Cloudsourcing

Actueel

Het proefkonijn uit de hoge hoed [blog]

Op de valreep tussen het oude en het nieuwe jaar in werd de BBC getroffen door een DDoS-aanval. Daarmee werd in feite meteen het nieuwe jaar ingeluid. De websites van de Britse televisieomroep werden door een groep die zichzelf New World Hacking noemt enkele uren platgelegd. De gebeurtenis lijkt tegemoet te komen aan de jaarlijkse verschillende voorspellingen voor 2016, waarin een belangrijke rol is weggelegd voor cybercrime. Naast terrorisme staat cybercrime hoog op de lijst van de te verwachten dreigingen voor de westerse wereld. Intermax voorzag al enkele jaren geleden dat internetsecurity een ‘heet’ thema zou worden voor de toekomst. Niet voor niets rekenen we de beveiliging van uw complexe IT-infrastructuur tot een belangrijk deel van ons werk. We maken er daarnaast bijna wekelijks een punt van in onze blogs en nieuwsberichten en we houden u op de hoogte van wat er leeft en speelt. De nieuwste ontwikkelingen, trends, feit en fictie, en de laatste gevaren en risico’s worden belicht. In de eerste plaats draait het ons uiteraard om de veiligheid en betrouwbaarheid van de kritische systemen in uw organisatie, maar ook voor u persoonlijk ( denk aan de beveiliging van uw persoonsgegevens ) is het belangrijk dat u zich realiseert hoe belangrijk security is. Elk groot vooraanstaand bedrijf kan, net als de BBC, zomaar getroffen worden, en niet eens omdat ze tegen zijn waar u voor staat. Dit was ook het geval toen de websites van de BBC down gingen, al spreken bronnen binnen de BBC tegen dat het iets te maken zou hebben met de aanval. Of eigenlijk spreken ze niets tegen, en spreken ze zich ook niet uit. De beste aanpak als je getroffen bent en de schade beperkt wil houden. In elk geval is het de beste aanpak als je de imagoschade beperkt wenst te houden. Het is uiteraard niet het antwoord, noch de oplossing. In de eerste plaats is het belangrijk dat u kennis vergaart van professionals over de moderne gevaren en risico’s voor uw systemen. Intermax heeft over internetsecurity een kennissessie gehouden. We sluiten niet uit dat we ook dit jaar deze actuele onderwerpen weer onder de aandacht zullen brengen bij onze klanten en relaties. De hackers die de BBC platlegden zeggen dat ze voor het goede doel strijden, omdat ze tegen online terroristen zijn, en er niemand aanwezig is in de digitale wereld die deze misdadigers bestrijdt. De BBC werd slechts ‘gebruikt’ als proefkonijn. In het kader van: het doel heiligt de middelen. Juist vanwege deze filosofie is het raadzaam dat u zich met uw IT-infrastructuur niet extra ‘aantrekkelijk’ maakt voor hackers, al dan niet met een moraal, een ideaal of anderszins. Een DDoS-aanval is moeilijk af te wenden, maar dat betekent niet dat je je helemaal niet kunt beschermen. De ontwikkelingen gaan steeds door. Ons platform Guardian 360, dat onder meer zorgt dat er elk uur continue actieve scanning plaatsvindt op meer dan tachtig verschillende netwerkpoorten, is bijvoorbeeld een handreiking naar klanten die waakzaamheid en veiligheid hoog in het vaandel hebben staan. ‘Better safe than sorry’ is het credo voor organisaties die de gevaren van de moderne wereld erkennen en toch vooruit willen blijven gaan. Guardian360 waakt en bewaakt, in de vorm van ‘security as a service’. U kunt zich hierover laten adviseren en informeren. Geen mens houdt ervan om zich onveilig te voelen. Of u zich nu op straat bevindt, in uw auto, of aan uw toetsenbord. Elk mens deelt graag zijn of haar - veilige - blik op de toekomst. Dat moet u ook kunnen doen met uw organisatie. 2016 wordt het jaar van internetsecurity en cybercrime, zoals dat ook eigenlijk al het geval was in 2015 en ook al in 2014. Vanzelfsprekend wordt het jaar er dan ook een van waakzaamheid en veiligheid. Immers, niemand wenst als een proefkonijn uit de hoge hoed van de hackers te worden getoverd. Bron: Nu.nl

Lees meer
Zonder monitoring ben je eigenlijk blind (blog)

