Heeft u zich wel eens afgevraagd hoe veilig uw bedrijfsdata eigenlijk is? Weet u zeker dat hackers of andere ongenode gasten geen toegang hebben tot uw IT-omgeving, vol met persoonlijke gegevens, essentiële bestanden en andere gevoelige bedrijfsinformatie? Er is een manier om daar achter te komen; een grondig beveiligingsonderzoek door 12Secure-U ®.


Virtualisatie, Mobility, Cloud, Datacenter, VoIP, diensten, Outsourcing, consolidatie, centralisatie van IT solutions, authenticatie voor Cloud applicaties. Zo maar enkele zaken waar uw dagelijks mee in aanraking komt. Deze processen stellen vaak nieuwe eisen aan de inrichting van netwerk- en security infrastructuur. 


12Secure-U speelt in op de toenemende behoefte van bedrijven van groot tot klein om de beveiliging van hun bedrijfsnetwerk te laten onderzoeken. Wij zijn actief in verschillende sectoren zoals de publieke sector, non-profit organisaties, financiële dienstverlening, zorgsector en industrie. Deze processen stellen vaak nieuwe eisen aan de inrichting van netwerk- en security infrastructuur.


Verder zijn veel bedrijven genoodzaakt over te gaan tot een ISO, ISAE, SOC normering of misschien een TPM-verklaring. Dit zijn trajecten waar vaak erg tegenop wordt gezien; maar het is wel een goede mogelijkheid om aan uw klanten en relaties laten zien dat u continu werkt aan kwaliteit, verantwoordelijkheden, verbetering van processen, producten, diensten en mensen.


Met 12secure-u heeft u de partner gevonden met jarenlange ervaring in het opzetten van verschillende ISO, ISAE of SOC omgevingen; geschikt voor alle organisaties, groot of klein en in alle markt segmenten, commercieel, overheden, non-profit organisaties etc.


Middels een samenwerking tussen 5 organisaties zijn wij experts op het gebied van gebied van Data Protection, Security, Privacy, en Informatisering. Vanuit die specialisaties adviseren wij bedrijven over de kwaliteit van hun ICT. Als security specialisten weten wij als geen ander hoe belangrijk het is om security op het hoogste niveau te houden. Door de complexiteit, snelle ontwikkelingen op security gebied en het aantal, snel van aard veranderende bedreigingen; nemen de risico's alleen maar toe.


De rode draad van het verhaal is dat wij u helpen een nieuw, beter beveiligingsbeleid te ontwikkelen dat de organisatie steunt in de bescherming van haar kostbaarste bezit, zoals confidentiële persoonsgegevens of intellectueel eigendom.


Wist u dat:

Werknemers een massaal beroep doen op het bedrijfsnetwerk voor persoonlijke transacties; 52 procent winkelt op het internet via dit bedrijfsnetwerk; 46 procent gebruikt het bedrijfsnetwerk voor hun social media activiteiten en 71 procent van de werknemers bankiert via hun bedrijfsnetwerk.



Pen Test: hoe veilig bent u bezig!   


Het gezegde "de beste aanval is een goede verdediging" is misschien wel afgezaagd, maar het is nog steeds waar - vooral voor de beveiliging van uw netwerk. Pen tests kunnen een goede proactieve methode voor het beheer van de netwerkbeveiliging van uw bedrijf zijn.

Bij een penetratietest (White/Grey/Black/Crystal) van 12Secure-U ® wordt die infrastructuur van uw bedrijf onderworpen aan “echte” aanvallen die door onze mensen worden geselecteerd en uitgevoerd. Alleen een werkelijke penetratietest kan simuleren wat er zou gebeuren als een vastberaden hacker uw organisatie zou aanvallen. Onze testresultaten maken inzichtelijk hoe uw beveiliging eruit ziet of waar u misschien de beveiliging moet updaten of versterken en zorgen ervoor dat u een goede nachtrust heeft.


Penetratie tests zijn een kritieke component van een overkoepelend informatie beveiligingsplan. Pen tests kunnen waardevolle gegevens verschaffen over hoe goed uw netwerk en bedrijfsinformatie beschermd zijn. Gecombineerd met uitgebreide training in beveiligingsbewustzijn voor uw staf, kunt u het risico dat uw beveiliging wordt doorbroken effectief verminderen.


