Daarom is het goed om dit onderwerp eens extra onder de aandacht te brengen. We willen graag vertellen hoe Van Brug Software zich wapent tegen aanvallen. Wat doen wij om onze kantoren en hun cliënten te beschermen.

Meer dan negen van de tien keer blijkt het toch een menselijke fout die een aanval mogelijk maakt. Een zeer onwenselijke situatie en de gevolgen zijn vaak niet te overzien. Is dat laatste eigenlijk wel zo? “Dat is niet helemaal waar” zegt Erik van Dalen, CISO bij Van Brug Software. Door het invullen van een dergelijke rol als Security Officer wordt het mogelijk verschillende voor de hand liggende scenario’s als een hack te schetsen en deze te oefenen. Door het maken van essentiële processen en daarbij de inrichting van de bijhorende maatregelen kun je dit soort aanvallen doorstaan en binnen relatief snelle periode weer ‘up en running’ zijn. Zie het als een ontruimingsoefening. Het maakt je veel weerbaarder als het alarm af gaat. Denk aan een ransomeware-aanval. Die wil je de baas kunnen zijn. Bij Van Brug Software hebben wij jaarlijks crisismanagement overleg waarbij scenario’s worden geschetst die in de praktijk worden geoefend. Dit geeft veel zekerheid als je ziet dat je tijdens de oefening als organisatie kan blijven functioneren.

Natuurlijk gaat het om meer dan crisismanagement. ‘Als CISO probeer ik de collega’s scherp en bewust te houden. Je wilt eigenlijk allereerst voorkomen dat dit je overkomt.’ Het devies? ‘Uit die automatische piloot en updaten, updaten en nog eens updaten! Een herhalend en terugkerend awareness programma doet voor ons veel en is dan ook een sterk punt.’ Het gaat daarbij dan niet alleen om het herhalen van bepaalde items maar meer het laten inzien wat de consequenties zijn voor de organisatie en de medewerkers zelf. Ze kunnen niet meer werken namelijk, er wordt inbreuk gedaan, dat is al heel belangrijk voor veel mensen. Ook op de hoogte blijven van de laatste kwetsbaarheden in software is daarbij een vereiste. Monitoring en advies is daarom essentieel.

Er zijn natuurlijk tal van andere maatregelen die ingericht moeten zijn om de informatie van anderen die je opslaat te beschermen. ‘Daarom is een informatieveiligheidscertificaat, ISO27001, belangrijk voor ons. Het stelt de juiste eisen voor een veilige omgeving. Dit jaar zijn wij bezig deze ondersteuning te geven door een kwaliteitscertificaat, ISO9001. Daarbij wordt ons uitleveringsproces bijvoorbeeld onder de loep genomen.’ Het zorgt ervoor dat je processen onder controle blijven en dat je collega’s blijven nadenken over hoe welk onderdeel geraakt wordt door een proces zonder daarbij essentiële onderdelen over het hoofd te zien. Je bent er dan nog niet, door feedback te vragen van belangrijke stakeholders krijg je weer input die je over zaken laat nadenken die wellicht over het hoofd blijft zien. “Daarmee is je werk nooit af en blijf je perfectioneren” besluit Erik.