Maak kennis met Guill van den Boom en Murat Aktan, twee ervaren cybersecurity professionals bij EY. Murat is senior manager cybersecurity en richt zich op strategisch advies voor C-level leiders en helpt organisaties zich voor te bereiden op nieuwe wetgeving zoals NIS2. Guill, partner bij EY en verantwoordelijk voor de cybersecurity dienstverlening in Nederland, is sinds 2006 betrokken bij het adviseren van directies en besturen over digital risk en beveiliging. Samen bedienen zij zowel grote corporates als publieke sector klanten, met als doel hun digitale veiligheid te waarborgen.
Wat is meestal de hoofdreden waarom klanten contact met jullie opnemen? Wat is de hulpvraag die ze bij jullie neerleggen?
Murat: ‘Organisaties bellen ons omdat ze preventief willen werken op het gebied van cybersecurity. Ze willen vooral voorkomen dat ze gehackt worden, en ook zekerheid krijgen dat ze op de goede weg zijn, soms ook na eerdere incidenten.’
De NIS2 wetgeving komt eraan. Leeft dat al bij jullie klanten?
Murat: ‘Zeker. We zijn op dit moment bezig met meerdere voorstellen voor publieke sector klanten, die gap-analyses wil laten uitvoeren met betrekking tot de NIS2 richtlijn. In het afgelopen half jaar tot een jaar hebben we al meerdere klanten geholpen om mogelijke gaten in hun organisatie op te sporen in het kader van NIS2. Hoewel het nog niet helemaal helder is hoe de wetgeving eruit gaat zien, werken we met best practices en frameworks die we inzetten om te zorgen dat klanten zo goed mogelijk voorbereid zijn.’
Guill: ‘Veel organisaties hebben moeite om zelf scherp te hebben waar ze staan op het gebied van cybersecurity. Wij helpen hen om in kaart te brengen wat op orde is en waar ze nog moeten verbeteren. Daarbij gebruiken we bestaande kaders, zoals die van de NIS2, die al een basis vormen. Hoewel de wetgeving nog in ontwikkeling is, kunnen we nu al kijken naar wat sowieso moet gebeuren.’
Wat zijn dan de grootste blinde vlekken bij organisaties of misvattingen die jullie tegenkomen op het gebied van informatiebeveiliging? Wat moeten jullie vaak bijstellen?
Guill: ‘Het gaat om een combinatie van preventie en veerkracht. Je moet niet alleen voorbereid zijn om problemen te voorkomen, maar ook klaar zijn om te reageren als er toch iets misgaat. In het verleden hebben veel bedrijven vooral de deuren dichtgetimmerd, maar nu moet je ook voorbereid zijn op wat je doet als er iets misgaat. Wie heb je nodig? Heb je de middelen binnen handbereik? Heb je daarover nagedacht? Dit is heel afhankelijk van de business waarin je zit. De éne situatie is veel spannender dan de andere, maar je moet wel voorbereidingen treffen. Dat is iets waar vooral kleinere bedrijven vaak onvoldoende aandacht aan besteden.’
‘Daarnaast zie je dat het op het gebied van awareness en bewustzijn veel beter kan. Het gaat niet alleen om de technologie, maar ook om hoe mensen ermee omgaan. Dat bedrijven niet per ongeluk dingen doen die ze niet zouden moeten doen, zoals we vaak in het nieuws lezen. Bedrijven moeten zich ervan bewust zijn dat ze zorgvuldig moeten omgaan met informatie, zeker ook als die betrekking heeft op andere organisaties, burgers of klanten.’
Guill van den Boom, partner cybersecurity
Murat: ‘Ik zie twee zaken waar organisaties nog niet voldoende aandacht aan besteden. Vroeger was security echt iets voor de IT-afdeling of een select clubje mensen binnen de organisatie. Maar met de komst van NIS2 en andere recente ontwikkelingen zie je dat cybersecurity nu echt een verantwoordelijkheid is geworden van de hele organisatie, van de CEO tot aan de werkvloer. Cybersecurity is plotseling iets waar iedereen in de organisatie iets mee moet doen, en niet alleen de IT-afdeling. Ik denk dat daar nog onvoldoende aandacht voor is, maar dat begint nu wel te veranderen. Omdat het betrekking heeft op wet- en regelgeving, is het nu ook een compliance-voorwaarde geworden. Dus nu kijkt de Chief Compliance Officer ook mee, en zelfs Legal Officers en Data Protection Officers.’
‘Daarnaast zie ik dat veel bestuurders cybersecurity nog steeds zien als een kostenpost. Maar met de introductie van NIS2 kun je cybersecurity ook zien als een toegevoegde business value. Als NIS2 straks geïmplementeerd is, kun je geen zaken meer doen zonder dat je cybersecurity op orde hebt. Dat kan ervoor zorgen dat je geen klanten of leveranciers meer kunt bedienen als je dat niet op orde hebt. Dit zijn twee gebieden waar echt een transitie plaatsvindt in de manier van denken.’
Guill: ‘Als je cybersecurity alleen ziet als een risico, ga je op een gegeven moment alleen maar risico’s afvinken. Maar in deze tijd, waarin cybersecurity essentieel is voor een gemiddelde dienst of product, moet je eigenlijk bij de ontwikkeling van een nieuw product of dienst al nadenken over security. Dit noemen we security by design. Het zorgt ervoor dat je product of dienst veel solider wordt en helpt je om je te onderscheiden van concurrenten die hier minder aandacht aan besteden. Dat kan een strategisch en commercieel voordeel opleveren. Verder voorkom je ook veel problemen later in het proces. Als je cybersecurity van begin af aan inbouwt, hoef je later geen pleisters meer te plakken.’
