Geen producten in de winkelwagen.
Steven Dondorp luidt de scheepsbel in het kantoor van Northwave in Nieuwegein. Als die bel gaat weten de analisten in het Security Operations Center (SOC) dat de blindering waar ze normaal achter zitten wegvalt, omdat er mensen mee willen kijken. Ze hebben dan even de tijd om gevoelige data van het grote scherm te halen.
Op het scherm staat nu een kaart waarop ze alle kritieke situaties ter wereld in de gaten houden, hier en daar lichten gebieden op. Aan de hand van de kaart in het SOC analyseren ze of er voor hun klanten gevaar is. Middelgrote en grote bedrijven komen bij Northwave voor een service-overeenkomst waarin Northwave hen helpt beveiligen tegen hacks, spionage en andere cybergevaren. Is er bijvoorbeeld een probleem in de haven van Helsinki dat zich kan uitbreiden naar de rest van de branche? Dan belt een van de analisten naar de havens die klant zijn om instructies te geven ter preventie.
‘Databeveiliging gaat niet alleen om technische maatregelen, maar ook wat je met elkaar afspreekt, je beleid en hoe je dat geïmplementeerd hebt, wat mensen doen als ze twijfelen of zeker weten dat er iets niet klopt’, zegt algemeen directeur Dondorp. ‘Al die factoren samen bepalen hoe sterk die ketting is, en wat Northwave doet is kijken welke schakels zwak zijn. Je kunt inzicht hebben in een probleem maar als je niet weet wat er elders in de organisatie gebeurt, ben je nog nergens.’ Northwave stond onlangs op de lijst met Europa’s 1000 snelst groeiende bedrijven van de Financial Times.
Hun vakgebied was de afgelopen maanden ineens ‘hot’ met de ingang van de AVG (Algemene Verordening Gegevensbescherming). ‘Veel organisaties werden ineens wakker en gingen heel hard werken om aan de regels te voldoen. Maar voor de meeste organisaties zijn er eigenlijk veel betere redenen om zich te beschermen, namelijk de data die echt hun kern zijn, in plaats van die paar persoonsgegevens die ze hebben.’
La vol papier
Marc de Jong Luneau, commercieel directeur van Northwave: ‘Ik sprak de laatste tijd veel bedrijven die grote bedragen uitgaven om aan de AVG te voldoen maar eigenlijk de meest logische stap niet namen: een slimme manier om hun data te beveiligen.’
Dat ligt ook aan die wetgeving, zegt hij, die veel lastig te interpreteren elementen bevat. ‘Als je vanuit databeveiliging naar die wet kijkt dan zie je: je moet gewoon doen wat je sowieso zou moeten doen als je ook maar in enige mate afhankelijk bent van ict.’ En dat is: een manier bedenken om risico’s in kaart te brengen, een behandelplan verzinnen, dat uitvoeren en kijken of het werkt en zo nodig bijstellen. ‘Als je dat proces onder controle hebt, voldoe je aan de wet. Als je dat andersom probeert en die wet leidend maakt, dan mis je het punt en krijg je er hooguit een la vol papier bij.’
De AVG helpt wel, nuanceert Dondorp. ‘Er zijn drie reden om informatie te beveiligen. Een intrinsieke motivatie om zorgzaam te zijn voor informatie, een incident, of dwang, zoals een wet. Met de AVG komt bovendien een actieve verantwoordelijkheid om de veiligheid te controleren. Het is een eerste stap naar een hoger niveau van veiligheid.’
