Ieder jaar is het weer zover: de verplichte controle voor je jaarlijkse financiële verslaggeving. Een drukke periode, waarin veel moet worden uitgezocht en waar vaak de mooiste rapportages uit ontstaan.
Voor mij vaak een periode, waarin ik mijn klanten graag weer even spreek over de plannen voor dit jaar en de komende jaren. “Leuk dat je belt, maar we zijn wel erg druk met de jaarafsluiting”. Logisch, maar dan komt het. “Onze accountant heeft ons wel gevraagd hoe we onze beveiliging geregeld hebben, dat hebben jullie voor ons geregeld, toch?” Nou, daar kan ik geen kort antwoord op geven.
De vervelendste vraag die ik terug zou kunnen stellen is “hebben jullie dan een IT-beleid?”.
Ook dit is vaak een vraag waar helaas geen kort antwoord op te geven valt. Want hoe weet je als organisatie hoe je beleid op moet stellen, als je niet weet wat de mogelijkheden zijn en wat ‘veilig’ betekent voor jou als organisatie, maar ook wat dit voor de accountant inhoudt?
Een ander antwoord dat je van mij had kunnen krijgen is “ja, dat hebben wij geregeld. Namelijk zo en zo”. Vervolgens zou de schijn kunnen ontstaan dat je goed beveiligd bent. Nu hoor ik je denken; is dat dan niet zo?
Dat cybercriminaliteit toeneemt is helaas een feit. Dat je als MKB onderneming een doelwit bent voor aanvallen kunnen we ook als een feit benoemen. Je denkt ten onrechte misschien dat je niet waardevol genoeg bent voor deze criminelen, maar niets is minder waar. Er valt voor criminelen vaak al gemakkelijk geld te verdienen door je data te blokkeren tot je betaalt. Dan hoeft die data voor de criminelen zelf nog niets eens waardevol te zijn om bijvoorbeeld door te verkopen, zolang jij maar betaalt.
Dit alleen al zou een reden zijn als onderneming om je beveiliging goed te regelen. Maar als je accountant erom vraagt merk je ook nog dat je geen pasklaar antwoord hebt. En erger nog; je IT partner geeft je wellicht ook niet direct antwoord.
Een goede beveiliging bestaat uit het organiseren van de volgende componenten:
Je IT-partner zou kunnen bevestigen dat de techniek geregeld is. In de basis. Want ook voor processen zouden technische oplossingen kunnen worden ingezet. Hoe weet je nu hoe je invulling moet geven aan deze componenten en waar je je IT-partner om hulp zou kunnen vragen? Zodat je ook een pasklaar antwoord hebt voor je accountant en voor eventuele opdrachtgevers die dezelfde eisen stellen? Nog belangrijker: zodat er geen sprake is van schijnveiligheid, maar dat je als ondernemer rust hebt bij de gedachte dat je zaken goed geregeld hebt.
Een Security Framework geeft aan welke securitymaatregelen een bedrijf zou moeten nemen afhankelijk van de grootte van het bedrijf en de risico’s die het loopt. Het Framework geeft niet aan hoe je dat moet doen of met wat voor oplossing. Daar kunnen wij je bij helpen, ofwel met pasklare oplossingen, begeleiding of een goed advies.
Er bestaan veel verschillende soorten Security Frameworks. Een groot IT-bedrijf als Microsoft kiest bijvoorbeeld voor de zwaarste categorie, de Risk Frameworks (zie het Microsoft Trustcenter). Dit betekent een grote continue investering maar dat past ook bij de grootte van een bedrijf als Microsoft en de risico’s die zij lopen. Het werken met een Risk Framework is voor ons, WSB Solutions, een stap te ver. Wij hebben gekozen om gebruik te maken van een Program Framework; wij voldoen aan de eisen die de bekende beveiligingsnorm ISO27001:2017 stelt. Wij zijn een ICT-bedrijf en lopen daardoor grotere risico’s dan het gemiddelde MKB-bedrijf; voor ons reden om te kiezen voor ISO27001.
Voor de meeste niet-ICT bedrijven gaat ISO27001 te ver. Wij adviseren onze klanten daarom gebruik te maken van CIS20, een Control Framework dat pragmatisch en handzaam is.
De CIS Controls (voorheen bekend als de SANS Critical Security Controls) is een lijst met 20 maatregelen, verdeeld over een drietal groepen: basic, foundational en organizational, maar ook over implementatiegroepen 1 tot 3. Dit laatste geeft de volgorde aan, waarin je de maatregelen zou moeten doorvoeren en bevat zowel maatregelen uit de basic groep als uit de foundational en organizational groepen. De gedachte is dat wanneer een organisatie de eerste al op orde heeft (dus implementatiegroep 1), het grootste gedeelte van alle cyber-ellende voorkomen kan worden.
Het resultaat van het gebruiken van een dergelijke framework geeft je een pasklaar antwoord voor je accountant. Dan kun je namelijk zeggen dat jullie daarvoor gebruikmaken van de CIS Controls, waarna je kunt aanreiken hoe je de specifieke controls hebt ingeregeld. Zelf of samen met je IT partner. En je kunt er gerust op zijn dat je het goed geregeld hebt.
Blijven er risico’s bestaan? Helaas altijd; al heb je het met de invulling van de controls terug kunnen brengen naar minimaal, het is nooit een garantie.