Zonder monitoring ben je eigenlijk blind. Deze uitspraak is afkomstig van Michel van Eeten (TU Delft). Hij zei dit tijdens een uitzending van Brandpunt Reporter met als onderwerp ‘Cyber-Chinezen stelen Nederlandse bedrijfsgeheimen’. Tijdens de uitzending werd de ASML hack als leidraad gebruikt om een aantal experts te interviewen. Volgens hen is economische spionage via internet schering en inslag. In deze blog licht ik toe waarom Guardian360 goede monitoring zo belangrijk vindt, en waarom de uitspraak van Van Eeten mij daarom zo aansprak. Economische spionage In de uitzending stelt Marc Kuipers (AIVD) dat het verdienvermogen van Nederland in gevaar dreigt te komen doordat digitale spionnen azen op ons tafelzilver. Spionage is dankzij de inzet van IT goedkoper en eenvoudiger geworden; je kunt vanaf elke plek op aarde je werk doen. Ook is spionage effectiever geworden: een geslaagde inbraak kan nu een heel computersysteem blootleggen. Volgens Kuipers merkt de AIVD dat internetcriminelen zich steeds meer toeleggen op economische spionage, in plaats van dat zij het snelle geld najagen. Zij hebben daarbij een grote mate van professionaliteit ontwikkeld, mede dankzij de opbrengsten van eerdere door hen gepleegde hacks. Kuipers geeft ook aan dat de AIVD onder elke steen waar zij kijkt ook daadwerkelijk wat vindt. Economische cyberspionage zou daarom volgens hem wel eens het grootste aandachtsgebied van de AIVD kunnen worden. Daar komt bij dat inlichtingendiensten ook steeds meer gebruik maken van internetcriminelen. Een geslaagde hackpoging bij een ministerie levert hen immers zeer interessante informatie op. Jeroen Herlaar (Mandiant) ondersteunt het betoog van Kuipers. Hij stelt dat groepen hackers actief naar intellectueel eigendom zoeken. Een van die groepen is de Chinese PLA Unit 61398. Deze groep beroofde al tientallen bedrijven van hun intellectueel eigendom, waarbij het om honderden gigabytes aan data ging. Het is bekend dat deze groep gelieerd is aan de Chinese overheid en defensie. Dit toont aan dat inlichtingendiensten hun focus steeds meer verschuiven naar het verkrijgen van militaire informatie en intellectueel eigendom, in plaats van alleen het inwinnen van militaire informatie. De samenwerking met criminele organisaties wordt daarbij niet geschuwd. Advocaat Lokke Moerel constateert dat er een informatiemarkt is, met gegevens die interessant zijn voor handel, bijvoorbeeld op de beurs. Gegevens kunnen ook interessant en nuttig zijn bij onderhandelingen, of wanneer bedrijven met elkaar concurreren bij een deal of overname. Hackers zoeken daarom in bedrijfsnetwerken naar pdf’s, doc’s en andere documenten. Tegelijkertijd proberen zij zoveel mogelijk data naar buiten te sluizen, zodat ze deze later kunnen onderzoeken. Op deze manier worden er zaken bekend die bedrijven liever geheim hadden gehouden. IT security Kuipers stelt verder dat een aantal (grote) bedrijven IT security vooral zien als kostenpost, in plaats van een belangrijke investeringsfactor die nodig is om de continuïteit te verzekeren. Bij beveiliging moet de basis op orde zijn, dat is het belangrijkste. Veel bedrijven vergeten echter het belang van basale beveiligingsmechanismen, zoals een sterk wachtwoorden policy. Zwakke wachtwoorden zorgden er bijvoorbeeld voor dat Chinese hackers binnen konden komen in het netwerk van ASML. Het is ook goed om te kijken naar dat deel van je portefeuille dat de kroonjuwelen bevat, want die wilt u uiteraard goed beveiligen. Ook is het belangrijk dat die kroonjuwelen niet voor iedereen zomaar toegankelijk zijn. Om die reden hangt de AIVD niet alles aan het internet. Herlaar voegt hier heel terecht aan toe dat kroonjuwelen in iedere organisatie aanwezig zijn. Vrijwel ieder bedrijf heeft immers geïnvesteerd in intellectueel eigendom, processen en procedures. Zij hebben dus absoluut waardevolle informatie in huis. Monitoring Volgens Herlaar wordt tweederde van de aanvallen pas bekend nadat een externe partij het slachtoffer daarvan op de hoogte brengt. Logisch: hackers willen zo lang mogelijk onder de radar blijven, want hoe meer tijd ze hebben, hoe meer data ze kunnen verzamelen. Gemiddeld duurt het 205 dagen voordat een hack wordt opgemerkt. Ronald Prins (Fox-IT) geeft aan dat zijn bedrijf zo’n 80 klanten monitort. Dagelijks zijn enkele meldingen van zodanige aard dat specialisten van Fox-IT ingezet moeten worden om een mogelijke inbraak te verijdelen. Prins geeft daarbij aan dat er veel meer gebeurt dan we nu eigenlijk weten. Hoe kan Guardian360 helpen? Met behulp van ons platform helpen we organisaties met het monitoren van de beveiligingsmaatregelen die ze al getroffen hebben. Daarnaast doen we ons best om een hacker snel te betrappen. Veel bedrijven hebben al in een bepaalde mate geïnvesteerd in informatiebeveiliging, wij kijken over de schouders van hun beheerders mee of systemen nog up-to-date zijn. Daardoor helpen we bedrijven om de basis op orde te brengen, waarna ze een gefundeerde keuze kunnen maken in welke middelen ze vervolgens investeren. Omdat Guardian360 deze middelen niet zelf levert, kunnen wij onafhankelijk adviseren. Wilt u hier meer over weten? Bekijk dan onze werkwijze of neem contact met ons op! ———— Deze blog is geschreven door Jan Martijn Broekhof van Guardian360 en werd ook op www.guardian360.nl gepubliceerd.

Lees meer
IOT maakt van elk huis een datacenter zonder systeembeheerder [blog]

Op 26 november 2015 lanceerde Intermax het grootste Internet Of Things (IOT) netwerk van Nederland. Dit open LoRa netwerk voor het IoT heeft dekking in de hele stad Rotterdam, inclusief het havengebied. LoRa staat voor ‘Long Range Low Power’. Met deze technologie kunnen objecten en systemen met een sensor bij zeer laag stroomverbruik door de lucht informatie uitwisselen. Deze kenmerken maken het een ideaal netwerk voor IoT. Ongekende mogelijkheden IoT biedt ongekende mogelijkheden: door apparaten en sensoren op een slimme manier aan het netwerk te koppelen hoeven engineers minder vaak te reizen, kan er meer gemonitord worden en kan technologie steeds slimmer ingezet worden. Denk aan slimme stadsverlichting, het meten van waterniveaus of aan de mogelijkheden voor crowd control. Op een simpele, snelle en zuinige manier kunnen er op grote afstand allerlei soorten slimme meters worden uitgelezen, zonder dat daar dure mobiele abonnementen of veel mankracht voor nodig zijn. De technologie klopt inmiddels ook aan de voordeur van ‘gewone’ burgers. Denk aan een deurbel met camera, die via internet gekoppeld is aan de smartphone van de bewoner. Handig wanneer je niet thuis bent, zodat je kunt zien welke bezoeker je gemist hebt. In 2010 werden al de eerste koelkasten met WiFi verbinding op de markt gebracht, de belofte was dat het apparaat webtoepassingen in de keuken toegankelijk zou maken. Hoewel die belofte nog niet op grote schaal waargemaakt is, zijn apparaten zoals babyfoons en thermostaten inmiddels wel via WiFi verbonden met het internet. De eerste rookmelders die aan het IoT gekoppeld kunnen worden zijn inmiddels op de markt. Fabrikanten van huishoudelijke apparatuur zijn met grote snelheid bezig om hun producten ‘connected’ te maken. De hiervoor genoemde apparaten zijn over het algemeen gekoppeld aangesloten op het elektriciteitsnet in de woning. WiFi verbruikt relatief veel stroom, dus een netsnoer is meestal nog nodig. Een LoRa netwerk maakt het echter mogelijk een groot aantal apparaten aan het netwerk te koppelen, die elk met een simpele AA-batterij jaren verbonden kunnen blijven. De eerste toepassingen worden inmiddels zichtbaar: huisdieren worden in de gaten gehouden door partijen zoals http://tailio.com/. Ook wordt er al geëxperimenteerd met sensoren die hun eigen energie opwekken, en dus geen batterij of stekker meer nodig hebben. Voor- en nadelen De voordelen zijn duidelijk, maar zijn de nadelen dat ook? Wat mij betreft zijn er twee grote aandachtspunten: security en surveillance. Over surveillance zal ik een separate bijdrage schrijven, in deze bijdrage ga ik in op beveiliging. Informatiebeveiliging is voor consumenten op dit moment nog relatief overzichtelijk. Naast je computer(s) heb je een of meerdere tablet(s), een of meerdere smartphone(s), een modem en een printer. Daar houdt het voor het overgrote deel van de huishoudens wel mee op. Je weet inmiddels dat antivirus een vereiste is. Je weet dat je het standaard wachtwoord op je modem moet aanpassen, net als de standaard wifi instellingen. Maar wat nu als straks je koelkast, broodrooster, brandmelder, deurbel, wasmachine en kattenbak allemaal via IoT aan je telefoon (en daarmee de rest van je netwerk) gekoppeld worden? Je huis verandert dan langzaam in een datacenter. Er liggen opeens heel veel connecties tussen heel veel verschillende apparaten. Een kwaadwillende heeft daardoor ineens een groot aantal mogelijke inbraakpunten tot zijn beschikking. Daarbij komt dat beveiliging voor leveranciers van huishoudelijke apparaten geen discipline is die ze zelf in huis hebben. Het apparaat moet zo snel mogelijk aan het IoT gekoppeld worden, want dan kan het de markt op. Dat is hun grootste zorg. Er is minder aandacht voor beveiliging. Aangezien informatiebeveiliging zo sterk is als de zwakste schakel is het niet ondenkbaar dat je bankrekening via je broodrooster gehackt wordt. Vanuit Guardian360 volgen we deze ontwikkelingen nauwgezet. Op het moment van schrijven van dit artikel werken we aan scanners die kwetsbaarheden in het IoT opsporen, zodat we organisaties en personen kunnen helpen bij het verhelpen ervan. Wilt u hier meer van weten, of doorpraten over dit onderwerp? Neem dan contact met ons op! ———— Deze blog is geschreven door Jan Martijn Broekhof van Guardian360 en werd ook op www.guardian360.nl gepubliceerd.

