helpt bij een bedrijfsnetwerk opzetten. Het gaat om kennis en budget, zoals je vaak in projecten hoort komt security als laatste. Er moet eerst functionaliteiten gemaakt worden in de applicatie, en aan het eind wordt er pas gekeken naar de security. Vaak is dan al het budget op of is de deadline te dichtbij.

Een certificaat gaat inderdaad niet helpen, maar bewustwording bij de medewerkers wel.

Vroeger werd je raar aangekeken als je een mogelijk gevaarlijke situatie melde bij je baas, nu krijg je op je donder als jee het niet doet. Het enige verschil is de bewustwording van de gevaren en een organisatie die er op ingesteld is om de risico's te verminderen. Het heeft vele ongelukken verhindert.

Ik ben ook van mening dat eerst de applicatie veilig gemaakt moet worden voordat men de server goed kan beveiligen. Immers de security is even sterk als de zwakste schakel in het geheel.

Dat is een aanname, waarop basseer je die?
Ik denk dat het samen gaat, als je 1 van de 2 maar doet, dan heeft de ander geen nut gehad.

[Voor 17% gewijzigd door Tukk op 26-04-2010 15:38]

@Diabolical:

Nou ja, dat hoeft natuurlijk geen belemmering te zijn. De overheid moet dit natuurlijk een beetje in de kaart spelen om dit centraal te regelen. Bijvoorbeeld door weer een subsidie in het leven te roepen

Of dat dit alleen voor grotere partijen uit te voeren (denk 100+ werknemers ofzo?) Het zou ook nog markt-afhankelijk kunnen zijn, hoewel ik niet zeker weet of dat een goed idee is. Immers, verschillende gegevens eisen verschillende methodes en zekerheden. Bank en ziekenhuis gegevens zijn nou niet echt direct vergelijkbaar. Alhoewel in Nederland ....

@algemeen

In die zin zijn ze gelijk omdat het gewoon hele gevoelige informatie is waar je heel kanten mee op kunt (zowel slechte als goede...).

De vorm zou natuurlijk wel praktisch moeten zijn. Hoe moet ik mijn database beveiligen? Wat is een goed wachtwoord beleid? Encryptie, wat doet dat nou precies? Dit soort dingen zit ik dan aan te denken, maar ook andere dingen als fysieke toegang horen hier ook bij. Wat zijn de consequenties als het wél mis gaat? Zowel juridisch als praktisch. Gewoon, doel gericht

WhizzCat schreef op maandag 26 april 2010 @ 15:38:
@Diabolical:

Nou ja, dat hoeft natuurlijk geen belemmering te zijn. De overheid moet dit natuurlijk een beetje in de kaart spelen om dit centraal te regelen. Bijvoorbeeld door weer een subsidie in het leven te roepen

Ja, maar of je daar nu op zit te wachten. Weer een subsidiepotje voor iets wat in wezen een vrije markt probleem is?

Of dat dit alleen voor grotere partijen uit te voeren (denk 100+ werknemers ofzo?) Het zou ook nog markt-afhankelijk kunnen zijn, hoewel ik niet zeker weet of dat een goed idee is. Immers, verschillende gegevens eisen verschillende methodes en zekerheden. Bank en ziekenhuis gegevens zijn nou niet echt direct vergelijkbaar. Alhoewel in Nederland ....

Ik zou dit enkel willen zien voor partijen die bij verlies van gegevens een serieus probleem veroorzaken voor de betreffende cliënt. De meeste grotere bedrijven doen al vrijwillig aan een vorm van security om te voorkomen dat klantgegevens verloren gaan en toch zie je ook daar zware problemen. Of je nu certificering verplicht stelt of niet het is en blijft mensen werk. Je ziet het bij banken en dergelijke ook terwijl daar de DNB en AFM best zwaar aan tillen.

@algemeen

In die zin zijn ze gelijk omdat het gewoon hele gevoelige informatie is waar je heel kanten mee op kunt (zowel slechte als goede...).

