#26 - Het auditmoeras: wanneer certificering en/of assurance? (met Mischa van der Vliet)
Hey, welkom. Leuk dat je weer luistert naar qeep Talking. Aflevering 26 en tevens de laatste aflevering van dit derde seizoen. Niet getreurd, na de zomer ben ik er uiteraard gewoon weer met een vierde seizoen. En in aanvulling op aflevering 25 moest het nog maar eens gaan over certificeringen en insurance.
Renco:En dan specifiek wat vraag je nou van je IT-leverancier en hoe voorkom je dat je teveel vraagt? Nou, dat zijn vragen die ik prima kwijt kan bij Mischa van der Vliet. Hij is directeur eigenaar van Pro Certify en Audit Vision en gaat met mij uitgebreid dat gesprek aan. Ik hoop dat jullie het interessant zo vinden. Dus nog eenmaal qeep talking en alvast een fijne vakantie en graag tot daarna.
Renco:Ik moet eerlijk toegeven toen we in deze podcast de ruimte gingen zitten, deze overlegruimte, was het hier 31 graden denk ik, maar inmiddels staat de airco aan en is het eigenlijk wel goed vertoeven bij jou, Mischa.
Mischa:Tijd om mijn jas aan te trekken.
Renco:Ja, we hebben de airco even uitgedaan om te voorkomen dat we ijspegels aan onze neus krijgen, maar We zitten bij jou op kantoor in Apeldoorn. Misschien kan je eerst iets over jezelf vertellen Wisha.
Mischa:Ja, uiteraard. Je zit bij het bedrijf ProCertify en bij Auditvision. Waarbij we eigenlijk alles doen wat met IT-audits te maken heeft. Certificeren, assurance, noem het maar op. En ik ben Micha van der Vliet en ik ben IT-auditor, oprichter en eigenaar van het bedrijf en met heel veel plezier.
Renco:En dat zijn dus 2 aparte bedrijven als ik het goed begrijp?
Mischa:Klopt ja. Ik heb ervoor gekozen om alles wat met certificeren te maken heeft in ProCertified te zetten. Zodat alles wat met ISO-certificering te maken heeft, dat we dat daarin doen. Alle assurance doen we in Audit Vision.
Renco:Oké, nou dat is dan ook wel een leuk opzetje, want dat wordt ook het onderwerp van deze podcast.
Mischa:Ja, komt goed uit.
Renco:Ja, verras je natuurlijk totaal daarmee. Want dat leek me nou wel eens leuk om met een vakidioos zullen we maar zeggen over te praten. Maar voordat we dat doen, misschien moeten we nog eventjes aandacht geven aan deze fraaie kantoorpand waar we in zitten.
Mischa:Ja, nee zeker. Het pand is gebouwd in 1869.
Renco:Het was een mooie entree.
Mischa:Ja, het is voor Apeldoornse begrippen 1 van de oudste panden volgens mij. Daarvoor was het meer een dorp. Het is volgens mij nog steeds een dorp. Ergens in de jaren 80 hebben ze de Dorpsstraat de Hoofdstraat genoemd. Ze vonden dat het niet meer paste bij Apeldoorn, omdat het een dorpsstraat was.
Mischa:Dus dit pand zit aan het Oranjepark. Het Oranjepark is 100 jaar geleden geschonken met als eis dat er niks aangebouwd mocht worden of niks opgebouwd mocht worden. Dus vandaar dat dit park ook in de eeuwigheid een park zal blijven. We zitten We zitten op de tweede verdieping en het is heel mooi gerestaureerd, dus we zijn heel blij mee om hier te zitten.
Renco:Ja, en in Apeldoorn en ik weet dan van jou dat je ook in Apeldoorn woont. Je bedrijf zit in Apeldoorn. Ikzelf woon in Zwolle, dus dat was ook nog niet heel ver. Mensen kunnen jou ook al kennen, want jij loopt al wel wat langer mee in de wereld van IT audits en certificeringen. Dat klopt.
Renco:Toch?
