Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

Justin van den Berg van Flowerbed: ‘Als je externe eisen kunt koppelen aan werkprocessen, voer je een gesprek over het dagelijks werk en wordt het hanteerbaar en zelfs leuk voor een organisatie.’

verbeteren van cybersecurity en menselijk fouten

Flowerbed Engineering is al meer dan 25 jaar een toonaangevende speler in de IT-dienstverlening, met een sterke focus op technische oplossingen zoals beheer, projecten en licenties. Naast deze kernactiviteiten richt Flowerbed zich steeds meer op strategische dienstverlening, waarbij organisaties worden ondersteund in hun volledige IT-keten, van strategische uitgangspunten, wet- en regelgeving tot technische implementatie.

Justin van den Berg speelt hierin een cruciale rol als lead business services consultant. Hij leidt de strategische dienstverlening en helpt organisaties met belangrijke cybersecurity beslissingen, waarbij hij hen begeleidt in het voldoen aan steeds strengere normeringen en wetgeving. Cybersecurity redacteur Jan Meijroos spreekt met hem over gezond verstand, het stap voor stap verbeteren van cybersecurity en menselijk fouten.

Justin: ‘We hebben een divers palet aan klanten. Dat varieert van zorginstellingen, ziekenhuizen en apothekers, tot aan grote retailbedrijven zoals Loods 5 maar ook overheidsinstanties zoals de provincie Noord-Holland en de provincie Utrecht. We zijn eigenlijk van alle markten thuis.’

Wat is de meest gestelde vraag van jullie klanten?

Justin: ‘Het begint vaak bij een technische vraag. Ze komen bijvoorbeeld met een verzoek zoals “jullie verkopen Fortinet, help ons bij Fortinet” of “jullie doen KnowBe4 Security Awareness, kunnen jullie dat voor ons regelen?”. Die initiële vraag is meestal heel concreet en specifiek. Maar als je doorvraagt, blijkt er vaak een bredere behoefte te zijn. Een organisatie moet bijvoorbeeld voldoen aan ISO 27001 of NEN7510 en zijn bezig met allerlei zaken daaromheen. Dat doorvragen is heel belangrijk, want vaak ontdekken we dat we de klant op een veel breder vlak kunnen helpen dan alleen die initiële vraag.’

Ga daar eens op door, op die bredere insteek…

Justin: ‘Als je langer met klanten in gesprek gaat, ontdek je dat er onderliggende redenen zijn, zoals de noodzaak om te voldoen aan bepaalde normen of certificeringen, maar ook operationele vraagstukken waar de techniek een rol in moet spelen. Ons doel is dan om waarde toe te voegen aan een organisatie door een brug te slaan tussen de echte business vraag en de techniek, ook na de initiële technische implementatie.’

Wat doen jullie specifiek niet? Waar ligt jullie grens?

Justin: ‘We zijn sterk op het gebied van het toepassen van externe wetgeving en normeringen voor operationele winst. Als je naar die volledige puzzels kijkt, kunnen we de organisatie en de techniek volledig ondersteunen. Er zijn enkele specifieke gebieden die we niet doen: bijvoorbeeld het uitvoeren ethische hacks en penetratietests. De rest, binnen de hele keten van (security) compliance, doen we wel.’

Jullie hebben een samenwerking met Samen Digitaal Veilig. Wat spreekt jullie aan in dit platform?

Justin: ‘Onze doelgroep zijn organisaties met 200 tot 2000 medewerkers, die vaak geen enorme security teams hebben, zoals grote corporates, maar die ook niet allemaal in het mkb-segment vallen. Deze bedrijven zitten vaak net onder de normeringen zoals ISO 27001 of N7510. Wij zien een behoefte in dat tussensegment waarbij het platform en het NIS2 Quality Mark – dat Samen Digitaal Veilig in licentie heeft – waardevol zijn. Het biedt een vast groeipad om drie kleinere stappen te zetten richting betere security, zonder meteen als een soort bulldozer met alle volledige maatregelen naar binnen te komen.’

Nu je er toch over begint, wat vind jij van het NIS2 Quality Mark?