De vorm zou natuurlijk wel praktisch moeten zijn. Hoe moet ik mijn database beveiligen? Wat is een goed wachtwoord beleid? Encryptie, wat doet dat nou precies? Dit soort dingen zit ik dan aan te denken, maar ook andere dingen als fysieke toegang horen hier ook bij. Wat zijn de consequenties als het wél mis gaat? Zowel juridisch als praktisch. Gewoon, doel gericht

Ik zou meer zien in een algemene awareness training zoals ook Lucky al voorstelde dan in een verplichte certificering. Het grootste probleem is dat veel sites standaard webshop accounts zijn bij hosting providers en dat het beheer verder niet in handen is van IT'ers maar van ondernemers. Geloof me, dat zijn per definitie niet de meest IT minded en security minded mensen. Je gaat op deze manier ondernemers verplichten IT kennis op te doen op een niveau dat ze eigenlijk niet hoeven te kennen.

Tukk schreef op maandag 26 april 2010 @ 15:37:
Dat is een aanname, waarop basseer je die?
Ik denk dat het samen gaat, als je 1 van de 2 maar doet, dan heeft de ander geen nut gehad.

Ik deel je mening hierin. Zowel de server als de applicatie dienen veilig te zijn. Je kunt veel opvangen middels applicatie beveiliging maar als de server niet goed beveiligd is heb je daar ook niet veel aan. Een goede app. beveiliging echter is wel een stap in de goede richting. Je moet er niet vanuitgaan dat de app veilig is. Je kunt best veel afvangen door de app te beveiligen met application firewalling of iets dergelijks.

Ik werk ook met privacy gevoelige gegevens en heb een VOG moeten inleveren. Daarmee wordt gecheckt of ik geen strafblad heb, en leden van mijn familie geen strafblad hebben. Dat vind ik voldoende.

En natuurlijk ook de nodige firewalls en dergelijke, ook een dmz en de gebruikelijke scheidingen binnen een netwerk.Wel vind ik dat er bij nog een IDS moet komen, maar dat is aan de Netwerk Engineers, daar heb ik niks mee te maken.

edit:
Geen verplichte security cert, maar wel een security module binnen bijvoorbeeld MCSE.

[Voor 46% gewijzigd door Turdie op 26-04-2010 19:05]

't probleem is een beetje dat zoiets als het bericht wat in de TS aangehaald wordt, waarbij een PDF met klantgegevens in een open-dir staat, helemaal geen fout hoeft te zijn van de programmeurs of ict-ers. Iedereen met FTP-toegang, kan het handig gevonden hebben om eventjes dat documentje te uploaden, zonder zich te realiseren dat het daarmee gelijk op straat zou komen te liggen.

Als je zoiets op wilt pakken, zou je IEDEREEN die werkt met een computer voor zijn/haar neus, van receptionist langs CAD-tekenaar naar de directeur, een basiscursus internetveiligheid moeten geven. Dat zou denk ik veel effectiever zijn. Al is het maar de vraag hoeveel daarvan blijft hangen bij "non-computer-people".

LuckY schreef op maandag 26 april 2010 @ 17:04:
En wat zie jij dan onder een application firewall? Wat vangt het af en wat niet? Kijkt het bijvoorbeeld naar SQL queries? En hoe onderscheid het legit traffic van malicious traffic ?

Application firewalling is het afschermen van applicaties tegen onbedoeld gebruik. Bekende gaten in beveiliging worden standaard afgeschermd of deze in de app zelf nu wel of niet zijn afgeschermd. Daarnaast kan een goede app firewall op basis van heuristic scannen het nodige afvangen. Het is geen vervanging van het beveiligen van je applicatie maar wel een extra laag die het nodige af kan vangen.

Zo kan een beetje app firewall cliënt side aanpassingen van URL's etc. afvangen, login credentials checken en door middel van het afdwingen van security snel inspelen op OWASP of 0-day aanvallen. Een aantal kunnen zelfs compliancy afdwingen met diverse wetgevingen (SOX, HIPAA etc..).

Je kunt dit best ver doorvoeren afhankelijk van het product en leverancier. Meestal biedt een goede app firewall out of the box al bescherming voor veel standaard omgevingen zoals Exchange, Lotus Notes, Oracle of Sharepoint.

Om het on-topic te trekken. Je zou in eventuele certificeringen kunnen eisen dat je dergelijke beveiliging toepast. Dit zorgt wel voor een aardig kosten plaatje. Eventueel kun je als generieke aanbieder dit als dienst aanbieden bij je klanten. Als je kijkt naar sommige hosters die zich specifiek richten op webshops dan zou dit een vereiste kunnen zijn voor hen (de hosters dus) om aan te moeten voldoen. Eventuele HE boeren zouden dit als extra dienst kunnen aanbieden.