De oplossingen waarmee wij werken controleert en beschermt duizenden netwerken, waaronder vele in financiële diensten, de gezondheidszorg en nutsbedrijven. Dit betekent dat als we een penetratietest op uw netwerk uitvoeren, we weten welke aanvallen er zijn, en welke het meest worden gebruikt tegen organisaties zoals de uwe. Onze tests zijn nauwkeurig afgestemd met behulp van deze unieke deskundigheid en dit leidt tot een meer gerichte, kosten besparende penetratietest. In feite bevat de database van  12Secure-U ®  iets meer dan een miljard aanvallen die zijn voorkomen. 


Next Gen SOC/SIEM-a-a-S


Op basis van eigen ervaring, onderzoek en bevindingen uit verschillende onderzoeken van IBM, Gartner, NCSC, ea; zien wij dat MKB bedrijven de veel voorkomende technische beveiligingsmaatregelen hebben genomen.  Bij deze maatregelen kan er gedacht worden aan een firewall en een anti-virus software. Deze verschillende maatregelen genereren meldingen, echter is er bij MKB'ers een gebrek aan tijd en/of specialisme om deze meldingen te monitoren en er adequaat op te reageren.

Om een beveiligingsincident in de toekomst te voorkomen of heden te onderdrukken, is het van belang dat deze meldingen worden gemonitord, vooral omdat deze meldingen vaak beveiligingsincidenten tijdig aangeven. Wij ondersteunen u op het gebied van implementatie, monitoring, analyse, en bieden overzichtelijke rapportages en adviseren daar waar nodig! 

 

Het Security Operations Center (SOC) van STIC.ONE werkt onafhankelijk van datacenters, leveranciers en/of producten en is inzetbaar in elke technische infrastructuur (hybride omgeving, Cloud omgeving enz.). STIC.ONE biedt met haar innovatieve Security Information en Event Management (SIEM) een complete oplossing voor 24/7 bescherming ten behoeve van de continuïteit van uw bedrijf.

Met onze dienstverlening komen wij zowel aan de behoefte van de bestuurders en managers als aan die van de beheerders tegemoet. Wij weten als geen ander dat het voldoen aan wet– en regelgeving veel inspanning vergt. Door continue scanning van uw netwerk en real-time rapportages helpen wij u bij het voldoen aan compliance.


Een Second Opinion, een eenmalige of tijdelijke vraag, maar ook continue bescherming; met onze dienstverlening die u ook kunt afnemen als een ‘as- a-Service’ bieden wij u zekerheid en inzicht in de kwetsbaarheden van uw organisatie. Voor visualisatie hiervan en een toespitsing op uw wensen nodigt STIC.ONE u graag uit voor een demonstratie bij ons Security Operations Center.

 

Wat is het voordeel van het SOC/SIEM-a-a-S?


Het SIEM bundelt monitoring en alarmering in chronologische volgorde: analyse, correlatie en rapportagefunctionaliteiten. Met het SIEM worden deze processen aanzienlijk efficiënter uitgevoerd dan met de losstaande systemen zelf en neemt veel handmatig werk uit handen.


Het SIEM vermindert het zogenaamde ‘aanvalsvlak’ van organisaties aanzienlijk. Dit gegeven - gecombineerd met een snellere detectie, alarmering en response vanuit het SIEM – zorgt ervoor dat de "schade" zo veel mogelijk beperkt blijft en het vermindert tegelijkertijd de mogelijke negatieve business impact "reputatieschade" op het moment dat u "doet wat u kunt".

Het SIEM kan, door de geïntegreerde kwetsbaarhedenscanner, ook worden ingezet om achterstallig onderhoud van de infrastructuur van binnenuit te detecteren en is goed te integreren met diverse, al in gebruik zijnde incident registratiesystemen.