Justin: ‘De opzet werkt en snap ik heel goed. We maken zelf gebruik van de technische CIS-benchmarks. Die hebben ook een “volwassenheidsdoorgroei”, oftewel de raamwerken die we vaak hanteren voor klanten in dat segment. Het grote verschil is dat CIS niet auditbaar is en heel technisch, dus je ontvangt geen “stickertje” als het ware dat je voldoet. Bij het NIS2 Quality Mark is dat wel het geval, en dat brengt natuurlijk extra waarde voor de klant. Het laat zien dat zij serieus bezig zijn met het stap voor stap verbeteren van hun cybersecurity. Zeer nuttig dus.’

Wat is jullie aanpak? Hoe gaan jullie bij klanten te werk?

Justin: ‘Onze filosofie gaat uit van activiteiten van de organisatie en zijn doelen. Wij pakken de externe eisen erbij en kijken hoe wij dit kunnen integreren in de daadwerkelijke operationele processen van de klant. Ons gesprek gaat over welke opties de klant heeft om de externe eisen toe te passen om de organisatie te verbeteren. Wat je vaak ziet, is dat een security officer of directeur een normenkader erbij pakt en kijkt hoe ze bewijs kunnen verzamelen om aan elke norm te voldoen. Ze werken de norm af, vinkje voor vinkje. Dat is niet per se slecht, op die manier blijft het vaak een worsteling om aan de eisen te voldoen. Zeker als er vanuit meerdere hoeken eisen worden gesteld denk aan milieu, kwaliteit of branche specifieke eisen. Krijg dat maar eens voor elkaar op de werkvloer.’

‘Daarom promoten wij een andere aanpak. In plaats van simpelweg een lijstje af te werken, beginnen wij bij de organisatie zelf. We kijken naar hoe deze is opgezet, wie er in de directie zit, hoe de processen eruitzien… en vervolgens koppelen we daar de normeringen aan. Zo zeggen we bijvoorbeeld: de directie is verantwoordelijk voor deze drie normeisen, dus die moeten in het proces worden opgenomen. En gaan we daarbij helpen.’

Dus eigenlijk zeg je dat je eerst moet kijken naar wat je organisatie nodig heeft en daar de maatregelen op afstemmen? Niet meteen “vinkjes gaan afwerken”.

Justin: ‘Precies. Een concreet voorbeeld is als je met een IT-afdeling praat. Als je begint over normelementen x,y,z, dan ben je ze in twee minuten al kwijt, dat is niet hun belevingswereld. Maar heb ik het over hun processen, bijvoorbeeld: “Wat doe je als er laptops of andere IT-middelen binnen komen? Wat doe je om ze te beheren? En wat doe je als ze worden ingeleverd?”. Dan komt er van alles los.’

‘Hetzelfde geldt voor bijvoorbeeld HR-afdelingen. Vragen over hoe men te werk gaat als mensen in dienst komen; tijdens hun dienstverband; als ze uit dienst gaan – dan wordt het opeens heel concreet. Als je externe eisen kunt koppelen aan werkprocessen, voer je een gesprek over het dagelijks werk, en wordt het hanteerbaar en zelfs leuk voor een organisatie.’

Stel, een organisatie benadert jullie omdat ze worstelen met deze thematiek. Wat adviseren jullie dan?

Justin: ‘We beginnen vaak met een nulmeting of compliance assessment, waarbij we met verschillende stakeholders praten en een gevoel krijgen van waar ze nu staan ten opzichte van bijvoorbeeld NIS2 en wat de context van de organisatie is. Dit brengt vaak veel bewustzijn teweeg. Vanuit die analyse reiken wij de verschillende oplossingsmogelijkheden aan, bijvoorbeeld een NIS2 Quality Mark; een andere normering of benchmark bij de organisatie past. Daarnaast bieden we ook opties hoe dit alles in de operationele processen te integreren is en welke technische opties toereikend kunnen zijn.’

Komen jullie wel eens zaken tegen bij klanten waarvan je denkt “Oei, het is nu 2024, dit kan echt niet meer”?

