Digitale veiligheid - Port Security · CIG Informatiebeveiliging - Digitale veiligheid - CIO Platform Nederland - juni 2012 - pagina 5 van 19 CIG Informatiebeveiliging 1 Aanleiding

CIG Informatiebeveiliging - Digitale veiligheid - CIO Platform Nederland - juni 2012

CIG Informatiebeveiliging

Digitale veiligheid Risico’s en maatregelen

Publicatie van de CIO Interest Group

Informatiebeveiliging

CIO Platform Nederland, juni 2012

www.cio-platform.nl/publicaties

CIG Informatiebeveiliging - Digitale veiligheid- CIO Platform Nederland - juni 2012 - pagina 2 van 19




Van de opstellers

Alle CIO Interest Groups (CIGs) van het CIO Platform Nederland hebben het doel om kennis te delen op die terreinen waarvan de leden hebben aangegeven deze belangrijk te vinden.

De Bestuurscommissie Informatiebeveiliging van het CIO Platform Nederland worstelde met een aantal vragen, onder andere naar aanleiding van het ‘Diginotar-incident’ in de tweede helft van 2011.

Om antwoord te kunnen geven op deze vragen heeft de CIG een inventarisatie uitgevoerd onder de deelnemers met als belangrijkste vraag: “waar lig je ’s nachts wakker van?”.

Wat houdt beveiligingsspecialisten van private en publieke organisaties in Nederland bezig? Wat zijn de belangrijkste aandachtspunten voor organisaties, en in het bijzonder de CIO, voor informatiebeveiliging?

Met de opgedane ervaring van onder andere het Diginotar traject zijn we aan de slag gegaan om een antwoord te vinden op bovenstaande vraag. Daarover gaat deze publicatie.

We onderkennen, na inventarisatie, zeven belangrijke aandachtsgebieden, waarover in deze publicatie meer details.

Om de organisaties te helpen de risico’s binnen deze aandachtsgebieden tot een

aanvaardbaar niveau te verminderen zijn voor elk van deze gebieden de meest relevante beheersdoelstellingen en -maatregelen uit de Code voor Informatiebeveiliging (ISO 27002) geselecteerd.

Eerder maakten wij als CIG al de awareness toolkit, ons intern security benchmark tool, de checklist voor het procurement traject en enkele publicaties.

We bedanken onze organisaties die ons de gelegenheid geven op deze manier

onze deskundigheid te delen binnen het CIO Platform.

De opstellers (zie pagina 18).



Inhoudsopgave

1! Aanleiding en vraag .............................................................................. 5! 1.1! !Aanleiding ....................................................................................... 5! 1.2! !Vraag ............................................................................................... 6!2! Werkwijze ............................................................................................... 7!3! Risico Top-11 ......................................................................................... 8! 3.1! !De rangschikking ............................................................................ 8! 3.2! !Het overzicht ................................................................................... 9!4! Zeven aandachtsgebieden ................................................................. 10! 4.1! !Cloud computing / Uitbesteding .................................................. 10! 4.2! !Awareness / Kennis informatie Interne organisatie / Compliance . 10! 4.3! !Interne organisatie / Compliance .................................................. 10! 4.4! !Cybercrime / Incident Management ............................................. 10! 4.5! !Complexiteit / Kennis m.b.t. systemen ........................................ 11! 4.6! !Het Nieuwe Werken (HNW)/ Bring Your Own Device (BYOD) ........ 11! 4.7! !Identity & Access Management (IAM) ............................................ 11!5! Beheersmaatregelen ........................................................................... 12! 5.1! !Cloud Computing / Uitbesteding .................................................. 13! 5.2! !Awareness / Kennis mbt bedrijfsinformatie ................................. 13! 5.3! !Interne organisatie / Compliance .................................................. 13! 5.4! !Cybercrime / Incident management ............................................. 14! 5.5! !Complexiteit / Kennis mbt systemen ........................................... 14! 5.6! !Het Nieuwe Werken/Bring Your Own Device ................................ 14! 5.7! !Identity & Access Management ..................................................... 15!6! Verbeteren van informatiebeveiliging .............................................. 16! 6.1! !Relevante publicaties ..................................................................... 16! 6.2! !Awareness toolkit .......................................................................... 16! 6.3! !Checklist Informatiebeveiliging ..................................................... 16! 6.4! !Benchmark van leden .................................................................... 17!7! Deelnemers CIG Informatiebeveiliging ............................................. 18!



