Aanbesteden is een vertrouwelijk proces. Of u nu aanbesteedt of inschrijft, u moet erop kunnen vertrouwen dat u informatie veilig kunt opslaan, verzenden of ontvangen. Regilio Jankie, coördinator informatiebeveiliging en privacy, vertelt wat we allemaal doen om dit mogelijk te maken.
Verschil informatiebeveiliging en security
Regilio maakt als eerst duidelijk dat informatiebeveiliging en security weliswaar met elkaar te maken hebben, maar dat er toch een duidelijk verschil in zit. ‘Security kun je zien als het slot op een koffer. Informatiebeveiliging is de manier waarop de koffer op slot gaat. Kies je bijvoorbeeld voor een kofferslot met een cijfercombinatie of kies je voor een slot met een sleutel. Er zijn verschillende manieren om te voldoen aan informatiebeveiliging, met het doel om de security op orde te krijgen.’
'Bij TenderNed doen we er alles aan om het aanbesteden veilig te houden. Zo voeren we life cycle management uit op onze applicatie. Dat wil zeggen dat we de applicatie eens in de zoveel jaar weer helemaal opnieuw opbouwen met behulp van de nieuwste technieken. Verder hebben we een dashboard ontwikkeld waarmee we eventuele dreigingen op het gebied van informatiebeveiliging en security monitoren. We laten ook jaarlijks een interne en externe audit en meerdere vulnerability scans uitvoeren. Daarnaast doen we jaarlijks ook nog een pentest. Dat is een toets waarbij we de applicatie testen op kwetsbaarheden. Dat is een toets waarbij we de applicatie testen op kwetsbaarheden. We gaan dan na of het lukt om in de applicatie in te breken. Lukt dat niet, dan is de applicatie veilig. Al deze verschillende activiteiten zijn erop gericht dat aanbesteden via TenderNed op een veilige manier gebeurt. Zelf ben ik bij al deze genoemde taken betrokken in een coördinerende rol.’
Geen functie om bij stil te zitten
Regilio vertelt dat hij geen functie heeft om bij stil te zitten. ‘Informatiebeveiliging en security zijn zaken die continu de aandacht vragen. Soms kun je problemen van tevoren zien aankomen en er tijdig op inspelen. We ontwikkelen onze applicatie ook volgens het principe security by design. Dat wil zeggen dat we bij de ontwikkeling van de software al bezig zijn met security en wanneer het eenmaal ontwikkeld is, voeren we nog verschillende tests uit om te controleren of het ook écht veilig is.’
‘Als je het hebt over hacks van buitenaf, dan kun je dat helaas niet altijd van tevoren zien aankomen. Ik probeer wel altijd zo goed mogelijk voorbereid en op de hoogte te zijn. Bijvoorbeeld door alerts in te stellen van toonaangevende websites op het gebied van security. Dat is belangrijk, want we moeten constant inspringen op de ontwikkelingen op het gebied van informatiebeveiliging en security. Ik wil overal van op de hoogte zijn en zie dit niet als bijzaak. Gelukkig zitten we er met zijn allen bovenop!’
Organisatie door en door kennen
'In mijn werk schakel ik met veel verschillende collega’s. Zo heb ik te maken met de product owners van de verschillende teams, andere informatiebeveiliging en privacy coördinatoren en teammanagers. Als er dan iets speelt, moet ik goed weten bij wie ik moet zijn. Het is dan ook belangrijk voor mij om de organisatie goed te kennen, want security is echt een teamprestatie.’
Al 10 jaar ISO-gecertificeerd
Het harde werk van Regilio en zijn collega’s werpt zijn vruchten af. ‘We zijn al 10 jaar ISO-gecertificeerd. Om dat voor elkaar te krijgen moet je een voldoende scoren op alle 114 maatregelen uit de ISO. Dat moet je zowel op papier als in de praktijk aantonen. De auditoren zeggen als het ware: “Laat maar zien dat wat je zegt in je beleidsstuk, ook werkt in de praktijk”. Per 1 januari 2023 zijn we weer voor de komende 3 jaar gecertificeerd. Vanaf dit jaar is er een ISO 27002. De nieuwe ISO heeft de maatregelen meer gegroepeerd, waardoor het er minder dan 114 zijn. De onderwerpen AVG, privacy en cybersecurity zijn nieuw toegevoegd. Ondanks dat we onlangs opnieuw gecertificeerd zijn, spelen we intern alvast in op de nieuwe indeling. Om goed voorbereid te zijn, werken we nu ons eigen document met maatregelen bij. Dat doen we periodiek zodat we op elk moment aan een auditor kunnen laten zien dat we in control zijn.’
Ook auditdienst onder de indruk van TenderNed
Dat het soms voorkomt dat zelfs een auditor complimenten uitdeelt aan TenderNed laat wel zien dat TenderNed het goed doet qua informatiebeveiliging en security. ‘Eerder had ik het over een dashboard dat we zelf ontwikkelden. We hebben er veel tijd in gestopt om het dashboard goed te implementeren en ook de auditor liet weten erg onder de indruk te zijn.’
Altijd proberen te verbeteren
Regilio is trots op het hoge niveau van informatiebeveiliging bij TenderNed en streeft ernaar om dat minimaal vast te houden. ‘Het is niet eenvoudig om dit hoge niveau van informatiebeveiliging te behalen en we zijn blij dat het ons gelukt is. Dat we dit nu hebben, betekent natuurlijk niet dat we rustig aan kunnen doen. Informatiebeveiliging en privacy worden met de dag belangrijker binnen de samenleving en daarom willen we hoog blijven scoren op deze onderwerpen. Dan weten we zeker dat aanbestedende diensten en ondernemers veilig bij ons aanbesteden en inschrijven.’