Lees meer
De verantwoordelijkheden voor informatiebeveiliging [blog]

De afgelopen maanden heb ik een groot aantal gesprekken gevoerd met managers en bestuurders van bedrijven. Zij blijken regelmatig hun externe systeembeheerder of webontwikkelaar verantwoordelijk te houden voor informatiebeveiliging. Als ik dan vervolgens aangeef dat ik informatiebeveiliging een hele andere discipline vind, dan vallen de gesprekken even stil. Kennelijk is de scheiding tussen systeembeheer en informatiebeveiliging niet voor iedereen duidelijk. IT-dienstverleners worstelen wel vaker met dit soort onderwerpen. Wat valt wel en wat valt niet binnen de scope? Het patchen en updaten van systemen kun je namelijk scharen onder normaal beheer, maar ook onder informatiebeveiliging. Wat mag u van uw externe systeembeheerder verwachten? Uw systeembeheerder moet er, naast een heleboel andere zaken, voor zorgen dat de operating systemen op uw servers actueel en gepatcht zijn. Daarnaast is hij vaak verantwoordelijk voor het up-to-date houden van anti-virus, spamfilter en firewall. Op applicatieniveau wordt het al wat lastiger: vaak is de leverancier verantwoordelijk voor updates, is er een applicatiebeheerder en zorgt de systeembeheerder voor het onderliggende platform. De systeembeheerder kan niet verantwoordelijk gehouden worden voor uw informatiebeveiligingsbeleid. Daar gaat u zelf over. Veel managers en bestuurders zijn zich er niet van bewust, maar zij zijn degenen die moeten aangeven welke procedures er gelden, wie bij welke informatie mag en vanaf welke locaties er gewerkt kan worden. Staat u bring your own device toe, dan betekent dit dat u ook moet nadenken over de beveiligingsimplicaties. Ook het actief op zoek gaan naar kwetsbaarheden binnen uw omgeving is niet iets dat u standaard van uw systeembeheerder kunt verwachten. Er zijn overigens wel een aantal IT-dienstverleners die naast beheerdiensten ook beveiligingsdiensten aanbieden, deze vallen dan nagenoeg altijd buiten het standaardtarief.U zult daar dus wel extra budget voor vrij moeten maken. Niet alleen voor het scannen, maar ook voor de opvolging ervan. Daarnaast zult u uw beheerder moeten laten weten welke kwetsbaarheden als eerste opgelost moeten worden, u bepaalt namelijk de prioriteit. Van een aantal gesprekspartners heb ik inmiddels begrepen dat zij met hun IT-dienstverlener in gesprek zijn gegaan over deze onderwerpen. De scope is besproken en in alle gevallen is duidelijk geworden dat informatiebeveiliging onvoldoende afgedekt was. Check daarom bij uw dienstverlener hoe hij het geregeld heeft en neem de regie: u bent eindverantwoordelijk! Mocht u over dit onderwerp door willen praten met een van onze medewerkers? Neem dan contact op met ons! ———— Deze blog is geschreven door Jan Martijn Broekhof van Guardian360 en werd ook op www.guardian360.nl gepubliceerd.

Lees meer
Intermax lanceert grootste Internet of Things netwerk van Nederland

Rotterdam, 26 november 2015 - Vandaag wordt R.I.O.T.: The Things Network 010 gelanceerd in Rotterdam. Intermax heeft samen met de Rotterdam internet eXchange (R-iX) en Teqplay de lead genomen bij de uitrol van dit open LoRa-netwerk voor het Internet of Things in stad en haven. LoRa staat voor ‘Long Range Low Power’. Met deze technologie kunnen objecten en systemen met een sensor bij zeer laag stroomverbruik door de lucht informatie uitwisselen. Deze kenmerken maken het een ideaal netwerk voor het Internet of Things (IoT). Ongekende mogelijkheden Rotterdam krijgt hiermee een volledig dekkend, vrij toegankelijk LoRa-netwerk voor het Internet of Things. Ludo Baauw, directeur Strategie & Innovatie bij Intermax: “Dankzij de plaatsing van minimaal een twintigtal gateways op strategische locaties biedt dit de stad ongekende mogelijkheden voor sensortechnologie. Denk aan slimme stadsverlichting, het meten van waterniveaus of aan de mogelijkheden voor crowd control. Op een simpele, snelle en zuinige manier kunnen er op grote afstand allerlei soorten slimme meters worden uitgelezen, zonder dat daar dure mobiele abonnementen of veel mankracht voor nodig zijn. Als Intermax willen we hier graag belangeloos een bijdrage aan leveren, vanuit de waarden waar wij ook tijdens ons dagelijks werk voor staan: het moet vernieuwend en veilig zijn, en altijd goed werken.” Gevarieerde mix van bedrijven Het netwerk werd in slechts vier weken tijd gerealiseerd door een zeer gevarieerde mix van Rotterdamse bedrijven, overheden en onderwijs. Naast Intermax, Rotterdam internet eXchange en Teqplay maken hier Eneco, de gemeente Rotterdam, het Havenbedrijf Rotterdam, Teach32, Hogeschool Rotterdam, Willem de Kooning Academie, het HavenLab, het Rotterdam Logistics Lab, CIC (Cambridge Innovation Center) en Deloitte onderdeel van uit. De belangstelling is enorm en de officiële lancering vindt vandaag plaats tijdens het ‘Venture Café’ in het Groothandelsgebouw in Rotterdam. Bereik vergroten Het project zit nu volop in de Research & Development fase. “We gaan de komende weken hard aan de slag om het bereik van het netwerk te vergroten. Uiteindelijk willen we bijvoorbeeld bedrijven in staat stellen in privénetwerken eigen sensortoepassingen met deze technologie te faciliteren”, vertelt Baauw. Bijdrage aan de stad Baauw: “Voor ons was het gelijk duidelijk dat we een voortrekkersrol wilden nemen in dit gedeelte van het project. We vinden het belangrijk een bijdrage te leveren aan onze stad, en dat is precies wat we hier doen. Bovendien hebben we bij Intermax allemaal een enorme nieuwsgierigheid naar nieuwe dingen, en een constante behoefte kennis over ons vakgebied te delen met anderen. Dat was zo toen we Intermax begonnen 21 jaar geleden, en dat geldt vandaag nog steeds.”