1 Aanleiding en vraag

1.1 Aanleiding Het afgelopen jaar is Informatiebeveiliging vaak om vervelende redenen in het nieuws geweest. Denk hierbij aan digitale inbraken (hacks) bij Diginotar, Babydump en KPN, beveiligingsissues bij overheden in ‘lektober’ en denial of

service bij diverse partijen.

Er is veel aan de hand waarbij niet alleen de incidenten zelf in het nieuws waren, maar ook achterliggende processen en bedrijven die werden getroffen. De

gevolgen van een hack trof dus vaak veel meer partijen dan alleen degene die “het overkwam”.

Zo plaatste de Diginotar affaire vraagtekens bij de betrouwbaarheid van de

beveiliging van “veiligheid-als-dienst”-biedende partijen. Ook het toezicht op die dienstenleveranciers werd ter discussie gesteld en zelfs het systeem van certificaten zelf.

De hack bij Babydump en KPN leidde tot aandacht voor de veiligheidsbewustheid bij netwerkpartijen en MKB-bedrijven.

De noodzaak voor eindgebruikers en klanten, kortom ieder individu, om actief

met hun eigen (digitale) veiligheid om te gaan is hierdoor weer actueel. Denk hierbij aan het alert zijn waar iemand welke gegevens invult en achterlaat, het kiezen van goede wachtwoorden et cetera.

De behoefte om, met lering uit deze voorbeelden, voor BV Nederland hierin een constructieve en structurele aanpak te kiezen nam sterk toe.

Overheid, IT-leveranciers en –gebruikers werken sinds medio 2011 actief samen

bij het aanpakken van digitale veiligheid in de Cyber Security Raad.

Door het in kaart brengen van dreigingen en maatregelen en deze samen te brengen kunnen we de digitale veiligheid verbeteren. Alleen zo kunnen we de

waarden van onze maatschappij en economie beschermen.

Daarvoor moeten we wel weten wat er op ons af komt, waar we kwetsbaar zijn en welke risico’s we lopen.



1.2 Vraag Genoeg reden dus om na te denken over actuele risico’s en mogelijk nieuwe of

hernieuwde inzichten die de actualiteit ons geeft.

Aan de CIG Informatiebeveiliging is daarop gevraagd een antwoord te geven op de vraag wat de professionals in dit vakgebied, in casu de deelnemers van deze

interest group, zien als de grootste aandachtspunten op het gebied Informatiebeveiliging voor 2012 en verder.

Met de opgedane ervaring van de gememoreerde incidenten zijn we aan de slag

gegaan om een antwoord te vinden op bovenstaande vraag.



2 Werkwijze

In de bijeenkomst van de CIG Informatiebeveiliging in september 2011 is door de aanwezige deelnemers een inventarisatie van ‘de grootste bedreigingen’ gemaakt. Hieruit is een lijst voortgekomen met veertig aandachtspunten, risico’s,

bedreigingen en ‘beroepsmatige zorgen’ die de aandacht moeten krijgen.

Deze lijst is toegestuurd aan alle deelnemers van de CIG met het verzoek om aan te geven welke aandachtspunten voor hun organisatie in 2012 het

belangrijkst zijn.

Het resultaat van deze ranking, zie de ‘Risico Top-11’ op de volgende pagina, is gepresenteerd in de CIG en Bestuurscommissie bijeenkomsten in december

2011.

