ISO 27001 certificering is pijler onder cybersecuritybeleid Eurofiber
Er gaat bijna geen dag voorbij of cybersecurity staat wel in het nieuws: van grootschalige aanvallen op webservers tot al dan niet geslaagde hackpogingen op computersystemen van overheden en bedrijven. Bij Eurofiber staat cybersecurity dan ook hoog op de agenda. Dat blijkt onder andere uit het feit dat het al sinds 2013 beschikt over een ISO 27001 certificering, zegt Patrick van de Pol, Chief Information Security Officer bij Eurofiber Nederland.
Vitale infrastructuur
Veiligheid van de digitale infrastructuur, data en systemen is cruciaal voor Eurofiber en daarmee ook voor Nederland, aldus Patrick van de Pol. ‘Wij hebben sinds 2018 de status ‘vitale infrastructuur’, toegekend gekregen door het Ministerie van Economische Zaken en Klimaat. Het houdt in dat de Nederlandse overheid zegt dat uitval of verstoring van onze digitale infrastructuur tot ernstige maatschappelijke ontwrichting kan leiden en een bedreiging voor de nationale veiligheid vormt. Mede daardoor zijn wij extra gespitst op cybersecurity.’ De ISO 27001 certificering is één van de pijlers van onze informatiebeveiliging. Het biedt een zogenoemd ‘framework’ waarmee in- en externe processen worden geclassificeerd naar hun gevoeligheid en daarmee ook noodzakelijke beveiligingsmaatregelen. Overheid en veel bedrijven die een externe partner inhuren voor bijvoorbeeld IT-gerelateerde diensten en producten, hebben vaak als harde eis dat die partner over een ISO 27001 certificering beschikt.
Externe audits
Het verkrijgen van een ISO 27001 certificering is niet eenvoudig en dat geldt ook voor het behouden ervan zegt Van de Pol. ‘Om het te verkrijgen, moet je een behoorlijk aantal zaken goed op orde hebben. Het certificaat is vervolgens drie jaar ‘geldig’. Gedurende die periode vinden er jaarlijkse controleaudits plaats, uitgevoerd door externe auditors. Dan praat je over bijvoorbeeld diepgaande interviews met allerlei medewerkers en het doorlichten van processen. Je moet laten zien dat je inderdaad datgene doet wat je hebt vastgelegd. En uiteraard hebben wij ook een intern auditplan waarin we de werking toetsen van de onderdelen van ons ISO 27001 gecertificeerde Managementsysteem voor Informatiebeveiliging; het Information Security Managementsystem – kortweg ISMS. De bevindingen uit deze verschillende audits gebruiken we als input voor het continue verbeteren van ons ISMS. Wat er gebeurt als je niet door de audit komt? Dat is voor Eurofiber gelukkig niet aan de orde, maar het ‘zakken’ voor een ISO 27001 audit kan in het ergste geval betekenen dat je de certificering kwijtraakt. En daarmee ondergraaf je ook het in- en externe vertrouwen in jouw organisatie.’
Menselijke factor van belang
Patrick van de Pol ziet de ISO 27001 certificering als een belangrijk onderdeel van het cybersecuritybeleid van Eurofiber. Maar het is zeker niet het enige: ‘Security in al zijn vormen is voor ons van strategisch belang. Wij optimaliseren continu onze digitale beveiligingsmaatregelen en we verbreden en verdiepen continu de kennis over cybersecurity van onze medewerkers. Zo moeten alle medewerkers van Eurofiber elk kwartaal verplicht een e-learning module op het gebied van cybersecurity volgen. Daarnaast zorgen wij er via een interne portal voor dat iedereen goed op de hoogte wordt gehouden van de nieuwste securityontwikkelingen. En ten slotte voeren wij periodieke, onaangekondigde, tests uit. Je moet denken aan gesimuleerde phishing-aanvallen of bezoekjes van ‘mystery guests’ die kijken of de veiligheidsprocedures goed worden gevolgd. Want de menselijke factor is van niet te onderschatten belang in een goed cybersecuritybeleid.
Meer weten over de diverse certificaten waar Eurofiber over beschikt? Op onze website zijn zij op een rijtje gezet.
Blijf op de hoogte rondom alle ontwikkelingen
U ontvangt de nieuwsbrief 1 keer per maand.