Juist door een samenwerking van meerdere organisaties met elk hun eigen expertise bieden wij een breed scala aan kennis op het gebied van Cybersecurity, Compliancy, Informatiebeveiliging, IT Audits, maar ook van huidige en aankomende privacywetgevingen (AVG) en sinds dit weekend ook een Certificering hiervoor mogelijk. Verder zijn wij op de hoogte van de laatste ontwikkelingen op dit gebied en hebben jarenlange ervaring met het opstellen en uitvoeren van Security maatregelen, Compliancy vraagstukken, Informatiebeveiliging, Privacy beleid, beveiligingsrichtlijnen, verwerker overeenkomsten, etc.


Als organisatie beschikt u vaak over veel persoonsgegevens. Het koppelen en integreren van data, big data, business intelligence, Cloud Solutions, etc. zijn allemaal thema's waar steeds meer organisaties mee bezig zijn. Op het moment dat hierbij persoonsgegevens worden gebruikt is het van belang om te voldoen aan de wet.


Onze professionele Hackers, IT-auditors, Projectleiders en Consultants kunnen zich snel in uw bedrijfsprocessen inleven en kunnen u daardoor in een kort tijdsbestek deskundig bijstaan. Daarmee biedt 12secure-u de instrumenten voor het optimaliseren van de beveiliging en prestaties van uw organisatie.


De Data Protection Officer (DPO-a-a-S), ook wel Functionaris voor de Gegevensbescherming (FG) genoemd, bewaakt dit en signaleert tijdig problemen en (mogelijke) knelpunten. Daarnaast denkt hij ook mee met de organisatie om het gebruik van persoonsgegevens zo eenvoudig en veilig mogelijk te maken (PIA, PET). Bent u op zoek naar een Security Officer (SO-a-a-S), coördinator informatiebeveiliging, Information Security Officer, (CISO-a-a-S) een Security Expert of een IT-Security consultant met kennis op het gebied van de informatiebeveiliging en de bekende methodieken en kaders zoals onder andere; ISO 7510, ISO 9001, ISO 14001, ISO ISO 22301, ISO of ISO 45001, dan wel ISAE 3000 of ISAE 3402; ook dan bent u bij 12secure-u aan het juiste adres.


Of u bent op zoek naar een Privacy Expert met verstand van de nieuwe EU Privacy verordening, regelgeving Meldplicht, een Data Protection Officer of een IT-Security consultant met kennis op het gebied van de Wet bescherming Persoonsgegevens? 12secure-u heeft die consultants voor u binnen en buiten haar grenzen (EU)!


Een veel gestelde vraag is op dit monent:  wanneer moeten bedrijven nu precies data-lekken melden en wanneer is er sprake van 'ernstige nadelige gevolgen', zoals in de meldplicht is opgenomen.


De meldplicht is in eerste instantie bedoeld voor de verantwoordelijke van de database". Ook vanwege de toenmalige overeenkomst Safe Harbour hebben organisaties veel vragen over de noodzaak van een bewerkersovereenkomst. Artikel 14 van de Wet bescherming persoonsgegevens verplicht organisaties om met leveranciers, die in opdracht van hen persoonsgegevens verwerken, een dergelijke overeenkomst te sluiten. In de bewerkersovereenkomst worden de verantwoordelijkheden en plichten vastgelegd maar worden ook de aansprakelijkheid en beveiliging geregeld.


Men denkt dat de Autoriteit Persoonsgegevens niet meteen boetes uitdeelt en in eerste instantie vooral waarschuwt. "Voor een boete is vereist dat men opzettelijk of grof nalatig handelde. Bij een data-lek dat redelijkerwijs niet kon worden voorkomen, zal dus geen boete kunnen volgen. Wie geen beleid heeft, is per definitie grof nalatig, zo staat in die richtlijn." De boetes mogen dan misschien uitblijven, maar verwacht mag worden dat door de nieuwe meldplicht veel datalekken die tot voor kort onder de radar bleven, nu in de openbaarheid gaan komen. "Dat is misschien pijnlijk voor een bedrijf, maar op de lange termijn nuttig - want het is nog veel pijnlijker als klanten er via andere bronnen achter komen dat hun data is gelekt."