Mischa:Dat klopt. Ik ben in 2006 begonnen met het bedrijf Audit Connect. Dat heb ik in 2019 verkocht en het bedrijf Digitrust. Dat is ook een certificerende instelling, bestaat nog steeds en dat heb ik ook in 2019 verkocht. Toen ben ik met de familie 2 jaar naar Curaçao gegaan.
Renco:De wereld gaan verkennen?
Mischa:Ja, nou we dachten ik wil in Curaçao wonen. Dat is volgens mij heel gaaf, totdat ik daar na 3 maanden dacht het is wel heel warm hier.
Renco:Dan beginnen wij zo meteen ook te denken en dan zeggen we dan doe ik het ook weer. Inderdaad, maar
Mischa:toen hadden we al een huis gekocht, een auto's en 3 kinderen gingen daar al naar school, dus ik dacht nou is ook een beetje snel.
Renco:Dus dan zat ik daar elke dag in de airco een beetje te hangen, dat ik dacht jejee wat doe ik hier? Oké.
Mischa:Dus En
Renco:hoe lang heb je dat uiteindelijk tussen aanhalingstekens dan volgehouden?
Mischa:Nou, na een half jaar brak corona uit. Dus dan konden we ook nergens naartoe. Daar zat ik een jaar op Curaçao waar je nergens naartoe mocht, waar er niet veel te doen
Renco:was. Dreamcamp. Wat heel warm was,
Mischa:wel heel mooi gedoken. Ik denk dat duiken daar wel heel gaaf is. Toen hebben we ondertussen een boot gekocht, die hebben we laten bouwen in Polen. Toen hebben we een jaar later, na 2 jaar, jaar gevaren met de boot. Middellandse Zee, Caribisch gebied, verkocht in Miami.
Mischa:Toen nog in Bali gewoond een paar maanden en toen werd de oudste 12. Toen zijn we terug gekomen naar Nederland. Toen ben ik nog een tijdje zzp'er geweest. Ik dacht ik ga nooit meer iets doen met accreditatie of met personeel.
Renco:En hoe anders ging het lopen?
Mischa:Ja, dat was allemaal niet zo de planning hoor, maar uiteindelijk kwam ik een paar hele leuke jongens tegen bij de Belastingdienst toen ik daar werd ingehuurd. Daar zijn we het bedrijf mee begonnen, weer met Auditvision. Toen zag ik alle tarieven die langskwamen voor CI's.
Renco:Dat is een CI, misschien moet je even praten.
Mischa:Ja, goed dat zeggen. Certificerende instelling. Dus als je geaccrediteerd bent, noem je jezelf een certificerende instelling.
Renco:Dus Pro-Certify, 1 van de 2 bedrijven die je hebt, is een CI?
Mischa:Is bijna CI. We zijn nu bezig met de accreditatie, dus als het goed is zijn we over korte tijd ook geaccrediteerd en dan mogen we voor de ISO 27001 certificeren. Precies, want
Renco:je kunt dat ook doen zonder dat je geaccrediteerd bent heb ik me wel eens laten vertellen. Maar dat heeft minder waarde omdat er dan geen kwaliteitssysteem achter zit wat de certificerende partij dan weer toetst? Moet ik het zo zien?
Mischa:Ja, is een goede vraag. Denk dat alleen geaccrediteerde instellingen echt volgens een vastgesteld normenkader de ISO 17021 certificeren. Dus daarmee weet je zeker dat de Raad van Acreditatie die elk jaar komt toetsen om te kijken of jij voldoet aan de normen, dat je kwaliteitssysteem ook voldoet. Natuurlijk de bakker op de hoek kan ook gewoon certificeren. Die kan ook 27001 certificaat afgeven.
Mischa:Het is dan aan jou als afnemende partij of op het dat jij het belangrijk vindt als een van je leveranciers dat moet hebben.
Renco:Is dat dan niet raar dat die bakker in jouw voorbeeld dat die bakker op de hoek dat dan ook kan doen? Nee. Die heeft daar helemaal niet zoveel verstand van.
Mischa:Ja, hij mag ook je jaarrekening doen hè, als jij een klein bedrijf bent. Dus die bakker die kan best veel doen en dan gaat het om van wat vindt de omgeving, wat vinden die dat waard.
