Solimas-directeur Gerard de Weerd is gepassioneerd door cybersecurity- en informatiebeveiliging. Hij is daarnaast ook lid van het Platform voor Informatiebeveiliging. Het zal je dan ook niet verbazen dat het bij Gerard ieder jaar al aan het eind van de zomer begint te kriebelen: oktober is namelijk Cybersecurity Maand. Naast de aandacht die we bij Solimas hieraan gegeven hebben, heeft Gerard een bijdrage geleverd aan de SIDN Podcast door samen met CyberSterk Business Developer Daisy Rasing en Chris van ’t Hof te praten over informatiebeveiliging voor het MKB. De hamvraag: hoe maak je je als organisatie cyberweerbaar?
In de podcast worden verschillende cybersecurity- en informatiebeveiligingsscenario's behandeld aan de hand van een fictief MKB-bedrijf. Dit familiebedrijf zit in de bouw en de website is 16 jaar geleden eens gemaakt door een handig neefje. Dat dit niet helemaal veilig en verantwoord is snapt men ook wel, dus de meest belangrijke applicaties zijn uitbesteed aan SaaS-leveranciers. Daar draaien de loonadministratie, de facturatie en de inventaris en men vertrouwt erop dat dat allemaal goed zit. Binnen het familiebedrijf is er een hoop onderling vertrouwen waarbij iedereen een beetje zijn eigen manier van werken heeft. De onderneming bestaat uit 50 medewerkers en heeft nog eens 50 freelancers tot haar beschikking. Men heeft een hoop kennis van fysieke risico’s in de bouw en maakt daarover uitgebreide risk assessments, maar weet niet veel van IT-security. Waarom zouden ze ook? Dat hebben ze immers allemaal uitbesteed aan een goede SaaS-leverancier.
Dit is deel 2 van onze blogserie over informatiebeveiliging. Wil je de rest ook teruglezen? Kijk dan hier:
Informatiebeveiliging is niet alleen onderdeel van de IT-afdeling
Wie pakt die rol van informatiebeveiligingsambassadeur eigenlijk op, vraagt gespreksleider Chris van ’t Hof zich af. Is dat redelijk willekeurig in het MKB? Neemt het handige neefje dat de website gebouwd heeft de rol op zich? Rasing hoopt van niet: ‘Wat ik zou verwachten, of wat ik hoop dat steeds meer zal gebeuren, is dat de ondernemer zélf daar wat meer het voortouw in gaat nemen.’ Zij stelt dat informatiebeveiliging en security niet een onderdeel zijn van de IT-medewerker, maar dat dit uitgedragen zou moeten worden vanuit de hoogste laag van een organisatie. Goed voorbeeld doet immers goed volgen.
Van ’t Hof ziet bij veel MKB-bedrijven echter dat er binnen de organisatie vaak een aantal mensen zijn die veel waarde hechten aan security, bijvoorbeeld de technische mensen of de juridische afdeling, maar dat de tone at the top toch een andere boodschap afgeeft. ‘Dan komt er zo’n directeur binnen en die gooit dan z’n laptop op tafel met wachtwoord ‘abcd’ en die laat hem open staan en loopt weer weg.’ Helaas ziet Rasing dit inderdaad veel: ‘Ik vrees wel dat je dat met regelmaat gaat tegenkomen en daarom denk ik ook dat het zo goed is om daar meer aandacht aan te besteden. Want het zit écht in die kleine dingen.’ Als voorbeeld noemt ze het vergrendelen van je laptop als je even naar het toilet gaat. Oók als je op je eigen kantoor zit. ‘Het is zo makkelijk en het is ook zo aangeleerd. Het is even een weekje denken van, “oh ja, ik moet hem locken”, maar je hebt het zo aangeleerd en daarna ga je het ook overal doen.’
De security officer
Als je écht goed bezig wilt zijn op het gebied van informatiebeveiliging, vindt Rasing, beleg je deze taak bij een security officer. Deze medewerker heeft als taak om binnen het hele bedrijf voor het juiste niveau van informatiebeveiliging te zorgen op procesmatig niveau. Dat betekent overigens niet dat diegene zich bemoeit met hoe, bijvoorbeeld, een ontwikkelaar zijn werk doet, licht Daisy als voormalig security officer toe. ‘Ik geef hem juist de kaders mee en het stuk beleid wat daarover gaat, zodat diegene zelf nog wel voldoende vrijheid heeft om de boel in te richten zoals hij of zij wil.’
‘Waar de verantwoordelijkheid ligt is uiteindelijk bij iedereen’, stelt Gerard. ‘Alle medewerkers moeten zich bewust zijn dat zij risico lopen en veelal, als het gaat om een bankpasje, weten ze heel goed hun pincode geheim te houden. Maar als het gaat om een wachtwoord van hun werkplek dan roepen ze die nog wel eens even gemakshalve over de afdeling. Dus het ligt in feite bij iedereen en om dat goed neer te zetten, kun je ook niet verwachten van een ondernemer dat die dat allemaal weet uit te dragen in zijn organisatie.’
Voor veel MKB-bedrijven is het aannemen van een full-time security officer volgens Gerard alleen helemaal niet interessant. Daar is namelijk niet genoeg werk voor. Voor die bedrijven biedt Solimas daarom CISO-as-a-Service dienstverlening aan, waarmee je als ondernemer een goede sparringpartner hebt om op gezette tijden mee over informatiebeveiliging na te denken. Gerard snapt immers heus wel dat een ondernemer geen hele in-depth vragen aan een SaaS-leverancier kan stellen. ‘Maar als hij daar iemand naast zich heeft staan die hem of haar helpt om de juiste vragen te stellen […] dan kun je daar samen in optrekken en zorgen dat je de juiste maatregelen gaat nemen.’