Over pleisters plakken gesproken, wat voor incidenten komen jullie tegen?
Murat: ‘Dat varieert. Een voorbeeld is een organisatie waar we eerder hadden geholpen met het maken van runbooks, zodat ze voorbereid zouden zijn mocht er een incident plaatsvinden. Helaas hebben ze die runbooks recent ook nodig gehad. Door de voorbereiding waren zij in staat om sneller en beter te reageren.’
‘Een ander voorbeeld is een CEO die in een phishingmail trapte, wat ervoor zorgde dat alle alarmbellen afgingen binnen de organisatie. Pas dan worden de securityposten belangrijk en krijgt het meer aandacht. Dit soort situaties zijn helaas vaker reactief van aard.’
Guill: ‘Cybersecurity moet een continu proces zijn, geen eenmalige oefening. Anders houd je jezelf voor de gek.’ Blijvende aandacht voor cybersecurity is belangrijk. Je moet de te treffen maatregelen zoveel mogelijk embedden in de organisatie en zorgen dat ze effectief blijven. Een simpel voorbeeld is een telefoonlijstje: als er iets misgaat en je kunt niet bij je e-mail, wie moet je dan bellen? Zijn de telefoonnummers van de directeur, HR, of de advocaat nog up-to-date? Dit lijkt simpel, maar het vereist onderhoud. Hetzelfde geldt voor contracten en andere cruciale informatie. Je moet weten welk contract welke diensten dekt en welke leveranciers je nodig hebt. Dit vraagt om voortdurende aandacht.’
Waarom hebben jullie besloten om een samenwerking aan te gaan met Samen Digitaal Veilig?
Guill: ‘Wij hebben een berg aan ervaring en inzichten, die we, waar mogelijk, ter beschikking willen stellen. We richten ons veelal op grotere organisaties, zowel in de publieke als private sector. Maar met Samen Digitaal Veilig kunnen we ook wat kleinere organisaties verder helpen, vooral in branches die niet de volwassenheid hebben zoals veel van onze klanten. Het is een manier om ook daar een steentje aan bij te dragen.’
Murat Aktan, senior manager cybersecurity
Samen Digitaal Veilig heeft een eigen keurmerk in licentie genomen, het NIS2 Quality Mark. Hoe kijken jullie daarnaar?
Guill: ‘Wij verwelkomen het! Ik denk dat men daarmee echt een belangrijk gat gaat opvullen, een gat dat anders gewoon zou blijven bestaan in de gehele business to business keten. Als kleinere mkb’ers weinig met informatiebeveiliging doen of kunnen doen, dan loop je natuurlijk het risico dat je in Nederland, maar ook internationaal, in de keten die zekerheid niet kunt krijgen op het gebied van informatiebeveiliging. Dat zorgt voor risico’s, mogelijk gevolgd door problemen. Wat dat betreft is het initiatief van Samen Digitaal Veilig heel belangrijk.’
‘Als we kijken naar die drie gradaties van het NIS2 Quality Mark, dan is het een goed doorgroei-model. Het begint bij het basisniveau van maatregelen die organisaties moeten treffen. Ik denk dat dat heel passend is. Voor de hogere niveaus, dat is potentieel iets waar wij zelf voor zorgen en waarbij wij ook kunnen helpen. Bijvoorbeeld om te voldoen aan de ISO-normen, zoals ISO 27001, of andere standaarden. Ik denk dat wanneer een mkb-organisatie dermate is gegroeid en meer moet doen aan informatiebeveiliging, EY als groot advieskantoor van waarde kan zijn.’
Murat: ‘Dat is het mooie van die gradaties. Het is niet zo dat je als bedrijf een keer aan een norm voldoet en dan daarna kunt rusten of gewoon verder kunt gaan zoals voorheen. Het is eigenlijk iets dat continu aan evaluatie en upgrades onderhevig is. Bovendien moet je continu alert blijven, vooral als je kijkt naar de ontwikkelingen van de afgelopen jaren. Als je nu zegt, “ik repareer iets en dan ben ik klaar,” dan loop je over een jaar alweer achter. Je wordt ingehaald door de tijd. De gradaties van de NIS2 Qality Mark kan helpen met die continue groei.’
Tot slot nog een laatste belangrijke boodschap die jullie lezers willen meegeven?
Murat: ‘Bij EY nemen we NIS2 tegenwoordig standaard mee in onze cybersecurity assessments. Wat ons onderscheidt, is dat we deze assessments kunnen combineren met zogenoemde penetration tests (technische assessments), we hebben namelijk ook een team van zeer getalenteerde ethische hackers. Zo heb je een compleet beeld van waar je staat als organisatie, zowel programmatisch alsmede technisch. Ook zijn we vooral gericht zijn op de daadwerkelijke realisatie van verbeteringen. Dat sluit ook aan bij onze internationale purpose van ‘Building a Better Working World’. Dus als we aanbevelingen doen, staan we stil bij de realiseerbaarheid en effectiviteit in de specifieke situatie van onze klant. Omdat we veel cybersecurity assessments doen, hebben we een databank opgebouwd waarmee we organisaties advies kunnen geven over waar hun peers staan. Zo kunnen ze zien waar ze staan in de markt, zowel regionaal als internationaal. Dit is een veelgehoord pluspunt wat wij van onze klanten horen’.
