November 2022

orderForm.title

orderForm.productCode

orderForm.description

orderForm.quantity

orderForm.itemPrice

orderForm.price

orderForm.totalPrice

orderForm.deliveryDetails.name

orderForm.deliveryDetails.accountNumber

orderForm.deliveryDetails.phone

orderForm.deliveryDetails.poNumber

orderForm.deliveryDetails.email

orderForm.deliveryDetails.companyName

orderForm.deliveryDetails.billingAddress

orderForm.deliveryDetails.deliveryAddress

orderForm.deliveryDetails.deliveryDetailsDeliveryAddressSameAsBillingAddress

orderForm.deliveryDetails.address1

orderForm.deliveryDetails.address2

orderForm.deliveryDetails.city

orderForm.deliveryDetails.state

orderForm.deliveryDetails.postCode

orderForm.deliveryDetails.country

orderForm.deliveryDetails.additionalInformation

orderForm.noItems

VEILIGHEID & PRIVACY

‘We willen het ISO 27001 certifi caat niet halen omwille van window dressing’ CHRISTIANNE VAN SCHAIK

Meerdere tests Om de veiligheid van het systeem te waarborgen, laat het register jaarlijks meerdere tests uitvoeren door een externe partij: een risicoinventarisatie en twee keer per jaar een pentest*. “Al zijn je intenties nog zo goed om een zo goed en veilig mogelijk systeem neer te zetten, dan nog kan het voorkomen dat je ergens overheen kijkt of dat er een lek is dat je niet ziet”, legt Christianne uit. Als vakspecialist interne organisatie bij het Centraal Register Techniek houdt zij zich bezig met interne bedrijfsvoering en processen, waar ook informatiebeveiliging onder valt. Pentests zijn volgens Smolders standaard voor bedrijven die zich bezighouden met IT en soft wareontwikkeling. “Zeker als de soft ware, zoals in dit geval, gericht is op het bouwen van een register met gevoelige gegevens. In de AVG staat dat je passende beveiligingsmaatregelen moet treff en om die veilig te houden. Met ‘passend’ wordt bedoeld dat je als bedrijf zelf de risico’s in kaart moet brengen. Doe je dat niet, dan bestaat de kans dat er risico’s zijn waarvan je niet weet dat ze bestaan. En hoe langer dat duurt, hoe groter de kans op misbruik. Al ben je tien jaar bezig met het bouwen van een systeem, er komen altijd weer nieuwe kwetsbaarheden naar boven.” Christianne vult aan: “Je begint ergens aan en dat doe je zo goed mogelijk, maar omdat het systeem zich ontwik- kelt, net als de rest van de wereld, zul je ook je veiligheid moeten blijven doorontwikkelen. Veiligheid is nooit klaar. Bovendien zijn wij niet bang om toe te geven dat wat we ontwikkeld hebben, altijd nóg beter kan.”

ISO-traject Zelf roepen dat je goed bezig bent, is volgens Christianne als een slager die zijn eigen vlees keurt. “Om ook aan de buitenwereld te laten zien dat we veiligheid serieus nemen, zitten we in het traject voor ISO 27001 certifi ce- ring. Het ISO-keurmerk is een internationale standaard voor informatiebeveiliging die hoog aangeschreven staat. Vorig jaar hebben we hiertoe de eerste stappen gezet. De beleidsfase is nu bijna afgerond. Van daaruit maken we de stap naar risicoinventarisatie. Dat gaat over techniek, zoals het beschermen van gegevens met een wachtwoord, maar vooral ook over bewustzijn onder de medewerkers. Je moet elkaar durven aanspreken, elkaar meenemen in wáárom iets belangrijk is.” Na de risicoinventarisatie volgt de controlefase, van waaruit kan worden toegewerkt naar een audit. “Dat

20

begint met een interne audit. Staat alles zoals we het hebben bedacht en wordt het ook zo uitgevoerd? Vervolgens komt een externe partij met een objectieve, maar kritische blik kijken of het systeem inderdaad zo goed is als we zelf denken. Maar voordat we zover zijn, zullen we nog een aantal zaken in beeld moeten brengen en vastleggen. Dat heeft tijd nodig. Wij willen het certifi - caat niet halen omwille van window dressing. We hebben de ambitie om het echt goed te doen en dat het door de hele organisatie wordt gedragen. Uiteindelijk gaat het erom dat we met elkaar steeds beter worden, zodat we die betrouwbare en aantrekkelijke partij zijn om mee samen te werken.”

Pentest: veiligheid getest door de bril van een hacker Jaarlijks voert Onvio in opdracht van het Centraal Register een pentest uit op de (web)applicaties en IT-infrastructuur. Als onafhankelijk specialist test Onvio nieuwe functionaliteiten en kijkt naar hoe veilig die zijn. Het doel? Het register veiliger maken. Een pentest toont niet alleen aan hoe het is gesteld met het huidige beveili- gingsniveau, maar levert ook mogelijke inzichten op om de beveiliging van de (web)applicaties en IT-infrastructuur te verbeteren. Het woord ‘pentest’ is een afkorting van ‘penetratietest’ en komt van de Engelse term ‘penetration testing. “Bij een pentest kijken security specialisten naar een systeem door de bril van een hacker”, legt Jasper Weijts, Ethical Hacker en Security Specialist bij Onvio, uit. “Hierbij maken ze gebruik van alle beschikbare openbare informatie en middelen om een systeem binnen te drin- gen.” Er zijn drie manieren om een pentest uit te voeren: · Black Box: de hacker krijgt geen enkele informatie over het doelwit;

· Grey Box: de hacker krijgt beperkte informatie over het doelwit;

· White Box: de hacker krijgt van tevoren alle informatie over het doelwit.

Een pentest kan worden uitgevoerd op (web)applicaties zoals een website of mobiele app, maar ook op een intern netwerk of op een complete ICT-infrastructuur.

Page 1 | Page 2 | Page 3 | Page 4 | Page 5 | Page 6 | Page 7 | Page 8 | Page 9 | Page 10 | Page 11 | Page 12 | Page 13 | Page 14 | Page 15 | Page 16 | Page 17 | Page 18 | Page 19 | Page 20 | Page 21 | Page 22 | Page 23 | Page 24