Kennis & Inspiratie

Informatiebeveiliging – Een kijkje in de keuken van SPEYK

3 juli – Leestijd 5 minuten

Bij SPEYK stimuleren we onze klanten om serieus werk te maken van digitaal veilig werken en leren. Enerzijds omdat het moet (NIS2 en Normenkader), maar ook omdat het essentieel is in een wereld waarin technologie en data een steeds grotere rol spelen. Cyberdreigingen worden geavanceerder, wet- en regelgeving strenger, en de verwachtingen van klanten hoger. Dat is logisch en daarom vinden wij dat je als organisatie niet alleen moet kunnen adviseren, maar ook zelf het goede voorbeeld moet geven.  

Informatiebeveiliging is bij SPEYK dan ook geen bijzaak, maar een integraal onderdeel van onze manier van werken. We zijn ISO 27001-gecertificeerd en werken actief aan ISO 9001. Maar belangrijker nog: we hebben mensen in huis die zich hier elke dag met toewijding voor inzetten. In dit artikel vertellen Raoul en Jorim – twee collega’s die al jarenlang meebouwen aan SPEYK – hoe zij vanuit hun rol als security officers bijdragen aan een veilige, bewuste en toekomstbestendige organisatie. 

Twee mannen in beeld

Even kort voorstellen

We beginnen bij Raoul, die onlangs zijn 15-jarig jubileum vierde bij SPEYK. “Mijn carrière begon als stagiair en sindsdien heb ik verschillende functies bekleed: van servicedesk medewerker tot consultant, manager van de servicedesk en nu manager van engineers en beheerders. Ongeveer vijf à zes jaar geleden volgde ik een hbo-opleiding in cybersecurity, met een specialisatie in informatiebeveiliging. In die tijd raakte ik betrokken bij het ISO-traject, eerst vooral uitvoerend, maar inmiddels ben ik doorgegroeid naar de rol van security officer. Ik voer controles uit binnen afdelingen en koppel bevindingen terug aan de CISO en het MT. ” 

Jorim: “Ook ik begon ooit als stagiair, nu ruim 20 jaar geleden. Ik groeide door naar consultant, werd rechterhand van Jak (destijds COO) en later manager van de servicedesk. Vanuit die rol raakte ik steeds meer betrokken bij ISO 27001. In het begin was dat vooral uitvoerend, maar nu dus ook strategisch vanuit mijn rol als security officer. Naast security officer voer ik ook mijn taken als contract manager uit.” 

Security Officer – wat houdt dat in?

Onze rol als security officers is tweeledig, aldus Raoul. “Enerzijds voeren we controles uit op de naleving van het informatiebeveiligingsbeleid binnen de verschillende afdelingen, en anderzijds dragen we actief bij aan het ontwikkelen, aanscherpen en implementeren van dat beleid.”  

Het mooie van deze rol is dat je met elke medewerker, elke afdeling in aanraking komt zegt Jorim. “We horen en zien het al vaak voorbijkomen: informatiebeveiliging is geen IT-feestje. En dat is ook echt zo. Iedereen binnen je organisatie is aan zet. Maar dat maakt het juist ook zo interessant. Hoe krijg je mensen in je organisatie mee? Hoe zorg je ervoor dat iedereen begrijpt dat een foutje zo gemaakt is en dat bewustwording hiervan zo cruciaal is voor het doen slagen van een beleid. Informatiebeveiliging is taaie en droge kost. Het luchtig en begrijpelijk te maken van deze theorie zie ik elke dag als een mooie uitdaging.”

Tip van Jorim: “Als je informatiebeveiliging gaat oppakken zorg dan voor draagkracht binnen je organisatie/management en pak het stapje voor stapje op.” 

Het belang van certificeringen

We kunnen wel concluderen dat informatiebeveiliging van cruciaal belang is voor elke organisatie. Het beschermt niet alleen gevoelige gegevens, maar zorgt ook voor vertrouwen bij klanten en partners. Bij SPEYK is de ISO 27001-certificering een bevestiging dat we voldoen aan internationale standaarden voor informatiebeveiliging, geeft Jorim aan. Daarnaast werken we aan ISO 9001, dat zich richt op de kwaliteit van dienstverlening en producten. Deze certificeringen zijn niet alleen belangrijk voor de interne organisatie, maar ook omdat klanten – met name in het onderwijs – hier steeds vaker om vragen, zeker bij aanbestedingen. 

