Veilige ICT bij ICT Concept

Er is bijna geen proces of organisatie meer te bedenken waarin informatie niet digitaal wordt verwerkt. Voor ICT Concept staat de veiligheid van data en onze klanten op de eerste plaats, bij alles wat we doen. Iedere oplossing die we bedenken, iedere keuze die we maken, elke stap in een project start met de vraag: is dit veilig voor onze klanten? Hierdoor kunnen we onze klanten, ongeacht de vertrouwelijkheid van hun data, helpen aan een veilige IT-omgeving.

Vanuit de overheid, toezichthouders en branche organisaties worden ook eisen gesteld aan uw ICT. Het dient veilig en betrouwbaar te zijn. Er dienen, op basis van vastgestelde eisen, maatregelen te worden genomen en er worden aanvullende zekerheden gevraagd van ons als ICT Concept. Bedrijven hebben dan ook behoefte aan gecertificeerde partners die zich bewust zijn van het belang van informatiebeveiliging. ICT Concept onderscheidt zich op dit vlak.

Verantwoordelijkheid als ICT-partner

ICT Concept is zich bewust van de verantwoordelijkheid die onze klanten hebben voor het goed beheren van hun data. Wij helpen onze klanten die verantwoordelijkheid te dragen en hier op de best mogelijke wijze invulling aan te geven. Dit betekent dat ICT Concept, haar partners én haar medewerkers zich niet alleen bewust zijn van informatiebeveiliging en het belang daarvan, maar zich ook bewust zijn van data-integriteit en specifieke beroepsgebonden omstandigheden zoals bijvoorbeeld het beroepsgeheim en/of verschoningsrecht.

Het continu doorlopende trainingsprogramma van ICT Concept (zowel intern als extern) spoort het bewustzijn van onze medewerkers aan, actualiseert het kennisniveau binnen de organisatie en houdt ICT Concept daardoor bewust van haar verantwoordelijkheden als ICT kennispartner.

Een belangrijk onderdeel om de veiligheid van onze diensten te borgen, is het toetsen daarvan. Dat doen we met behulp van onze eigen gecertificeerde ethische hackers als ook door derden. Daarnaast beschikt ICT Concept over de volgende certificeringen: ISO27001, ISAE3402 – type 2 en ISAE3000.

Bewustwording aanwakkeren bij uw medewerkers

Omdat veiligheid begint bij bewustwording ­hebben wij voor gebruikers van ons Cloud Pack een kosteloos online trainingsplatform opgezet waarop de medewerkers van onze klanten in hun eigen tempo cursussen op het gebied van veilig digitaal werken kunnen volgen. Via trainingsvideo’s, tests en een spelscenario worden uw medewerkers bewust gemaakt van hoe ze veilig om moeten gaan met informatie en veilig online kunnen werken.

Certificeringen

ISO27001

Als leverancier van ICT diensten heeft ICT Concept veiligheid, betrouwbaarheid en continuïteit altijd hoog in het vaandel staan. Periodiek worden er audits uitgevoerd door een onafhankelijke partij ten behoeve van de ISO27001 certificering. Dit geeft klanten de zekerheid dat de kwaliteit van de (cloud) dienstverlening voldoet aan de internationale normen en eisen van de huidige tijd op het gebied van informatiebeveiliging en bedrijfscontinuïteit.

ISO27001 is een internationale norm waarin eisen zijn vastgelegd voor een managementsysteem om de informatiebeveiliging te beheersen. Het ISMS (Information Security Management System - managementsysteem voor informatiebeveiliging) is de spil in de beheersing van de informatiebeveiliging. De norm specificeert het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van dit systeem.

ISAE3000

De ISAE3000 normering is een internationaal normenkader voor de beveiliging en procesbeheersing bij het uitbesteden van diensten, ofwel outsourcing. Wanneer u uw ICT outsourced aan ICT Concept weet u dankzij de ISAE3000 normering dat uw data en processen in goede handen zijn, omdat wij alle zaken omtrent de beheersing van uw data en infrastructuur op een kwalitatief hoogwaardige manier uitvoeren en bewaken.

Een onafhankelijke auditor controleert jaarlijks of wij nog steeds aan de hoge eisen van de ISAE3000 norm voldoen. Net als ISO27001 gaat deze normering over informatiebeveiliging, echter is deze nog een stapje strenger en intensiever. ISAE3000 kent een type 1 en een type 2 normering, waarbij de type 2 normering nog hogere eisen aan een organisatie stelt. ICT Concept is in het bezit van zowel de type 1 als de type 2 normering.

