06
mrt

Nieuw keurmerk voor een veilig HR-systeem

Geplaatst door op in Nieuws
  • Fontgrootte: Groter Kleiner
  • Hits: 3042
  • 0 reactie
  • Afdrukken

Helmond, maart 2013

Alle aanbieders van HR- en verzuimregiesystemen kunnen vanaf nu hun systeem laten certificeren op het gebied van veiligheid en privacy. Onder de naam "Veilig HR-Systeem" heeft HR Navigator BV een uniek keurmerk ontwikkeld. Behalve een controle op de procedures, is een penetratietest onderdeel van de certificering en levert daarmee het bewijs dat een systeem voldoet aan de hoogste veiligheidseisen. Het keurmerk is daarmee een vervanging van bestaande ICT-audits en mogelijk zelfs van de ISO-certificering.

 

De afgelopen maanden stonden de media bol van lekkende systemen, zoals bij organisaties als Diagnostiek voor U, DigID en DigiNotar. Ook Zembla's uitzending "De Verzuimpolitie" over de software van VCD/Humannet, schetste een goed voorbeeld van hoe slecht het is gesteld met de privacy en veiligheid van medische en persoonsgegevens.

Herstel vertrouwen

Deze ontwikkelingen hebben bij de aanbieders van soortgelijke systemen geleid tot het versneld inzetten van certificeringstrajecten en het uitvoeren van ICT-audits door gespecialiseerde bedrijven.

Marco de Zeeuw, een van de directeuren van HR Navigator: "Het is goed om te weten dat leveranciers serieus aandacht besteden aan het veiliger maken van hun systemen. Alleen, hoe kun je als klant nu weten wat het beveiligingsniveau is van het HR-systeem dat je gebruikt of gaat gebruiken? In de praktijk is het vaak de HR-professional samen met een ICT-inkoper die een selectieprocedure voor een HR- of verzuimsysteem voert. En voor hen is het zo goed als onmogelijk om een oordeel te vellen over de privacy en veiligheid van wat zij inkopen."

Organisaties eisen steeds meer dat vertrouwelijke informatie in goede handen is bij leveranciers. Zo concludeerde De Zeeuw samen met compagnons Hans van Rooij en Bob Zeegers op basis van de vele contacten die zij hebben met HR- en ICT-professionals via hun adviesdienst VerzuimSystemen.nl

De Zeeuw: " Bij een ICT-audit is het vaak onduidelijk wat er precies getest wordt. Er worden maar heel beperkt rapportages verstrekt en de gebruikte methodes zijn niet vergelijkbaar. Dit is voor ons de aanleiding geweest om een transparant keurmerk te ontwikkelen voor de gehele branche van aanbieders van HR-systemen, te beginnen bij verzuimregiesystemen. Het keurmerk 'Veilig HR- Systeem', geïnitieerd en gedragen door de branche zelf, helpt om het vertrouwen te herstellen. Gecertificeerde aanbieders kunnen aan klanten en prospects laten zien dat hun systeem aan hoogwaardige kwaliteitseisen voldoet."

Keihard bewijs

HR Navigator heeft in nauwe samenwerking met Lloyd's Register Quality Assurance (LRQA) een breed en hoogwaardig normenkader ontwikkeld voor de privacy en veiligheid van HR-systemen. Paul Willems, lead assessor van LRQA over de samenwerking: "Op basis van algemeen erkende normenkaders, zoals ISO 27001, NEN 7510, NCSC en best practices, is er een normenkader ontwikkeld waarin expliciet aandacht is voor security en privacy-aspecten. Door het integrale en dus unieke karakter van dit keurmerk ontstaat een nieuwe visie op certificering waaraan LRQA graag haar medewerking verleent."

Hans van Rooij, mede-directeur van HR Navigator: "Om tot een kwalitatief hoogwaardig keurmerk te komen, is het van belang een objectief normenkader vast te stellen. Hiermee ontwikkel je een meetlat waarlangs je een HR-systeem kunt leggen. Met deze aanpak is er een onbetwistbaar keurmerk ontstaan voor alle aanbieders tegen een zeer concurrerende prijs. Andere certificeringen gaan vooral om het op orde brengen van procedures en het bijbrengen van constant awareness bij medewerkers. Het keurmerk "Veilig HR-systeem" levert daarnaast keihard bewijs dat het systeem veilig is door veertig mandagen te testen op veiligheid en bescherming van data middels een zogenaamde pentest."

De penetratietest

Dat een penetratietest (pentest) integraal onderdeel uitmaakt van het keurmerk, is uniek te noemen in de certificeringsmarkt. Deze test wordt uitgevoerd door IT-auditor Kualitatem, een gerenommeerde multinational met vestigingen in de VS en Australië die zich uitsluitend richt op het testen van software.

Het nu ontwikkelde normenkader telt dertig controls die LRQA jaarlijks toetst. Voor de pentest wordt op de vier belangrijkste onderdelen getoetst of het systeem veilig is. Te weten het operating system, de hardware, de database en de applicatie zelf.

Kualitatem past elk jaar, naast de actuele OWASP top 10, ook de Open Source Security Testing Methodology Manual (OSSTMM) en Information System Security Assessment Framework (ISSAF) toe. Deze gerenommeerde instituten willen wereldwijd de zekerheid bieden van de continuïteit en veiligheid van online activiteiten. Door een jaarlijkse pentest verplicht te stellen, biedt het keurmerk een structureel antwoord op de steeds wijzigende beveiligingsrisico's.

Een verkregen certificaat heeft een geldigheid van een jaar. De beperkte houdbaarheid heeft te maken met de snel veranderde wereld waarin hackers steeds nieuwe manieren vinden om beveiligingen te doorbreken.

http://www.hrnavigator.nl

Waardeer dit blogbericht:
0

HRzone is het kennisplatform van HRcommunity. De redactie van HRzone bestaat uit een team van jonge en enthousiaste professionals met een passie voor HR. Contact opnemen met de redactie kan via .


twitter hover 32

Reacties