Interne en externe audits

Het behalen van een ISO 27001-certificering is geen eenvoudige opgave – en het behouden ervan al helemaal niet, benadrukt Raoul terecht. “Om het certificaat te verkrijgen, moet je als organisatie aantoonbaar grip hebben op je informatiebeveiliging. Dat betekent: processen op orde, risico’s in kaart, maatregelen geïmplementeerd én gedocumenteerd.” 

Maar daar stopt het niet. Het certificaat is drie jaar geldig, en in die periode vinden jaarlijks grondige controle-audits plaats door externe auditors. “Dat gaat verder dan een checklist afvinken,” legt Raoul uit. “Je krijgt te maken met diepgaande interviews met collega’s uit verschillende teams, en je processen worden kritisch doorgelicht. Je moet kunnen aantonen dat je in de praktijk ook echt doet wat je op papier hebt vastgelegd.” 

Deze aanpak dwingt ons om continu scherp te blijven. Niet alleen om aan de norm te voldoen, maar vooral om de digitale veiligheid van klanten én collega’s structureel te borgen. 

Uitdagingen in je rol

De interpretatie van normen en richtlijnen kan soms een uitdaging zijn, aldus Jorim. Wat betekent een specifieke eis concreet voor SPEYK? Gelukkig is er ondersteuning van interne auditor wanneer nodig. En dat is fijn. Tijd is een andere uitdaging, geeft Raoul aan. Het werk rondom informatiebeveiliging zou gemakkelijk een fulltime functie kunnen zijn, maar we combineren het met andere verantwoordelijkheden. Daarom is er wekelijks een vast moment op woensdagochtend gereserveerd om samen aan ISO-gerelateerde taken te werken. 

Tip van Raoul: “Zorg dat je personeel regelmatig getraind wordt in het herkennen van phishingmails. Eén ondoordachte klik kan genoeg zijn om toegang tot leerlinggegevens of systemen te verliezen. Digitale veiligheid begint bij bewustzijn.”

Mensen mee krijgen

Je kunt alles technisch gezien nog zo goed op orde hebben, maar dat biedt nog geen garanties. Je medewerkers kunnen bijvoorbeeld de deuren wagenwijd openzetten, zonder dat ze het doorhebben. Bewustwording bij je medewerkers is daarom ontzettend belangrijk.   

Raoul: “Om bewustwording binnen SPEYK te vergroten, is er een uitgebreid plan opgesteld. Dit omvat onder andere awareness-trainingen, stand-ups en SPEYK365-berichten. De ISO-documentatie is voor iedereen toegankelijk en nieuwe medewerkers krijgen tijdens hun onboarding een presentatie over informatiebeveiliging van Jorim. Daarbij tekenen zij ook voor het lezen van het algemene beveiligingsbeleid. We nemen informatiebeveiliging heel serieus, en dat verwachten wij ook van alle SPEYK-ers.” 

Voor scholen hebben we een poster ontwikkeld met daarom 10 tips voor digitaal veilig werken en leren. Download hem hier of stuur ons een berichtje. We sturen de poster dan kosteloos naar je toe!

Poster: 10 tips voor digitaal veilig werken en leren op school

Welke trends zien jullie?

De digitalisering blijft zich in hoog tempo ontwikkelen, en daarmee ook de dreigingen. Op de vraag welke trends zij zien, geven ze beide aan: “Cybersecurity is allang geen IT-aangelegenheid meer, maar raakt alle lagen van de organisatie. Denk aan phishing, ransomware, datalekken en de opkomst van AI: het zijn thema’s die vragen om continue alertheid en aanpassing van beleid en processen. Je kan dus nooit ‘klaar’ zijn met Informatiebeveiliging. Cybercriminelen worden steeds slimmer, technologie veranderd, en dat vraagt ons om continue mee te bewegen.”  

Aangevuld hierop geven ze ook beide aan blij te zijn met regelgeving vanuit de Overheid. Denk aan NIS2 voor Organisaties en het Normenkader IBP FO voor het Onderwijs. Beide zeer belangrijk om de urgentie aan te tonen en actief aan de slag te gaan met Informatiebeveiliging.  

Geschreven door Lisanne van de Kuilen

We komen graag met je in contact

Wil je eens sparren over informatiebeveiliging op jouw school of binnen jouw organisatie? Neem gerust contact met ons op – we denken graag met je mee!

Contact
Vrouw in beeld