ISAE3402

De ISAE3402 normering ziet net als ISAE3000 toe op de veilige procesbeheersing bij outsourcing van diensten, maar dan met bijzondere aandacht voor financiële instellingen. Vanuit de wet (Art. 4.16 Wft) zijn financiële instellingen verplicht om in het geval van outsourcing te kunnen aantonen dat processen beheerst worden.

De ISAE3402 normering bestaat uit een type 1 en een type 2 normering, waarbij type 2 vanzelfsprekend het zwaarste toetsingskader betreft. ICT Concept is in het bezit van zowel de type 1, als de type 2 normering waardoor u kunt rekenen op de hoogste mate van betrouwbaarheid bij het uitbesteden van uw diensten.

Bewaking en beheer

Proactief beheer

Voorkomen is beter dan genezen, zo ook bij beveiliging. Daarom voeren wij bij de klanten die het beheer aan ons hebben uitbesteed middels bijvoorbeeld onze Packs of RMM dienstverlening naast reactief ook proactief beheer uit. Dit houdt in dat de systemen die door ons worden bewaakt 24 x 7 hun status aan ons doorgeven. Als een systeem een alarmsignaal geeft grijpen wij direct in, vaak al voor u zelf door heeft dat er iets aan de hand was of gedaan moest worden. Dit is belangrijk, omdat uw omgeving hierdoor niet alleen veilig blijft, maar ook omdat de continuïteit van uw kantoor hiermee wordt gewaarborgd.

Update en patch management

Omdat er elke dag nieuwe kwetsbaarheden worden ontdekt in de vele hard- en softwarecomponenten die samen een IT-landschap vormen, is goed en tijdig update en patch management cruciaal. Alle patches en updates die door onze leveranciers worden uitgebracht, worden zo snel mogelijk door ons geïnstalleerd.

Op basis van de inhoud van een patch bekijken we eerst wat het beste moment is om deze te installeren. Is de impact van een kwetsbaarheid klein of zijn er geen signalen dat het lek ook werkelijk wordt misbruikt? Dan installeren wij de patches meestal buiten kantoortijden. Is de te herstellen kwetsbaarheid groot of wordt deze ergens ter wereld al actief misbruikt? Dan kan het zijn dat we deze al onder werktijd installeren en u mogelijk informeren werkplekken tijdig veilig af te sluiten, mocht een cloudserver bijvoorbeeld herstart moeten worden na de installatie. Dit doen wij enkel in zeldzame gevallen waarbij het veiligheidsrisico te groot is om een kwetsbaarheid niet direct te repareren.

Wij laten ons hierbij onder andere informeren door de adviezen van onze leveranciers en bekende adviesorganen zoals het Nationaal Cyber Security Centrum van de Nederlandse overheid. Door dit actieve beleid zijn uw systemen altijd up to date en is de kans dat uw kantoor gehackt kan worden door achterstallige updates nihil.

Endpoint Security

Wij werken nauw samen met toonaangevende security leveranciers om te zorgen dat u veilig te werk kunt gaan. Dat betekent dat wij alle werkplekken, fysiek en in de cloud, standaard aanbieden met volledige Endpoint Security. Dit is de moderne definitie van wat vroeger de virusscanner werd genoemd, maar inmiddels een veel breder scala aan security voorzieningen behelst. Dit beschermt uw omgeving nog beter tegen cybercriminelen en andere kwaadwillenden.

Periodieke security scans

Periodiek krijgt een specialistische gerenommeerde derde partij opdracht de beveiliging en integriteit van de gehele infrastructuur van ons eigen cloudplatform te onderzoeken. Deze onafhankelijke partij voert een uitgebreide security scan uit, waarin technische risico’s en bedreigingen in kaart worden gebracht. De resultaten en conclusies worden vastgelegd in een technische rapportage. Deze rapportages worden actief gebruikt voor continue verbetering.

SOC / SIEM

Standaard IT bevieligingsoplossingen werken reactief en kunnen geen verdacht verkeer of gedrag “achter de voordeur” dat al binnen is gekomen meer detecteren. Daarvoor is een geavanceerdere oplossing nodig zoals SOC – SIEM. Dit is vergelijkbaar met een intelligent camerasysteem met proactief patrouillerende bewakers.

SOC - SIEM biedt een combinatie van proactieve, continue monitoring van al het verkeer op uw netwerk, onder het wakend oog van gespecialiseerde security analisten die 24x7 enkel bezig zijn met het aanpakken en voorkomen van bedreigingen en risico’s. Het is een oplossing die opgewassen is tegen moderne aanvalstactieken zoals ransomware en phishing, maar ook alert is op verdacht gedrag van gebruikers die bijvoorbeeld grote hoeveelheden gegevens proberen te verplaatsen of te stelen.

