Computable.be
  • Thema’s
    • Security & Awareness
    • Cloud & Infrastructuur
    • Data & AI
    • Software Innovation
  • Computable Awards
    • Nieuws Computable Awards
    • Hall of Fame
  • Cybersec e-Magazine
  • Kennisbank
  • Inlog
  • Nieuwsbrief
Innovatie

Jaarlijkse securitycheck: wel/niet?

17 september 2021 - 14:064 minuten leestijdOpinieCarrièreAgentschap TelecomBIT
Erno Doorenspleet
Erno Doorenspleet

Banken, accountants en it-auditors overwegen een jaarlijkse veiligheidscontrole van de it-systemen in te voeren. Het plan roept de nodige weerstand op onder securityexperts. Is zo’n jaarlijkse security-apk een slecht idee? Of moeten we het een kans geven?

Norea, de beroepsorganisatie van it-auditors, is bezig met de ontwikkeling van de IT-Auditverklaring. Deze verklaring moet organisaties in de toekomst ‘aanvullende zekerheid’ geven over de weerbaarheid van hun it. In hoeverre is een bedrijf bestand tegen hackers en ernstige it-problemen? Wat wordt er gedaan om herhaling van incidenten te voorkomen?

Een gespecialiseerde it-auditor, bijvoorbeeld van een groot accountantskantoor, zal de verklaring uitgeven. Het is nog niet bekend wat er precies in staat. 

Voor- en tegenstanders

De kritiek vanuit de securityhoek is niet mals, meldde het FD. Zo denkt Roel van Rijsewijk, directeur cyberbeveiliging bij Thales, dat een dergelijke verklaring vooral tot een hoop bureaucratie leidt. Dat zou juist afleiden van de verdediging tegen cyberaanvallen.

Alex Bik, technisch directeur van BIT Datacenters, sprak zelfs van een ‘ontzettend dom idee’. Hij zet vraagtekens bij de motieven van de initiatiefnemers. ‘Dit klinkt als de financiële wereld die probeert meer geld te verdienen.’

Toezichthouder Agentschap Telecom is juist positief over het plan. Dat geldt eveneens voor brancheorganisatie Digitale Infrastructuur Nederland. ‘Dit is typisch een reactie van techneuten’, vindt directeur Michiel Steltman. ‘Hun kritiek is vaak dat het management de zaken niet op orde heeft. Deze audits richten zich daarop, daar zouden ze juist blij mee moeten zijn.’ Steltman verwacht dat een positieve it-verklaring de kans verkleint dat een bedrijf gehackt wordt.

Technische expertise niet aanwezig

Het is logisch dat accountantskantoren enthousiast zijn over het plan. De markt voor cybersecurity groeit jaarlijks met bijna tien procent. Wellicht zien zij mogelijkheden om hiervan te profiteren. Maar laten we wel zijn: it-security is niet hun specialisme. Een oppervlakkige audit van it-processen is echt iets anders dan een volwaardige securityanalyse. Gaan accountskantoren dan ook op zoek naar technische kwetsbaarheden, bijvoorbeeld via pentests? Die expertise hebben zij niet in huis.

Je kunt je ook afvragen in welke mate een jaarlijkse it-controle zekerheid geeft over de digitale weerbaarheid van een bedrijf. Cybersecurity is geen eenmalige oefening, want de bedreigingen evolueren. Als securityexpert ben je continu bezig met het inventariseren van risico’s en het aanscherpen van securitymaatregelen. Een dergelijke verklaring kan tot gemakzucht leiden. ‘We hebben een voldoende gekregen, dus voorlopig zitten we weer goed.’ Zo creëer je een gevoel van schijnveiligheid. 

Er zijn ook praktische obstakels. Kennis van cybersecurity is duur. Een diepgaande beveiligingscheck kost al gauw vele duizenden euro’s. Grote multinationals kunnen dat zich welllicht nog veroorloven, maar de rest van het bedrijfsleven zal hier moeite mee hebben.  En mocht zo’n verklaring voor elke organisatie verplicht worden, wie gaat al die technische controles uitvoeren? Zijn er in Nederland wel genoeg securityexperts die dit kunnen? Waarschijnlijk niet. Dit personeel moeten we eerst opleiden.

Laagdrempelige controle

Toch mag de securitybranche dit idee niet zomaar afschieten. Ja, er zijn twijfels over de huidige opzet en misschien komt dit initiatief uit de verkeerde hoek. Maar het idee zelf is niet verkeerd. Cybercriminaliteit is een van de grote uitdagingen van deze tijd. De schade voor het bedrijfsleven en de overheid is immens. Er moet iets veranderen. Elke organisatie zou de basisbeveiliging op orde moeten hebben. Het is goed als daar strakker op wordt toegezien.

Waarom beginnen we niet met een soort ‘light’-variant? Een laagdrempelige scan gericht op de belangrijkste it- en securityprocessen. Denk hierbij aan essentiële zaken zoals het wachtwoordbeleid, het tijdig installeren van beveiligingsupdates en het maken van backups. Juist op die punten gaat het vaak fout. Zo’n controle vergroot de bewustwording en is betaalbaar voor elk bedrijf. Bovendien kan een it-auditor of accountant deze relatief eenvoudige check prima uitvoeren.

NLdigital, een collectief van digitale dienstverleners in Nederland, stelt in het FD-artikel dat een jaarlijkse controle te vroeg komt. Het zou beter zijn om te wachten op een Europese standaard voor een dergelijke controle. Maar Europese regelgevingstrajecten duren doorgaans lang, terwijl de urgentie hoog is. Nederland kan hierin toch best het voortouw nemen?

Onderdeel van de oplossing

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwt al jaren dat Nederlandse organisaties onvoldoende weerbaar zijn tegen cyberdreigingen. Dit probleem lossen we niet zomaar op met een jaarlijkse controle. De strijd tegen cybercriminaliteit vereist een langetermijnstrategie, een internationale aanpak en publiek-private samenwerking.

Wel zorgt zo’n check ervoor dat elk Nederlands bedrijf aandacht besteedt aan cybersecurity. Dat is alvast een stap vooruit.

Meer over

HackingIT-auditingTelecom

Deel

Fout: Contact formulier niet gevonden.

Meer lezen

OpinieData & AI

Goede security? Vergeet niet je backup te beschermen

AdvertorialSecurity & Awareness

Versterk menselijke factor bij security

ActueelOverheid

Europa wakkert investeringen in security aan

Geef een reactie Reactie annuleren

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Populaire berichten

Meer artikelen

Footer

Direct naar

  • Kennisbank
  • Computable Awards
  • Colofon
  • Cybersec e-Magazine

Producten

  • Adverteren en meer…
  • Persberichten

Contact

  • Contact
  • Nieuwsbrief

Social

  • Facebook
  • X
  • LinkedIn
  • YouTube
  • Instagram
© 2025 Jaarbeurs
  • Disclaimer
  • Gebruikersvoorwaarden
  • Privacy statement
Computable.be is een product van Jaarbeurs