Beveiliging

Informatiebeveiliging, de sterkste schakel in beveiliging

Bij Inetum is informatiebeveiliging essentieel om het vertrouwen van onze klanten te vergroten en te behouden. Daarom zetten wij ons in om de veiligheid van de gegevens, diensten en toepassingen van onze klanten te waarborgen, terwijl we ook de conformiteit van ons informatiesysteem en dat van onze klanten handhaven. De uitvoering van onze toezeggingen is gebaseerd op een flexibel en efficiënt beveiligingsbeheersysteem dat ons, samen met onze goed opgeleide en bewuste medewerkers, in staat stelt om snel te reageren op beveiligingsincidenten.

Onder verantwoordelijkheid van de veiligheidsdepartement zorgt de Groep voor de consistente toepassing van veiligheidsmaatregelen op alle niveaus. De beveiliging wordt geïmplementeerd in de productie-eenheden met beveiligingsmanagers voor de belangrijkste business lines en sitecorrespondenten. Voor elk project wordt systematisch een veiligheidscorrespondent aangesteld. De toepassing van veiligheid betreft ook de integriteit van onze onderaannemers, die contractueel gebonden zijn aan vertrouwelijkheids- en veiligheidsclausules. Hun diensten worden strikt gecontroleerd volgens de eisen van de klant.

Duidelijk geïdentificeerde beveiligingsstandaarden

Klantgegevens zijn per definitie vertrouwelijk en vallen onder beschermingsregels die de verwerking en overdracht beperken tot het specifieke doel waarvoor de gegevens contractueel zijn verstrekt.

Een bewustwordingsprogramma bevordert informatiebeveiliging onder medewerkers door een beveiligingscultuur te creëren waarin zij verantwoordelijk worden gesteld. Het programma versterkt onze informatiebeveiliging door medewerkers te herinneren aan het belang van ethische waarden, gedragsprincipes, en de regels die gevolgd moeten worden, evenals de mogelijke sancties bij niet-naleving. Een trainingsprogramma over beveiliging biedt cursussen voor verschillende personeelscategorieën, zoals managers, sales- en pre-salesmedewerkers, ontwikkelaars, beheerders, CIO's, enz.

Beveiligingsperimeters definiëren beveiligingsniveaus die specifiek kunnen zijn. Afhankelijk van de geïdentificeerde risico's worden deze perimeters afgeschermd met fysieke en logische beveiligingsmaatregelen die helpen de toegang te beperken volgens de toegangsregels.

De toegang tot informatiesystemen wordt beheerd via zowel fysieke als logische zones. Toegangsbeheer is gebaseerd op het principe van “least privilege” en beperkt toegang tot het strikt noodzakelijke. Toelatingen worden regelmatig herzien, waarbij rekening wordt gehouden met wie is aangekomen, wie is overgeplaatst en wie is vertrokken.

Beveiligings- en compliancebehoeften worden in kaart gebracht zodra een nieuwe activiteit intern of voor klanten wordt opgestart. Vervolgens wordt de benodigde organisatie opgezet om de veiligheid tijdens de ontwikkeling en uitvoering van de activiteit te waarborgen.

Beveiligingsmaatregelen worden op een allesomvattende manier toegepast – voor gebouwen, mensen, netwerken en IT-apparatuur. Werkstations worden beveiligd met een tool die het beveiligingsniveau van elk apparaat toont en de toegang tot netwerken beperkt (NAC-oplossing). Apparatuur en verbindingen voor tele- en mobiel werken worden beschermd met mobile device management (MDM) en beveiligde communicatietunnels via virtual private networks (VPN). Alle netwerkstromen worden gefilterd en bewaakt.

Deze diensten en producten worden beveiligd door maatregelen te integreren in de toepassingen, om een ultramodern beveiligingsniveau te garanderen. Het belangrijkste doel van deze maatregelen is om de veerkracht van de diensten, de integriteit van de verwerking en de bescherming van gegevens te waarborgen. Er worden bovendien ontwikkelingen uitgevoerd om software te beschermen tegen bekende beveiligingslekken, zoals vermeld in belangrijke standaarden zoals OWASP.

De operationele veiligheid wordt gewaarborgd door de geografische spreiding van de gebouwen van de Groep, die het mogelijk maakt om veel vergelijkbare activiteiten op afstand uit te voeren. De redundantie van klantensystemen is gebaseerd op gedefinieerde contractuele vereisten. Alle continuïteitsmaatregelen worden beschreven in bedrijfscontinuïteitsplannen (BCP) voor elke locatie en elk project.

Om het verwachte niveau van vertrouwen te behouden, blijven de belanghebbenden van Inetum op de hoogte van nieuwe technologieën en regelgeving. Publicaties en waarschuwingen van CERT's en expertgroepen helpen hen hierbij.

Een specifieke organisatiestructuur en procedures garanderen een snelle reactie bij het identificeren en oplossen van incidenten. Deze incidenten worden geanalyseerd om acties te definiëren die de beveiliging verbeteren. Klanten worden op de hoogte gebracht van beveiligingsincidenten die gevolgen voor hen kunnen hebben, volgens de voorwaarden in het beveiligingsplan (SAP). Bij kritieke beveiligingsincidenten wordt een crisiseenheid geactiveerd om de situatie te beheren.

Het beveiligingsbeheer van Inetum voldoet aan de ISO 27001-norm en is gebaseerd op een continu verbeteringsproces op drie niveaus:

  • Operaties: Als reactie op beveiligingsincidenten
  • Beveiligingsprocessen: Via een jaarlijks intern auditprogramma
  • Beveiligingsstrategie: Door middel van managementreviews

Aangepaste vertrouwenszones voor klanten

Om te voldoen aan de beveiligingsverplichtingen die specifieke organisaties stellen voor het leveren van diensten, stelt Inetum een compliance perimeter op. In overleg met de klant omvat deze vertrouwenszone de volgende bepalingen:

  • Beveiligingsvereisten: Er wordt een kader van beveiligingsvereisten vastgesteld dat van toepassing is op de perimeter. Elke afwijking moet door de klant worden goedgekeurd.
  • Verantwoordelijke persoon: Er wordt een verantwoordelijke aangewezen voor de compliance perimeter van Inetum.
  • Logboek: Een logboek wordt bijgehouden om traceerbaarheid te waarborgen.
  • Beveiligingsregels: De fysieke en logische beveiligingsregels worden versterkt volgens de gedefinieerde vereisten, bijvoorbeeld door speciale lokalen, gecodeerde werkstations, sterke authenticatie, geblokkeerde USB-poorten en serverbewaking.
  • Bewustwording: Leidinggevenden en werknemers worden bewust gemaakt van de beveiligingsvereisten van de perimeter.
  • Opleidingen: Werknemers worden regelmatig ingeschreven voor relevante beveiligingsopleidingen.
  • Compliance-indicatoren: Indicatoren worden opgesteld voor de naleving van de vereisten, met name wat betreft het beveiligingsbeheer voor externe dienstverleners.