Vervolgens zijn de aandachtspunten geclusterd en zijn deze met het aantal stemmen gewogen. Daarna hebben we de clusters gekoppeld aan de

beheersmaatregelen uit de Code voor Informatiebeveiliging.

Nadat de bestuurscommissie de notitie hierover had besproken kwam het verzoek om van de resultaten een publicatie te maken, te presenteren op de

jaardag van het CIO Platform in juni 2012.

Dit hebben we in gang gezet en toegevoegd de wens dat ons informatiebeveiligingsbenchmark-tool “BMTool” van het CIO Platform hierin ook

de voortgang en vergelijking mogelijk moest maken.

Naast deze publicatie is er voor gezorgd dat leden van het CIO Platform de tool nu ook kunnen gebruiken om te meten waar je als organisatie staat ten opzichte

van de aandachtsgebieden uit deze inventarisatie.

De CIG deelnemers hebben een actieve en constructieve bijdrage geleverd aan deze publicatie, waarvoor dank. Deze deelnemers staan achterin deze publicatie

opgenomen.



3 Risico Top-11

3.1 De rangschikking Hieronder zijn de aandachtspunten gerangschikt die bij de inventarisatie de meeste stemmen kregen van de experts van de CIG. Uit de lijst met veertig punten mochten maximaal vijf worden aangekruist.

Tussen [ ] is het aantal stemmen vermeld.

1. Awareness/verantwoordelijkheden en een soms laconieke houding [16]

2. Gebruik van privé- en mobiele apparatuur [16]

3. Geen inzicht hebben in toegang tot informatie (onvoldoende identity

management, autorisatie management) [16]

4. IB nog steeds geen verantwoordelijkheid van de business (awareness) [14]

5. Onvoldoende grip op IB bij 'uit de Cloud'-dienstverlening (oa SaaS, PaaS) [13]

6. Onvoldoende grip op IB bij uitbesteden, hoe zekerheid te krijgen over het

daadwerkelijke beveiligingsniveau [13]

7. Toenemende complexiteit en afnemende relevante kennis [12]

8. Cybercrime en het onvoldoende bewust zijn van de risico’s [11]

9. Onbewust, onbekwame gebruikers [11]

10. Onvoldoende kennis bij eigen organisatie over bedreigingen en

mogelijkheden/noodzakelijkheden om die aan te pakken [11]

11. Geen inzicht in afhankelijkheden derden en/of het beveiligingsniveau van

derden [11]



% stemmen per aandachtsgebied

Cloud Computing / Uitbesteding; 28%

Awareness / Kennis mbt bedrijfsinformatie; 27%

Interne organisatie / Compliance; 13%

Cybercrime / Incident management; 10%

Complexiteit / Kennis mbt systemen; 8%

Het Nieuwe Werken / Bring Your Own Device;

8%

Identity & Access Management; 6%

In de oorspronkelijke lijst met veertig aandachtspunten zijn dezelfde punten

soms op verschillende manieren geformuleerd. Bijvoorbeeld: “Geen duidelijke contractuele afspraken over IB”, “Geen inzicht in niveau IB van derden” en “Geen inzicht in niveau IB van leveranciers”.

3.2 Het overzicht De ene formulering heeft de Top-11 wel gehaald, de andere niet. Om ook die

scores recht te doen en de gevraagde koppeling met beheersmaatregelen overzichtelijk te houden, zijn de veertig aandachtspunten (met hun score) geclusterd in zeven aandachtsgebieden.