Door de meldplicht zullen bedrijven genoodzaakt worden hun beveiliging tegen het licht te gaan houden. Ook de Autoriteit Persoonsgegevens noemt dit preventieve effect een belangrijk onderdeel van de meldplicht. Tips Maak beleid, waarin je vastlegt hoe datalekken intern moeten worden gemeld en wie er besluit naar de Autoriteit Persoonsgegevens te stappen. Maak ook procedures die dit uitwerken, zodat de documentatie op orde is (welke dingen vastleggen, wie bewaart dat en hoe is het inzichtelijk). Documentatie moet worden verschaft aan de Autoriteit immers.


Dwing bij leveranciers van tools garanties af ten aanzien van datalekken. Verhoog hun aansprakelijkheid voor bugs die datalekken veroorzaken, of laat ze opdraaien voor de kosten van een security audit. Sluit met dienstverleners bewerkersovereenkomsten met daarin vergelijkbare garanties plus een meldplicht naar jou, zodat jij een melding bij de Autoriteit kunt doen als deze dienstverleners een lek veroorzaken.


Publiceer ethisch hackbeleid. Zo krijg je gratis tips over mogelijke datalekken die je kunt fixen voordat ze werkelijk worden misbruikt. Audit jezelf. Onderzoek in ieder geval waar de toegang tot persoonsgegevens beperkt kan worden. Moet iedereen echt bij alle klantgegevens kunnen, waarom liggen die papieren dossiers niet in een afgesloten kast en is het echt nodig dat archief twintig jaar te bewaren?

Stel een incident respons protocol op, zodat je alvast weet wat je moet doen als er een data-lek is. Stel een data-lek-team samen, zodat je de juiste mensen alvast bij elkaar hebt. Controleer je afspraken met leveranciers, zodat ze jou op de hoogte stellen van een meldplicht bij hun en houdt je beveiligingsmaatregelen in de gaten, zodat je snel van een data-lek op de hoogte bent.



ISO Standardisatie


De Code voor Informatiebeveiliging is op dit moment de meest gevraagde ISO norm na Voedsel en Waren; generiek aangeduid als de ISO 27001 bestaat uit twee delen: een norm (NEN ISO 27001) en een code of practice (NEN ISO 27002). Certificering gebeurt tegen de norm, de code of practice en geeft handreikingen voor de implementatie van maatregelen in de organisatie ISO specificeert eisen voor de implementatie van beveiligingsmaatregelen in het kader van de algemene bedrijfsrisico s voor uw organisatie. Dit houdt in bescherming van persoons- en/of bedrijfsgegevens, bescherming tegen hackers, inbraak, enz.


Uitgangspunt van ISO is dat het niet verplicht is; dus hoeveel waarde moet men hier dan aan hechten. Aan de andere kant moeten we ergens beginnen dus waarom niet een Europese standaard die richtlijnen geeft inzake Informatiebeveiligingsbeheer, waaronder de Risico-analyse, ISMS, Implementatie en het sturen van de Beheersmaatregelen die rekening houden met de segmentatie (Scope) waarin de informatiebeveiligingsrisico s van de organisatie gelden.


Wel of geen ISO 27001 Certificaat, what’s the difference

Vooropgesteld: Een organisatie die haar ISMS niet laat certificeren, mag in feite doen wat ze wil. Dus ook het negeren van wettelijke en contractuele eisen. In de praktijk gebeurt dit ook.

Bij certificering gaat het erom dat belanghebbenden die diensten en producten betrekken van een leverancier, moeten kunnen vaststellen of het ISO27001-certificaat hun belang dient. Zij kunnen niet weten dat hun leverancier een belangrijke contractuele of wettelijke verplichting terzijde heeft geschoven. Daarom dient de certificatie-instelling dit te bewaken en geldt de volgende regel:

Het niet adresseren van contractuele of toepasselijke wettelijke informatiebeveiligingseisen in een managementsysteem voor informatiebeveiliging is toegestaan, zolang deze eisen geen betrekking hebben op de activiteiten, diensten en producten die op het ISO27001-certificaat vermeld staan. Wanneer een CI dit wel toestaat, is de scope misleidend voor belanghebbenden (zie ISO 17021-1)


Met het Europees erkende ISO certificaat laat u zien dat uw systeem gecertificeerd is op het gebied van informatiebeveiliging. Met het certificaat kunt u bewijzen dat uw organisatie de nodige voorzorgsmaatregelen heeft genomen om vertrouwelijke informatie te beschermen tegen ongeautoriseerde toegang. Richting uw opdrachtgevers geeft u aan dat u het informatieproces beheerst en gegevens van uw opdrachtgevers goed heeft beveiligd. Met het ISO certificaat voldoet uw organisatie tevens aan de eisen op het gebied van informatiebeveiliging bij aanbestedingen.