(HE boeren: co-locators die hoogte-eenheden verhuren in hun racks).

Diabolical schreef op maandag 26 april 2010 @ 16:03:
Ja, maar of je daar nu op zit te wachten. Weer een subsidiepotje voor iets wat in wezen een vrije markt probleem is?

Mja, daar was de " " ook voor bedoeld. Overigens vind ik dat het tot op zekere hoogte geen vrije markt hoort te zijn. Dwz. het probleem an sich "security" hoort deels bij de overheid te liggen. Het gaat wel om burger gegevens. Vandaar dat ik daar wel een rol van de overheid bij zie

Ik zou dit enkel willen zien voor partijen die bij verlies van gegevens een serieus probleem veroorzaken voor de betreffende cliënt. De meeste grotere bedrijven doen al vrijwillig aan een vorm van security om te voorkomen dat klantgegevens verloren gaan en toch zie je ook daar zware problemen. Of je nu certificering verplicht stelt of niet het is en blijft mensen werk. Je ziet het bij banken en dergelijke ook terwijl daar de DNB en AFM best zwaar aan tillen.

Eensch. Maar eigenlijk geldt dit natuurlijk in wezen voor bijna alle bedrijven met een klanten bestand. Ook voor de kleine ondernemer met 2 pc's in de winkel waarop een slordig Access database'je staat met daarin NAW gegevens.

Ik zou meer zien in een algemene awareness training zoals ook Lucky al voorstelde dan in een verplichte certificering. Het grootste probleem is dat veel sites standaard webshop accounts zijn bij hosting providers en dat het beheer verder niet in handen is van IT'ers maar van ondernemers. Geloof me, dat zijn per definitie niet de meest IT minded en security minded mensen. Je gaat op deze manier ondernemers verplichten IT kennis op te doen op een niveau dat ze eigenlijk niet hoeven te kennen.

Ja dat is ook ongeveer waar ik op doel. Gewoon een praktisch voorziening om mensen uit te leggen wat er kan gebeuren en waarom je gegevens gewoon goed moet beveiligen. Specifieke cursussen blijven m.i. een taak die bij de werkgever ligt danwel voor een deel bij de overheid.

Ik deel je mening hierin. Zowel de server als de applicatie dienen veilig te zijn. Je kunt veel opvangen middels applicatie beveiliging maar als de server niet goed beveiligd is heb je daar ook niet veel aan. Een goede app. beveiliging echter is wel een stap in de goede richting. Je moet er niet vanuitgaan dat de app veilig is. Je kunt best veel afvangen door de app te beveiligen met application firewalling of iets dergelijks.

Een mooi voorbeeld hiervan is bv. het EPD. Hier is natuurlijk ontzettend veel om te doen in deze huidige tijd. Je zit alleen met het feit dat er meer bij komt kijken. De gebruikerservaring van dit soort applicaties lijdt namelijk verschrikkelijk onder security. De applicatie verstuurt alle gegevens encrypted, zoals het hoort, maar dat heeft een grote impact op performance. Wij krijgen regelmatig te horen dat je een patiënt niet kunt laten wachten omdat dat "verrekte" EPD weer eens zo traag is dat het 5 minuten duurt voordat patiënt gegevens op het scherm verschijnen. En ik kan mij voorstellen dat dat erg irritant is voor een specialist die van die gegevens afhankelijk is.

mcDavid schreef op maandag 26 april 2010 @ 18:24:
't probleem is een beetje dat zoiets als het bericht wat in de TS aangehaald wordt, waarbij een PDF met klantgegevens in een open-dir staat, helemaal geen fout hoeft te zijn van de programmeurs of ict-ers. Iedereen met FTP-toegang, kan het handig gevonden hebben om eventjes dat documentje te uploaden, zonder zich te realiseren dat het daarmee gelijk op straat zou komen te liggen.

Als je zoiets op wilt pakken, zou je IEDEREEN die werkt met een computer voor zijn/haar neus, van receptionist langs CAD-tekenaar naar de directeur, een basiscursus internetveiligheid moeten geven. Dat zou denk ik veel effectiever zijn. Al is het maar de vraag hoeveel daarvan blijft hangen bij "non-computer-people".

