Netwerkbeveiligingsbeleid

Het Netwerkbeveiligingsbeleid (Document P21) is ontwikkeld om strikte beheersmaatregelen vast te stellen voor zowel interne als externe netwerken van de organisatie, met bescherming tegen ongeautoriseerde toegang, verstoring van diensten, onderschepping van gegevens en misbruik. De primaire doelstellingen omvatten het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens tijdens transport en in rust, terwijl het nauw aansluit op belangrijke wettelijke en normatieve vereisten zoals ISO/IEC 27001:2022, GDPR Artikel 32, de NIS2-richtlijn, DORA en COBIT 2019. Dit robuuste beleid is wereldwijd van toepassing op alle netwerkinfrastructuren, inclusief fysieke, virtuele, cloud- en hybride omgevingen. Het omvat routers, switches, firewalls, cloudgebaseerde netwerken, VPN-systemen en ondersteunende diensten zoals DNS en proxyservers binnen het uitgebreide toepassingsgebied. Zowel interne medewerkers als dienstverleners van derde partijen die met deze netwerken interacteren, zijn gebonden aan de vastgestelde vereisten. Opvallende kenmerken van het beleid zijn verplichte netwerksegmentatie, expliciete protocollen voor firewallconfiguratie, normen voor veilige routing en voortdurende centrale monitoring en auditlogging van netwerkactiviteiten. Governance is duidelijk gestructureerd en verplicht rollen zoals de Chief Information Security Officer (CISO), netwerkbeveiligingsmanager, Security Operations Center (SOC), IT-operaties en zelfs derdepartijleveranciers om vastgestelde verantwoordelijkheden na te leven voor veilig netwerkontwerp, operationele monitoring, wijzigingsbeheer en incidentrespons. Het beleid stelt verwachtingen niet alleen voor routinematig netwerkbeheer, maar ook voor het afhandelen van uitzonderingen, zoals afhankelijkheden van verouderde systemen, via een gecontroleerd, risicobeoordeeld goedkeuringsproces. Alle uitzonderingsgoedkeuringen worden geregistreerd binnen het managementsysteem voor informatiebeveiliging (ISMS) met een strikte herzieningscyclus van 90 dagen, zodat geen langetermijnkwetsbaarheden over het hoofd worden gezien. Om aanvalsvlakken te minimaliseren en nalevingsverplichtingen te halen, bepaalt het beleid dat alle grensnetwerken moeten worden beschermd met next-generation firewalls met stateful inspectie, applicatiefiltering en intrusion prevention. Interne netwerken moeten worden gesegmenteerd tussen productie-, ontwikkel-, gebruikers- en gastgebieden, waarbij firewalls en virtuele LAN's (VLAN's) worden gebruikt om strikte toegangscontrole af te dwingen. VPN- en toegang-op-afstandoplossingen moeten encryptie en multifactorauthenticatie (MFA) gebruiken, terwijl draadloze netwerken beveiligingsprotocollen op enterpriseniveau en gastsegmentatie moeten toepassen. Cloud- en hybride omgevingen zijn niet uitgezonderd; regels voor security groups, geaudite VPN-links en cloud-native firewallinstellingen moeten strikt worden beheerd. Voor monitoring en detectie zijn continue logging naar een gecentraliseerde SIEM, anomaliedetectie via NDR en vastgestelde logretentieperioden integrale vereisten. Periodieke beleidsbeoordelingen en audits zijn verplicht en worden getriggerd door nieuwe dreigingen, netwerkwijzigingen, regelgevende updates of auditbevindingen. Niet-naleving, inclusief het opzettelijk omzeilen van beheersmaatregelen, leidt tot disciplinaire maatregelen, contractuele sancties of melding van inbreuken in lijn met regelgeving. Tot slot specificeert het Netwerkbeveiligingsbeleid ook de koppelingen met andere kritieke beleidslijnen van de organisatie, waaronder basale beveiliging, toegangscontrole, wijzigingsbeheer, assetmanagement, logging- en monitoringbeleid en incidentresponsbeleid, voor een gelaagde verdediging-in-de-dieptebenadering.