Veiligheid garanderen: ons beveiliging voorop principe

Grondslagen van ons beveiligingsbeleid

Definitie en doel

Ons beveiligingsbeleid bestaat uit een reeks richtlijnen gericht op het beschermen van de integriteit, vertrouwelijkheid en beschikbaarheid van de gegevens van Symbio6 en onze klanten. Deze richtlijnen zijn essentieel om ongeautoriseerde toegang te voorkomen en te voldoen aan wettelijke en regelgevende normen. Kerndoelen zijn:

• Databescherming: Zorgen dat al onze en klantgegevens worden beschermd tegen ongeautoriseerde toegang en potentiële bedreigingen.
• Toegangscontrole: Het implementeren van robuuste mechanismen om te bepalen wie bedrijfs- en klantgegevens mag bekijken of gebruiken.
• Naleving regelgeving: Voldoen aan wetten en normen, zoals de AVG en ISO/IEC 27001 en branche best practices zoals de Baseline Informatiebeveiliging Overheid (BIO).
• Reputatie beschermen: Onze reputatie en het vertrouwen van onze klanten beschermen.

Waarom beveiliging-voorop?

Wij hanteren het principe van beveiliging-voorop omdat het verschillende voordelen biedt vergeleken met een op compliance gerichte benadering:

• Proactief versus reactief: Beveiliging-voorop is proactief en richt zich op het voorkomen van beveiligingsproblemen vanaf het begin, terwijl een op compliance gerichte benadering reactief is en vaak alleen problemen aanpakt nadat ze zich hebben voorgedaan om aan regelgeving te voldoen.
• Risicobeheer: Beveiliging-voorop omvat gedetailleerde risicobeoordelingen en op maat gemaakte beveiligingsmaatregelen, terwijl een op compliance gerichte benadering steunt op generieke checklists gericht op het voldoen aan minimale normen.
• Organisatorische betrokkenheid: Beveiliging-voorop bevordert veiligheid als een gedeelde verantwoordelijkheid binnen de hele organisatie, terwijl een op compliance gerichte benadering vaak veiligheid isoleert binnen specifieke afdelingen zoals IT.
• Aanpasbaarheid: Beveiliging-voorop past zich voortdurend aan veranderende bedreigingen aan, terwijl updates van een op compliance gerichte benadering vaak alleen worden gestimuleerd door nieuwe regelgevende eisen.
• In lijn met bedrijfsdoelen: Beveiliging-voorop is in lijn met onze bedrijfsdoelstellingen om operaties mogelijk te maken en het vertrouwen van de klant op te bouwen. Een op compliance gerichte benadering beschouwt veiligheid als een regelgevende hindernis die mogelijk bedrijfsprocessen belemmert.

Symbio6 hanteert het ‘security-first’-principe omdat het een dynamischer, alomvattender en proactiever raamwerk biedt voor beveiligingsbeheer vergeleken met de smallere, reactieve, op compliance gerichte benadering.

Fysieke beveiligingsmaatregelen

• Leeg bureau en leeg scherm: Om gevoelige informatie te beschermen tegen ongeautoriseerde toegang en zo de algehele organisatorische beveiliging te verbeteren.
• Privacyschermbeschermers: We rusten al onze apparaatschermen in openbare ruimtes uit met privacyschermbeschermers. Deze verbeteren de veiligheid door zichtbare informatie weg te houden van ongewenste kijkers.
• Beveiligde infrastructuur: Gecontroleerde toegang tot gebouwen en datacenters, uitgerust met moderne surveillance- en monitoringstechnologieën.
• Beveiligingsbeleid voor documenten: Fysieke documenten veilig opbergen in afgesloten kasten of kamers. Wanneer documenten niet langer nodig zijn, worden deze versnipperd.
• Bezoekersbeheer: Alle bezoekers ondergaan een strikt registratie- en screeningsproces, vergezeld van begeleiding binnen beveiligde gebieden.

Digitale beveiligingsmaatregelen

Gebruikersbeveiliging

• Multi-factor authenticatie (MFA): We vereisen MFA voor alle toegang tot het netwerk en systemen van de organisatie om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang kunnen krijgen, met een extra beveiligingslaag bovenop alleen wachtwoorden.
• Wachtwoordvereisten: Alle wachtwoorden zijn minimaal 16 tekens lang, bevatten een verscheidenheid aan tekentypen of lange ongerelateerde wachtwoordzinnen (gemakkelijker te onthouden) en worden gecontroleerd op regelmatig gebruikte of gecompromitteerde wachtwoorden, evenals op hergebruik en varianten op eerder gebruikte wachtwoorden.
• Accountblokkeringsbeleid: Om brute-force aanvallen te voorkomen, wordt een account tijdelijk geblokkeerd na talrijke mislukte inlogpogingen.

