Beyond Ideas is als bedrijf ontstaan vanuit het verlangen om ondernemers en bestuurders écht verder te helpen met cybersecurity. Samen Digitaal Veilig-redacteur Jan Meijroos gaat in gesprek met mededirecteur Toby Boerlage die te strikte regels beperkend vindt.
Beyond Ideas is, kort gezegd, een cybersecurityconsultancy bedrijf. Hoe zouden jullie jezelf omschrijven?
Toby Boerlage: ‘In het hart van ondernemerschap staat niet alleen het streven naar succes, maar ook het bewust omgaan met veiligheid en risico’s. Dit geldt ook voor ons bij Beyond Ideas. Wij zijn ondernemers in hart en nieren, die vanuit dit perspectief naar beveiliging kijken. Beveiliging is geen doel op zich, maar een aspect dat slimme keuzes vereist. Het draait allemaal om balans: wanneer kies je ervoor om de deur op een kier te zetten en wanneer houd je hem stevig gesloten?’
Maar willen jullie klanten de deur niet juist potdicht getimmerd hebben? Jullie klanten bevinden zich toch vooral in de financiële en de zorgsector?
Boerlage: ‘Het klopt dat wij ons richten op fin- en zorgtechs, maar wij merken ook dat we goed in staat zijn om ondernemers, bestuurders en investeerders verder te helpen, ongeacht de specifieke sector. Als je veel werkt met fin- en zorgtechs zie je dat de balans tussen openheid en veiligheid bijzonder delicaat is. Deze organisaties zijn begrijpelijkerwijs terughoudend om hun deuren wijd open te zetten, gezien het belang van het beschermen van financiële en medische gegevens. Toch is het belangrijk om niet te verzanden in een woud van regels die innovatie en flexibiliteit in de weg staan. Dat dilemma speelt ook bij andere sectoren.’
Kun je dat toelichten?
Boerlage: ‘We zien dat regelgeving soms leidt tot een starre toepassing van beveiligingsmaatregelen, zonder dat dit daadwerkelijk in voldoende mate bijdraagt aan een veiligere omgeving. Het is essentieel om vanuit een breder perspectief naar veiligheid te kijken, waarbij je rekening houdt met de gehele keten van leveranciers en partners. Dit vereist een aanpak waarbij niet alleen wordt gekeken naar het naleven van regels, maar vooral naar het werkelijk beschermen tegen dreigingen en het vinden van de kwetsbaarheden binnen de keten.’
Ketensamenwerking is dus belangrijk?
Boerlage: ‘Absoluut. Je hoeft niet direct al je leveranciers rigide maatregelen op te leggen. Kijk goed wat passend is. Samen Digitaal Veilig en het NIS2 Quality Mark spelen hier goed op in. Ze bieden richtlijnen en normen die ons weer helpen weloverwogen keuzes te maken en adviezen te geven aan onze klanten.’
In welk opzicht helpt het NIS2 Quality Mark mkb-bedrijven?
Boerlage: ‘Het NIS2-Quality Mark biedt een laagdrempelige manier voor organisaties, inclusief kleinere toeleveranciers, om aan te tonen dat ze gerichte en doeltreffende stappen zetten op het gebied van informatiebeveiliging. Daardoor helpt het organisaties om zich te focussen op wat echt belangrijk is: het creëren van een veilige omgeving voor hun data en die van hun klanten. Door het NIS2 Quality Mark wordt informatiebeveiliging toegankelijker en begrijpelijker, waardoor ook kleinere organisaties de kans krijgen om hun beveiliging op orde te brengen.’
Jullie zeggen: er is geen one-size-fits-all benadering?
Boerlage: ‘Klopt. In de kern van elk bedrijf, ongeacht de sector, speelt het bewustzijn van de eigen risico’s en het begrip van de benodigde beveiligingsmaatregelen een cruciale rol. De aard van het bedrijf en de specifieke risico’s die het loopt, moeten bepalend zijn voor de keuzes in informatiebeveiliging. Of het nu gaat om het behalen van een ISO-certificaat of een NIS2 Quality Mark, of het implementeren van bepaalde beveiligingsstappen, het is essentieel dat security acties afgestemd zijn op de unieke behoeften van het bedrijf.’
‘Voor een infrastructuuronderneming kan bijvoorbeeld de continuïteit van de operaties het belangrijkste zijn, waarbij maatregelen zoals een onveranderlijke back-up cruciaal zijn. In de zorgsector daarentegen, waar patiëntgegevens van vitaal belang zijn, ligt de focus meer op toegangscontrole en encryptie van data.’
Wat is de belangrijkste les voor ondernemers op het gebied van NIS2 en cyberweerbaarheid?
Veiligheid is geen eindstation, maar een continu proces van afwegen, aanpassen en verbeteren. Het NIS2 Quality Mark – met zijn drie niveaus – speelt een belangrijke rol in het ondersteunen van dit proces, door organisaties van alle groottes te helpen bij het maken van de juiste keuzes op het gebied van informatiebeveiliging. Dit alles met het doel om samen een veiliger digitaal landschap te creëren. Dat is natuurlijk heel goed.’
‘Tegelijkertijd wil ik benadrukken dat veel bedrijven nog steeds niet volledig doordrongen zijn van het belang van de nieuwe normeringen, de aankomende NIS2 dus, en de impact die deze op hun bedrijfsvoering kunnen hebben. Wij adviseren bedrijven dan ook om proactief te zijn en zich goed te laten informeren over wat deze veranderingen voor hen betekenen. We zien wel een toenemende vraag naar de invulling van de rol van Chief Information Security Officer (CISO), wat aangeeft dat bedrijven wel degelijk het belang van cybersecurity erkennen en actie willen ondernemen.’
‘Het belang van een diepgaand begrip van cybersecurity binnen het bedrijfsmanagement is hiervoor essentieel. Net zoals financieel beheer een cruciaal onderdeel is van het runnen van een bedrijf, zo is ook een goed begrip van informatieveiligheid essentieel. Begin met een grondige analyse van je huidige beveiligingsstatus en risico’s, om van daaruit gerichte acties te ondernemen. Dit proces stelt ondernemers in staat om het maximale security-rendement te behalen op investeringen. Het geeft ook een realistisch beeld van de te nemen stappen en de impact op de organisatie. En niet zomaar lukraak een lijst af te werken en daarna te denken “zo nu zit het erop. Ik heb aan mijn plicht voldaan”. Cybersecurity stopt nooit én moet goed afgestemd zijn op jouw behoeftes.’
Meer informatie over Beyon Ideas vind je hier
Fotografie: Merijn Soeters