Lees meer
De vervuiler betaalt? [blog]

Tijdens het evenement Holland Strikes Back op 27 oktober jl. sprak Michel van Eeten (cybersecurity onderzoeker aan de TU Delft) over het principe ‘De vervuiler betaalt’. Hiermee bedoelt hij dat degenen die een vervuiling (van welke soort dan ook) veroorzaken, financieel verantwoordelijk zouden moeten zijn voor de schade die dit met zich meebrengt. Zijn stelling was dat we ervoor moeten zorgen dat dit ook binnen de informatiebeveiliging gaat gelden. Want wat blijkt uit zijn onderzoek naar de effecten van grote hacks? Ondanks dat de gehackte bedrijven negatief in het nieuws kwamen, was er nauwelijks invloed op het functioneren van deze organisaties. Er was geen aantoonbaar effect op klandizie, omzet of beurskoers. Zelfs bedrijven als Target en Hacking Team, die behoorlijke reputatieschade leken te lijden, opereren nog ‘gewoon’ als toen ze nog niet gehackt waren. De gevolgen voor derden zijn daarentegen wel merkbaar: de gestolen data wordt gebruikt voor afpersing, leidt tot reputatieschade, werkt betalingsfraude in de hand en draagt bij aan identiteitsfraude en verlies van privacy. Het probleem hierbij is dat ‘incentives' niet deugen, de partij die moet beveiligen draagt de gevolgen niet wanneer het fout gaat. Dat leidt automatisch tot onderbeveiliging door deze bedrijven. Daardoor vinden er meer hacks dan nodig plaats en is de schade bij derden - de slachtoffers van die onderbeveiliging - groot. Van Eeten gebruikt het principe van ‘De vervuiler betaalt’ om maatregelen voor te stellen die ervoor zorgen dat de schade terecht komt bij de veroorzaker. Hij onderscheidt daarbij een aantal verschillende vormen van aansprakelijkheid en vervolging: civielrechtelijke aansprakelijkheid, intermediaire aansprakelijkheid, bestuursrechtelijke vervolging, strafrechtelijke vervolging en een meldplicht. Ondertussen lijkt het belang van ‘de vervuiler betaalt’ ook elders aan te slaan: zo wordt bijvoorbeeld de EU-richtlijn PSD2 voor de financiële sector in de komende 1,5 jaar opgenomen in Nederlandse wetgeving. Daardoor zijn banken verplicht om slachtoffers van fraude binnen 24 uur schadeloos te stellen, tenzij ze kunnen aantonen dat het slachtoffer zelf verwijten gemaakt kan worden. De verwachting is dat deze civielrechtelijke aansprakelijkheid ervoor gaat zorgen dat banken nog beter hun best gaan doen om fraude te voorkomen. Verder is binnen de Wet Bescherming Persoonsgegevens per 1 januari 2016 een meldplicht datalekken opgenomen. De uitwerking en handhaving daarvan zijn nog niet volledig duidelijk, maar er is wel een trend zichtbaar: de vervuiler betaalt. Partijen die data verzamelen en verwerken krijgen te maken met strengere regels, en als het fout gaat, met torenhoge boetes en imago- en reputatieschade. Dit zorgt er hopelijk voor dat er meer aandacht komt voor informatiebeveiliging, en dat organisaties ook meer aandacht krijgen voor het vergroten van de awareness binnen hun organisatie. Er kunnen immers al vele risico’s verkleind worden door personeel goed te instrueren over de omgang met persoonsgegevens. Daarnaast is het zaak altijd goed inzicht te hebben in bedreigingen voor uw IT-infrastructuur. Guardian360 helpt u bij zowel het implementeren als het naleven van de meldplicht datalekken. Daarnaast helpen we u bij uw proactieve monitoring, en geven we u op een duidelijk en gebruiksvriendelijk portal doorlopend inzicht in de bedreigingen die we voor u gevonden hebben. U kunt daardoor sneller handelen wanneer er een kwetsbaarheid gesignaleerd wordt en kunt makkelijk aan derden - denk aan patiënten, IT-auditors en accountants - aantonen dat u in control bent. ———— Deze blog is geschreven door Jan Martijn Broekhof van Guardian360 en werd ook op www.guardian360.nl gepubliceerd.