Veilige communicatie en dataopslag

• Verplicht gebruik van beveiligde e-mailserver: Al onze medewerkers zijn verplicht om onze beveiligde e-mailserver voor alle interne en externe e-mails te gebruiken. Deze server staat in een land buiten de zogenaamde veertien ogen met end-to-end en zero-access encryptie om privacy te waarborgen.
• Verplicht gebruik van versleutelde cloudopslag: Wij slaan al onze gegevens bij de cloudprovider op met een zero-knowledge architectuur in een land buiten de veertien ogen, met geavanceerde versleuteling zoals AES met een sleutelgrootte van 256 bits. Dit betekent dat de provider niet in staat is om de informatie die op zijn servers is opgeslagen te decoderen, wat de privacy van de gebruiker garandeert.
• Gebruik van VPN's en beveiligde gateways: Alle externe toegang gaat via Virtuele Particuliere Netwerken (VPN's) of andere beveiligde gateway-oplossingen, waarbij geavanceerde versleuteling wordt gebruikt om de gegevensintegriteit en vertrouwelijkheid te beschermen.
• Browser instellen op maximale privacy: standaard configureren we onze browsers om prioriteit te geven aan maximale privacy-instellingen. Het gebruik van modi zoals incognito of privé browsen verbetert de veiligheid door te garanderen dat er geen details over onze browsersessie op onze apparaten worden opgeslagen. Hoewel deze functies de veiligheid verbeteren, maakt deze modus ons niet onzichtbaar op internet.
• Goedgekeurde externe toegangstools: Medewerkers gebruiken alleen tools voor externe toegang en software die zijn goedgekeurd door Symbio6. Deze lijst wordt regelmatig bijgewerkt.

Gegevensbescherming

• Verplichte PDF/A-conversie: Wij converteren alle documenten die bestemd zijn voor klanten en langetermijnopslag naar PDF/A-formaat om ervoor te zorgen dat de inhoud leesbaar en intact blijft.
• Verplicht digitaal versnipperen: Wanneer je een bestand op een computer verwijdert, wordt het niet permanent verwijderd. Het bestand en de inhoud kunnen eenvoudig worden hersteld en bekeken. Je moet de gegevens versnipperen om de restanten en sporen definitief te verwijderen. Daarom mogen bestanden niet naar de prullenbak worden verwijderd, maar moeten ze digitaal worden vernietigd in overeenstemming met de DoD 5220.22-M-standaard.

Leveranciers- en softwarebeheer

• Leveranciersselectie: Wij specificeren voor alle leveranciers altijd beveiligingsnormen, inclusief naleving van ISO/IEC 27001, AVG en relevante branchevoorschriften en vereisen van routinematige beveiligingsaudits.
• Geavanceerde cybersecurity-tools: Wij streven ernaar om firewalls van de volgende generatie, eindpuntbeschermingsplatforms en systemen voor netwerkinbraakdetectie in te voeren om onze infrastructuur te beschermen tegen cyberdreigingen.
• Voorkeur voor open source software: Wij geven daar waar mogelijk de voorkeur aan het gebruik van open source software vanwege de transparantie, waardoor grondige beveiligingsaudits mogelijk zijn door de wereldwijde gemeenschap.

Operationele beveiligingsprocedures

Gegevensbescherming

• Minimale gegevensverzameling: We verminderen het aanvalsoppervlak van de organisatie en de kwetsbaarheid voor inbreuken door de hoeveelheid (gevoelige) informatie die kan worden blootgesteld of misbruikt te beperken.
• Anonimisering van gegevens: Identificeerbare gegevens kunnen worden geanonimiseerd na overleg met de klant. Wij stellen hiervoor richtlijnen vast om te waarborgen dat geanonimiseerde gegevens bruikbaar blijven voor analyse en onderzoek, terwijl individuele privacy wordt beschermd. We beoordelen altijd het risico van heridentificatie en bepalen het vereiste niveau van anonimisering. Hoewel gegevensanonimisering de gegevensprivacy en -beveiliging aanzienlijk kan verbeteren, is het niet volledig waterdicht.
• Specificeren van bewaartermijnen: We stellen altijd bewaartermijnen voor gegevens in en vernietigen ze veilig wanneer ze niet langer nodig zijn.
• Versleutelen al onze gegevens: Om misverstanden te voorkomen, behandelen we alle gegevens als gevoelig en slaan we al onze gegevens versleuteld in de cloud op. Wel zo helder en veilig voor iedereen.