Het resultaat is samengevat in onderstaand figuur 1:

Figuur 1: verdeling stemmen over de aandachtsgebieden



4 Zeven aandachtsgebieden

De zeven aandachtsgebieden kunnen als volgt worden gekarakteriseerd:

4.1 Cloud computing / Uitbesteding

Het vermogen van de organisatie om de kansen die cloud computing biedt, optimaal te benutten maar tegelijkertijd grip te houden op de

Informatiebeveiliging van de leveranciers van cloud services. Werkzaamheden kunnen vaak technisch eenvoudig en snel worden uitbesteed;

de verantwoordelijkheid voor de betrouwbaarheid, integriteit en vertrouwelijkheid van bedrijfsinformatie blijft echter (volgens de wet) in alle gevallen bij de uitbestedende partij.

4.2 Awareness / Kennis m.b.t. informatie Interne organisatie / Compliance Het vermogen van de organisatie om security awareness en de kennis van de

eigen bedrijfsinformatie op een dusdanig peil te brengen dat de betrouwbaarheid, integriteit en vertrouwelijkheid van die informatie afdoende beschermd kan worden in alle constructies: intern, traditioneel uitbesteed of ‘in

de cloud’. Een belangrijk risico voor elke organisatie is de onachtzaamheid en onkunde van

de medewerkers in het omgaan met vertrouwelijke informatie.

4.3 Interne organisatie / Compliance

Het vermogen van de interne organisatie om te voldoen aan weten regelgeving en om te gaan met het verscherpte toezicht daarop.

Het ontwikkelen van een beleid over het voldoen aan regelgeving en beveiliging van informatie is de eerste stap, minstens zo belangrijk zijn het controleren op

naleving, signaleren van en reageren op incidenten en het eventueel aanpassen van beleid na incidenten.

4.4 Cybercrime / Incident Management

Het vermogen van de organisatie om snel en doeltreffend te anticiperen en te reageren op incidenten en calamiteiten die veroorzaakt worden door steeds

beter georganiseerde internetcriminelen.



Om te voorkomen dat strategie en beleidsvorming in het gedrang komen door

het toenemend aantal nieuwe incidenten is een duidelijke scheiding binnen de organisatie tussen beleid en uitvoering van groot belang.

4.5 Complexiteit / Kennis m.b.t. systemen

Het vermogen van de organisatie om te reageren op twee gelijktijdig optredende trends: de toenemende complexiteit van het systeemlandschap en de

afnemende kennis van belangrijke (legacy) systemen. Een forse uitdaging voor elke organisatie is het managen van het toenemende

aantal te ondersteunen applicaties en de daarvoor benodigde competenties.

4.6 Het Nieuwe Werken (HNW)/ Bring Your Own Device (BYOD)

Het vermogen van de organisatie om zowel tijdig als veilig te kunnen voldoen aan (nieuwe) behoeften van de klantorganisatie (‘de business’) zoals ‘Het Nieuwe

werken’ en de wens met eigen apparatuur toegang te krijgen tot vertrouwelijke bedrijfsinformatie (BYOD).

Gebruikers, zowel medewerkers en klanten, verwachten in toenemende mate dat elk platform/device gebruikt kan worden voor toegang tot voor hen relevante informatie. Als dit niet voldoende snel wordt gefaciliteerd vanuit de organisatie

ontstaat ongecontroleerde verspreiding van de informatie, met bijbehorende risico’s.

4.7 Identity & Access Management (IAM)

Het vermogen van de organisatie om toegang voor bevoegde gebruikers te bewerkstelligen en onbevoegde toegang tot informatiesystemen te voorkomen.

Recente ontwikkelingen als HNW en BYOD stellen hoge eisen aan de vaak toch al complexe inrichting van logische toegangsbeveiliging (‘Identity- en Access

management’).



5 Beheersmaatregelen

De beheersmaatregelen uit de Code voor Informatiebeveiliging (ISO27002) kunnen organisaties helpen om de risico’s binnen de aandachtgebieden tot een aanvaardbaar niveau te verminderen.

We hebben voor elk van de geïdentificeerde aandachtsgebieden, de meest relevante beheersdoelstellingen en -maatregelen uit de Code opgenomen.

