PinkWeb werkt mee aan rapport GBNED over veiligheidsbeoordeling IT

Onderzoeksbureau GBNED publiceerde deze maand het rapport ‘Assurance: beoordelen veiligheid (web)applicaties en IT-organisaties’. Hierin wordt uiteengezet welke standaarden en normen er zijn voor de beoordeling van IT-beveiliging. Harmen Thiewes en Melle Jorritsma, Information Security Officer en CEO bij PinkWeb, werkten mee aan de totstandkoming van het rapport.

In het onderzoek komt een tal van onderwerpen aan bod. Zo worden er verschillende standaarden belicht, is onderzocht welke het meeste worden gebruikt door IT-leveranciers en is er aandacht voor gerelateerde onderwerpen als een webapplicatie penetratietest en de verwerkersovereenkomst.

Harmen Thiewes is trots dat PinkWeb is gevraagd om mee te werken aan het rapport. ‘Wij zijn zelf actief bezig met informatiebeveiliging. We proberen informatiebeveiliging steeds meer te integreren in onze dagelijkse activiteiten zodat het onderdeel wordt van de cultuur bij PinkWeb. ISO27001 ondersteunt ons hier goed in. Je wordt min of meer gedwongen om informatiebeveiliging onderdeel te maken van het beleid.’

‘We worden regelmatig geconfronteerd met het onderwerp beveiliging’, zegt Gerard Bottemanne van GBNED. ‘Als het gaat om het beoordelen van de beveiliging van applicaties, komen we termen tegen als ISO, ISAE, richtlijnen en ga zo maar door. Tel daar dan nog inhoudelijke termen bij op, bijvoorbeeld Injection, SQL-injectie en Cross-Site Scripting (XSS), en menig lezer haakt af.’

Dit was voor Bottemanne aanleiding om op een rij te zetten welke standaarden en normen er zijn op het gebied van veiligheidsbeoordeling in de IT. Met inbreng van verschillende deskundigen is zo het rapport tot stand gekomen. Het doel: de opgedane kennis met de markt delen. Bottemanne is zelf het meest onder de indruk van de ICT-Beveiligingsrichtlijnen, uitgegeven door het Nationaal Cyber Security Centrum (NCSC).

Het volledige rapport is hier gratis te downloaden.