Uit recent onderzoek van Vodafone[1] blijkt dat 77% van de Nederlandse mkb’ers in de afgelopen twee jaar te maken kreeg met minstens één cybersecurityincident. De gemiddelde schade per incident liep vorig jaar op tot €300.000. Dit illustreert de enorme uitdaging waar mkb-kantoren voor staan. Ondertussen neemt de druk van compliance en security elk jaar toe, maar de kennis en capaciteit groeien niet evenredig mee. In deze blog vertelt Jan Niessen, security-officer bij Missing Piece, hoe je als kantoor grip kunt krijgen op deze uitdagingen zonder dat het een fulltime baan wordt.
Risicoanalyse: het fundament dat vaak ontbreekt
Een veelvoorkomende misvatting: “IT is uitbesteed, dus ik hoef me niet druk te maken over security en compliance.” De waarheid is anders. Je kunt wel je IT uitbesteden, maar nooit de verantwoordelijkheid ervoor. Die blijft altijd bij je eigen organisatie liggen.
Begin daarom met een gedegen risicoanalyse. Welke risico’s loop je in jouw specifieke werkveld? Juist in de financiële wereld, waar DNB en AFM een oogje in het zeil houden, is dit heel belangrijk. Toch zie ik dat veel kantoren hier pas aan het einde van het jaar aandacht aan besteden – vaak omdat de accountant ernaar vraagt. Dan wordt het een haastklus in plaats van een waardevol inzicht.
De rode kaart: wat gebeurt er als het misgaat?
Complianceproblemen hebben niet altijd direct zichtbare gevolgen. Maar onderschat ze niet. Wanneer toezichthouders tekortkomingen constateren, krijg je een ‘rode kaart’ voor specifieke onderdelen van je bedrijfsvoering. Je krijgt dan doorgaans een jaar de tijd om zaken op orde te brengen. Dit lijkt misschien niet direct problematisch, maar de gevolgen kunnen verstrekkend zijn. Als je de problemen niet adequaat oplost, riskeer je kortingen op toelages en bijdragen die voor jouw bedrijfsvoering misschien wel het verschil maken. Niemand wil dit, dus uiteindelijk zorgt iedereen dat zaken op orde komen – maar vaak met onnodige stress en kosten.
Maak van compliance een way of life, geen jaarlijkse sprint
De regeldruk wordt steeds groter, dat is een feit. Maar voor professionals die er dagelijks mee bezig zijn, blijft het overzichtelijk. Het echte probleem ontstaat wanneer je alles opschuift naar het laatste moment. Dan moet je in enkele weken het werk van een heel jaar oppakken.
Zie compliance niet als jaarlijkse verplichting maar als onderdeel van je bedrijfsprocessen. Als het in je systeem zit, kost het weinig extra tijd en moeite. Voor een kleine volmacht met een handjevol medewerkers klinkt dit misschien makkelijker gezegd dan gedaan. De kennis en capaciteit ontbreken vaak. Maar het is net als met je gezondheid: bij een klein pijntje neem je een pijnstiller, maar houdt het aan, dan raadpleeg je een specialist. Voor security en compliance geldt hetzelfde principe. Missing Piece kan als specialist voor security en compliance de juiste oplossing bieden wanneer je zelf niet de kennis of capaciteit in huis hebt.
Continuous auditing: van piekbelasting naar beheersbare stroom
Nieuwe regelgeving komt niet uit de lucht vallen. Neem ISO27001 voor informatiebeveiliging. Als je daaraan voldoet, heb je al 80% van wat NIS2 vereist onder controle. In de financiële sector komt daar nog DORA bovenop, maar ook dat bouwt voort op bestaande kaders. Met andere woorden: als je basiszaken op orde hebt, betekent elke nieuwe regelgeving slechts een klein stukje extra werk.
Het geheim? Continuous auditing. Verzamel maandelijks of per kwartaal de benodigde informatie en bewijslast. Dit voorkomt de piekbelasting aan het einde van het jaar. Bij Missing Piece passen we dit principe al twee jaar toe. Wanneer de audit komt, is het letterlijk een kwestie van op de knop drukken.
Awareness: de verantwoordelijkheid die je niet kunt uitbesteden
Zelfs met de beste systemen blijft één factor onvoorspelbaar: de menselijke factor. Natuurlijk leer je nieuwe medewerkers hoe ze met je software moeten werken, maar leer je ze ook over informatiebeveiliging en privacy? Dit is niet de verantwoordelijkheid van je IT-leverancier, maar van jou als organisatie.
Train je medewerkers regelmatig op cybersecurityaspecten. Want als het misgaat, staat je reputatie als verzekeringsbedrijf of gevolmachtigde op het spel. Vertrouwen komt te voet en gaat te paard – je moet maar afwachten of dat vertrouwen ooit nog terugkomt na zo’n incident.
In het kort: drie stappen voor effectieve compliance en security
- Maak risicoanalyse tot prioriteit in je organisatie
- Stop met compliance als last-minute verplichting te behandelen, maar verspreid de werkzaamheden over het hele jaar
- Creëer bewustzijn bij al je medewerkers
Begin vandaag met het integreren van deze drie principes in je bedrijfsvoering. Het levert je niet alleen gemoedsrust op, maar zo bescherm je ook je bedrijf tegen de steeds grotere digitale dreigingen.
Jan Niessen, security-officer bij Missing Piece
Meer weten?
Wil je ontdekken hoe je jouw compliance- en security-uitdagingen kunt omzetten in een gestroomlijnd proces? Neem vandaag nog contact met ons op voor een vrijblijvend adviesgesprek en ontdek zelf het verschil dat Missing Piece kan maken!
Nog geen concreet vraagstuk, maar mogen we je wel blijven inspireren? Volg onze LinkedIn-pagina.
[1] Vodafone