‘Digitale veiligheid begint bij inzicht’
Dat HLB Blömer accountants en adviseurs zichzelf als meer ziet dan een “cijfermachine”, is inmiddels wel bekend bij veel OnderNamen-lezers. Het bedrijf zoekt waar het kan naar verbreding van kennis en heeft daarvoor een aantal strategische samenwerkingspartners in de arm genomen. Als het gaat om digitale veiligheid, is Securesult de “preferred partner”. Dit Amsterdamse bedrijf helpt de relatiebeheerders van HLB Blömer om hun klanten wegwijs te maken in de wereld van cybersecurity.
We zitten aan tafel met HLB Blömer-partner Marc Nederend en Edward van Deursen van Securesult, een cybersecuritybedrijf dat zich richt op advies, compliancy, (technische) implementatie en oplossingen. Ze kennen elkaar inmiddels aardig. ‘Omdat wij als accountant een full serviceorganisatie willen zijn, vinden we het belangrijk om onze blik te verbreden, inspiratie op te doen en dit te vertalen naar de behoeftes van onze klanten’, aldus Marc. ‘We hebben zodoende ook een sessie gehad bij Securesult, waarin ze ons meer inzicht gaven in cybersecurity en wat daarin van belang is voor onze klanten. Het bleek een goede match te zijn, ook omdat Securesult qua bedrijfscultuur een beetje vergelijkbaar is met HLB Blömer.’
‘Mijn businesspartners en ik hebben het bedrijf zelf opgezet en zijn ook ondernemers’, aldus Edward. ‘Daardoor snappen we denk ik ook goed wat er speelt bij de klanten van HLB Blömer en kunnen wij de relatiebeheerders wegwijs en vertrouwd maken in hun klantgesprekken. Ook ondersteunen we hen op het moment dat er vanuit klanten bepaalde vragen komen.’
IT-veiligheid als financiële voorwaarde
Marc ziet het belang van digitale veiligheid alsmaar toenemen. ‘Veel bedrijven zijn de laatste jaren overgestapt op digitale applicaties en die moeten veilig zijn, net zoals dat je informatie moet beveiligen. Bovendien gaan banken een veilige IT-omgeving steeds vaker als voorwaarde hanteren voor financiële steun. Ooit was alleen de jaarrekening van belang, maar ik sluit niet uit dat de veiligheid van de totale IT-omgeving steeds zwaarder gaat wegen. Securesult helpt met haar kennis en techneuten om onze klanten toekomstbestendig te maken. Wij hebben een checklist opgesteld en kunnen daarmee eventuele risico’s in kaart brengen.’
Het begint immers allemaal bij bewustwording, zo benadrukt Edward. ‘Er worden in het mkb goede stappen gezet, maar het is nog lang niet goed genoeg. Ik denk dat veel ondernemers nog steeds niet precies weten hoe ze er nou voor staan en wat de risico’s zijn. Je denkt misschien dat je veilig bent omdat je niet interessant bent voor hackers, maar er kan ook iets via jouw leveranciers of klanten komen. Tegenwoordig zijn zoveel IT-systemen met elkaar verbonden, dat er makkelijk iets mis kan gaan. Het is echt iets waar we samen in moeten optrekken, door de hele keten.’
Operationeel systeem telt ook
En dus hebben de accountants en adviseurs van HLB Blömer tegenwoordig veel gesprekken over cybersecurity. Marc: ‘We praten inderdaad over bewustzijn, maar ook over hoe bedrijven verzekerd zijn en wat er in de kleine lettertjes staat. Welke schade wordt wel en niet vergoed? Het is ook belangrijk hoe je beleid in elkaar zit. Hoe lang kan een bepaald systeem plat komen te liggen voordat je in de problemen komt? Ik vond dat verschil tussen IT en OT best een openbaring. IT is je kantoorautomatisering en de software die je voor je financiële administratie en dergelijke gebruikt. OT is het operationeel systeem, waar productiebedrijven vaak mee te maken hebben. Dat is eigenlijk onze focus niet, want het heeft geen direct raakvlak met de jaarrekening. Maar omdat het van wezenlijk belang is dat die systemen blijven draaien, moet je het er wel over hebben.’ Edward haakt daarop in: ‘We hebben laatst een case gehad bij een mengvoerbedrijf. Daar zit weinig IT in, het gaat vooral om machines. We hebben toen een business impact-analyse gedaan waarin we uiteen hebben gezet wat precies impact heeft op de bedrijfsprocessen en wat dat zou kunnen verstoren. Het bleek dat als de machines daar “slechts” vier uur stilliggen, er al problemen ontstaan. Ze hebben namelijk te maken met hele korte levertijden. In die machine zat één IT-onderdeel en wat bleek? Ze hadden dat onderdeel zelf niet op voorraad, maar de leverancier ook niet. Dat hadden ze totaal niet zien aankomen.’
Kortom, een goed calamiteitenplan voor je IT kan van onschatbare waarde zijn, aldus Edward. ‘In veel bedrijven zie je nog wel eens dat iemand de IT “erbij doet”. Of ze hebben een IT-dienstverlener waar ze op vertrouwen. Maar dat je nooit problemen hebt gehad, betekent niet dat je ze morgen niet kunt krijgen. Weet wat voor jou bedreigend kan zijn en wat je moet doen als er iets gebeurt. Het is bijna als een brandveiligheidsplan. Welke stappen neem je als er iets misgaat? Wat doe je met je systemen en wie moet je waarvoor bellen? Hoe pas je je beleid hierop aan en wat breng je bijvoorbeeld wel en niet naar buiten in je communicatie?’ Marc: ‘Het is een heel breed spectrum, en het gaat technisch gezien onze pet vaak te boven. Daarom is het fijn dat we kunnen terugvallen op Securesult. Wij kunnen veel signaleren, zij kunnen oplossingen bieden. Onze samenwerking is inmiddels aangezwengeld en ik denk dat we er heel veel aan gaan hebben.’
De belangrijkste tip voor cybersecurity (volgens Securesult):
‘Het begint allemaal met inzicht! Maak eerst duidelijk wat de risico’s voor jouw bedrijf zijn, zodat je je hier bewust van bent en er goed over na kunt denken. Vertrouw niet blind op de systemen zelf of op je IT-dienstverlener, maar zorg dat je zelf weet hoe het zit. De wereld is namelijk altijd anders dan je van tevoren had bedacht.’