Als het gaat om de beveiliging van jouw IT-landschap, komt er heel veel om de hoek kijken. Heb je mogelijke veiligheidsrisico’s in kaart? Weten jouw medewerkers wat zij moeten doen als het misgaat? Heb je een verwerkersovereenkomst opgesteld met derde partijen? Is jouw Microsoft 365 veilig ingericht? Hoe staat het met je ISO-certificering? En zo kunnen we nog wel even doorgaan.
Ondersteuning van een ervaren Security Officer kan helpen om te zorgen dat je niets uit het oog verliest. Maar wat doet een Security Officer precies? En hoe kan hij of zij jouw organisatie ondersteunen? Niels Wagenaar, onze eigen Security Officer, vertelt ons meer.
Ha Niels, kun je mij vertellen wat de rol van Security Officer nou precies inhoudt?
“Zeker! Een Security Officer is iemand die operationeel verantwoordelijk is op het gebied van informatiebeveiliging en privacy. Ik doe dit voor zowel Arcus intern als voor onze klanten. Het is een omvangrijke rol waar je veel kennis en ervaring voor nodig hebt, omdat er zoveel verschillende onderwerpen bij komen kijken. Je bent eigenlijk een vertaler tussen de techniek en de behoefte van de organisatie.”
Bij welke IT-onderwerpen kan een Security Officer helpen?
“Bij alles wat met IT-beveiliging heeft te maken. Ik ondersteun onze klanten bijvoorbeeld op compliance aan wet- en regelgeving en ik zorg dat zij voldoen aan de normen voor ISO-certificering. Ook stellen we samen een privacybeleid of een verwerkersovereenkomst op, iets wat veel organisaties niet regelmatig genoeg updaten. Maar er komen ook praktische zaken bij kijken. Ik scan bijvoorbeeld het IT-netwerk op veiligheid, zodat we samen met mogelijke risico’s aan de slag kunnen. We maken bijvoorbeeld een plan om Microsoft 365 anders in te richten of medewerkers veiliger te laten werken op hun eigen devices.”
Komen er veel risico’s naar voren, die eerder over het hoofd waren gezien?
“Helaas wel. Dat is ook niet gek, een IT-afdeling heeft gewoon heel veel verantwoordelijkheid, dus af en toe valt er iets tussen wal en schip. Iedereen is vorig jaar bijvoorbeeld massaal overgestapt naar Teams. Veel organisaties ontdekten toen de mogelijkheden van Microsoft 365. Ze gebruiken bijvoorbeeld meerdere tools door elkaar of delen veel met externe partijen. Nu, anderhalf jaar later, vragen mensen zich pas af of dat wel veilig is ingericht. Voldoet het bijvoorbeeld aan het bedrijfsbeleid voor het delen van gegevens naar derden? Daar help ik bij!
Daarnaast zie ik de grootste risico’s ontstaan rondom ‘disaster recovery’ en back-up plannen. Veel organisaties hebben wel een proces ingericht voor als zij bijvoorbeeld gehackt worden of de systemen platliggen, maar hebben nooit getest of dit écht doet wat het moet doen. Om dit in kaart te brengen, doen we een business impact analyse en gaan we álles testen en verifiëren, zodat je weet waar je aan toe bent."
Hoe werk je samen met een interne IT-afdeling?
“Het is belangrijk om helder te krijgen waar een IT-team of organisatie behoefte aan heeft. Vaak heeft dat te maken met het optimaliseren van de huidige informatiebeveiliging aan de hand van normeringen. Maar de interne IT-afdeling weet het best wat nodig is en waar risico’s liggen. Samen maken we dan op specifieke gebieden een 0-meting en kijken we wat er wel of niet formeel is vastgelegd aan beleid. Op basis hiervan maken we een plan van aanpak. Ik zorg ervoor dat de verbeteringen worden doorgevoerd én dat de organisatie een plan heeft om constant up-to-date te blijven. Het is ontzettend interessant en dynamisch werk!”
Heb je tips voor quick fixes die de lezers kunnen doorvoeren?
“Zeker! Controleer als organisatie of je een informatie- of privacybeleid hebt opgesteld, in combinatie met een computerprotocol. Hierin kun je formeel vastleggen wat je van je werknemers verwacht én wat zij moeten doen op het moment dat het misgaat. Daarnaast is bewustzijn bij je medewerkers enorm belangrijk. Je kunt je techniek nog zo goed inrichten, als het verkeerd wordt gebruikt kan het alsnog misgaan. Neem de beveiliging van je IT-netwerk bijvoorbeeld als onderwerp mee op de jaarlijkse presentatie of op een borrel.”
Nog meer quick fixes horen van Niels? Kijk dan hier het webinar 'Don't be next' terug en ontdek hoe jíj aan de slag kunt met cybersecurity!