Merk hierbij op dat:

• Sommige hoofdstukken/categorieën, zoals Risicobeoordeling en -behandeling (hoofdstuk 4), Beveiligingsbeleid (5), Classificatie van informatie (7.2) en Naleving (15) eigenlijk van toepassing zijn op alle

aandachtsgebieden.

• Voor het aandachtgebied ‘Cybercrime / Incident Management’ in feite alle maatregelen uit de Code relevant zijn.

• Voor het aandachtsgebied ‘Complexiteit / Kennis m.b.t. systemen’ biedt de Code niet veel houvast. Cobit, het IT governance framework van ISACA, is hiervoor een betere gids.

Op de volgende pagina’s de uitwerking per aandachtsgebied, met daarbij de selectie beheersmaatregelen en bijbehorende relevante hoofdstukken uit de Code voor Informatiebeveiliging (ISO27002).



5.1 Cloud Computing / Uitbesteding 4 Risicobeoordeling en risicobehandeling

5 Beveiligingsbeleid 6.1 Interne organisatie 7.2 Classificatie van informatie

10.2 Beheer van de dienstverlening door derde partij 10.5 Back-up 10.7 Behandeling van media

10.8 Uitwisseling van informatie 10.9 Diensten voor e-commerce 11.7.2 Telewerken

12.1.1 Analyse en specificatie van beveiligingseisen 12.5.5 Uitbestede ontwikkeling van programmatuur 14.1.2 Bedrijfscontinuïteit en risicobeoordeling

15 Naleving

5.2 Awareness / Kennis mbt bedrijfsinformatie

4 Risicobeoordeling en risicobehandeling 5 Beveiligingsbeleid 7.2 Classificatie van informatie

11.7.2 Telewerken 6.1.1 Betrokkenheid van de directie bij Informatiebeveiliging 6.2.2 Beveiliging behandelen in de omgang met klanten

7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen 8.1.1 Rollen en verantwoordelijkheden 8.2.1 Directieverantwoordelijkheid

8.2.2. Bewustzijn, opleiding en training tav Informatiebeveiliging

5.3 Interne organisatie / Compliance

6.1.1 Betrokkenheid van de directie bij Informatiebeveiliging 6.1.2 Coördinatie van Informatiebeveiliging

6.1.3 Toewijzing van verantwoordelijkheden voor Informatiebeveiliging

6.1.5 Geheimhoudingsovereenkomst 15.1 Naleving van wettelijke voorschriften



15.2 Naleving van beveiligingsbeleid en -normen en technische naleving

6.1.6 Contact met overheidsinstanties 6.1.7 Contact met speciale belangengroepen 13.1 Rapportage van Informatiebeveiligingsgebeurtenissen en

zwakke plekken

5.4 Cybercrime / Incident management

8.2.2. Bewustzijn, opleiding en training tav Informatiebeveiliging 8.3.3 Blokkering van toegangsrechten 10.4 Bescherming tegen virussen en ‘mobile code’

10.6 Beheer van netwerkbeveiliging 10.7 Behandeling van media 10.8 Uitwisseling van informatie

10.9 Diensten voor e-commerce 10.10.2 Controle van systeemgebruik 11 Toegangsbeveiliging

12.3 Cryptografische beheersmaatregelen 12.5.4 Uitlekken van informatie 12.6 Beheer van technische kwetsbaarheden

13 Beheer van informatie beveiligingsincidenten 14.1.2 Bedrijfscontinuïteit en risicobeoordeling 15.2 Naleving van beveiligingsbeleid en -normen en technische

naleving

5.5 Complexiteit / Kennis mbt systemen

4 Risicobeoordeling en risicobehandeling 6.2.1 Identificatie van risico's mbt externe partijen

6.2.3 Beveiliging behandelen in overeenkomsten met een derde partij 10.2 Beheer van de dienstverlening door een derde partij