Toegang, authenticatie en wachtwoordbeheer

• Toegangsbeheerbeleid: We implementeren en documenteren strikte toegangscontroles die externe toegang beperken op basis van gebruikersrollen en het principe van minste privileges. Dit zorgt ervoor dat medewerkers alleen toegang hebben tot de bronnen die nodig zijn voor hun specifieke taken.
• Gebruik van wachtwoordbeheerders: We vereisen het gebruik van goedgekeurde wachtwoordbeheertools om wachtwoorden veilig op te slaan en te beheren, waardoor het risico op zwakke wachtwoordpraktijken wordt verminderd en naleving van de vereisten voor wachtwoordcomplexiteit wordt vergemakkelijkt.

Gegevensbehandeling en beveiliging

• Data Loss Prevention (DLP): Wij voeren DLP-controles uit om ongeautoriseerde gegevensexfiltratie te detecteren en te voorkomen.
• Regelmatige back-ups: We maken regelmatig back-ups en slaan ze veilig op om de beschikbaarheid van gegevens te waarborgen.
• Veilige bestandsdeling: We verbieden het e-mailen van bestanden om ervoor te zorgen dat ze beschermd zijn tegen ongeautoriseerde toegang tijdens verzending. We distribueren bestanden door aan onze klanten een link te verstrekken naar een beveiligde, versleutelde, tijdelijke zelfstandige uitwisselomgeving waarmee we kunnen beheren wie toegang heeft tot het materiaal. Bestanden delen via een link is eenvoudig, kan grote bestanden aan en vereist geen extra software of accounts van de klant behalve een internetverbinding. Dit systeem heeft geen verbinding met ons interne netwerk.
• Documentlevenscyclusbeheer: We integreren PDF/A in ons proces voor documentlevenscyclusbeheer, inclusief richtlijnen voor wanneer en hoe documenten moeten worden geconverteerd naar PDF/A, waar ze moeten worden opgeslagen en de bewaartermijn.

Incidentmanagement

• Rollen en verantwoordelijkheden: We definiëren en documenteren de verantwoordelijkheden van werknemers, managers en IT-personeel bij het implementeren en onderhouden van beveiliging in onze organisatie en benoemen een functionaris voor gegevensbescherming.
• Incidentafhandeling: We hebben een incidentafhandelingsplan en team met geautomatiseerde tools voor snelle detectie, respons en herstel van beveiligingsinbreuken.
• Incidentrapportage: We hebben een duidelijk mechanisme om beveiligingsincidenten te melden, met name die met betrekking tot cloudopslag, zoals vermoedelijke gegevensinbreuken of ongeautoriseerde toegang. We zijn ook voorbereid om binnen 72 uur na op de hoogte te zijn gesteld van een gegevensinbreuk, de relevante toezichthoudende instantie op de hoogte te stellen en we zullen individuen op de hoogte stellen van wie wordt vastgesteld dat de inbreuk een aanzienlijk risico vormt voor hun rechten en vrijheden.

Klant- en leveranciersbeheer

• Transparante communicatie met de klant: We behouden een toegewijde klantrelatiebeheerder voor beveiligingszorgen om eventuele vragen of problemen snel aan te pakken.
• Verwerkingsovereenkomst: Ongeacht of de gegevens al dan niet persoonlijk zijn, bij de verwerking van door een opdrachtgever verstrekte gegevens sluiten wij altijd een verwerkersovereenkomst om te garanderen dat de gegevensverwerking door beide partijen wordt begrepen.
• Beveiligingsclausules in contracten: We nemen verplichte beveiligingsclausules op in al onze leverancierscontracten die naleving van gespecificeerde beveiligingsnormen vereisen, directe incidentrapportage en periodieke audits door onze organisatie.
• PGP-communicatie: We ondersteunen Pretty Good Privacy (PGP) encryptie, waarmee klanten en leveranciers veilig met ons kunnen communiceren met onze openbare PGP-sleutel.

Training en bewustwording

Uitgebreid trainingsprogramma

Elke werknemer is verplicht om tweejaarlijks een cybersecuritytraining te volgen die huidige risico's zoals phishing en ransomware behandelt. Trainingssessies zullen ook de procedures voor veilig digitaal versnipperen behandelen, met name hoe documenten digitaal te versnipperen.

Tijdens de training zullen veilige communicatiepraktijken grondig worden behandeld. Dit gaat over best practices zoals wifi-beveiliging, de risico's van openbare wifi-netwerken en het belang van fysieke beveiliging, met name bij het werken op afstand.