Renco:Ja, ja oké, dus is jouw advies dan als je een ISO 27001 certificaat opvraagt hè als organisatie bij jouw IT-leverancier om dan altijd te kijken of de instantie die het certificaat heeft afgegeven of die ook geaccrediteerd is. Dat voelt dan logisch.
Mischa:Dat zou ik wel dat zou ik zelf wel verwachten dat je dat als professionele organisatie op zou vragen, omdat eigenlijk alleen onder accreditatie dat je zeker weet dat het een wereldwijde standaard is hoe bedrijven voldoen aan de accreditatie eisen.
Renco:En hoe, oké, doe ik dat dan? Hoe check ik of jij straks met ProCertified geaccrediteerd bent? Ja, hoe doe ik dat?
Mischa:Ja, je kan op de website van de raad van accreditatie kan je bedrijven opzoeken die geaccrediteerd zijn. Dan kan je kijken voor welke norm. Dus dat kan je opzoeken en de meeste bedrijven zijn natuurlijk ook trots op wij ook als we straks geaccrediteerd zijn en zetten dan ook ons nummer met RVA logo op onze website.
Renco:Ja, is ook dan natuurlijk een stuk marketing, je hebt daar een hoop tijd en energie en
Mischa:ook iets.
Renco:Ja, dat zal niet zomaar geregeld zijn voor ons.
Mischa:Nee, nee, dat is, ik heb het een keer eerder gedaan natuurlijk met Digitrust. Toen heeft het me denk ik 2.5 jaar gekost, dat had ik nog nooit gedaan. Nu denk ik straks een jaar anderhalf jaar, dus het kost wel de beste effort en tijd om het allemaal te doen. Dat komt met name omdat je moet laten zien aan de RVA, de Raad voor Acreditatie, dat je PDCA, je Plan-Do-Check-Act cyclus ook als certificerende instelling in spé is ingericht.
Renco:Ja, want dat is natuurlijk eigenlijk wat je ook toetst op gebied van informatiebeveiliging althans bij de klanten die jij 27001 certificeert.
Mischa:Dat klopt ja, dus de raad van accreditatie is altijd een hele goede voor jezelf om ook nederig te blijven. Ja,
Renco:dan weet je wat je je klanten allemaal vraagt. Ja, dat ook, dat ook ja.
Mischa:Nou ja, dat is absoluut waar. Dus dat is en daarom is dat kwaliteitssysteem dus van die accreditatie gewoon goed. Dat ze, ja, dat doen ze echt wel op.
Renco:Met jou voornemen om nooit meer iets met certificeren en altijd met een goede vraag. Daar is helemaal niks van terecht gekomen dan.
Mischa:Nee, en dat komt omdat ik ik zie die prijzen van 1800 euro per dag en dan denk dacht ik ook. Dus wij bieden het aan voor 1000 euro. Dat gaan we ook jaren doen met die prijs. Dat is de insteek. Dat is ook wel te realiseren.
Mischa:Daar verdien je niet zoveel aan als 1800 euro, maar ik vind om geaccrediteerd te worden is best een moeizaam traject.
Renco:Ik aarzel er bijna om het hardop op te zeggen, maar word je dan een soort de Lidl van IT-audits, dat je gewoon keihard op prijs klinkt wat oneerbiedig misschien als ik het zo
Mischa:Ja, ik snap dat hoor, ik snap dat en dat zie ik ook. Onze missie, ook met Audit Vision, is om de beste auditor te zijn met de beste audits tegen een betaalbaar tarief. Dat is onze missie.
Renco:Waarvan akte.
Mischa:Ja inderdaad en ik weet niet of Lidl dat heeft, maar volgens mij wil elke supermarkt de beste kwaliteit met de beste mensen en tegen de beste prijs leveren en dat doen wij ook.
Renco:Oké, maar duidelijk. Dus je biedt met de ProCertify straks geaccrediteerde 27001 trajecten of certificaten aan zeg maar. Daarnaast ben dus met Auditvision actief op het gebied van IT zoals de naam al doet vermoeden, IT audits. Ik zit vaak aan de andere kant. Ik werk voor overheidsorganisaties en heb dan te maken met aanbestedingen waarbij we eisen opleggen aan leveranciers.