Lees meer
Intermax lanceert Guardian360, managed security platform

Rotterdam, 13 oktober 2015 – Managed hosting provider Intermax lanceert vandaag de spin-off Guardian360, een nieuw bedrijf binnen de Intermax Groep dat netwerken non-stop scant op kwetsbaarheden en eventuele indringers. Het platform Guardian360 bestaat uit een grote hoeveelheid scanners en probes, die constant van binnenuit en van buitenaf zoeken naar zwakke plekken of vulnerabilities in de netwerkbeveiliging of webapplicatiebeveiliging. Guardian360 is een zelfstandig onderdeel van de Intermax Groep. Het biedt veiligheid in de vorm van continue scanning en live rapportage, waarbij alle onderdelen van netwerken dag en nacht in de gaten worden gehouden. Omdat kwetsbaarheden dagelijks veranderen, biedt Guardian360 een snelle detectie en grijpen specialisten van Guardian360 direct in bij eventuele beveiligingsincidenten. Organisaties die het Guardian360-platform inzetten krijgen een 360-blik op informatiebeveiliging en zijn 'in control'. Security as a Service Elk uur scant Guardian360 op meer dan 80 verschillende netwerkpoorten, en dagelijks op meer dan 60.000 bedreigingen die netwerken en websites kwetsbaar kunnen maken. Guardian360 gedraagt zich als een echte hacker, en kijkt ook van buiten naar netwerkomgevingen. “Je zou het kunnen zien als Security as a Service”, zegt John T. Knieriem, algemeen directeur van Intermax. “Alles wat zich in en buiten netwerken begeeft, wordt door ons gecontroleerd en geëvalueerd. We vergelijken resultaten met eerdere scans, en kunnen zo zeer snel afwijkingen vaststellen.” De service houdt ook in dat gevonden bedreigingen eerst door security engineers van Guardian360 beoordeeld worden, zodat klanten alleen van die bedreigingen op de hoogte gebracht worden waar ze ook daadwerkelijk wat mee moeten. De gebruiker wordt ontzorgd. “We genereren niet alleen meldingen, maar doen ook een intelligente beoordeling, dat hoeft een klant zelf niet te doen”, aldus Jan Martijn Broekhof, directeur van Guardian360. Kanarie in een kolenmijn Kanaries werden in het verleden in kolenmijnen gebruikt als een vroegtijdig waarschuwingssysteem voor giftige gassen. Het gezegde ‘een kanarie in een kolenmijn’ wordt daarom vaak gebruikt om te verwijzen naar een oplossing die dient als een vroegtijdige waarschuwing in een komende crisis. En dat is precies waar het Guardian360-platform de inspiratie vandaan haalt: de Guardian360-‘kanarie’ kan bij een netwerkindringer een stil alarm slaan bij het Security Operations Center, waarna de engineers aan de slag kunnen gaan. Meldplicht datalekken Guardian360 is bij uitstek geschikt om organisaties te ondersteunen bij het voldoen aan de Wet Bescherming Persoonsgegevens, die per 1 januari 2016 aangescherpt wordt. “Uit onderzoek is gebleken dat organisaties gemiddeld pas na 211 dagen op de hoogte zijn van een digitale inbraak, met het Guardian360 platform kan een organisatie dit al binnen een uur weten”, zegt Broekhof. “De scanners zijn in staat om netwerken elk uur te scannen, organisaties kunnen daarmee aantonen dat ze zich ten volle inzetten om datalekken te voorkomen.” Compliancy De netwerk security audits van Guardian360 maken doorlopend inzichtelijk in hoeverre organisaties voldoen aan de voor hen geldende regels op het gebied van informatiebeveiliging. Alle gevonden issues worden volautomatisch tegen meerdere normen en eisen van informatiebeveiliging gehouden. Mocht een security issue gevonden zijn, dan is direct inzichtelijk welke norm niet wordt gehaald of aan welke aanbeveling niet wordt voldaan. En wanneer een issue is opgelost, kunnen organisaties hun auditor met vertrouwen aantonen dat zij aan de norm voldoen. Het Guardian360-platform is in staat om te scannen volgens de ISO27002, NEN7510, OWASP Top 10, Norea/DigiD en PCI DSS normen. Uitgebreid scannerarsenaal Guardian360 gebruikt een 360 Threat Vector Analyse. Deze door Intermax zelf ontwikkelde technologie realiseert ongeëvenaard inzicht in de veiligheid van applicaties en IT-infrastructuren. Het beveiligingsplatform gebruikt open source en door Intermax zelf ontwikkelde scanners, die servers en sites vanuit verschillende invalshoeken bekijken. Resultaten worden in helder Nederlands toegelicht in het gebruiksvriendelijke dashboard. Gebruikers zien gelijk hoe het Security Operations Center bedreigingen het hoofd biedt. Knieriem: “Wij noemen het Managed Security. De klant ervaart het als nachtrust.”

Lees meer
De mythe van de cloud [blog]

Soms overstijgt een begrip, een aanpak, een oplossing, of een methode alle realiteitszin. Het begrip wordt een buzz-woord, de aanpak zaligmakend, de oplossing onfeilbaar, en de methode een geloof. Je zou kunnen zeggen dat zoiets is gebeurd met ‘cloud computing’, ook wel: het werken in de cloud. Intermax liep niet meteen mee in de hype, omdat we onze klanten vooral niet wilden overleveren aan de laatste modegrillen zonder aanwijsbaar voordeel. En we déden het al. In feite was er voor ons niets nieuws onder de zon: maatwerk aanleveren voor onze klanten, IT uit de kraan. Niets betalen voor wat je niet nodig hebt. We boden het onze klanten al aan, maar maakten er tegelijk weinig ophef over. Het is een praktische, efficiënte service, zoals we steeds voor onze klanten zoeken naar de beste oplossingen. De cloud heeft zo nu langzamerhand mythische proporties aangenomen. Vervelend soms voor de engineers en de IT-professionals, die er al langer bekend mee zijn. Veel IT-professionals worden in hun werkomgeving geconfronteerd met directeuren en managers van ondernemingen die geen genoeg krijgen van de nieuwe aanpak en de moderne technische oplossing, en die meteen hun applicaties willen overbrengen naar de cloud. Het zijn grote beslissingen die dan ineens te haastig lijken te worden genomen, doorgaans gebaseerd op informatie die niet volledig is, óf gevoed door de trend van de dag waar iedereen achteraan loopt. Natuurlijk: de technologische oplossingen voor bedrijven en hun ingewikkelde en kostbare IT-infrastructuur worden steeds handiger, economischer – want schaalbaar en betaalbaar – en zijn steeds vaker toegespitst op de specifieke wensen, verlangens en eisen van de gebruiker (in bijna alle gevallen zijn dat bedrijven, instanties, organisaties, die grotendeels afhankelijk zijn (geworden) van hun IT-infrastructuur en hun web-omgevingen). De drang van directies en hun bedrijven om vooruit te willen, om het nog beter ‘te regelen’, om de IT-infrastructuur op orde te hebben valt zeker te prijzen, maar de engineers en de IT-professionals wijzen de directeuren van de grote succesvolle ondernemingen er graag op dat ze eerst feit van fictie moeten onderscheiden voordat ze beslissen hoe ze hun IT-omgeving graag (opnieuw) ingericht willen zien. Belangrijk voor directies om te weten: 1) Ga er vanuit dat uw IT-professional of engineers kennis hebben genomen van de cloud en weten wat het voor uw bedrijf kan betekenen. In de meeste gevallen zal u ervan op de hoogte zijn gesteld en heeft u al een idee over de nieuwe oplossingen voor uw IT-infrastructuur. In de meeste gevallen kiest u, in overleg, voor de publieke cloud of zoekt u een betrouwbaar – persoonlijker – hostingbedrijf dat nauw aansluit bij uw ideeën, filosofie en zakelijke aanpak. 2) Bedenk dat de publieke cloud niet altijd de meest optimale oplossing is voor uw zaak in het algemeen. Informeer bij uw IT-professional welke oplossing het beste bij uw bedrijf past. Vergader en onderzoek! Intermax beschikt over de Intermax cloud. U weet daardoor precies waar uw applicaties ‘draaien’, in de meeste gevallen kent u of uw IT-professional onze engineers en is het juist die persoonlijke benadering die voor u het verschil kan betekenen. Veiligheid begint bij vertrouwen, en dat vertrouwen ontstaat tussen mensen onderling, niet zozeer tussen zaken. 3) Veiligheid of ‘security’ begint niet altijd bij een waterdichte technologische oplossing, maar bij de vergaarde kennis van uw IT-professional, de kennis en betrouwbaarheid van het hostingbedrijf waar uw applicaties draaien en vooral bij de afspraken die u met het hostingbedrijf heeft gemaakt (én het vertrouwen dat er tussen de verschillende partijen is ontstaan). Mensen doen nog altijd zaken met mensen. Welke afspraken heeft u gemaakt? Wat is het beste voor uw bedrijf? Waar bent u écht mee geholpen? Een oplossing die niet grondig is bestudeerd en die niet door IT-professionals is beoordeeld brengt soms risico’s met zich mee die u niet van tevoren had voorzien. Belangrijk: welke applicaties draaien er in de cloud? Welke gebruikers hebben er beschikking over? Concluderend zou je kunnen zeggen dat in alle gevallen een pragmatische benadering en een nuchtere grondhouding de juiste aanpak zijn. Ga voorbij de mythe en de nieuwste trends en de ‘hipgevoeligheid’ van sommige technologische oplossingen, maar vertrouw op de gedegen kennis van uw IT-professional, en het advies van uw hostingbedrijf waar uw applicaties draaien en die zorgdraagt voor uw IT-infrastructuur. Bij twijfel of argwaan: opnieuw de vraag stellen of u goed zit bij uw hostingbedrijf als het uw twijfel niet kan wegnemen en uw IT-professional u niet kan geruststellen. Intermax is er bij gebaat dat uw zaak ‘draait’, en in een steeds complexere wereld waarin steeds minder tastbaar wordt en steeds meer om u heen gebeurt hopen wij erop handvatten te kunnen bieden waardoor u voortdurend grip houdt op de nieuwste technologische ontwikkelingen.