ISO geeft richtlijnen en principes voor het initiëren, implementeren, onderhouden en verbeteren van informatiebeveiliging binnen een organisatie. Steeds meer organisaties kiezen ervoor de beveiliging van hun informatie te structureren op basis van de ISO norm. Na ISO die betrekking heeft op voedselveiligheid is ISO 27001 inmiddels de meest gebruikte standaard van ISO. ISO 27001:2013 is de eerste norm die voldoet aan de High Level Structure (HLS).


De doelstellingen die in deze internationale norm worden beschreven, geven richtlijnen voor de algemeen aanvaarde doelen van informatiebeveiliging. Deze Internationale ISO norm is ontworpen om te worden gebruikt door organisaties die voornemens zijn om. Certificeringen zijn vaak gericht op NEN ISO omdat dit een bekende naam is in de markt. Maar misschien is dit wel niet de best passende certificering voor uw organisatie. Het raamwerk van de ISO is namelijk vrij rigide en vereist voor de certificering dat alle normen (ook die niet direct relevant hoeven te zijn voor uw organisatie) wel geïmplementeerd moeten worden.


Het ISO certificaat toont aan dat de (interne) processen en de informatie die daarbij verwerkt wordt, beheerst en dat gevoelige gegevens beveiligd zijn tegen ongeautoriseerde toegang en bewerking. Hiermee wordt de beschikbaarheid, integriteit en vertrouwelijkheid van informatie van aangesloten keurbedrijven en uitgevoerde keuringen geborgd. 


Waarom Standaardisatie

Stelt u voor dat een incident uw bedrijfsvoering stagneert; stroom valt uit, er breekt brand uit, in geval van waterschade, iemand breekt bij u in of uw vitale systemen worden gehackt. U of iemand van uw personeel wordt ziek of erger nog vertrekt naar een andere werkgever, wat gaat u doen? Continuïteit is niet alleen belangrijk voor grote organisaties, maar ook voor kleine want die zouden bij grote interruptie hoogstwaarschijnlijk de deuren kunnen sluiten. Er vanuit gaan dat het u niet overkomt, is niet slim, want het kan gebeuren! Standaarden kunnen u juist in deze omstandigheden helpen om snel weer operationeel te zijn. Zij zorgen er tevens voor dat uw toeleveranciers, uw merk en uw reputatie veiliger zijn.


 

Het uitvoeren van een Nul meeting?

Hiermee maken we het inzichtelijk in hoeverre uw organisatie voldoet aan bepaalde normen. 12secure-u doet dit voor een brede groep klanten, een aantal voorbeelden zijn bijvoorbeeld ISO 27001 (Informatiebeveiliging), NEN 7510/11 (Informatiebeveiliging in de zorg) en NEN 20000 (Service Management) en NEN 22301 (Continuïteitsaudit). De uitkomsten geven aan wat de basis vormt voor uw verbetertraject: ‘Wat moet er nog gebeuren om te voldoen aan de norm?'

Na deze pre-audit kunt u ook beter inschatten of daadwerkelijke certificering een haalbare kaart is. Dit voorkomt onder andere onnodige kosten.

 