Renco:Dus wij gaan geld uitgeven, we gaan opschrijven wat we precies zoeken en dan wordt er aan mij gevraagd van hey wat voor een eisen heb je eigenlijk op het gebied van informatiebeveiliging. Nou, dan begin ik altijd met 27001 of vergelijkbaar. Als overheid zet je nooit als harde eis erin, dat is nooit een knock-out. Je mag ook iets hebben wat er zeg maar op lijkt hè, sterk op lijkt moet ik wel er aan toevoegen.
Mischa:Niet van de bakker op de hoek.
Renco:Nee, maar ik bedoel daarmee je mag ook een managementsysteem hebben voor informatiebeveiliging naar in de geest van de 27001. Dus als je dat kan aantonen op een andere manier dan met een certificaat, dan zou dat ook nog steeds mogen. Hè, dus je bent niet verplicht dat certificaat aan te zeg maar als evidence aan te leveren, Maar dan krijg ik de vraag is dat dan genoeg? Is dit genoeg? En dan denk ik nou ja, is dat genoeg?
Renco:Dus een vraag die ik aan mezelf stel is een gecertificeerd managementsysteem voor informatiebeveiliging genoeg? En dan komt bij mij de vraag op, die club die dat certificaat afgeeft jij dus hoe diep of minder diepgravend heb jij die klant bevraagd? Vaak heb jij die schop in de grond gezet om boven tafel te krijgen hoe het er nou mee staat. Je hebt die verklaring van toepasselijkheid.
Mischa:Goede vraag. Ik denk met een ISO certificaat niet diep genoeg. Dus dat denk ik zelf.
Renco:Je hebt bekende in ieder geval meteen kleur dan.
Mischa:Ja, nou kijk, met een ISO certificering bepaal je de tijd op basis van een aantal indicatoren. 1 van de indicatoren is het aantal medewerkers. Er is een ISO norm 27006. Dan kijk je in hoeveel medewerkers zoveel tijd mag ik hier of ga ik hier spenderen.
Renco:Oké.
Mischa:Dan kan je nog wat verlichten en verzwaring omstandigheden en uiteindelijk komt er een tijd uit. Die zou voor alle certificerende instellingen nagenoeg hetzelfde moeten zijn.
Renco:Dus op voorhand timebox je de tijd die je gaat besteden bij die klant.
Mischa:Klopt, ja. Dus overigens doe je dat ook met assurance hoor, maar als je dan kijkt naar de tijd. Stel we pakken een organisatie van 25 medewerkers. Als gemeente heb je veel te maken waarschijnlijk met partijen met 25 medewerkers. Die kleine applicaties leveren die je als gemeente gebruikt.
Mischa:Daar zou met een ISO-certificering een initiële jaar 7 dagen zijn. Dan kan je ook zeggen nee en de controle is 2 3 dagen het jaar daarna.
Renco:Is Je moet 1 keer in de 3 jaar, word je volledig weer gecontroleerd toch? Dat klopt ja, dan krijg je de her.
Mischa:Het is eigenlijk je hebt initieel controle, controle, her. De jaren daarna is het dus maar 2 dagen.
Renco:Even voor dit voorbeeld 25 medewerkers, 7 dagen initieel, her 2, nee sorry, controle 2, controle 2, her weer 7.
Mischa:Nee, 4. Dat is tweederde ervan.
Renco:Ja, wat je natuurlijk niet helemaal van scratch natuurlijk weer.
Mischa:Nee, nee. De kern van je ISO-certificaat is dat je de plan-to-check-act het managementsysteem controleert. En niet zozeer of alle maatregelen ook toereikend zijn geïmplementeerd.
Renco:Je kijk, heb je een
Mischa:goed managementsysteem, je neemt een steekproef van aantal maatregelen.
Renco:Dat is die annex-a toch? Die kom ik vaak tegen.
Mischa:Is de annex-a uitgelegd in de ISO 27002. Ja, je maakt op basis van je risicoanalyse welke risico's loop ik, welke maatregelen kan ik treffen en de annex-a is een set met voorbeeld maatregelen. Die kiest eigenlijk bijna iedereen, die kan je implementeren.
