Informationssicherheit ist anno 2024 wichtiger als je zuvor. Von Ausweisdokumenten und Lebensläufen bis hin zu wettbewerbssensiblen Informationen: Ein VMS ist voll von Daten, auf die es Hacker abgesehen haben. Nétive VMS wurde nach ISO27001, dem internationalen Standard für Informationssicherheit, rezertifiziert. Mike van der Wal, Chief Information Security Officer, erklärt, warum dies so wichtig ist.
Sicherheit ist bei allem, was wir tun, der Schlüssel
Unsere VMS Suite wird von mehreren großen Kunden für ihre Einstellungsverfahren verwendet. Und mehrere Partner nutzen das System für ihre Dienstleistungen. Alle Arten von Dokumenten werden in ein solches System hochgeladen. Diese enthalten persönliche Daten und wettbewerbsrelevante Informationen. Zum Beispiel persönliche Daten von Bewerbern, Informationen über die Stunden, die sie schreiben, und Daten über die Tarife, zu denen Leute eingestellt werden.‘
Große Verantwortung
Das legt eine große Verantwortung bei Nétive VMS. Um diese Daten so gut wie möglich zu schützen und zu verhindern, dass jemand unbefugten Zugang erhält. ‚Gemäß der DSGVO sind Sie sowieso verpflichtet, bestimmte Sicherheitsmaßnahmen zu ergreifen. Das ist der gesetzliche Rahmen‘, erklärt Van der Wal. ‚Aber unabhängig vom Gesetz; die Vision von Nétive VMS zur Informationssicherheit ist Secure by Design. Das bedeutet, dass wir darauf fokussieren, sicherzustellen, dass die Datensicherheit nicht am Ende unserer Geschäftstätigkeit steht, sondern der Ausgangspunkt für alles ist, was wir tun.‘
Sicher verbinden
Die Mission von Nétive VMS lautet ‚Wir möchten jeden Akteur auf dem Arbeitsmarkt effektiv, nachhaltig und sicher verbinden‘, erklärt Van der Wal: ‚Wir betrachten Informationssicherheit nicht als ein einmaliges Projekt, sondern als ein kontinuierliches Fundament in all unseren Geschäftsaktivitäten. Die Tatsache, dass wir nun erneut nach den neuen und strengeren ISO-Normen zertifiziert sind, ist aus dieser Sicht auch fantastische Nachrichten. Es ist eine Bestätigung dafür, dass wir unsere Mission wirklich in die Praxis umsetzen.‘
In den acht Jahren, in denen Mike van der Wal bei Nétive VMS arbeitet, hat er die Bedeutung der Informationssicherheit zunehmen sehen. ‚Heutzutage haben wir die DSGVO, höhere Geldstrafen und verschärfte Kontrollen. Darüber hinaus werden Hacker immer professioneller.‘
Vor sechs Jahren zertifizierte sich Nétive VMS erstmals nach der ISO27001-Norm. Vor drei Jahren wurde diese Zertifizierung nach einer umfassenden Überprüfung verlängert, und im Jahr 2023 wurde dies erneut mit verschärften Kriterien getan. ‚Dieses Zertifikat zeigt, dass unsere Sicherheit ein reifes Niveau erreicht hat. Jedes Jahr überprüft ein externer Auditor unsere Sicherheitsmaßnahmen stichprobenartig, und alle drei Jahre wird alles unter die Lupe genommen.‘
Das VMS-System selbst wird nicht zertifiziert, es geht um die Organisation. ‚Wie gehen Mitarbeiter mit den Risiken der Informationssicherheit um? Haben wir als Unternehmen ein gutes Einführungsverfahren, wenn jemand eingestellt wird? Werden Mitarbeiter im Bereich Informationssicherheit geschult? Und es geht um technische Angelegenheiten wie Netzwerksicherheit, Penetrationstests und die Anwendung von Verschlüsselung auf Daten.‘
Tägliche Verbesserungen
Bei der Überprüfung werden unter anderem Mitarbeiter des Unternehmens interviewt, um zu prüfen, ob sie die Prozesse kennen. Mike van der Wal: ‚Ein solcher Auditor ist dann fünf Tage im Büro. Abgesehen von diesen Überprüfungen versuchen wir natürlich jeden Tag, die Systeme zu verbessern und die Prozesse zu schärfen. Gab es einen Hackversuch? Dann schauen wir, was die Hacker versucht haben, und ob wir zusätzliche Maßnahmen ergreifen können.‘
Auch wenn Ihre Prozesse noch so gut organisiert sind, beginnt Sicherheit beim Menschen. Die meisten Vorfälle entstehen durch menschliches Versagen. Jemand teilt zum Beispiel sein Passwort, verwendet für jedes System dasselbe Passwort oder klickt versehentlich auf einen Phishing-Link. Informationssicherheit beginnt und endet beim Menschen.
Van der Wal: ‚Wir geben neuen Mitarbeitern am ersten Arbeitstag ein Sicherheitstraining. Außerdem haben wir monatlich ein Sicherheitsbewusstseinstraining. Und wir lehren unsere Mitarbeiter, bei allem, was sie tun, von Anfang an über Informationssicherheit nachzudenken. Arbeiten Sie mit einem Kunden zusammen? Dann treffen Sie zu Beginn Absprachen darüber, wie Sie Informationen sicher austauschen. Und wenn ein Entwickler eine neue Anwendung entwirft und umsetzt, muss er bereits darüber nachdenken, wie er den Code sicher macht. Wie gesagt: Wir gehen von Security by Design aus. Sicherheit steht an erster Stelle, das garantieren wir allen, die mit Nétive VMS arbeiten.‘
Die Zertifizierung wurde von DEKRA durchgeführt, einer der größten Prüf- und Zertifizierungsstellen der Welt. DEKRA verfügt über umfassendes Know-how bei der Auditierung und Zertifizierung von Managementsystemen in den Bereichen Qualität, Sicherheit, Nachhaltigkeit und Informationssicherheit.