Vijf manieren waarop wij jouw data beschermen tegen hackers

Gehackte computers, gestolen wachtwoorden of een lek in een database. Je hoort en leest er steeds vaker over. Bij Cendris werken wij veel met persoonsgegevens en consumentendata van onze opdrachtgevers. In deze blog deel ik hoe wij met de risico's van cyber crime vandaag de dag omgaan.

Auteur: Freek Weijtens

Ooit was de brief hét middel voor klantcommunicatie. Door de jaren zijn daar ontzettend veel (goede) digitale middelen bij gekomen. Persoons- en gespreksgegevens slaan we digitaal op. Facturen versturen we via e-mail. Klantvragen worden in een tweet of Whatsappbericht beantwoord. Waarschijnlijk zitten je eigen vakantiefoto's ook niet meer in een fotoboek, maar staan ze netjes in een clouddienst als Dropbox. ICT is meer en meer verweven met ons dagelijks leven, zowel zakelijk als privé.

Cyber crime

Daarmee groeien echter ook de bijbehorende gevaren. Steeds vaker bereiken berichten over cyber crime zoals het werk van hackers, phishing en gestolen data het nieuws. Er is een strijd ontstaan tussen slimme hackers en bedrijven die de privacy van hun klantgegevens willen waarborgen. Het is natuurlijk geen prettig idee dat kwetsbare bestanden zoals klantgegevens in handen kunnen komen van vreemden.

Databeveiliging binnen Cendris

Binnen Cendris ben ik hoofdverantwoordelijke voor alle ICT-gerelateerde zaken. Samen met mijn team werk ik bijvoorbeeld aan de beveiliging van onze systemen, het veilig en wettelijk opslaan van telefoongesprekken en onze digitale infrastructuur. Cendris werkt met persoonlijke gegevens van de klanten van onze opdrachtgevers en het is absolute noodzaak dat die informatie niet in verkeerde handen valt. Informatiebeveiliging is absoluut één van onze prioriteiten. Met deze vijf maatregelen zorgen wij voor maximale ICT-veiligheid:

1. ISO 27001-certificaat

Wij zijn onder meer ISO 27001-gecertificeerd. Dat is een norm op het gebied van informatiebeveiliging, geschreven door experts van over de hele wereld. Het specificeert de eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van onze beveiligingsmaatregelen. Dat betekent in de praktijk dat wij door een externe partij op circa 135 criteria op het gebied van informatiebeveiliging worden getoetst. Denk bijvoorbeeld aan ons wachtwoordenbeleid, het autorisatieproces dus wie mag bij welke bestanden komen en de sterkte van onze firewalls. Een serieuze norm bij een serieuze taak.

2. Vliegtuigbestendig cyber centre

Ons cyber centre, het hart van onze ICT-activiteiten, staat in Oude Meer en is gevestigd in een bijzonder gebouw. Dit oude NAVO-gebouw schijnt vliegtuigbestendig te zijn, al grap ik altijd dat ik benieuwd ben hoe ze dit hebben getest. Het terrein kom je in ieder geval niet zomaar op, laat staan dat je het gebouw eenvoudig binnen komt. Hier staan onze belangrijkste fileservers en ons Contact Centre-platform waarop onze dienstverlening draait. Gespreksopnames worden hier volgens de wet voor een specifieke periode opgeslagen. Logischerwijs wordt dit gebouw goed bewaakt en zijn er voor alle mogelijke calamiteiten, zoals brand, treffende beveiligingsmaatregelen genomen. Op deze locatie gaat men erg ver in de beveiliging. Een voorbeeld: zowel bij aankomst als vertrek wordt je gewogen, om zo te voorkomen dat spullen zonder autorisatie het gebouw verlaten. Een grote lunch kun je hier dus beter achterwege laten.

4. Bescherming tegen hackers

Het zal je maar gebeuren dat je gehackt wordt. Net als in een goed beveiligd huis kan er worden ingebroken, maar ik kan je beloven dat wij als organisatie alle benodigde beveiligingsmaatregelen nemen. Met firewalls zien we precies wie er in ons systeem binnenkomt. Ons netwerk is afgeschermd van de buitenwereld en met onze opdrachtgevers werken we via 1-op-1 verbindingen. Komt er in het uitzonderlijke geval toch een buitenstaander in ons systeem, dan zal diegene tegen deelsystemen aanlopen. Je hebt dus verschillende wachtwoorden nodig om toegang te krijgen tot bestanden. Sommige bestanden kunnen zelfs enkel vanuit een specifieke locatie bekeken worden, bijvoorbeeld vanaf onze vestiging in Leeuwarden. Daarnaast werken we met een Intrusion Detection System; een geautomatiseerd systeem dat hackpogingen en ongeautoriseerde toegang tot een informatiesysteem signaleert. We zien het dus meteen als iemand die er niet hoort op ons netwerk zit, zodat we direct maatregelen kunnen nemen.

5. Menselijk handelen

Ik ben natuurlijk niet alleen. Cendris is een bedrijf met veel hardwerkende mensen. Daarom houden we met trainingen het bewustzijn onder onze medewerkers op dit gebied hoog. Bij ieder project, ook intern, bekijken we hoe informatie het best beveiligd kan worden. Daarnaast bezoeken medewerkers bijvoorbeeld bijeenkomsten waar hackers live direct een zelfgekozen wachtwoord kraken. Heel bijzonder om met eigen ogen te zien, maar vooral erg nuttig. Als je weet hoe hacken werkt, weet je beter hoe je je hier tegen kunt beschermen.

Niet alles prijsgeven

Bovenstaande tips zijn bruikbaar, maar eigenlijk pas het begin. Ik wil uiteraard niet dat hackers alles te weten komen over hoe wij de privacy van onze opdrachtgevers en hun klanten beschermen. De laatste tip is daarom: ga met je eigen informatie net zo om als met gegevens van je klanten en houd deze uit handen van anderen. Veel maatregelen voeren wij achter gesloten deuren uit, met zo min mogelijk toeschouwers. Als hackers niet eens weten waar ze moeten beginnen, dan blijf je ze altijd een stapje voor.