“Als het gaat om informatiebeveiliging wordt er vaak ingespeeld op angst”, zegt Stefan van Nifterick, partner en consultant bij MnP Solutions. “Maar een hack of dataverlies kan iedereen overkomen. Daarom spelen wij liever pragmatisch in op situaties. Angst is een slechte raadgever.” Volgens Stefan leidt dat namelijk vaak tot ‘n eenmalige actie, waarna de aandacht verdwijnt. “Om dat te voorkomen moet je telkens angst blijven creëren. Daar staan wij als bedrijf niet achter”, vertelt hij. “Wij zoeken liever naar een bedrijfskundige aanpak zodat mensen ook begrijpen wáárom bepaalde maatregelen genomen en keuzes gemaakt worden.”
Bedrijfskundige insteek
Toch kiezen veel bedrijven nog steeds voor een rigide policy die wordt vastgelegd in een vuistdik protocol. “En vervolgens verdwijnt dat in een lade”, lacht Stefan. Volgens hem is het beter om te kiezen voor een bedrijfskundige insteek: de ISO-normen worden gezien als een leidraad. “Met die insteek kijk je niet alleen naar wat goed is voor de norm, maar ook naar wat goed is voor het bedrijf. Dat zorgt er bij ISO 27001 bijvoorbeeld voor, dat informatiebeveiliging op langere termijn niet wordt gezien als een ‘moetje’.” Ook leidt die aanpak tot meer inzicht in het dagelijks handelen van de organisatie. “We praten namelijk niet alleen met de directie en IT-afdeling, maar ook met andere stakeholders binnen het bedrijf. Samen kijken we naar wat voor hen belangrijk is, op basis van risicomanagement”, vertelt Stefan. “Onze ervaring leert namelijk dat het belangrijk is om reacties te peilen voordat je beleid gaat vastleggen. Op die manier wordt het geen spel van de IT-afdeling om beleid uit te storten over de organisatie, maar wordt de hele organisatie betrokken in het proces. Wat ons betreft is beleid dat door vijf mensen in een hokje is bedacht, slecht beleid.”
Daarnaast komt het wel eens voor dat eisen uit de norm niet passen bij het bedrijfsproces. “Op dat moment kun je zoeken naar een oplossing die helpt om aan de norm te voldoen, maar wel op een manier die bij de organisatie past”, zegt Jordy. Stefan: “Wij zeggen dus niet welke applicaties je moet gebruiken, maar zoeken naar passende oplossingen en helpen bij de implementatie.” En wordt de oplossing gevonden in een nieuwe hard- of softwareoplossing, dan is het belangrijk om daarvoor goed beleid te voeren. “Anders gaan al die tools en hardware-oplossingen ook niet werken. De ISO-norm vertalen naar de praktijk van je klant, dat is eigenlijk de kunst.”
Het behalen van ISO 27001 wordt vaak als kostenpost gezien, maar biedt juist kansen omdat het steeds vaker vereist wordt
Betrokken partner
MnP Solutions biedt organisaties verregaande ondersteuning in het opstellen van dat beleid. “In negen van de tien gevallen blijven we ook structureel betrokken bij onze klanten. We voeren security checks of audits uit, of ondersteunen bij privacyvraagstukken. Maar altijd is er sprake van certificaatonderhoud tot verdieping aanbrengen in de informatiebeveiliging. In de praktijk werken we eerst naar de norm toe en vervolgens kunnen we helpen om diepgaander beleid te implementeren”, zegt Stefan. Dit gaat dan voornamelijk om beleid dat in het voortraject is bedacht, maar niet van toepassing is om de norm te behalen. In de praktijk merkt hij namelijk dat de complete veranderslag onhaalbaar is in een periode van acht tot tien maanden. “Het certificaat moet je bovendien niet gaan beperken in je ondernemingsgeest. Mensen, techniek en beleid moeten continu goed met elkaar blijven samenwerken.”
Wat hen ook opvalt is dat ISO 27001 vaak als kostenpost wordt gezien. “Maar het biedt juist kansen, ook omdat het certificaat steeds vaker wordt vereist om je in te mogen schrijven voor een tender. Een goede implementatie kan er dan voor zorgen dat de investering wordt terugverdiend, omdat veel vragen over informatiebeveiliging van tafel worden geveegd. Daardoor ben je veel minder tijd kwijt aan de inschrijving”, zegt Jordy. Stefan vult aan: “De tijd die je bespaart kun je vervolgens steken in je dienstverlening of het verder verbeteren van je eigen organisatie. Tijd is nog altijd geld.”
E-learnings
Naast ondersteuning op locatie, verzorgt het bedrijf ook online trainingen om het bewustzijn rond informatiebeveiliging en privacy te vergroten. Deze worden aangeboden via de eigen academy en variëren van e-learnings die 40 minuten duren, tot interactieve spelletjes, video’s en passende toetsvragen. “Daarnaast hebben we ook micro-learnings om deelnemers gedurende het jaar te blijven trainen”, zegt Stefan. “Maar we trainen niet alleen, we leveren ook feedback. Bijvoorbeeld met welke onderwerpen de organisatie nog moeite heeft. Vervolgens stemmen we onze micro-learnings hier verder op af.” Hij benadrukt ook dat iedere learning telkens anders van opzet is. “Anders klikken mensen er blind doorheen. Uiteindelijk moeten ze er ook iets van opsteken en moet het de bewustwording continu verhogen.”
‘As a Service’
Naast security is ook privacy een heet hangijzer. Toch hebben veel bedrijven niet altijd een security- of privacy officer in dienst. “Onder andere omdat er te weinig personeel is binnen dit domein”, stelt Jordy, één van de privacyspecialisten van MnP Solutions. “Daarom wordt vaak een IT’er belast met die taak, totdat ze erachter komen dat er meer bij komt kijken. Of er is juist wel genoeg werk, maar niet voldoende om een full-time security officer aan te nemen.” Op die behoefte speelt MnP Solutions in met Security Officer en Privacy Officer as-a-service. “Schaalbaarheid is heel belangrijk voor bedrijven en het is fijn dan we hen op die manier kunnen ondersteunen. Uiteindelijk willen organisaties het gevoel hebben dat ze hun privacybeleid goed hebben geregeld en voldoen aan hun zorgplicht. Met dit model kunnen wij meerdere bedrijven tegelijkertijd bedienen en ondersteunen, zodat zij compliant zijn aan de wetgeving.”
Jordy Kolmus en Stefan van Nifterick
[Dit artikel is eerder gepubliceerd in Security & Privacy Dossier 2021]