Dignitas Group is een IT-consultancybedrijf dat zich richt op het versterken van organisaties door middel van gespecialiseerde diensten. Met meer dan 20 jaar ervaring biedt Dignitas maatwerkoplossingen op het gebied van de digitale werkplek, IT-infrastructuur, cloudoplossingen, software engineering en informatiebeveiliging & privacy waar men organisaties helpt te voldoen aan wet- en regelgeving zoals de AVG en NIS2. Cybersecurity redacteur Jan Meijroos spreekt met Manager IT Security Consultants Eberly Haalboom over hoofdelijke aansprakelijkheid van de directie, een “all hazard approach” en de ultieme cybersecurity tekst voor op een T-shirt.
Kun je in het kort uitleggen wat jij en je team doen bij Dignitas?
Eberly: ‘Samen met mijn team ben ik binnen ons bedrijf verantwoordelijk voor het brede aspect van informatiebeveiliging. Wij richten ons vooral op de procesmatige kant, zoals het voldoen aan wet- en regelgeving, niet zozeer op de zwaar technische invulling daarvan. We hebben bijvoorbeeld geen ethische hackers of pen-testers aan boord en doen niet aan security monitoring van netwerken. Wat wij wel doen, is organisaties helpen grip te krijgen op de strategie en operationele kant van informatiebeveiliging.’
‘Dit doen we met een team van consultants en omdat wij ons enkel daarop richten, kunnen we ook echt onafhankelijk opereren. Andere, vaak grotere spelers, hebben ook technische oplossingen die ze aanbieden en dan zie je vaak dat consultants binnen die bedrijven ook die oplossingen moeten adviseren of verkopen. Dat maakt ons onderscheidend, omdat wij volledig onafhankelijk kunnen adviseren.’
Maak dat eens concreet. Ik ben een maakbedrijf met 200 medewerkers. Waarom zou ik jullie bellen? Wat kunnen jullie voor mij betekenen?
Eberly: ‘Informatiebeveiliging is een breed onderwerp dat bijna alle processen binnen een organisatie raakt, niet alleen IT. Voor veel mkb-bedrijven ontbreekt de interne kennis om dit onderwerp goed te kunnen bevatten en beheren. Daarbij komt dat het moeilijk en kostbaar is om dergelijke specialisten in dienst te nemen. Daarom zoeken bedrijven vaak hulp van buitenaf. Wij bieden niet alleen consultancy, maar ook diensten zoals een parttime security officer, privacy officer of functionaris gegevensbescherming aan, voor bijvoorbeeld één of twee dagen per week. Dit kan voor een paar maanden, maar meestal duurt zo’n samenwerking jaren, omdat de behoefte aan deze expertise blijft bestaan.’
Zijn er zaken bij klanten waarvan je denkt: “Hoe is het mogelijk dat dit proces nog zo loopt?” Of dat er met al het actuele nieuws over hacken en datalekken nog steeds lacunes zijn?
Eberly: ‘Ja, dat maken we zeker mee. Veel ondernemers zijn vooral bezig met hun core business en informatiebeveiliging komt er vaak bij als een bijzaak. Ondanks alle media-aandacht denken veel mensen: “Dat gebeurt bij de buurman, maar niet bij mij.” Zelfs als ze zelf een incident meemaken, verdwijnt de urgentie vaak snel. Het kost ook veel tijd, moeite en geld om een volwassen informatiebeveiligingsstructuur op te zetten en dat schrikt mensen soms af. Hoewel ik blij ben dat de wetgever dit nu meer afdwingt, zou ik liever zien dat bedrijven intrinsiek gemotiveerd raken en inzien dat informatiebeveiliging essentieel is in het digitale tijdperk.’
Kun je wat vertellen over de samenwerking met Samen Digitaal Veilig?
Eberly: ‘Het platform biedt een mooie kans om de markt te bereiken en onze diensten aan te bieden. Het is ook een goed kanaal om bedrijven te helpen, zeker nu NIS2 eraan komt. Samen met de andere partners op het platform kunnen we bedrijven ondersteunen bij het veilig omgaan met hun informatie.
Om het mkb in Nederland weerbaarder te maken is er een keurmerk ontwikkeld: het NIS 2 Quality Mark dat Samen Digitaal Veilig in licentie heeft. Wat is jouw visie hierop?
Eberly: ‘We zijn van plan om waar mogelijk onze klanten aan te sluiten bij het NIS2 Quality Mark. De ISO 27001 houdt in principe al rekening met veiligheid in de ketens, afhankelijk van hoe je de norm interpreteert. Maar het NIS2 Quality Mark is een laagdrempeligere manier om bedrijven bewust te maken van hun verantwoordelijkheid binnen de keten. Dat lijkt me een goede zaak, vooral bij bedrijven waarvoor de ISO 27001 misschien te zwaar is.’
Als je kijkt naar het implementeren van normen of het behalen van keurmerken, is dat iets waar bedrijven vaak sceptisch tegenover staan? Of valt dat mee?