Spamfiltering

Een belangrijke eerste verdedigingslinie tegen ongewenste e-mail en met name phishing is ons spamfilter. Als wij kunnen zorgen dat malafide e-mails uberhaupt niet bij de gebruiker terecht komen, verkleinen we de kans dat iemand per ongeluk op een gevaarlijke link klikt.

Back-up

Wij maken zogenaamde off-site back-ups van onze systemen en uw data. Deze back-ups worden gescheiden bewaard, beveiligd en beheerd van de productie omgeving, zodat in het geval van een calamiteit de back-up niet aangetast kan worden.

Andere maatregelen

ICT Concept maakt naast de eerder genoemde beveilingsoplossingen gebruik van nog meer maatregelen om uw ICT zo veilig mogelijk te houden. Beveiliging is een wapenwedloop en wij zullen altijd trachten het sterkste wapen in huis te hebben om uw data veilig te houden. Een aantal van deze “wapens” zijn voor u zichtbaar, en een aantal andere houden we wat meer op de achtergrond. Tot slot nog een klein overzicht van andere maatregelen die wij nemen:

Twee factor authenticatie

Toegang tot onze omgeving kan alleen door gebruik te maken van twee factor authenticatie. Hierbij dient een gebruiker naast een gebruikersnaam en wachtwoord ook nog via een app op een mobiele telefoon de toegang te bevestigen. Dit zorgt ervoor dat - wanneer een gebruikersnaam en wachtwoord per ongeluk uitlekken - het account niet zomaar misbruikt kan worden omdat ook de mobiele telefoon nog nodig is om succesvol in te kunnen loggen.

SSLRDP

Om in te loggen op de ICT Concept cloud van buiten het kantoor kunnen medewerkers gebruik maken van onze SSLRDP app voor Windows, Android en iOS. Hiermee wordt extra beveiligde toegang tot het platform verschaft. De verbinding naar het platform wordt versleuteld met SSL en om in te loggen is ook de eerder beschreven twee factor authenticatie nodig. Dit is een ideale oplossing voor medewerkers die graag onderweg of thuis willen kunnen doorwerken in de cloud.

Wachtwoordbeleid

Gebruikers moeten elke 42 dagen het wachtwoord van hun account veranderen, en het wachtwoord moet ook voldoen aan bepaalde minimale vereisten. Dit vinden gebruikers natuurlijk niet altijd fijn omdat ze dan telkens nieuwe wachtwoorden moeten onthouden. Maar omdat gebruikers uit gemak vaak hetzelfde wachtwoord voor meerdere diensten gebruiken, betekent dit dat als het wachtwoord bij de ene dienst per ongeluk uitlekt, het ook misbruikt kan worden bij andere diensten.Daarom is regelmatig wisselen van wachtwoorden een goed gebruik om ervoor te zorgen dat een wachtwoord niet te lang in circulatie kan blijven. Aangevuld met een door ons aanbevolen wachtwoordkluis (optioneel bij de ICT Concept cloud) kunnen gebruikers bovendien ook zeer complexe, voor iedere dienst unieke wachtwoorden gebruiken.

Wachtwoord lek check

Omdat gebruikers vaak dezelfde combinatie van gebruikersnamen en wachtwoorden gebruiken bij meerdere diensten, betekent dit dat wanneer er een datalek is bij de ene dienst dat ook de toegang tot andere diensten gecompromiteerd is. Daarom checken wij regelmatig op vertrouwelijke wijze of uw inloggegevens ergens wereldwijd op straat zijn komen te liggen bij een datalek. Als dit onverhoopt gebeurt, informeren wij u hierover zodat u bijvoorbeeld uw wachtwoord kunt wijzigen.

JIT (Just In Time) Access

Wij volgen een speciaal beleid als het gaat om toegang tot onze kritische infrastructuur. In plaats van dat onze beheerders 24x7 aanpassingen in het systeem kunnen doorvoeren, werken wij middels het zogenaamde JIT (Just In Time) Access principe. Dat betekent dat wanneer een beheerder iets wil aanpassen in onze systemen, hij of zij hier eerst toestemming en een tijdvak voor moet aanvragen bij de beheersafdeling. Op deze manier hebben we meer grip en controle over wat er op ons platform gebeurt.

 

Meer weten? Vraag het onze CISO!

Voor meer informatie of specifieke vragen over de ­beveiliging van uw ICT staat onze Chief Information Security Officer Joop de Rooij voor u klaar. Als CISO is hij verantwoordelijk voor de handhaving en vast­stelling van het ICT Concept beveiligingsbeleid en onze ­certificeringen. Hij helpt u graag verder met tips en adviezen over de veiligheid van uw ICT.