16 jan
Het afgelopen jaar hebben we hard gewerkt om informatiebeveiliging goed op te kaart te zetten. Juist ook door samen te werken met partijen buiten de IT-sector, zoals brancheorganisaties, accountants, verzekeraars en andere grote partijen. Dat begint nu zijn vruchten af te werpen, dus kunnen we wel zeggen dat 2019 hét jaar van samenwerken aan informatiebeveiliging wordt.
Natuurlijk stond 2018 voornamelijk in het teken van de AVG. De invoering ervan op 25 mei (b)leek toch vooral een juridische en papieren kwestie te zijn; er werd veel op papier gezet over hoe de organisatie met data omgaat en er werden veel e-mails verstuurd over nieuwsbrieven. Maar de technologische maatregelen, daar waar de AVG toch juist moet voor dienen, bleven veelal uit. Nu de nieuwe maatregelen bijna driekwart jaar gelden, zien we zeker in het MKB langzaam maar beter naar verbetering streven.
In mijn optiek is er een belangrijke rol voor corporates en enterprises weggelegd om de beveiliging in het MKB vanuit de keten naar een hoger niveau te tillen. Bij grotere organisaties zien we dat informatiebeveiliging in de meeste gevallen al meer op de kaart staat. Toch is het bij veel organisaties nog steeds geen onderwerp dat constructief en met enige frequentie op directie/board niveau wordt doorgesproken. Veel organisaties zien informatiebeveiliging als bijkomend iets of als kostenpost en dat is jammer, want een goede informatiebeveiliging kan werkelijk helpen om de doelen van de organisatie te verwezenlijken en daarmee meer waarde voor de organisatie te creëren.
De Autoriteit Persoonsgegevens (AP) heeft inmiddels een eerste aantal boetes uitgedeeld, maar het lijkt dat de capaciteit en daardoor slagkracht te laag is om écht een vuist te maken en de AVG strenger te handhaven. Dat is in mijn optiek jammer, want juist ook daardoor blijven toch veel bedrijven en organisaties achterover leunen.
Informatiebeveiliging is geen eendagsvlieg…
Wij alleen zullen dat helaas niet kunnen veranderen. Gelukkig hebben we het afgelopen jaar gemerkt dat brancheorganisaties wel zijn gaan inzien dat er iets moet gaan gebeuren, willen we het MKB veilig maken. We zien in verschillende sectoren dat er beweging komt. Accountants bijvoorbeeld, nemen informatiebeveiliging steeds meer en beter op als criterium voor het goedkeuren van jaarrekeningen. En verzekeraars komen steeds meer met cyber risico verzekeringen op de markt. Al deze verschillende partijen zien daarin ook een rol weggelegd voor Threadstone, omdat onze toepassingen inzicht geven in de huidige status van de beveiliging, zowel voor de techniek (bedreigingen van buitenaf, als voor zwakheden intern), mens als organisatie. Ook IT partijen zien steeds meer in dat informatiebeveiliging geen eendagsvlieg is.
Informatiebeveiliging ? techniek…
Steeds meer IT partijen willen ‘iets’ met informatiebeveiliging, alleen vinden velen het nog moeilijk op welke wijze ze e.e.a. moeten aanvliegen. De klant confronteren met inhoudelijke kwetsbaarheden van de website of het bedrijfsnetwerk waarvoor de IT’er zelf verantwoordelijk is is in ieder geval geen goede aanvliegroute. Dat zorgt eerder voor lastige gesprekken met de eindklant. Beter is het om informatiebeveiliging als thema op de agenda te zetten en te praten over beleid, processen, procedures, mens én techniek en op basis daarvan een plan op te zetten om te komen tot continue verbetering.
Informatiebeveiliging is immers slechts gedeeltelijk technisch van aard. Wij ondersteunen onze partners hierin door een brede aanpak die continue inzicht geeft in de status van de informatiebeveiliging van de eindklant. Dit helpt onze partners om het gesprek op C-level aan te gaan én helpt om eindklanten werkelijk te helpen van het behalen van doelstellingen.
Overtuig de eindklant dat informatiebeveiliging niet bij de IT’er moet liggen
Bovenstaande geeft al aan dat informatiebeveiliging niet bij de IT’er moet liggen, ook niet bij MKB organisaties. Veel organisaties verwijzen direct naar de (outsourced) IT partner als het gaat over informatiebeveiliging, maar het is een thema dat op directieniveau moet liggen. IT-partijen vinden het vaak lastig om daar aan tafel te komen, terwijl het management hun expertise nodig heeft om tot een verandering te komen in zowel techniek, als in organisatie en mindset. Het management zal hiervoor eerst wel bewust moeten zijn dat het géén IT aangelegenheid is. Daarvoor is inzicht van groot belang. Inzicht in de huidige staat van de beveiliging, maar ook in de mogelijkheden die er zijn om tot een goed beleid te komen. Daar ondersteunen we graag in!
2019 wordt voor ons dan ook het jaar om juist met al deze verschillende partijen om de tafel te gaan. Hen te overtuigen van het belang van cybersecurity en tools aan te reiken die daarbij kunnen helpen. Zodat we samen met en via onze partners MKB nóg beter kunnen bereiken en uiteindelijk écht veilig kunnen maken!