We vragen het Marc van der Zandt, co-owner van SafeSecur Group en expert in informatiebeveiliging. Hij vertaalt complexe normen zoals ISO 27001 en NIS2 naar praktische, werkbare oplossingen.
“Een cyber security-audit speelt een essentiële rol in het versterken van je organisatie. Het doel is helder: inzicht krijgen in kwetsbaarheden, verbeterpunten en eventuele risico’s binnen je managementsysteem en technische maatregelen. En dat gebeurt volledig onafhankelijk.
Tijdens een audit wordt steekproefsgewijs bekeken of beleid en praktijk met elkaar overeenkomen. Staat er bijvoorbeeld in het beleid dat er dagelijks een incrementele back-up (een incrementele back-up slaat alleen de bestanden op die sinds de laatste back-up zijn gewijzigd of toegevoegd) wordt gemaakt en maandelijks een volledige? Dan moet dat technisch aantoonbaar zijn, inclusief bewijs dat de back-ups ook daadwerkelijk werken.
Een externe blik doorbreekt bedrijfsblindheid. Iemand die tientallen organisaties per jaar ziet, herkent patronen en afwijkingen sneller. Dat helpt niet alleen om blinde vlekken bloot te leggen, maar ook om gevoelige of politieke onderwerpen bespreekbaar te maken. Zo’n audit is geen verhoor, maar juist een waardevol reflectiemoment om als organisatie sterker uit te komen.”
Marc van der Zandt: “De duur van een audit verschilt per organisatie. Voor kleine bedrijven volstaat vaak een halve dag. Grotere bedrijven met complexe IT- of OT-omgevingen kunnen rekenen op een meerdaags traject.”
“Een audit voor het NIS2 Quality Mark (QM10, QM20 of QM30) verloopt volgens een vaste structuur:
De audits zijn opgebouwd als een groeipad: van QM10 (basismaatregelen) tot QM30 (uitgebreide, diepgaande controles). Hoe hoger je insteekt, hoe meer maatregelen er getoetst worden. Denk aan onderwerpen zoals endpoint-encryptie, netwerksegmentatie of het screenen van medewerkers.
De duur van een audit verschilt per organisatie. Voor kleine bedrijven volstaat vaak een halve dag. Grotere bedrijven met complexe IT- of OT-omgevingen kunnen rekenen op een meerdaags traject. Aan het einde volgt een eindgesprek waarin het oordeel wordt gedeeld: je voldoet, of je krijgt concrete verbeterpunten mee om alsnog aan de norm te voldoen.”
“Na de audit krijg je een afsluitende bijeenkomst waarin we de bevindingen bespreken. Stel je voor: je hebt alles goed gedaan, en je krijgt het Quality Mark. Maar soms is er ook een moment waarop je nog wat dingen moet aanpassen.
Bijvoorbeeld, we hadden onlangs een situatie waarin een klant nog niet volledig voldeed aan bepaalde encryptie-eisen, maar het was duidelijk waar het misging en wat ze moesten doen om het op te lossen. Het leuke is dat als er nog verbeteringen nodig zijn, je precies weet wat je moet doen om het alsnog te behalen. Het is niet het einde van de wereld, maar een kans om sterker te worden.
Het is geen examen; het is een proces van constante verbetering.”
“De PDCA4YOU tool speelt een cruciale rol in het vereenvoudigen van het auditproces. Een van de grootste uitdagingen voor auditors is dat je altijd moet kunnen aantonen dat je voldoet aan alle normparagrafen. De tool biedt een oplossing voor dit probleem door het genereren van voorgestelde beleidsmaatregelen en operationele taken.
Bijvoorbeeld, als je beleid stelt dat alle apparaten met BitLocker moeten worden versleuteld, kan de tool een taak aanmaken om elke zes maanden te controleren of de encryptie op alle apparaten correct is toegepast.
Dit maakt het auditproces veel gemakkelijker voor de organisatie, omdat je niet door bergen documenten hoeft te bladeren om alles te bewijzen. Het maakt je managementsysteem niet alleen efficiënter, maar helpt je ook de juiste stappen te zetten voor verbeteringen.”
Met de PDCA4YOU tool neem jij de regie over je cyber security. Deze tool stelt jou in staat om je beveiligingsmaatregelen systematisch te verbeteren door de beproefde PDCA-cyclus (Plan – Do – Check – Act) toe te passen.
Het resultaat? Je voldoet niet alleen aan de relevante wet- en regelgeving, maar de tool zorgt er ook voor dat je cyber security op de hoogste standaard blijft. Bovendien is de tool in te zetten om ISO-certificeringen te behalen.
PDCA4YOU maakt gebruik van een dynamische en gestructureerde aanpak om elke fase van je beveiligingsstrategie op te zetten en te monitoren. Via de tool kunnen teams hun processen beheren, taken toewijzen en snel ingrijpen als er een beveiligingsincident optreedt.
1. Beheer van beveiligingsmaatregelen
Van technologie tot beleid, alle onderdelen van je cyber security strategie worden vastgelegd en beheerd.
2. Real-time feedback
Krijg onmiddellijk inzicht in hoe goed je maatregelen werken, met de mogelijkheid om snel aanpassingen te maken.
3. Rapportages en analytics
Met de ingebouwde rapportagetools kun je eenvoudig prestaties volgen en voldoen aan compliance-eisen.
Als jouw ICT-partner zorgt WSB Solutions ervoor dat de PDCA4YOU tool naadloos wordt geïmplementeerd en volledig wordt ingericht voor jouw organisatie. Wij nemen het zware werk uit handen door het beleid samen met jou op te stellen en de tool te configureren.
“Bij WSB zetten ze alles voor je klaar in de PDCA4YOU tool, zodat jij je kunt richten op de uitvoering van de taken. Ze zorgen ervoor dat het beleid correct wordt ingesteld en alles gemonitord wordt. Jij voert de taken uit, zoals het controleren van encryptie, en zij zorgen ervoor dat alles in lijn is met de vereisten. Dit maakt het proces minder tijdrovend en zorgt ervoor dat je sneller kunt voldoen aan de auditvereisten.”
“De NIS2-certificering moet jaarlijks worden geüpdatet. Als je stopt met het uitvoeren van de noodzakelijke audits, vervalt je certificering. Dit is vergelijkbaar met het ISO-certificaat: je moet je systematisch blijven verbeteren en de audits blijven uitvoeren om je certificering te behouden. Het is geen eenmalige taak, maar een doorlopend proces om je organisatie op het hoogste niveau van beveiliging te houden.”
Laat je niet afschrikken. Begin gewoon.
Een audit is geen verhoor, maar een kans om beter te worden. Je hoeft niet alles perfect geregeld te hebben. Wel moet je kunnen aantonen dat je in control bent.
“En zorg dat je een leuke auditor hebt,” knipoogt hij tot slot, “dat helpt ook.”
Vul het formulier in en Maurice neemt binnen 24 uur contact met je op. Uiteraard kan hij je ook in contact brengen met Marc/SafeSecure Group.
