Alpega TMS-functies worden voornamelijk gebruikt als software-as-a-service. Dit brengt voor Alpega TMS een speciale verantwoordelijkheid met zich mee voor de verwerking van klantgegevens. Om verliezen en aansprakelijkheidsrisico's te voorkomen, implementeren we ons informatiebeveiligingssysteem volgens de internationale norm ISO/IEC 27001:2005. Alle documenten, processen en procedures moeten worden gestructureerd, geïmplementeerd, bewaakt en verbeterd op basis van het voorbeeld van deze norm. Het doel van al deze maatregelen is om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te garanderen.
De beveiligingsdoelstellingen van Alpega TMS zijn:
- Zorgen voor stabiele IT-systemen met een hoge beschikbaarheid
- Voorkomen van grote onderbrekingen in de communicatie en IT-interfaces met klanten en zakenpartners
- Garanderen van vertrouwelijkheid, juistheid en integriteit van klant- en bedrijfsgegevens
- Inachtneming van wettelijke bepalingen en voorschriften, alsmede aan contractuele en andere relevante voorschriften
Sinds de eerste beslissing over ISO 27001 zijn er veel vereisten van de norm geïmplementeerd. We hebben gegevens gecodeerd, beveiligingsrichtlijnen en een strenge bewaking hiervan geïntroduceerd. Daarnaast hebben we beveiligingsmaatregelen ingevoerd in de datacenters. TÜV Rheinland i-sechelpt Alpega TMS bij deze inspanningen en biedt deskundige begeleiding en ondersteuning ter voorbereiding van de komende pre-audit.
De belangrijkste veranderingen zijn organisatorisch. Deze omvatten nieuwe rollen en verantwoordelijkheden. Gebruikersrollen en -rechten zorgen ervoor dat alleen bevoegde gebruikers toegang hebben tot specifieke gedeeltes die ze nodig hebben voor hun dagelijkse werkzaamheden. We hebben het proces voor het verlenen van rechten en de toegangsrechten zelf bij Alpega TMS opnieuw gedefinieerd en autorisatieworkflows geïntroduceerd. Zo kunnen databasebeheerders niet alleen meer gegevens inzien. Zo wordt het aantal lezers verder beperkt, wat voor een hogere mate van veiligheid zorgt. Wijzigingen worden vastgelegd wanneer andere gebruikers met de bijbehorende rechten toegang hebben tot productieve gegevens.
Bewustzijn is essentieel
Als aanbieder van cloud computing moet Alpega TMS de beveiliging van informatie en de bescherming van bedrijfsmiddelen garanderen door het risico op menselijke fouten, diefstal, fraude of misbruik van faciliteiten te verminderen. Daarom hebben we een ISMS-team (Information Security Management System Team) opgericht, onder leiding van een informatiebeveiligingsmedewerker en een coördinator voor informatiebeveiliging. Ze houden de informatiebeveiliging bij Alpega TMS-logistiek nauwlettend in de gaten, ontwikkelen beveiligingsconcepten en -richtlijnen die zijn afgestemd op de behoeften van Alpega TMS-logistiek en coördineren deze met zowel het management als TÜV Rheinland i-sec. Een van de grootste uitdagingen van het team is om bewustzijn en gevoeligheid te creëren en iedereen bij Alpega TMS voortdurend te herinneren aan beveiliging. Elke werknemer moet zich bewust zijn van de bedreigingen voor informatiebeveiliging en over de juiste hulpmiddelen beschikken om het eigen beveiligingsbeleid van de organisatie te ondersteunen.
"Het is onze uitdaging om alle werknemers bewust te maken van het belang van informatiebeveiliging. Gecodeerde databases of strikte toegangsrechten helpen niet als afdrukken bij de printer worden achtergelaten, deuren niet worden gesloten, telefoongesprekken worden gevoerd in openbare ruimten of laptopschermen zichtbaar zijn voor anderen. Alerte medewerkers melden actief tekortkomingen en zijn de beste bron voor suggesties voor verbetering." (Rene LeiMegger, functionaris informatiebeveiliging)
Dit bewustzijn zal in de toekomst worden vergroot door zowel regelmatige seminars als interne audits. Andere kwesties zoals strengere contractuele bepalingen voor leveranciersbeheer en verdere technische verbeteringen zullen worden aangepakt als onderdeel van het certificeringsproces. Begin 2021 werd het hoofdkantoor van Alpega TMS verplaatst naar een nieuwe locatie. Het nieuwe kantoor betekent ook een nieuwe beveiligingsuitdaging. Veilige toegang is een belangrijk criterium dat moet worden gegarandeerd door een combinatie van verschillende maatregelen (deuren met alarmen, video-opname, elektronische toegangscontrolesystemen, enz.).