Je data beveiligen, is van grote waarde voor elk bedrijf. Dit belang neemt toe als klanten gaan vragen hoe je het geregeld hebt. Dat kun je dan wel vertellen, maar het is nog beter als je het objectief kunt aantonen. Vanuit die overweging is een Cyber Weerbaarheidscentrum Brainport (CWB) participant met circa 85 fte serieus aan de slag gegaan op cyberrating.nl met het doel om het Basic-certificaat te behalen. En dat is gelukt.
Onder begeleiding van de Kwaliteits Manager van het bedrijf, werkte de onderneming vooraf een jaar lang aan interne initiatieven. Denk aan gebruikersrechten en multi factor authenticatie (mfa). Daarna kwam de prangende vraag: Wat zijn de risico’s? En hoe kunnen we die onder controle krijgen? Een penetratietest (pentest) zorgde voor controle op technisch vlak en een analyse hielp voor te bereiden op de CYRA-audit en op het vastleggen van processen. Dat op papier zetten van de processen bleek overigens tijdrovend, maar wel de moeite waard omdat het je verplicht om over uiteenlopende aspecten na te denken.
Classificatie
Als lastig werd de classificatie van de bedrijfsdata ervaren. Mede omdat hier in het verleden totaal geen rekening mee is gehouden. Daarom heeft het bedrijf gekozen voor een pragmatische aanpak door de meest belangrijke documenten in te schalen, zonder heel veel meerkosten. De audit zelf verliep prettig, mede omdat alle vragen van de lange lijst van tevoren waren beantwoord, inclusief alle toelichtingen. “We hebben alles meegenomen. Meer dan het Basic-niveau voorschrijft. Dat niveau is bijzaak. Het is belangrijk dat CYRA bijdraagt aan de operationele bedrijfsvoering. We willen nog altijd kostenefficiënt de beveiliging blijven verhogen en risico’s minimaliseren.”
Steun vereist
Hierbij benadrukt de Kwaliteits Manager dat het proces alleen zin heeft als het management er achter staat. “Die steun is nodig om zaken gerealiseerd te krijgen, want het vergt tijd en geld.” Wat niet weg neemt dat de Chief Operating Officer ruiterlijk toegeeft dat hij er wel tegenop zag. “Maar het mooie van CYRA is dat je stapje voor stapje gaat. Elke stap is zinvol en prima te doen”. “Het geeft rust om te weten dat je je zaakjes in de basis op orde hebt.”. Hij signaleert wezenlijke veranderingen in het bedrijf sinds voor CYRA werd gekozen. “We hebben een Information Security Management Systeem (ISMS) opgetuigd. We weten nu wat we moeten doen in bepaalde gevallen. Dat is geoefend en met het hele bedrijf gedeeld. Er is veel meer bewustzijn bij personeel die bijvoorbeeld laptops dichtdoen en niets meer bij de printer laten liggen. Er is sprake van een cultuurverandering. We zijn van bewust onbekwaam, bewust bekwaam geworden.”
Oefenen
Met de steun van het management werd nog voor de CYRA-audit door het bedrijf deelgenomen aan een overheidsbrede cyberoefening. “Deze bleek niet 1 op 1 toepasbaar, maar je ziet wel de waarde van het systeem”, vindt de Kwaliteits Manager. Hij stelde zelf het proces voor deze oefening op. “Het is erg belangrijk om te kijken hoe je met de belangrijkste stakeholders binnen het bedrijf kunt deelnemen aan zo’n oefening. Zo weet je meteen dat je geen papieren tijger hebt geproduceerd.”
Meer informatie?
Neem contact met ons op via communicatie@cyberrating.nl