14.1.2 Bedrijfscontinuïteit en risicobeoordeling

5.6 Het Nieuwe Werken/Bring Your Own Device

4 Risicobeoordeling en risicobehandeling 5 Beveiligingsbeleid



6.1.4 Goedkeuringsproces voor IT-voorzieningen 7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen

7.2 Classificatie van informatie 8.2.2 Bewustzijn, opleiding en training tav Informatiebeveiliging 8.3.2 Retournering van bedrijfsmiddelen

9.2.5 Beveiliging van apparatuur buiten het terrein 10.1.3 Functiescheiding (7) 10.7 Behandeling van media

10.8 Uitwisseling van informatie 10.10.2 Controle van systeemgebruik 11.3 Verantwoordelijkheden van gebruikers

11.7.1 Draagbare computers en communicatievoorzieningen 12.1.1 Analyse en specificatie van beveiligingseisen (voor informatiesystemen)

12.5.4 Uitlekken van informatie 12.6 Beheer van technische kwetsbaarheden

5.7 Identity & Access Management

6.2.2 Beveiliging behandelen in de omgang met klanten 7.2 Classificatie van informatie

8.1.1 Rollen en verantwoordelijkheden 8.3.3 Blokkering van toegangsrechten 10.1.3 Functiescheiding

11 Toegangsbeveiliging 13 Beheer van informatie beveiligingsincidenten



6 Verbeteren van informatiebeveiliging

De CIG Informatiebeveiliging is de grootste CIG van het CIO Platform. Informatiebeveiliging is een onderwerp dat bij elke CIO steeds prominenter op de agenda staat. Als CIG hebben we de afgelopen jaren een aantal producten

opgeleverd voor onze leden en ook voor de buitenwereld.

Op de site van het CIO Platform zijn de publicaties diverse CIGs te vinden. www.cio-platform.nl/publicaties

6.1 Relevante publicaties In relatie tot de hier besproken aandachtsgebieden zijn de volgende publicaties interessant:

• Publicatie End User Self Service: Seven Habits: Keys to a successful user

portal (juni 2011) • Publicatie Human Resource Management: De “nieuwe” medewerker (juni

2010)

• Publicatie Information Security: Empowered Employee – Surrender Control? (juni 2010)

Naast de publicaties kunnen, voor Informatiebeveiliging, onderstaande producten veel werk besparen en/of een belangrijke bijdrage leveren aan de kwaliteit van de Informatiebeveiliging.

6.2 Awareness toolkit Voor onze leden is een awareness toolkit ontwikkeld met daarin veel informatie

en bruikbaar materiaal. In de toolkit zitten, naast voorbeelden van aanpak ook materialen die leden mogen gebruiken van elkaar voor hun awareness campagne. Deze toolkit is alleen voor leden beschikbaar.

6.3 Checklist Informatiebeveiliging

De checklist is bedoeld om goed opdrachtgeverschap te bevorderen daar waar het gaat om Informatiebeveiliging gerelateerde aspecten van producten en diensten. Een uitermate goed bruikbare checklist in het procurement traject.



Gebaseerd op de norm voor Informatiebeveiliging, ISO 27002, zijn criteria benoemd waarbij de leverancier wordt gevraagd inzicht te verstrekken hoe door

hem invulling wordt gegeven aan Informatiebeveiliging.

De checklist is gedeeld met de branchevereniging van ICT-leveranciers. Leveranciers kunnen dus bekend zijn met de vragen in de checklist en de

gevraagde informatie aanleveren.

Wanneer leveranciers binnen een aandachtsgebied een rol spelen is de Checklist Informatiebeveiliging van het CIO Platform een goede aanvulling op de, in deze

publicatie beschreven, beheersmaatregelen.

Deze checklist is vrij te downloaden vanaf de website van het CIO Platform. www.cio-platform.nl/publicaties

6.4 Benchmark van leden Door de CIG Informatiebeveiliging is voor leden van het CIO Platform een

benchmark tool (BMTool) ontwikkeld. Hiermee kan de volwassenheid van maatregelen voor Informatiebeveiliging worden vastgelegd en vergeleken met de aangesloten branchegenoten. Ook de eigen voortgang is door deze tool

inzichtelijk te maken.

