Wie?
Vincent Schijven is manager van het Cyber Competence Center bij TÜV NORD Nederland Hij helpt organisaties bij het versterken van hun digitale weerbaarheid, door het bieden van onafhankelijke certificeringen. Daarnaast adviseert hij over informatiebeveiliging en certificeringen zoals ISO 27001, en hij focust zich op het beschermen van kritieke infrastructuren tegen cyberdreigingen.
Naar aanleiding van zijn ruime ervaring met certificering en cybersecurity voor organisaties leek het ons een goed om daar eens over in gesprek te gaan.
Waarom zou een MKB-bedrijf of organisatie zich moeten certificeren op cybersecurity?
Niks moet! Het is voornamelijk goed voor bedrijven om te monitoren waar zij staan met betrekking tot de bescherming van hun digitale omgeving want dat is echt nodig. Ook is er vaak specifieke regelgeving omtrent hun bedrijfsactiviteiten, het is voor bedrijven belangrijk om dit in de gaten te houden.
Het kan voor bedrijven belangrijk zijn om aan te tonen waar zij staan met betrekking tot digitale veiligheid. Potentiële klanten willen weten met wat voor organisatie zij zaken gaan doen maar ook andere stakeholders vragen om zekerheid. Denk aan verzekeraars die een cyberverzekering bieden, of investeerders in een bedrijf. Certificering is een beproefde methode om onafhankelijk aan te tonen hoe een organisatie er voor staat en niet te vervallen in wensdenken. Niet iedere organisatie heeft een realistisch beeld hoe zaken geregeld zijn en een certificering lost dat op.
Om op het gewenste niveau te komen kan een organisatie hier zelf tijd en energie in stoppen maar soms is die kennis gewoon niet aanwezig. Dan helpt het om externe hulp in te roepen van een consultant die dit dagelijks doet.
Heeft u tips voor organisaties die willen starten met certificering? Wat zijn de gemakkelijkste eerste stappen?
Stap 1 is vaak bepalen: “waarom wil ik certificeren?”. Wat is de drive van onze organisatie? Waarvoor en waarom hebben we bepaalde certificeringen nodig en welke heeft de organisatie al?
Stap 2 is de vervolgstap waarbij de organisatie gaat inventariseren: hebben we zelf de kennis om certificering te behalen of gaan wij dit als organisatie externe hulp inroepen?
Soms is het verstandig om al direct over te schakelen naar een externe partij omdat het simpelweg zonde is van de tijd, energie en investeringen als er begonnen wordt aan een certificering en het vervolgens niet lukt. Neem bijvoorbeeld ISO 27001, dat is taaie kost om doorheen te werken. Een externe partij met ervaring hierin kan deze uitvoering zowel efficiënter als behendiger doen aan de hand van de wensen en benodigde regelgeving van de organisatie.
Hoe maakt u de soms complexe taal en richtlijnen omtrent compliance en cybersecurity toegankelijk en begrijpelijk voor organisaties en medewerkers?
Daar is uiteraard CYRA voor ontwikkeld, jullie zeker niet onbekend gezien jullie hier ook aan hebben meegewerkt. De taal rondom compliance en cybersecurity kan inderdaad van een lastig niveau zijn. Het CYRA-model is ontwikkeld op basis van de ISO 27001 certificering maar ‘begrijpelijk gemaakt’. Op deze manier kan een organisatie vanuit kleine beginstappen doorgroeien naar ISO 27001 certificering. Door te beginnen met onderwerpen die urgent zijn voor de organisatie zorgt dit ook voor een betere aansluiting bij organisaties. Op deze manier komen bedrijven vanzelf op het niveau dat bij hen past. Het belangrijkst is simpelweg dat bedrijven aan de gang gaan met het nemen van cybersecurity, maatregelen zoals het opzetten van beleid, het nemen van technische maatregelen en het verzorgen van trainingen. Dit laatste is heel belangrijk want de medewerkers spelen een cruciale rol in het beschermen van informatie.
Wat is volgens u de grootste misvatting die organisaties hebben over cybersecurity?
De grootste misvatting van organisaties is over het algemeen de gedachte dat ze na certificering klaar zijn. Dit is absoluut niet het geval! Het behalen van certificering is vaak het op een hoger niveau komen op het gebied van security maar het is van groot belang dat er daarna ook verbeterd blijft worden. Het is een continu proces, continu bijsturen en verbeteren. Dit is ook onderdeel van de ISO-standaard. Vaak haalt een organisatie een certificering uit noodzaak door regelgeving of omdat klanten het eisen. Na het behalen is het van belang dat het bedrijf continu blijft door ontwikkelen en de certificering en de beveiliging ook werkelijk in de lucht worden gehouden!
Volg Vincent Schijven op LinkedIn
Bent u hierdoor zelf aan het denken gezet?
Neem gerust contact op met MKB Cyber Campus via het contactformulier of mail naar info@mkbcybercampus.nl
