Het Internet Schoon Manifest
Internet en IT zijn van groot maatschappelijk belang en hebben een positief effect op de Nederlandse economie. Op het moment dat de IT-markt groeit, wordt echter ook de afhankelijkheid groter. Denk alleen al aan de gevolgen van de continue stroom aan cyberincidenten, waarmee bedrijven het risico lopen compleet platgelegd te worden. Bovendien neemt ook de druk op het milieu toe. Om ervoor te zorgen dat we maximaal blijven profiteren van de voordelen van IT, is het tijd dat we als IT-professionals allemaal ons steentje bijdragen aan een schoon internet. Dit vraagt om concrete acties op het gebied van privacy, security en duurzaamheid.
Natuurlijk is onlangs de AVG van kracht geworden, maar dit is slechts een eerste stap richting een duurzaam privacy- en securitybeleid. Een veilig en schoon internet moet de standaard zijn voor iedere IT-professional. Daarom roepen wij jullie op om jullie verantwoordelijkheid te pakken en de eenvoudige regels in dit manifest te volgen. Zo zorgen we er met elkaar voor dat Nederland vandaag en in de toekomst zorgeloos kan profiteren van alle digitale mogelijkheden.
Privacy
Maak een einde aan de verkoop van privacy.
Geen enkele online dienst of tool is gratis. U en uw medewerkers gebruiken deze ‘gratis’ dienst in ruil voor privacy. Verkoop dus niet langer gegevens van uw klanten en uzelf en maak een weloverwogen keuze in de diensten die u afneemt. Voor niets gaat de zon op.
Stop met het verzamelen van overbodige gegevens.
Bedrijven verzamelen onnodig veel informatie van websitebezoekers, prospects, klanten en medewerkers. Ga na welke gegevens u daadwerkelijk nodig heeft om uw dienst of product te kunnen leveren en minimaliseer de data die u verzamelt. Wat u niet verzamelt, hoeft u ook niet te beveiligen!
Stel een verantwoordelijke aan voor informatiebeveiliging.
Privacy en security zijn geen bijzaken, maar randvoorwaarden om een open, veilig en vrij internet te waarborgen. Daarom is het essentieel dat iedere organisatie, ongeacht of u werkzaam bent binnen een grote of kleine organisatie, een persoon aanwijst die specifiek aandacht heeft voor informatiebeveiliging. Hij of zij moet voldoende bevoegdheden hebben om beleid en eventuele wijzigingen af te dwingen bij de directie.
Maak uw datastromen inzichtelijk en ga na bij welke derde partijen uw datastromen terecht komen.
Zorg dat u inzichtelijk krijgt welke datastromen er in uw organisatie zijn en bedenk u welke data in handen komt van derden. Vanuit de AVG is dit natuurlijk al een regel met betrekking tot persoonsgegevens. Echter moet dit verder gaan en gelden voor alle soorten data waarover u beschikt. Ga tevens bij een derde partij na of zij zich net zo verantwoordelijk voelen voor uw data als uzelf.
Maak uw dataopslag inzichtelijk.
Weet wie welke informatie gebruikt en waar deze wordt opgeslagen. Ook hierbij geldt dat dit breder getrokken moet worden dan persoonsgegevens (AVG). Zorg er daarnaast voor dat er back-ups zijn ingeregeld en test deze periodiek. Indien u geen zicht heeft op wie er toegang heeft tot uw data, waar deze staat opgeslagen of de back-ups ontbreken, dan is uw data ongetwijfeld onveilig.
Security
Stel een responsible disclosure beleid op.
Geef in een openbaar beleid aan hoe een kwetsbaarheid op een legitieme manier bij u gemeld kan worden. Vermeld daarbij binnen welke termijn er reactie volgt op een melding. Middels deze manier van samenwerken, zijn uw klanten en systemen beter beschermd.
Zorg dat u een calamiteitenplan heeft klaarliggen.
Stel een plan op waarin u aangeeft hoe u acteert bij calamiteiten. Het is belangrijk om hier goed over na te denken, voordat het te laat is. Wanneer u een draaiboek heeft klaarliggen, heeft u direct inzicht in welke acties er moeten worden ondernemen bij incidenten.
Voer uw patchbeleid uit.
Het is een open deur, en daarom dus ook belachelijk dat het nodig is om deze regel op te nemen in dit manifest. Echter wordt de urgentie voor het uitvoeren van de patches nog altijd onderschat, terwijl dit juist grote privacy- en securityproblemen voorkomt. Geef daarom in een beleid richting aan het patchproces dat stelselmatig toetst of securitypatches worden opgevolgd en zo niet wat daar dan de reden voor is.
Minimaliseer de drempel om beveiligingsproblemen te melden.
Wees u ervan bewust dat niet iedere medeweker naar u toe durft te komen wanneer zij een misstap hebben begaan door bijvoorbeeld een malafide bestand te openen. Neem de angst en/of schaamte weg en complimenteer de persoon juist met het feit dat hij of zij een melding bij u heeft gedaan.
Zorg dat u een risicoanalyse doet op uw informatiesystemen over de assen van beschikbaarheid, integriteit en vertrouwelijkheid.
Maak inzichtelijk over welke informatiesystemen uw organisatie beschikt en classificeer deze op beschikbaarheid (continuïteit), integriteit (betrouwbaarheid) en vertrouwelijkheid (exclusiviteit). Bepaal voor ieder informatiesysteem hoe ernstig de gevolgen zijn indien het op één van de drie assen gecompromitteerd wordt. Door dit in kaart te brengen, legt u de basis voor de beveiligingsmaatregelen die u dient te treffen op ieder individueel informatiesysteem, waardoor inbreuken op de veiligheid worden voorkomen.
Geef medewerkers inzicht in de beweegredenen voor securitypolicies.
Medewerkers omzeilen beveiligingsmaatregelen vanuit gemakzucht. Betrek hen daarom bij het opstellen van de securitypolicies en neem ze mee in de oplossingsrichtingen. Hiermee wordt de aandacht voor beveiliging vergroot, wordt het nut ervan duidelijk en wordt een veiliger internet gewaarborgd.
Duurzaamheid
Zorg voor inzicht in het verbruik en duurzaamheid van uw apparatuur.
Meten is weten, maar dit gebeurt nog te weinig. Maak inzichtelijk welke apparatuur veel energie verbruikt en vraag uzelf af of u duurzaam bezig bent of dat er betere alternatieven beschikbaar zijn. Zet apparatuur uit die niet meer gebruikt wordt en apparatuur die alleen tijdens piekmomenten nodig is.
Selecteer leveranciers op duurzaamheid.
Binnen het IT-landschap is er al veel aandacht voor energiebesparing en worden er al verschillende maatregelen getroffen op het gebied van duurzaamheid. Let hier op bij de selectie van uw leverancier.
Selecteer bij de aanschaf van nieuwe apparatuur op duurzaamheid.
Om uw steentje bij te dragen aan een schoon internet, kunt u bij de aanschaf van nieuwe apparatuur nadenken over de repareerbaarheid of upgrademogelijkheden van apparatuur. Zo hoeven slechts componenten vervangen te worden in plaats van de gehele hardware. Schaf daarnaast systemen aan die een low-energy modus hebben en neem de co2-uitstoot mee als selectiecriterium.