Justin: ‘Dat is dagelijkse praktijk, hoor. De essentie is vaak dat er gewoon nog geen bewustzijn is hoe met cybersecurity om te gaan en wat de gevolgen kunnen zijn. Dat is heel uiteenlopend. Het gaat van simpele dingen zoals wachtwoorden op een briefje op je bureau laten liggen of wachtwoorden in een chat delen met collega’s, tot aan meer complexe zaken zoals dat informatiebeveiliging alleen een IT probleem is of dat het breder gedrage moet zijn. Het volwassenheidsniveau dat hierbij komt kijken en de toepassing verschilt per organisatie echt enorm.’

Zijn er hardnekkige misvattingen over cyberveilig werken?

Justin: ‘Het menselijke aspect is het grootste risico dat je loopt, maar het kan ook de meest impactvolle interventie zijn om je risico’s te reduceren. Het menselijke en organisatorische aspect wordt nog altijd onderschat. Veel incidenten komen voort uit fouten of (bewust) lekken van informatie binnen de organisatie zelf. Je kunt technisch alles compleet dichttimmeren, maar als iemand op de een of andere manier informatie lekt, ben je er alsnog niet.’

‘Als je iedereen in een goed programma meeneemt en bewust maakt van de gevolgen van hun handelen, dan kan dat al een groot verschil maken voor je informatiebeveiliging. Alleen al door mensen te laten nadenken over hun acties, maak je een groot verschil. Daarnaast moet het ook terug komen in beoordelings-en functioneringscyclussen. Als mensen er niet op worden afgerekend maar wel op andere, soms tegenstrijdige prikkels stimuleer je veiliger gedrag ook niet. Met alle risico’s van dien.’

Je vindt dat cyberorganisaties de taal van de werkvloer moeten spreken. Encryptie, vulnerabilities… dat soort termen is abstract voor mensen die niet veel IT-kennis hebben, maar soms wel de beslissingen moeten nemen. Voor veel werknemers is een laptop gewoon een gebruiksvoorwerp. Valt juist hier niet nog heel veel te winnen?

Justin: ‘Absoluut, 100%. Neem bijvoorbeeld NIS2. Voor veel organisaties gaat het erom te weten wat ze moeten doen om aan de wet te voldoen. Organisaties zitten niet te wachten op mooie securitypraatjes, ze willen gewoon zorgen dat de wetgeving gedekt is zodat ze weer verder kunnen met hun dagelijkse werkzaamheden.’

‘Het bewustzijn creëren in een organisatie is een prima startpunt. Als een organisatie goed georganiseerd is, is het relatief makkelijk om die beveiliging op orde te krijgen. Maar als je organisatie alle kanten op gaat, bijvoorbeeld na meerdere fusies waarbij iedereen anders werkt en informatie verwerkt, dan is dat een stuk lastiger. Een gesprek over hoe je werkt, kan niet alleen beveiligingsvoordelen opleveren, maar ook leiden tot een betere organisatie en dienstverlening voor je klanten.’

Hoe zou jij, tot slot, de kern van jullie visie samenvatten?

Justin: ‘Ik zou willen zeggen: “Gebruik je gezonde verstand.” Je moet niet van een mug een olifant maken en met een bazooka op een klein risico schieten, maar ook niet met een klein speertje proberen een groot risico te neutraliseren.’

‘Het gaat erom dat je met gezond verstand naar je onderneming kijkt en inschat wat de potentiële risico’s zijn en welke preventieve maatregelen haalbaar zijn. Dat moet altijd het uitgangspunt zijn. Het hoeft geen groots verhaal te zijn, maar concreet en met beide benen op de grond. Wat is nu het belangrijkste voor jullie? Je hoeft ook niemand te vertellen dat hij zijn voordeur op slot moet doen, toch? Het draait om normaal nadenken over wat je hebt, hoe je het organiseert en hoe je de risico’s binnen de perken houdt. Daarmee ben je eigenlijk al voor 85 procent op de goede weg. We helpen organisaties daar graag mee.’

Interview Forvis Mazars: ‘Cybersecurity moet een doorlopend proces zijn, net zoals je wekelijkse financiële status’
ABN AMRO peilt cyberveiligheid in de bouwsector
Bestel hackers online! Serieus gevaarlijk
De Europese Commissie verzoekt 23 lidstaten volledige implementatie van NIS2 richtlijn
Interview Lupasafe: one-click compliance voor NIS2