Eurocross Assistance is gespecialiseerd in wereldwijde hulpverlening. Als onderdeel van het verzekeringsconcern Achmea/Eureko moet de informatiebeveiliging op orde zijn. Zeker omdat medewerkers geregeld met medische gegevens werken, waarvoor strikte privacywetgeving geldt. Een andere uitdaging is de toenemende vraag naar transparantie door opdrachtgevers. Dat betekent onder andere dat opdrachtgevers online toegang hebben tot relevante procesinformatie. Deze ontwikkelingen versterken de roep om een effectief informatiebeveiligingsbeleid. Een nulmeting en een serie workshops van Pinewood vormden het vertrekpunt voor de ontwikkeling van dit beleid.
Eurocross heeft de afgelopen jaren een stormachtige groei doorgemaakt. Ralph Emmen, CFO van Euocross Assistance: ‘Hierdoor lag de focus vooral op de bedrijfsvoering. Hoewel we de beveiliging technisch goed op orde hadden, voelden we de noodzaak om informatiebeveiliging beter in onze Eurocrossorganisatie te integreren.’
Pragmatische benadering
In het begin keek Eurocross vooral naar de richtlijnen van het moederbedrijf. ‘Risicomanagement is essentieel voor een grote financiële dienstverlener.’ Toch bleek dat de verschillende kernactiviteiten, dienstverlening versus verzekeren, andere eisen aan informatiebeveiliging stellen. We moesten dus een eigen beleid opstellen. Gezien onze omvang en cultuur hebben we een pragmatische aanpak gekozen. Alles met regels dichttimmeren is zinloos als dat in de praktijk niet werkbaar blijkt. Tegelijkertijd moet het beleid wel in lijn zijn met de ‘richtlijnen van ons moederbedrijf.’
Aandachtspunten
Als startpunt, vroeg Eurocross Pinewood een nulmeting uit te voeren. Emmen: ‘We wilden de bestaande aanpak goed kunnen beoordelen om vervolgens verdere actie te ondernemen. Daarom heeft Pinewood onze beveiligingsmaatregelen, processen en procedures objectief in kaart gebracht en beoordeeld.’ Uit de review bleek de informatiebeveiliging bij Eurocross overeen te komen met het gemiddelde securityniveau van vergelijkbare organisaties. Emmen: ‘Een belangrijk pluspunt was dat het onderwerp hoog op de managementagenda staat. Toch bleek er ook veel te winnen, bijvoorbeeld op het gebied van IT-beheerprocedures.’
Evenwichtig informatiebeveiligingsbeleid
In het verlengde van de nulmeting organiseerde Pinewood een serie workshops. ‘Na de inventarisatie wilden we daarmee tot een evenwichtig informatiebeveiligingsbeleid komen met daaraan gekoppeld een helder uitvoeringsplan. De workshop-aanpak was heel functioneel omdat we gedwongen werden breder na te denken over beveiliging. Bijvoorbeeld over wat de waarde van de informatie op onze systemen is. Dat is namelijk bepalend voor de maatregelen en investeringen die nodig zijn.’
Handvatten
Tijdens deze sessies bood Pinewood Eurocross een duidelijke structuur om haar eigen prioriteiten te stellen. ‘Door de vele praktijkvoorbeelden konden we putten uit ‘the best of all worlds’ en hoefden niet zelf het wiel uit te vinden.’ Inmiddels is het beleid vastgesteld en werkt Eurocross aan een concreet plan voor de invulling. ‘Het belangrijkste aan dit traject is dat de security awareness is toegenomen. Dat overstijgt het verstrekken van gegevens aan derden. Ook het herkennen van incidenten en het omgaan met wachtwoorden spelen een rol. Door de ondersteuning van Pinewood is het veiligheidsbewustzijn gegroeid en hebben we de handvatten om hier gerichte maatregelen aan te koppelen. Security is nu een integraal onderdeel van onze bedrijfsvoering.