Renco:Ja, want het fronst mijn wenkbrauwen zeg maar als ik of ik fronst mijn wenkbrauwen als ik zie dat een leverancier een ISO 27001 certificaat heeft en dan in zijn verklaring van toepasselijkheid aangeeft of aan zou geven dat hij een derde van de controls of beheersmaatregelen daar op niet geïmplementeerd heeft gezet. Dat denk ik, dat is raar.
Mischa:Ja, dat ligt eraan wat voor bedrijf het is. Dus op het moment dat het een bedrijf is die je alleen maar housing levert, die ontwikkelen niks, die hebben een aantal dingen kunnen ze gewoon uitsluiten. Of als jij een bedrijf hebt die jouw software levert die jij on-premise installeert, kunnen ze ook allerlei dingen uitsluiten.
Renco:Dus uitsluiten doe je omdat het niet van toepassing is? Ja, omdat je er geen zin in hebt.
Mischa:Nee, omdat niet van toepassing. Als je geen zin in hebt, dan gaat er iets fout in je risicoanalyse, je doet de risicoanalyse. Basis daarvan kies je de maatregelen.
Renco:Maar krijg je dan, stel je voor dat
Mischa:ik dat nou, ik heb er
Renco:geen zin in en ik ik verpakt dat een beetje, krijg ik dan om de oren van jou?
Mischa:Nee, krijg je om je oren, want we kijken namelijk, ja en dat kan hè, mensen proberen dat natuurlijk ook wel. Er zijn ook wel eens discussies over, maar nog even terug of dat voldoende tijd is. Dus via jaar 1 is best veel tijd, heb je hier 7 dagen, maar jaar 2 komt maar 2 dagen. Toets ik maar een aantal dingen. Dus ik toets alleen maar of ze hun managementsysteem, hun PDCA hebben.
Mischa:Ja, geef jou dat als gemeente nou voldoende comfort dat jij denkt nou, dat bedrijf heeft zijn beveiliging goed op orde?
Renco:Nee, jij bekend altijd kleur, nee, mijn gevoel is ook nee, het heeft wel waarde. Het mag duidelijk zijn wat mij betreft, het heeft zeker waarde, maar ik zou toch zeker op een aantal onderwerpen uit die 27001 en 2 voor mij dan BIO, BIO2 , zou ik graag meer zekerheid willen verkrijgen.
Mischa:Ja, snap ik. Dus aan de andere kant heb je dan assurance. Dus dan zeg je nou, ik vind het leuk dat jullie PDCA hebben, dat jullie ISMS hebben, goed verhaal.
Renco:Ja, dus jullie besturen het goed.
Mischa:Ja, jullie besturen het goed, want je hebt je certificaat, maar ik wil weten of het hele jaar gewerkt heeft. Dan kom je meer op assurance vlak, dus dan heb je allerlei varianten waarbij je eigenlijk de ISAE 3000 hebt, dat is een algemene assurance audit. Dan kan je dus de bio-normen opnemen. Dan heb je nog een 1 of type 1 en type 2, opzitten en bestaan. Dat is alleen fotomoment en type 2 is ook de werking, de film erbij.
Renco:Over langere periodes zeg maar.
Mischa:Ja, en dan maakt het ons niet uit dat jij een mooi managementsysteem hebt. We willen gewoon weten of die controls ook het hele jaar goed gewerkt hebben. En als jij een heel mooi managementsysteem hebt, fantastisch, willen alleen maar weten of het ook allemaal werkt.
Renco:Ja, eigenlijk als ik als in dit voorbeeld als aanbestedende partij, de gemeente en ik moet security requirements opgeven voor het PV op een van eisen, dan ben ik geneigd om echt te willen weten hoe het zit. Dus laat mij zien dat jij je wijzigingsbeheer als software ontwikkelpartij gewoon goed geregeld hebt en als ik dan een ISO 27001 certificaat krijg met verklaring van toepasselijkheid die betreffende beheersmaatregelen op geïmplementeerd, dan zegt mij dat wel dat het wijzigingsbeheer proces binnen scope is van het managementsysteem en dat er al zodanig op gestuurd wordt, maar het zegt mij niet dat over een langere periode dat systeem of sorry die maatregel, het proces van wijzigingsbeheer moet ik eigenlijk zeggen, dat dat functioneert zoals het hoort functioneren.