Lees meer
Weg met angst, onzekerheid en twijfel [blog]

Gesprekken over informatiebeveiliging komen regelmatig in een fase waarin alle energie uit het gesprek lijkt weg te lekken. Mijns inziens liggen hier twee oorzaken aan ten grondslag. Ten eerste zorgt informatiebeveiliging voor een onbevredigend gevoel: als je alles op orde hebt, is er toch niets aan de hand? Ten tweede gaan gesprekken rondom informatiebeveiliging vaak over angst, onzekerheid en twijfel. Dienstverleners schermen met boetes die organisaties mogelijk moeten betalen na een incident. Directies worden bang gemaakt dat ze met hun bedrijf in de krant komen na een digitale inbraak. Daarbij gaan technologische ontwikkelingen zo snel, dat mensen twijfelen of ze daar ooit adequaat op kunnen reageren. Ik pleit er niet voor om je ogen te sluiten voor deze risico's en onzekerheden. Wel vraag ik me af waarom informatiebeveiliging met zoveel negativiteit omgeven is, terwijl we vergelijkbare onderwerpen heel nuchter benaderen. We zijn ons er bijvoorbeeld van bewust dat er een kans bestaat dat er brand uitbreekt op ons kantoor. Daarom hebben we rookmelders, brandblussers en een inboedelverzekering afgesloten. We zijn ons er ook van bewust dat er een kans op inbraak is. Daarom hebben we een alarmsysteem, een alarmopvolgingsdienst en een inbraakverzekering afgesloten. Toch vertrekken we elke dag vrijwel zonder zorgen van kantoor, omdat we er vanuit gaan dat we gedaan hebben wat we kunnen. Met informatiebeveiliging is het niet anders. Ja, er is een kans dat je organisatie gehackt wordt. Maar er zijn dingen die je kunt doen om het risico daarop te verkleinen. Daar zijn technologische hulpmiddelen voor, die moeten worden aangevuld met menselijk gedrag. Net zoals je een brandende peuk niet in de prullenbak gooit, zo moet het ook normaal zijn om een usb-stick grondig te wissen als je hem weggooit. En net zoals je 's avonds je pand afsluit, zo sluit je ook je informatiesysteem af voor mensen die daar geen toegang toe zouden mogen hebben. Of die het wel mochten, maar nu niet meer mogen. Net zoals bij brand en inbraak in je kantoor kun je alleen je uiterste best doen om te voorkomen dat het gebeurt, maar 100% uitsluiten kun je niet. Je kunt dus nu al nadenken over wat je gaat doen als er een hack heeft plaatsgevonden. Bij een inbraak in je kantoor volgt de opvolgingsdienst de melding op, vervolgens doe je aangifte bij de politie en informeer je de mensen die over de inbraak geïnformeerd moeten worden. Bij een hack is dat niet anders. Je moet deze opvolgen, in een aantal gevallen moet je de hack melden bij een overheidsinstantie en je doet wat je kunt om de gevolgen zo beperkt mogelijk te houden en de kans op herhaling te verkleinen. Ik besef dat informatiebeveiliging voor veel mensen een virtueel en ongrijpbaar begrip is. Een deur kun je beetpakken en op slot doen, en een brandblusser passeer je elke dag op de gang in je kantoor. Het is daarom zaak dat organisaties informatiebeveiliging meer zichtbaar maken. Laat informatiebeveiliging onderdeel zijn van je bedrijfsprocessen en niet een apart proces of afdeling zijn. Als medewerkers vaker te maken krijgen met de praktische uitwerking van informatiebeveiliging, dan wordt het gelijk minder ongrijpbaar. Laten we ervoor zorgen dat we informatiebeveiliging gaan omarmen als een van de dingen die we gewoon op orde willen hebben en een einde maken aan angst, onzekerheid en twijfel! =========================== Jan Martijn Broekhof doet bij Intermax onderzoek naar de ontwikkelingen op de security markt, en hoe wij daar als hostingbedrijf in passen. Hij schreef voor ons deze blog.