Eberly: ‘Over het algemeen lukt het ons wel om de meerwaarde duidelijk te maken, zelfs aan klanten die aanvankelijk sceptisch zijn. Vaak is het zo dat er eerst een drempel overgegaan moet worden. Het kost tijd en moeite om een norm te implementeren, en dat zien mensen soms met tegenzin tegemoet. Maar zodra ze er eenmaal mee aan de slag zijn en het in werking hebben, zien ze vaak de voordelen. Ze realiseren zich dan dat het hen meer inzicht en overzicht geeft, en dat ze zaken aantoonbaar kunnen maken. In plaats van dat iedereen maar een stukje van de puzzel heeft, kun je nu het geheel overzien.’
‘En als je dan ook nog een onafhankelijke certificering of keurmerk hebt, is dat een extra stok achter de deur om alles goed in stand te houden. Dus ja, ondanks dat er soms een initiële weerstand is, zien de meeste klanten uiteindelijk de meerwaarde.’
Je noemde de ketenzorgplicht. Hoe belangrijk is het dat mkb’ers zich bewust zijn van de mogelijkheid dat grote klanten hen kunnen vragen om hun cybersecurity aantoonbaar te maken?
Eberly: ‘Dat is zeer belangrijk. Vaak zien we dat als een partij in een keten wordt gedwongen om aan bepaalde principes te voldoen door een grote klant, ze uitvoerige vragenlijsten moeten invullen om aan te tonen dat ze de juiste maatregelen hebben genomen. De tijd en moeite die dat kost, kan aanzienlijk verminderd worden door een certificering of een keurmerk zoals het NIS2 Quality Mark.’
‘Als je gecertificeerd bent door een gerenommeerde of geaccrediteerde partij, kun je die vragenlijsten vaak overslaan, omdat je al hebt aangetoond dat je aan de vereiste standaarden voldoet. Dit bespaart niet alleen tijd, maar zorgt er ook voor dat je concurrentiepositie verbetert. Veel van de partijen die bij ons aankloppen, doen dat omdat ze door hun klanten worden gedwongen om zo’n certificering te behalen. Nu zien we dat wetgeving ook steeds meer een drijfveer wordt, naast de intrinsieke motivatie van bedrijven die het echt willen.’
Leeft NIS2 al een beetje onder jullie klanten?
Eberly: ‘Ja, er is zeker al wat bekendheid. Het gonst in de markt, dus mensen gaan er zeker niet laconiek mee om. Tegelijkertijd zijn er veel vragen, zoals: “Wat moeten we doen en hoe?” Zeker omdat de nationale vertaling van de wetgeving vertraagd is, kennen we nog niet alle details. Bedrijven wachten daarom soms totdat er meer bekend is. Maar ondanks dat, biedt alles wat we nu al weten voldoende aanleiding om je goed voor te bereiden. Bijvoorbeeld door een managementproces in te richten dat gebaseerd is op best practices zoals ISO 27001. Als je dat goed doet, ben je al op de goede weg.’
Zijn er specifieke uitdagingen die jullie tegenkomen?
Eberly: ‘De verantwoordelijkheid voor informatiebeveiliging wordt nog steeds vaak bij IT belegd, terwijl het een veel breder onderwerp is. NIS2 lijkt zich te focussen op digitale veiligheid, maar het is belangrijk dat organisaties breder kijken dan alleen digitale dreigingen. Zo stelt NIS2 bijvoorbeeld dat je een “all hazard approach” moet hanteren, waarbij je ook rekening houdt met andere risico’s zoals natuurverschijnselen. Daarnaast kan gevoelige informatie nog steeds op papier staan, en hebben medewerkers fysiek toegang tot afdelingen. Door informatiebeveiliging alleen bij IT neer te leggen, loop je het risico dat het onderwerp te eng wordt bekeken en de rest van de organisatie niet voldoende betrokken raakt.’
Er wordt vaak gezegd dat informatiebeveiliging vanuit de boardroom moet worden aangestuurd. Hoe zie jij dat?
Eberly: ‘Dat klopt. Het is een bijna tekstboekvoorbeeld dat je geen succes kunt boeken in dit domein zonder commitment vanuit de top van de organisatie. NIS2 legt daar ook de nadruk op. De board moet niet alleen betrokken zijn, maar ook opgeleid worden in de basisprincipes van informatiebeveiliging. Ze hoeven geen volledige securityopleiding te volgen, maar ze moeten wel de belangrijkste concepten begrijpen. Bovendien legt NIS2 ook een stuk hoofdelijke aansprakelijkheid bij de board, wat betekent dat je als directielid niet kunt zeggen dat je het onderwerp niet begrijpt. Je moet kunnen handelen naar die verantwoordelijkheid.’
Wat is tenslotte de essentie van cyberveiligheid, vooral in het kader van NIS2? Welke tekst mag wat jou betreft op een T-shirt?
Eberly: ‘Mijn T-shirt print zou zijn: “Voorkomen is beter dan genezen.” Vanuit mijn expertise ligt mijn focus sterk op de preventieve kant van cybersecurity. Preventie is misschien minder spectaculair dan de responsfase, waar mensen in actie komen nadat er iets fout is gegaan, maar het is des te belangrijker. In de drie-eenheid van preventie, detectie, en respons, ligt mijn nadruk altijd op preventie. Als je problemen kunt voorkomen, is dat altijd beter dan ze achteraf op te moeten lossen.’