Ja dat is dan weer even de vraag. Bewustwording is een eerste stap naar een betere en veiligere omgeving voor onze data. Het aangehaalde voorbeeld zou gewoon al niet moeten kunnen. Daarvoor zijn security groepen. Webbased is toch steeds meer de toekomst en ik zie daarin best een kans waarin dit soort zaken zich eigenlijk niet meer hoeft voor te doen omdat je dat gewoon goed kan afschermen.

Je kunt dit best ver doorvoeren afhankelijk van het product en leverancier. Meestal biedt een goede app firewall out of the box al bescherming voor veel standaard omgevingen zoals Exchange, Lotus Notes, Oracle of Sharepoint.

Klopt, maar EPD-achtige zaken en SAP dingen bv. zijn meestal bijna volledig maatwerk waarbij security, denk ik, nog een ondergeschoven kindje is. Wellicht valt op deze markt nog een slag te slaan.

Zo, dit even op de vroege ochtend met 1,5 bak koffie achter de kiezen

WhizzCat schreef op dinsdag 27 april 2010 @ 06:49:

Een mooi voorbeeld hiervan is bv. het EPD. Hier is natuurlijk ontzettend veel om te doen in deze huidige tijd. Je zit alleen met het feit dat er meer bij komt kijken. De gebruikerservaring van dit soort applicaties lijdt namelijk verschrikkelijk onder security. De applicatie verstuurt alle gegevens encrypted, zoals het hoort, maar dat heeft een grote impact op performance. Wij krijgen regelmatig te horen dat je een patiënt niet kunt laten wachten omdat dat "verrekte" EPD weer eens zo traag is dat het 5 minuten duurt voordat patiënt gegevens op het scherm verschijnen. En ik kan mij voorstellen dat dat erg irritant is voor een specialist die van die gegevens afhankelijk is.

Klopt, maar EPD-achtige zaken en SAP dingen bv. zijn meestal bijna volledig maatwerk waarbij security, denk ik, nog een ondergeschoven kindje is. Wellicht valt op deze markt nog een slag te slaan.

Zo, dit even op de vroege ochtend met 1,5 bak koffie achter de kiezen

Het EPD is niet echt een applicatie maar een complete infrastructuur. En ik heb heel bewust bezwaar gemaakt tegen dat beest. Jij stipt juist 1 van de redenen aan om er niet aan deel te nemen. Namelijk het feit dat gebruikersgemak een dusdanige druk gaat uitoefenen dat men wss security zal laten varen op een groot deel voor een infrastructuur waarvan de data die er overheen gaat/bewaard wordt juist één van de gevoeligste soort is.

De complexiteit van een dergelijke omgeving stelt dusdanige eisen aan security dat je nooit en te nimmer alles af kunt vangen, hoeveel certificering of training je er ook tegenaan gaat gooien.

Bij het EPD is het idee en de bedoeling goed maar de uitvoering laat danig te wensen over naar mijn idee.

Bor de Wollef schreef op maandag 26 april 2010 @ 18:27:
[...]


Een VOG zegt iets over het verleden maar geeft niet aan of jij op een veilige manier weet om te gaan met persoonsgegevens en bv betalingsverkeer. Een VOG dient imho een ander doel dan een voorgesteld verplichte security certificering.

Een vog geeft puur en alleen aan of jij degene die soliciteerd of bij een bedrijf werkt niet iets crimineels heeft gedaan. Het zegt daarin tegen niks over familie en vrienden enz. Als je dat wil dan ga je het hebben over screeningen zoals gedaan door de AIVD of MIVD

Ik vind discussies als deze altijd weer goed. Helaas wordt er in veel discussies, zoals ook in deze, direct gefocust op persoonsgegevens. In feite zou het moeten gaan over het zorgvuldig omgaan met vertrouwelijke gegevens, want er zijn zoveel meer gegevens vertrouwelijk dan persoonsgegevens alleen.
En is het altijd wel typisch voor IT'ers dat deze altijd denken aan certificeringen en technische maatregelen.
Een ISO certificaatje binnen halen is niet zo ingewikkeld, mits je procedures voldoen en gedocumenteerd zijn. De techniek is ook niet zo heel spannend, complex misschien wel maar spannend? Nee, niet echt.
Het zijn de keuzen die je maakt aan de hand van de risico analysen, budget en eventuele wettelijke bepalingen, hoeveel componenten, hoe beveiligd deze componenten moeten zijn en welke encryptie en toegangs methoden je gaat/moet gebruiken.
Maar het zegt allemaal niet zo veel over de werkelijke staat van je informatiebeveiligings huishouding.