Lees meer
Waarom privacy ertoe doet [blog]

Wanneer ik mensen vraag of ze beseffen wat er gebeurt met alle data die ze op internet achterlaten, krijg ik vaak de reactie: "Als je niets te verbergen hebt, waar ben je dan bang voor?". Ik vertel dan dat ik niet bang ben, maar dat ik me wel bewust ben van wat er met mijn data gebeurt. Daar komt bij dat het verbergen van dingen in een groot aantal gevallen helemaal niet verkeerd is, daar is niets geheims of duisters aan. Er zijn bijvoorbeeld dingen die je wel tegen je partner zegt wanneer je samen bent, maar niet in een grote groep mensen. Je zondert je af om je te gaan douchen, en strategische contractonderhandelingen met een klant voer je niet in een drukbezocht café. Op die momenten kies je voor privacy: je zondert je af van de grote groep. Tegelijkertijd hebben we zoveel vertrouwen in technologie gekregen, dat we onze diepste gevoelens via Gmail of Whatsapp aan onze geliefden kenbaar maken. Dat we onze vakantiefoto's en persoonlijke documenten in OneDrive en DropBox zetten en dat we Skype als platform kiezen om onze zakelijke besprekingen mee te voeren. We gebruiken een gratis virusscanner om onze computer tegen virussen te beveiligen en we vragen Google om antwoorden te zoeken op onze vragen. De voordelen van deze diensten zijn duidelijk: ze zijn gratis, je hebt er geen omkijken naar, ze zijn handig in het gebruik en zorgen ervoor dat je efficiënt kunt werken. De nadelen zijn echter minder bekend. Het begint ermee dat 'gratis' niet bestaat voor bedrijven die winst willen maken. De hiervoor genoemde diensten worden allen geleverd door commerciële bedrijven, die op de een of andere manier geld willen verdienen. Een groot gedeelte daarvan verdient geld door de profielen, die ze van jou en mij opslaan, te gebruiken voor hun eigen marketing, maar ook door deze te verkopen aan derden. Dat lijkt op het eerste gezicht onschuldig: je bepaalt zelf of je op een bepaalde advertentie klikt, of een bepaalde dienst of product koopt. Toch? Helaas is dat niet altijd het geval. Stel nu dat Google een afspraak maakt met een leverancier van een bepaald product. En jij bent geïnteresseerd in dat type product. Je oriënteert je via internet op de aankoop en warempel, het product van deze producent en de positieve recensies over deze producten komen steeds bovenaan in de zoekresultaten. Zijn wij dan nog in staat om een goede vergelijking te maken? Of worden we succesvol verleid om dat ene product te kopen? Een ander aandachtspunt is dat internet niet vergeet. De papieren liefdesbrieven die je vroeger schreef kon je verscheuren, verbranden of op een andere manier laten verdwijnen. Op internet is dat praktisch onmogelijk. Ook wanneer je denkt dat je iets verwijdert, is het bij veel gratis diensten zo dat de foto, tekst of het document alleen onzichtbaar voor je gemaakt worden. Zij kunnen er nog gewoon bij. Hou er dus rekening mee dat wat je op internet zet, altijd weer naar voren kan komen. En dat data die je nu genereert jarenlang door organisaties gebruikt kunnen worden om hun profiel van jou te verbeteren. Ondanks de nadelen en aandachtspunten gebruik ik zelf ook diensten als Gmail, Dropbox en Facebook. Ik ben me er echter wel heel erg van bewust dat ik mijn data toevertrouw aan een derde partij. E-mailen doe ik daarom zoveel mogelijk versleuteld, daardoor wordt het aanzienlijk lastiger en kostbaarder om mijn e-mails te indexeren. Op Dropbox plaats ik alleen de documenten waarin niet-persoonlijke gegevens staan en ook hier kan je bestanden versleuteld in opslaan. Via Facebook deel ik alleen de dingen die ik ook in een openbare ruimte zou delen met anderen. kortom, ik heb niets te verbergen, maar ik hou wel graag een aantal dingen privé! =========================== Jan Martijn Broekhof doet bij Intermax onderzoek naar de ontwikkelingen op de security markt, en hoe wij daar als hostingbedrijf in passen. Hij schreef voor ons deze blog.

Lees meer
Persbericht: Intermax realiseert unieke cloudoplossingen in Managed Hybrid Cloud

Intermax Managed Hosting breidt haar clouddiensten fors uit met de Intermax Managed Hybrid Cloud, waarbij de provider het beste van de publieke en private cloud combineert tot unieke, veilige en eenvoudig schaalbare hostingoplossingen. De Intermax Managed Hybrid Cloud maakt gebruik van de reeds bestaande Intermax Secure Cloud, en is nu uitgebreid met Amazon Web Services (AWS), Microsoft Azure en CloudFlare. Met deze dienst kan Intermax zowel de integratie van cloudtechnologieën in bestaande ICT-infrastructuren als volledig nieuwe architecturen realiseren. “De eisen die onze klanten hebben voor de omgeving zijn leidend voor de architectuur. Door de juiste mix te bieden tussen publieke en private clouds creëren we als het ware een unieke en flexibele ‘cloud of clouds’, die met onze relaties meegroeit,” zegt John T. Knieriem, algemeen directeur van Intermax. Ook voor advies en het ontwerp van een optimale cloudarchitectuur zijn bedrijven aan het juiste adres bij Intermax: “Dankzij onze jarenlange ervaring met hybride cloudoplossingen kunnen wij relaties optimaal adviseren over de ideale combinatie van diensten. Samen met hen ontwikkelen wij de perfecte, en vooral veilige, ICT-mix. De ene cloudomgeving is immers de andere niet.” Flexibel opschalen Vanuit de Intermax Secure Cloud kan eenvoudig tijdelijke extra capaciteit worden ingezet, bijvoorbeeld bij grote vraag. Op die manier wordt het mogelijk flexibel op en af te schalen. Dit kan allemaal binnen enkele minuten. Bovendien kunnen klanten betalen naar daadwerkelijk gebruik. Zo realiseren zij aanzienlijke besparingen en kunnen zij grote investeringen vooraf overslaan. Dankzij geografische loadbalancing en geavanceerde contentdistributie zijn websites en applicaties overal ter wereld optimaal beschikbaar. Aangevuld met technologie van marktleiders als Fortinet, VMware, Microsoft en HP worden bedrijfskritische gegevens, sites en applicaties optimaal beschermd. Geïntegreerde veiligheid Gelijk met de uitbreiding van de clouddiensten lanceert Intermax zijn nieuwe security dienstverlening. Vanuit een centraal dashboard wordt meerdere keren per dag een integraal beeld gevormd van de complete cloudomgeving, waar deze zich ook bevindt. Aangevuld met een dagelijkse penetratietest en uitgebreide compliancy rapportages krijgt de applicatie-eigenaar inzicht in de actuele staat van de beveiliging van zijn platform. Vanuit het Intermax Security Operations Center wordt de veiligheid 24x7 gemonitord. Bij nieuwe bedreigingen wordt direct ingegrepen.