Informatiebeveiliging ISO 27001

De ISO 27001 is een standaard voor Informatiebeveiliging en deze internationale norm is van toepassing op allerlei soorten organisaties. De norm specificeert eisen in het kader van de algemene bedrijfsrisico's voor de organisatie. Deze moet worden vastgelegd in een gedocumenteerd informatiesysteem, het Information Security Management System (ISMS). In uw ISO 27001 management systeem legt u vast aan welke beveiligingseisen u voldoet en vervolgens beoordeelt een onafhankelijke auditor of u inderdaad de door u gekozen maatregelen binnen de door u gekozen scope naleeft en hij rapporteert hierover aan u. U stelt vervolgens op basis hiervan een bewerkersovereenkomst op, die u voorlegt aan al uw klanten. Op deze manier heeft de klant zijn privacy risico afgedekt en hoeft hij ook niet meer zelf de controle op naleving te doen. Die controle wordt immers gedaan door de auditor.
Misschien schrikt u even, dat ik ISO 27001 naar voren schuif als praktische oplossing. Ondanks alle cowboy-verhalen over ISO certificaten gaat het er om in control te zijn  en in de basis is dat heel eenvoudig. Het komt neer op: “Zeg wat je doet, doe wat je zegt en laat zien dat je dat gedaan hebt”. ISO-normen van tegenwoordig gaan met name over dat laatste: de aantoonbaarheid van wat je doet binnen de door jezelf bepaalde scope. Het enige, wat de norm eist is dat je in control bent ofwel dat je je afspraken nakomt. En uiteraard word je alleen geaudit op maatregelen die relevant voor je diensten zijn.


NEN 7510; Informatiebeveiliging voor de Zorg

Alle zorgaanbieders in Nederland moeten sinds januari 2018 aan de NEN 7510 voldoen, conform het besluit Elektronische gegevensverwerking Zorgaanbieders.

In deze wet staat ook dat organisatie moeten voldoen aan de NEN 7512 en NEN 7513. Immers, de elektronische gegevensverwerking moet veilig plaatsvinden (NEN 7512), maar activiteiten moeten ook zorgvuldig worden gelogd (NEN 7513). In de wet staat dat zorgorganisaties aan deze normen moeten voldoen. Wat er niet staat is dat de organisaties gecertificeerd moeten zijn. Echter, gebaseerd op de inhoud van de meest recente brieven van het Ministerie van Volksgezondheid, Welzijn en Sport betreffende aanstaande e-Health regels, zal het een kwestie van tijd zijn voordat een NEN 7510 certificering verplicht wordt gesteld.


Kwaliteitsmanagement op basis van ISO 9001

Iedereen praat over Meldplicht, ISO 27001/7510, maar ik denk dat een ISO 9001 (kwaliteitsmanagement) erg interessant kan zijn voor veel organisaties. Al is het maar om aan de buitenwereld aan te tonen dat men bereid is zaken te borgen. ISO 9001 geeft oa vorm aan normen en kaders, maar misschien belangrijker nog; geeft meetpunten, op klant, branche, product en of oplossing. Geeft onderscheidend vermogen, zeker nu er alleen nog maar gepraat wordt, biedt misschien openingen voor nieuwe partnerships. Medewerker en klant tevredenheid gaat omhoog en als laatste misschien wel belangrijkste; er worden afspraken gemaakt,

verantwoordelijkheden worden structureel vastgelegd in een management systeem. ("Moeder der ISO's) Mocht men op een later tijdstip besluiten een andere ISO certificering willen behalen, is dit makkelijker te implementeren binnen de organisatie en op het bestaande kwaliteitsmanagement  systeem.


Audit ITIL (ISO 20.000)

Veel ICT-organisaties zijn ingericht op basis van ITIL. Dat betekent dat er procesmatig wordt gewerkt. Binnen de verschillende processen kunnen problemen ontstaan zoals bijvoorbeeld incidenten die niet of in te lange doorlooptijd worden opgelost, wijzigingen die niet geautomatiseerd (kunnen) worden doorgevoerd, afspraken die zijn vastgelegd in SLA’s maar niet worden nagekomen etc.

Naast problemen of knelpunten in het proces kunnen er ook problemen ontstaan op het moment dat de verschillende processen niet goed op elkaar aansluiten. 12secure-u heeft ruime ervaring met ITIL (ISO 20.000) en kan voor u alle processen en de samenhang onderzoeken.


Waarom een ISAE 3402

Veel (gebruikers)organisaties besteden delen van hun activiteiten uit aan serviceorganisaties. Het betreft steeds vaker activiteiten die bij verstoring een grote impact kunnen hebben op de gebruikersorganisatie. Daarom is het continue goed functioneren van de serviceorganisatie van essentieel belang voor de gebruikersorganisatie. Afspraken over de dienstverlening worden vaak vastgelegd in een Service Level Agreement (SLA). De SLA biedt over het algemeen echter niet voldoende zekerheid over de kwaliteit van de dienstverlening van de serviceorganisatie.