Een ander aspect van de training is hoe sterke wachtwoorden en het gebruik van cloudopslag efficiënt te creëren en te beheren. Medewerkers zullen de best practices leren voor het veilig opslaan van gegevens in de cloud, evenals het gebruik van versleutelingstools en het begrijpen van cloudbeveiligingsconfiguraties.

Bewustzijnscampagnes

Om de concepten die tijdens de training zijn geleerd te versterken, voeren we voortdurende bewustmakingsinitiatieven uit. Deze initiatieven houden beveiligingskwesties, zoals wachtwoordbeveiliging en het concept van minste privileges, prominent aanwezig in de gedachten van werknemers. Door consequent de gevaren van slechte beveiligingspraktijken te benadrukken, evenals de voordelen van het naleven van ons beveiligingsbeleid, hopen we een beveiligingsbewuste cultuur op alle niveaus van de organisatie te bevorderen.

“Veiligheid is een voortdurend proces, geen eenmalige actie.”

Continue onderhoud

Monitoring en realtime-inlichtingen

• Samenwerking bedreigingsinformatie: Wij werken samen met toonaangevende cybersecuritybedrijven om tijdige waarschuwingen en inlichtingen over opkomende cyberdreigingen te ontvangen, waardoor onze mogelijkheid om potentiële risico's preventief aan te pakken wordt versterkt.
• Monitoring externe toegang: Wij onderhouden een uitgebreide logging en continue monitoring van alle externe toegangsverbindingen. Dit is om eventuele anomalieën snel te detecteren en erop te reageren. Logs worden regelmatig beoordeeld om mogelijke beveiligingsbedreigingen of incidenten te identificeren.

Audits en compliance checks

• Compliance monitoring: Wij controleren regelmatig onze naleving van wettelijke en regelgevende normen, waardoor onmiddellijke identificatie en verhelping van nalevingskwesties mogelijk wordt gemaakt.
• Data Protection Impact Assessment (DPIA): We voeren regelmatig DPIA's uit om risico's geassocieerd met gegevensverwerkingsactiviteiten te identificeren en te minimaliseren, met name die waarschijnlijk een hoog risico vormen voor de rechten en vrijheden van individuen.
• Regelmatige beveiligingsaudits: Wij voeren zowel externe als interne audits tweejaarlijks uit, aangevuld met routinematige penetratietests uitgevoerd door externe beveiligingsexperts, om de integriteit van onze beveiligingsmaatregelen te valideren.
• Beveiligingsaudits: We voeren tweemaal per jaar interne en externe beveiligingsaudits uit, samen met routinematige penetratietests en voeren regelmatig beveiligingsbeoordelingen uit om de effectiviteit van onze externe toegangscontroles te evalueren. Op basis van deze beoordelingen passen we onze beleidslijnen dienovereenkomstig aan om optimale beveiliging te garanderen.
• Audits voor gebruik en toegang: We voeren regelmatig audits uit van cloudopslag en e-mailgebruik om naleving van ons beveiligingsbeleid te waarborgen, controleren op ongeautoriseerde toegang en naleving van versleutelingsnormen.

Technologische upgrades en leveranciersevaluaties:

• Voortdurende technologische investeringen: Wij blijven continu investeren in de nieuwste beveiligingstechnologieën om robuuste verdedigingen te behouden.
• Leveranciersevaluaties: Wij beoordelen periodiek onze cloudopslag- en beveiligde e-mailprovider om ervoor te zorgen dat ze voldoen aan vereiste beveiligings- en versleutelingsnormen.

Beleidsherziening en stakeholderbetrokkenheid:

• Aanpasbare beveiligingsbeleidslijnen: Herzie en werk beveiligingsbeleidslijnen halfjaarlijks bij om aanpassingen aan veranderingen in het beveiligingslandschap en technologische vooruitgang te maken.
• Bijeenkomst met belanghebbenden: Houd jaarlijks een beveiligingsbijeenkomst met belanghebbenden om beleidsupdates en technologische veranderingen te bespreken en feedback te verzamelen.

Conclusie

Onze toewijding aan beveiliging vormt de basis van onze klantrelaties. Hoewel beveiliging-voorop in sommige gevallen extra inspanning kan vergen, zullen we dit beginsel niet ondermijnen. Wij streven naar een voortdurende verbetering en proactief risicobeheer, waarbij we altijd streven naar het hoogste beveiligingsniveau.

Belangrijke contacten

Voor hulp, vragen of suggesties met betrekking tot ons beveiligingsbeleid, neem contact op met je accountmanager of supervisor.