Beveiligen is voornamelijk mensenwerk, een belangrijke functie daarin ligt aan de HR kant. Enkele voorbeelden van HR vragen; wat is de selectie procedure, zijn er huisregels opgesteld, is er een gedragscode, moet iedere medewerker een geheimhoudingsverklaring tekenen, een VOG of een aanvullend veiligheids onderzoek 'ondergaan'? Zijn er kwetsbare functies en zo ja, zijn daar aanvullende maatregelen voor genomen? Zijn de functies qua inhoud wel goed beschreven en zijn er logische toegangs procedures vastgelegd? Is er überhaupt een informatiebeveiligingsbeleid voor de organisatie beschikbaar?

De mens als schakel tussen veilig en onveilig is mijn visie. Je kunt het niemand kwalijk nemen dat deze informatie laat rond slingeren als je de persoon niet op de hoogte hebt gesteld dat de informatie vertrouwelijk en zorgvuldig behandeld moet worden. Dat betekent dat medewerkers moeten worden opgeleid/getraind/begeleid om zorgvuldig en integer met vertrouwelijke gegevens om te kunnen gaan. Daarnaast heeft de werkgever de plicht om medewerkers te beschermen tegen mogelijke integriteits incidenten door het bedrijven van goed werkgeverschap.

Voor mijn eigen werkgever ben ik momenteel bezig om, in samenwerking met collega bedrijven, een bewustwording programma op te zetten. Dit zal verplichte kost worden voor iedere medewerker dus ook de managers en directie, minimaal eens per jaar. Belangrijke hindernis vormt vaak het management, zonder hun absolute steun kun je het leuk bedenken maar dan zal niemand het programma volgen.
In dit programma komen o.a. zaken als privacy, (integer) omgaan met vertrouwelijke informatie, omgaan met gebruikersnaam en wachtwoord, clear desk, het melden van incidenten en goed internet gebruik aan de orde.
Dit kan op de werkplek, voor zover dat mogelijk is i.v.m. klantcontacten, worden gevolgd. Het is een webbased programma op basis van een informatief gedeelte en een dilemma waarbij de medewerker een aantal keuzen krijgt.
Ik ben erg enthousiast over deze methode want de resultaten van de scores worden inzichtelijk gemaakt per afdeling. Hierdoor kunnen bepaalde afdelingen veel directer worden aangestuurd.

Al met al zal een bewuste medewerker een zeer effectieve bijdrage leveren aan de gehele informatiebeveiligingshuishouding, meer nog dan welke certificering dan ook.

regmaster schreef op woensdag 28 april 2010 @ 22:46:
Ik vind discussies als deze altijd weer goed. Helaas wordt er in veel discussies, zoals ook in deze, direct gefocust op persoonsgegevens. In feite zou het moeten gaan over het zorgvuldig omgaan met vertrouwelijke gegevens, want er zijn zoveel meer gegevens vertrouwelijk dan persoonsgegevens alleen.
En is het altijd wel typisch voor IT'ers dat deze altijd denken aan certificeringen en technische maatregelen.
[...]

How true
Een voorbeeld daarvan is hoe je bijvoorbeeld omgaat met attachments in webmail clients, en hoe je voorkomt dat die data (word document bijvoorbeeld) achterblijft in de cache op de PC waar dat document via de webmail is geopend.
De technische oplossing is simpel: gewoon attachments 'verbieden' of alleen inline als html converteren (vergelijk Google PDF to html).
Het nadeel daarvan is alleen wel weer dat je daardoor mogelijk onveiliger gaat werken.
De mens achter de computer wil namelijk dat document kunnen lezen dus wat doet ie dan? Juist, mail het naar je gmail adres want daar werkt het wél .
Eindresultaat is dat je het tegenovergestelde bereikt van wat je wilde doen, nu heb je helemaal geen controle meer over je data.

Ik ben gewerkt in een verzendbedrijf. Daar worden dus hele grote oplages van magazines verpakt en geadresseerd om ze richting de TNT of andere postbezorger te gaan.