Dit is de reden waarom de gebruikersorganisatie periodiek gerapporteerd wil worden over de kwaliteit van de uitbestede activiteiten door een onafhankelijke auditor. De rapportage over uitbestede activiteiten heet een ISAE 3402-verklaring.
Met de ISAE 3402-verklaring toont de serviceorganisatie aan in hoeverre zij voldoet aan de kwaliteitseisen van de gebruikersorganisatie. Deze informatie is van belang voor de gebruikersorganisatie om vast te stellen in hoeverre zij in control zijn over de uitbestede activiteiten.


ISAE 3000 audit en advies

Sinds de ontwikkeling en ingebruikname van de ISAE 3402 heeft deze standaard jarenlang gegolden als de “best beschikbare optie” voor het verlenen van een redelijke mate van Assurance over uitbestede processen. Daarnaast is de afgelopen jaren ook verder ontwikkeld aan een product naast

de ISAE 3402 door het American Institute of Certified Public Accountants (AICPA): de SOC-rapportagestandaard. Deze rapportagestandaard is in het leven geroepen om uitbestede processen beter audit-baar te maken, zonder dat een auditor hierbij normenkaders als de SAS 70 of de ISAE 3402 gebruikt voor het

verlenen van Assurance over uitbestede diensten.

SOC rapportages (met uitzondering van SOC 3) kunnen rapporteren over het opzet en bestaan, maar ook over de werking van geïmplementeerde beheersmaatregelen. SOC 3 is enkel verkrijgbaar als een rapportage welke het opzet, bestaan en werking van beheersmaatregelen toetst.


Third Party Memorandum (TPM)

Een Derdenverklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening en - beheersing van een organisatie. De verklaring gaat vooral over de aantoonbaarheid en de auditor toetst vervolgens de opzet, is er een ontwerp? Het bestaan, zijn de processen er? En de werking, werken de processen conform de opzet? Hiermee verklaart een onafhankelijke Register EDP auditor met zijn bevindingen middels een (Assurance) rapport over een organisatie aan de hand van de vooraf opgestelde criteria of de genoemde producten en beheerprocessen voldoen aan die toetsing. We noemen dit een TPM of Third Party Mededeling omdat de eerste partij de producent/leverancier is, de tweede partij is de klant/afnemer en de derde partij is de onafhankelijke derde.


Aantoonbaar voldoen aan de BIO?

Alle overheden en organisaties verbonden aan de overheid moeten in 2020 voldoen aan de BIO eisen. De BIO heeft aanvullende eisen op de ISO27001 – bijlage A maatregelen vastgesteld. Veelal wordt dit ook uitgelegd dat de BIO aanvullende is op de ISO27002. dit is niet helemaal juist omdat de ISO27002 implementatie richtlijnen geeft voor de in Bijlage A vermelde beheersmaatregelen.  Feitelijk geeft de BIO aanvullende eisen op de bijlage A beheersmaatregelen uit de ISO27001 en in de praktijk worden BIO audits vaak gecombineerd met een ISO27001 certificering. De organisatie moet, bij wet voldoen aan de BIO. bij het niet voldoen is er feitelijk een wetsovertreding. Belangrijk dus dat de organisatie kan aantonen aan relevante stakeholders dat er ook daadwerkelijk wordt voldaan aan de aanvullende BIO eisen. Binnen de BIO bestaan er 3 Basis Beveiliging: BBN1, BBN2 en BBN3.


In de praktijk worden BIO audits vaak gecombineerd met een ISO27001 certificering. De aanvullende BIO maatregelen worden dan meegenomen tijdens de certificering audit. Om te komen tot een offerte voor certificeren moeten we een goed beeld hebben van uw organisatie

 

Privacy audit

Privacybescherming staat in toenemende mate in de belangstelling. Voor een groeiend aantal bedrijven is het zorgvuldig omgaan met persoonsgegevens een onderwerp waarmee zij zich in positieve zin willen onderscheiden van concurrerende bedrijven. 
Daarnaast worden de boetes voor het niet zorgvuldig omgaan met persoonsgegevens ook steeds hoger, zeker op het moment dat de EU privacy verordening wordt ingevoerd. Zie KPN.