De BMTool werkt met stellingen, gebaseerd op de norm ISO 27002 voor het scoren van de beveiligingsmaatregelen. Voor de zorginstellingen is de BMTool

ook compliant met de NEN 7510 norm. De volwassenheid wordt afgemeten aan de CobiT 4.1 CMM matrix.

Door de resultaten te vergelijken, kunnen sterke en zwakke schakels in de

Informatiebeveiliging worden vastgesteld. Ultieme doelstelling is de aangesloten organisaties elkaar te laten helpen de zwakke schakels te elimineren door gebruik te maken van de kennis en ervaring van de leden die hier juist sterk

scoren.

De tool kan nu ook worden ingezet om te benchmarken met de specifieke aandachtspunten uit deze publicatie.

Informatie over de BMTool is beschikbaar op www.cio-platform.nl/bmtool



7 Deelnemers CIG Informatiebeveiliging

Organisatie Voornaam Achternaam

Schiphol Group Hans Aldenkamp

Van Gansewinkel Groep Arjan Arendse

Enexis B.V. Hans Baars

Coöperatie VGZ UA Hendrikus Beck

NXP Semiconductors Netherlands B.V. Kay Behnke

Holland Casino Erwin Bosma

De Nederlandsche Bank Edwin Bouwmeester

PostNL Dick Brandt

Tweede Kamer der Staten-Generaal Marcus Bremer

Belastingdienst Gerrit Jan Brendeke

Koninklijke BAM Groep N.V. René Colsen

Royal Vopak Carlos Cordova Niewold

Ahold / Albert Heijn Nico de Groot

Telegraaf Media ICT Ernst de Rijk

ABN AMRO Bank Martijn Dekker

UMC Utrecht Evert Jan Evers

LUMC Erik Flikkenschild

CJIB Henk Gomis

Facilicom Anton Harder

SNS REAAL Rolf Heggie

Marel Food Systems Rob Janssen

ECT Ruud Jongejan

PGGM Piet Kalverda

Belastingdienst Peter Konings

Nederlandse Spoorwegen Joseph Mager

Sociale Verzekeringsbank Pamela Mercera

Stichting SURF Alf Moens

PostNL Robert Moonen

Océ Eric Piepers



(vervolg deelnemers CIG Informatiebeveiliging)

Organisatie Voornaam Achternaam

Espria Erik Pieters

Achmea Group Edwin Pol

Gemeente Haarlemmermeer Michael Pols

Nutreco Peggy Roothans

CBS Roel Rot

Eneco Anne Spoelstra

PostNL Michel Tinga

De Nederlandsche Bank Ewoud van Bentem

UMC Groningen Ron van den Bosch

Havenbedrijf Rotterdam Chris van den Hooven

UMC Groningen Leon van der Krogt

Ahold / Albert Heijn Frank van der Kroon

De Nederlandsche Bank Bram van der Meulen

Randstad Holding Sander van der Velden

LUMC Margot van Ditmarsch

Kluwer Nico Veenkamp

Transavia.com Ronald Verstraeten

Rabobank Nederland Jan Wessels

Schiphol Group Wil Weterings

CIO Platform Rik van Embden

CIO Platform Ronald Verbeek

CIO Platform Foppe Vogd

CIG Informatiebeveiliging - Digitale veiligheid - CIO Platform Nederland - juni 2012

www.cio-platform.nl

De vereniging van ICT eindverantwoordelijken in grote organisaties van de vraagzijde

“ “

Documents

Digitale veiligheid - Port Security · CIG Informatiebeveiliging - Digitale veiligheid - CIO Platform Nederland - juni 2012 - pagina 5 van 19 CIG Informatiebeveiliging 1 Aanleiding