CCM in the Cloud (Harmony’s communicatieplatform) draait sinds enkele jaren naar volle tevredenheid bij diverse klanten. De focus ligt hierbij niet alleen op de geboden functionaliteit, maar ook veiligheid is een minstens zo belangrijke factor. Hoe zorg je er voor dat je platform werkbaar blijft, maar ook voldoet aan strenge veiligheidseisen? Koos Wijdenes (Security & Privacy Officer van Harmony) geeft je inzicht in de verschillende componenten die samen zorgen voor een optimaal beveiligd CCM in the Cloud-platform.
Architectuur
Harmony heeft een architectuur ontworpen waarin de functionaliteit gedekt is én tegelijkertijd ook voldaan wordt aan noodzakelijke beveiligingsprincipes. Deze architectuur is getoetst door de Security Officer van Harmony én door een externe partij die gespecialiseerd is in het beveiligen van Cloudoplossingen. Deze externe toetsing heeft plaatsgevonden in enkele sessies. Allereerst om goed te begrijpen wat de functionaliteiten van CCM zijn, daarna om de daadwerkelijke beveiliging te testen met behulp van een penetratietest. Deze penetratietest heeft verschillende fases doorlopen:
De ‘blackbox’-test: de externe partij heeft geen enkele toegang tot het CCM-platform en probeert binnen te dringen door gebruik te maken van mogelijke kwetsbaarheden.
De ‘whitebox’-test: de externe partij toetst of met verkregen autorisaties (vergelijkbaar aan autorisaties die afnemers of ondersteunende partijen krijgen) er toegang gekregen kan worden tot onderdelen in het platform waar geen autorisatie voor gegeven was.
Deze intensieve testen worden jaarlijks herhaald en eventuele aanbevelingen of bevindingen worden door Harmony opgepakt of verholpen.
Information Security Management System (ISMS)
Harmony heeft een management systeem voor informatiebeveiliging (ISMS), niet alleen voor CCM maar voor alle beheerdienstverlening. Met behulp van dit ISMS houdt de directie toezicht en controle op de juiste werking hiervan. Dit houdt in dat:
- beleid en procedures aangaande informatiebeveiliging conform de ISO27001 zijn gedefinieerd
- deze operationeel belegd zijn bij verantwoordelijken
- per kwartaal een beoordeling door de directie plaatsvindt waarin vastgesteld wordt of de doelen van informatiebeveiliging gehaald zijn
- er jaarlijks een interne audit plaatsvindt.
Hiermee doorloopt Harmony op frequente basis de Plan-Do-Check-Act cyclus en borgt continue verbetering op het gebied van informatiebeveiliging.
ISO27001 Certificering
Vanaf 2019 is het ISMS van Harmony ISO27001 gecertificeerd. Een onafhankelijke externe auditor beoordeelt jaarlijks of het ISMS van Harmony voldoet aan alle eisen. Het ISMS en ook de 114 maatregelen van de bijlage van de ISO27001 (de Annex A) worden dan getoetst. De ISO27001 auditor doet met het certificeren een uitspraak dat het ISMS voldoet aan de vereisten.
ISAE3000 Assurance verklaring CCM
CCM gaat in 2022 verder dan alleen de ISO27001 certificering. De 50 belangrijkste maatregelen van de bijlage van de ISO27001 worden aan een jaarlijkse controle onderworpen door een accountant die opzet, bestaan en werking toetst van de maatregelen specifiek voor CCM. Bij een ISAE3000 audit wordt teruggekeken over een periode (kalenderjaar) of CCM zich heeft gehouden aan de eigen maatregelen. Dit gebeurt met een intensieve deelwaarneming die een reële afspiegeling geeft van hetgeen heeft plaatsgevonden. Hiermee kan Harmony haar afnemers de zekerheid (‘Assurance’) geven dat de verwerkingen door CCM op een veilige manier verlopen.
Graag meer weten over wat onze CCM in the Cloud oplossing voor jou kan doen? Neem dan vrijblijvend contact met ons op.