In dit geval kregen wij van de klant - een drukkerij - het drukwerk aangeleverd, inclusief het digitale adressenbestand, welk weer geprint worden.

Ook werden er brievenmailingen geprint en in een envelop gestoken. Het totale klantenbestand van een energie-leverancier met 2.000.000 records kijk ik dan ook niet raar meer van op. Of het maandblaadje van de politie, waar je dus alle privegegevens van elke diender in je hand hebt. Of het bestand van de schietvereniging waar je dus weet dat elke persoon in dat bestand 1 of meerdere vuurwapens thuis heeft liggen.

Behoorlijk gevoelige informatie. Zeker voor de concurent van de energie-boer, of een criminele bende die best het bestand van de politie zou willen hebben bijvoorbeeld.

Ik denk zelf dat de 'klant', in dit verhaal meestal de uitgever, niet eens weet wat voor trajecten er nog nodig zijn om hun mailing/boekje/magazine bij hun abo's thuis te krijgen.

Certificering heb ik nog nooit iemand over horen roepen overigens. Ik heb wel een extra dingetje moeten ondertekenen over geheimhouding van de gegevens die ik in m'n handen krijg, en dat ik er niets anders mee doe dan strikt noodzakelijk voor het uitoefenen van m'n werk (het printen).

Korte versie op de vraag in de titel: Denk het niet, ik heb er in 11 jaar nog nooit iets over gehoord.

mcDavid schreef op maandag 26 april 2010 @ 18:24:
't probleem is een beetje dat zoiets als het bericht wat in de TS aangehaald wordt, waarbij een PDF met klantgegevens in een open-dir staat, helemaal geen fout hoeft te zijn van de programmeurs of ict-ers. Iedereen met FTP-toegang, kan het handig gevonden hebben om eventjes dat documentje te uploaden, zonder zich te realiseren dat het daarmee gelijk op straat zou komen te liggen.

Als je zoiets op wilt pakken, zou je IEDEREEN die werkt met een computer voor zijn/haar neus, van receptionist langs CAD-tekenaar naar de directeur, een basiscursus internetveiligheid moeten geven. Dat zou denk ik veel effectiever zijn. Al is het maar de vraag hoeveel daarvan blijft hangen bij "non-computer-people".

Het ging niet om eventjes één documentje uploaden, maar om een complete archief aan RMA formulieren en dergelijke dat in een publieke open dir stond. Dat lijkt me dus wel degelijk een fout van een beheerder. Maar goed, dat is verder een beetje off-topic hier.
Je kunt inderdaad niet alles oplossen met technische maatregelen, al was het alleen maar omdat die maatregelen uiteindelijk ook mensenwerk zijn qua implementatie. Als de technische beheerders echter al niet bewust zijn van de impact die hun werk heeft op de beveiliging van de gegevens op de systemen die ze beheren, dan is de kans dat er wat mis gaat natuurlijk wel erg groot.
Een stukje bedrijfsbrede awareness training zou ook absoluut geen kwaad kunnen denk ik, zeker om ontdekking van onveilige situaties te verbeteren en te voorkomen dat zaken te makkelijk in de doofpot verdwijnen.

Of een verplichte certificering echt nut zou hebben vraag ik me af. Het risico dat het dan echt een holle formaliteit wordt ligt dan natuurlijk op de loer. Maar ik kan me wel voorstellen dat bedrijven die met andermans gevoelige gegevens omgaan zich zouden kunnen onderscheiden door zich te presenteren als security bewust. Certificering voor het eigen technische personeel of van de IT-dienstverlener die ze inschakelen kan daarbij denk ik wel bijdragen.

Om het voorbeeld uit de TS nog maar eens aan te halen, voor webshops zou het bijvoorbeeld ook onderdeel kunnen zijn van bestaande thuiswinkel keurmerken en dergelijke. Maar als je dat echt op een betrouwbare manier invulling wilt geven betekent dat dat keurmerk organisaties security audits zouden moeten uitvoeren en dergelijke en het is maar de vraag of dat economisch echt loont. Mensen willen uiteindelijk toch voor een dubbeltje op de eerste rang zitten, kijk maar hoe vaak hier op Tweakers.net wel niet mensen komen uithuilen nadat ze weer eens, verblind door een lage prijs, in zee zijn gegaan met een onbetrouwbare webshop. Of diezelfde grote groep consumenten wel op security certificeringen gaat letten is maar zeer de vraag, laat staan dat ze bereid zijn om extra te betalen bij een shop die z'n zaken aantoonbaar op orde heeft.

opzich een goed idee, echter denk ik dat een geheimhoudingsverklaring en een cursus ook voldoet. Naar mijn mening hoeft je geen (insert certificaat) te hebben om met vertrouwelijke data te werken...