 

IT security audits

Informatiebeveiliging wordt steeds belangrijker voor organisaties doordat de afhankelijkheid van de informatievoorziening toeneemt. Periodiek een audit laten uitvoeren op de informatiebeveiliging geeft de organisatie zekerheid dat de continuïteit, integriteit en exclusiviteit is gewaarborgd. Wij gebruiken bij de audit de algemeen geaccepteerde norm ISO 27001 (code voor informatiebeveiliging). Bij het auditen van een zorginstelling gebruiken we de NEN 7510.

 

Continuiteitsaudit

Continuïteit van de dienstverlening wordt steeds belangrijker. Zeker voor organisaties die gebruik maken van webdiensten is continuïteit cruciaal. Een webwinkel die niet beschikbaar is zal direct leiden tot minder omzet. Ook het niet beschikbaar zijn van de applicaties voor het primair of ondersteunend proces kunnen leiden tot een omzetderving of medewerkers die hun werkzaamheden niet kunnen uitvoeren.

 

DigiD beveiliging, audit en advies

12secure-u is expert op het gebied van DigiD-audits, IT-Audits en Security Scans. Onze medewerkers zijn allen gekwalificeerde IT-auditors en geregistreerd bij NOREA (Nederlandse Orde van Register EDP-Auditors). Hierdoor bent u verzekerd van de juiste kennis en kunde, maar nog belangrijker; een betrouwbare partner.

 

EDP-audit

EDP-Auditing betekent letterlijk de beoordeling van Electronic Data Processing. Juist door de toenemende automatisering van (persoons-)gegevens en de verschuiving van de verwerking van het administratieve proces door een geautomatiseerd systeem, is het overzicht en betrouwbaar zijn en blijven van deze data van steeds groter belang.

 

IT audit voor Gemeenten

12secure-u heeft op basis van haar jarenlange ervaring van het werken in de overheidssector en in/met gemeenten, specifieke audits en onderzoeken ontwikkeld voor deze branche.

De ontwikkelingen op het gebied van informatisering binnen de gemeenten bepalen tegenwoordig voor een groot deel het gezicht van de gemeente. De VNG en het kabinet zijn het eens dat gemeenten dé toegangspoort tot de overheid moeten worden. Steeds meer processen en producten van de overheid worden gedigitaliseerd en er zijn veel projecten binnen gemeenten gestart (of lopen al) om dit mogelijk te maken. Door die informatisering verschuift het controleproces steeds meer van handmatig controles naar (geautomatiseerde) ICT-controles en ook het volume neemt toe.


System audit uit laten voeren?

Bij een System Audit kan 12secure-u het complete operationele informatie systeem binnen uw organisatie beoordelen. Binnen IT-auditing worden 2 onderdelen onderzocht in de verschillende typen audits:

Technical Audit, waarin de technische infrastructuur van een organisatie wordt onderzocht.

System Audit, waarin het operationele informatiesysteem van een organisatie wordt onderzocht. 


ICT contract audit

Met een audit/onderzoek op ICT-contract(en) worden huidige contracten die u met uw ICT-leveranciers heeft doorgelicht en beoordeelt. Met het onderzoeksrapport krijgt u een duidelijk, helder en objectief beeld van de afspraken die er met uw ICT-leverancier(s) zijn. Met deze informatie kan u onvolkomenheden of tekortkomingen oplossen, voordat u ermee wordt geconfronteerd in uw bedrijfsvoering. Hoe afhankelijker uw organisatie van ICT wordt, hoe belangrijker het is om de afspraken hierover goed contractueel en met SLA’s vast te leggen.

 

Wilt u PCI DSS-compliant worden

De Payment Card Industry Data Security Standard (PCI DSS) beschrijft eisen voor organisaties die betalingen met betaalkaarten verwerken. Deze norm omvat eisen voor procedures, toegangscontrole en logging, evenals regelmatige audits en dus controles door erkende auditors om ervoor te zorgen dat deze eisen en voorschriften worden nageleefd.