Lees meer
Test: hoe gedraagt uw cloudprovider zich? [blog]

Vragenlijstjes, wie kent ze niet. Altijd leuk om die korte testjes in te vullen. In de AutomatiseringGids las ik vorige week een stuk van de hand van Simon van den Doel van KPN Consulting, getiteld “De kleine lettertjes van de cloud” (red.: artikel online alleen toegankelijk voor abonnees). Hierin wordt heel helder in zeven onderdelen uiteengezet welke vragen je aan je cloudleverancier MOET stellen. Die test heb ik direct eens even ingevuld! 1. Is er een disaster recovery plan? Jazeker wel! Maar liefst 93 procent van de bedrijven dat te maken krijgt met een aanzienlijk dataverlies gaat binnen 5 jaar failliet. Een goed disaster recovery plan is dus heel belangrijk. Intermax heeft automatisch in de dienstverlening opgenomen dat virtuele cloudcapaciteit altijd over meerdere datacentra wordt verdeeld. Capaciteit wordt automatisch en real-time overgenomen bij uitval van een datacentrum. Bij geografisch gescheiden opgeslagen data heeft u dus ook disaster recovery. Let op: dat doet bijna geen enkele hoster! Ook bij Amazon Web Services (AWS) dient u dit apart aan te schaffen. Bij ons niet, wij helpen deze architectuur goed te ontwerpen. Neemt u vervolgens ook dagelijkse backups af, dan worden deze in een derde datacentrum opgeslagen. Dus zelfs als een heel datacentrum zou ontploffen zijn we de data nog niet kwijt. En ja, we testen elke week of de backups integer zijn. Dat doen we steekproefsgewijs, doordat vele klanten ons vragen om een backup terug te zetten (bijvoorbeeld in het geval van een weggegooide mailbox...). 2. Hoe is high availability georganiseerd? Zie ook punt 1. Dankzij onze vier geografisch gescheiden datacentra (2 in Amsterdam, 2 in Rotterdam) hebben we altijd de mogelijkheid om servers bijzonder hoog beschikbaar te maken. Wij kijken niet op van uptimes boven de 99,999%. Alle kritieke componenten zijn minimaal dubbel, en vaak driedubbel uitgevoerd. Overigens heb je helemaal niks aan een uptime van 99,99999%, het gaat erom wat wij doen als het toch een keer stuk mocht gaan. Want dat gaat een keer gebeuren. Dan halen we niet eerst de SLA uit de lade. Nee, we gaan gelijk rennen en vliegen om het als de wiedeweerga weer aan de praat te krijgen. Dat kunnen we dankzij onder andere snapshottechnologie heel snel. En ja, dat testen we ook heel vaak. 3. Welk recht is van toepassing op data? Het Nederlands recht. Intermax is een Nederlandse BV, met uitsluitend Nederlandse aandeelhouders en 100% kaaskop-garantie voor wat betreft onze medewerkers. Wanneer uw data in een Intermax datacentrum staat (onze datacentra in Rotterdam zijn overigens ook 100% Nederlands), dan waken wij over de privacy. Staat uw data bij AWS of Azure, dan kan data onder de Patriot Act vallen. Wij vertellen u graag alle details en nemen dit aspect mee bij het ontwerp van uw cloudarchitectuur. 4. Wat te doen bij faillissement? Intermax is deelnemer van de Dutch Hosting Provider Association (DHPA). We hebben als grote hostingbedrijven in Nederland met elkaar afgesproken dat wanneer een deelnemer in de problemen komt, de andere deelnemers de verplichtingen overnemen om zo tot ononderbroken dienstverlening en toegang tot de eigen data te komen. Wij kunnen u trouwens vooraf ook informeren over een verzekering tegen dataverlies. Of over Escrow, waarbij data bij twee DHPA-deelnemers wordt neergezet. Kans op faillissement is overigens niet heel groot. Wilt u een kijkje nemen in onze cijfers? Kom gerust even langs, krijgt u er een overheerlijke kop koffie of thee bij! 5. Hoe ziet het securitybeleid eruit? Dat is een omvangrijke vraag. We doen ontzettend veel aan het actueel en relevant houden van ons securitybeleid. Denk onder andere aan: Security awareness trainingen en phishing tests Minimaal 2x per jaar een externe audit voor ISO27001 en NEN7510, audits voor ISO9001, ISAE3402 en DigiD. Daarnaast verwelkomen we elk jaar zo’n 15 tot 20 auditoren van onze klanten! Screening van personeel, beperkte toegang tot informatie (volgens het need-to-know principe), vier-ogenprincipe bij belangrijke en kritieke werkzaamheden Regelmatige herziening van het informatiebeveiligingsbeleid, onze risk assessment, onze business impact analyses en een kritische blik van het management op de uitvoering van het beleid (de management review) Etc. Voor elk project hebben wij bovendien een zeer uitgebreide vragenlijst die we samen met klanten invullen. Zo komen we te weten welke security-eisen er bestaan, of waar we extra over moeten nadenken bij het ontwerpen van een zeer veilige cloudarchitectuur. 6. Cloud-exitstrategie geregeld? Je moet er niet aan denken. Dat je gegijzeld wordt door je leverancier en niet meer bij je data kan. Er zijn voorbeelden te over. Wij hebben als motto “Als je bij het trouwen gelijk bepaalt hoe je gaat scheiden, dan heb je nooit ruzie”. Oftewel: we leggen contractueel vast wat er gebeurt aan het eind van de overeenkomst. Vaak kunnen we virtuele servers heel eenvoudig kopiëren naar een andere cloudprovider. Dat testen we heel vaak, maar dan meestal wel andersom (van de andere cloud provider naar Intermax :-)). 7. Hoe waarborgt de cloudleverancier de privacy? We hebben in onze missie expliciet opgenomen dat wij de privacy van onze klanten en hun gegevens zeer hoog achten. Daar doen we dus ook alles aan. Bovendien houden we scherp in de gaten wat de wetgever allemaal verzint om privacy te bewaren of juist te ondermijnen. Zo zullen we echt niet adviseren om medische gegevens buiten Nederland op te slaan. Niet elk land gaat zo zorgvuldig om met privacy. Daar gaan we dus samen met u voor zitten bij het opstellen van onze overeenkomsten. We houden data in Nederland en voor onszelf, of we maken er expliciet een andere afspraak over. Punt. Vragen over de Cloud en Hosting? Er zijn natuurlijk nog 100 andere vragen te bedenken waar wij een antwoord op kunnen geven. Doen we graag! We stellen onze klanten ook graag de nodige vragen. Dankzij die proactieve aanpak gaan zij nadenken over zaken die nog niet eerder op hun agenda stonden. Zo houden we elkaar scherp – voor een optimale veiligheid, privacy en beschikbaarheid van uw kostbare data!

Lees meer