Bor de Wollef schreef op maandag 26 april 2010 @ 18:27:
Een VOG zegt iets over het verleden maar geeft niet aan of jij op een veilige manier weet om te gaan met persoonsgegevens en bv betalingsverkeer. Een VOG dient imho een ander doel dan een voorgesteld verplichte security certificering.

Een VOG zegt eigenlijk helemaal niets. Alleen "misdaden" die anderen ooit hebben ontdekt staan er in.
Ze weten met een VOG nog steeds niet of jij je nog steeds daaraan schuldig maakt.
De andere kant is dat als je tot nu toe alles goed heb weten te verbergen (spionage e.d.), er ook niets in staat.

Een verplichte security certificering haalt volgens mij niets uit.
Je hebt verschillende beveiligingen op verschillende niveau's en dat is volgens mij vrij lastig om in categorieën in te delen.
Daarnaast voorkom je daarmee nog niet die stomme foutjes zoals het publiekelijk maken van NAW-gegevens. Je doet dat natuurlijk nooit expres.

[Voor 5% gewijzigd door Onbekend op 09-05-2010 11:47. Reden: Quote gefixt.]

Bor de Wollef schreef op zondag 09 mei 2010 @ 11:43:
Indien een verplichte certificering weinig uit zal halen is een verplichte periodieke audit wellicht beter echter ook daar is handhaving erg lastig.

In de context van dit topic is dit dossier eigenlijk een "must read".

Jammer dat deze discussie doodloopt. Verplichte certificering voordat je met klantgegevens mag werken, lijkt me erg belangrijk. In de zorg is het zelfs een must. Natuurlijk is certifceren geen garantie dat daarna alles OK is maar het helpt wel een hoop te verbeteren. In Medisch Contact schreef ik een artikel hoe je naar certificering kunt toewerken.

Een certificering is denk ik een verkeerde gedachte. Het behalen van een papiertje geeft je geen enkele controle over wat er met klantgegevens gebeurt. Het enige wat je er mee kan bereiken is een verhoogd beveiligingsbewustzijn. (Awareness) En hopelijk zijn je medewerkers dan minder snel geneigd om gegevens uit te printen en mee te nemen. Iemand die bewust gegevens mee wil nemen houdt je niet tegen met een eis dat hij een certificaat haalt.

Dit natuurlijk los van een vereist diploma/certificering eerdat bepaalde zaken uitgevoerd mogen worden. Even heel gecharcheerd: Een chirurg mag zonder diploma geen mensen opereren. Een beheerder zonder kennis van zaken laat je niet los in een omgeving waarin hij alle rechten heeft.

Ik denk dat het screenen van het personeel veel meer invloed heeft. Van een simpele NDA tot het tonen van een VOG of een zwaardere screening. Er zijn bedrijven die dit voor je kunnen doen. Medewerkers die niet door de screening komen laat je niet werken met klantgegevens of laat je sowieso niet voor je werken.

* Equator heeft een B/P screening moeten doorlopen en nog mag ik niet alles weten/zien.

Mijn advies is: Wil je het bewustzijn verhogen, dan is een training/certificering prima, maar een simpele verplichte halfjaarlijkse inhouse training van de IBF'er zou ook kunnen volstaan. In 2 uurtjes is het goed haalbaar om gebruikers bewuster te maken.

Wil je meer zekerheid, en een stukje afdekking, laat de medewerkers die met gevoelige informatie werken dan een NDA ondertekenen, of laat ze een VOG leveren voor het type werk dat ze doen.

Werk je met informatie/gegevens waarmee grote hoeveelheden geld gemoeit zijn, laat de medewerkers dan een screening ondergaan. Een chantabel persoon wil je immers niet een transactie laten controleren.

Bovenstaande staat natuurlijk volledig los van de wetten en aanverwante regels waaraan bepaalde organisaties moeten voldoen. (WBP/WPG/HIPAA/PCI..)