Mischa:Ja en als het managementsysteem werkt, zouden ze dat zelf kunnen controleren dat het ook echt zo
Renco:is. Ja, Want je trekt op afwijkingen en verbeteren. Ja,
Mischa:maar je moet ook kijken naar proportionaliteit. Dus je kan kijken naar die risico's van die leveranciers, maar wat is nou proportioneel? Want een ISO certificaat kost al een paar 1000 euro, en een assurance kosten al vaak 2 3 keer zoveel.
Renco:Dus wat
Mischa:eis je nou van zo'n klant? Dus welk risico loop ik als gemeente en wat ga ik nou vragen? Ben ik tevreden met een managementsysteem dat het goed is of wil ik echt zekerheid hebben? Die zekerheid zie je vooral als gaat over financiële systemen of als het gaat over heel wat beveiliging of persoonsgegevens in zitten, wil men weten is het echt heel echt veilig en bij de rest zou je kunnen zeggen nou een ISO 27001 is ook toereikend.
Renco:Ja, want ik hoor jou of zeggen, kan het ook?
Mischa:Nee, ook allebei.
Renco:Kan het ook en zijn? Ja,
Mischa:steeds meer, vandaar dat wij dan ook allebei doen.
Renco:Maar dan zeg je van kom je ergens binnen met een 27001 certificering en dan zeggen ze ja we hebben dat valt ergens in een bijzin noemde iemand van Ik moet nog een IT audit hebben en dan zeg jij van Ik ken nog wel een leuk bedrijf. En dat mogen we ook
Mischa:allebei doen. Wij zijn een puur auditbedrijf, dus wij doen geen implementaties of zo. Ik mag een assurance rapportage doen, ik mag ook ISO-certificeren.
Renco:Ja, en zodra je gaat adviseren zeg maar.
Mischa:Maar dat doen we niet. Wij zijn geen adviserende bedrijven en 1 van de dingen voor je ISO is ook dat je moet kijken ben ik onpartijdig? Dus voordat ik überhaupt een offerte doe,
Renco:wordt dat al getoetst. Toetsen we dat zelf overigens. Is nooit een conflict of interest.
Mischa:Nee, dat wil je natuurlijk ook niet. Dat je geïmplementeerd hebt en zelf gecertificeerd. Geldt ook voor assurance audits.
Renco:Oké, maar nog even de kostenkant. Je noemde dat net al. Ik bedoel certificeringstraject is al niet goedkoop, maar een assurance verklaring is nog een veelvoud eigenlijk daarvan.
Mischa:Ja, vaak wel.
Renco:Stel je voor dat ik een gemeente ben, ik ga aanbesteden bij dat bedrijf van 25 medewerkers. Dat bedrijf komt aan met een nog warme net geprint 27001 certificaat met de Pro Certified erop. Hartstikke trots, Maar ik zeg dan als aanbestedende partij ja dat is mooi, maar ik wil ook nog een 3000 rapport, ISAE 3000 rapport op 20 BIO maatregelen. Als je dat dan wegzet tegen de omvang van dat bedrijf, ik
Mischa:weet
Renco:niet of ik hiermee een reële vraag stel, maar denk jij dan nou dat kan een redelijke eis zijn of denk je op voorhand dit is buitenproportioneel?
Mischa:Als auditor vind ik niks buitenproportioneel met audits.
Renco:Meer is altijd beter? Ik
Mischa:zie weer veel bedrijven, veel leveranciers die beiden hebben. Dan heb je ook nog 2. SOC 2 is ook nog een variant, die gaat nog veel dieper. Dan krijg je ongeveer net zoveel maatregelen als in de 27002 die je moet toetsen op assurance. Dus kost nog meer tijd en geld.
Renco:Opzet bestaan en
Mischa:werken als type 2 is. Ik zie wel, en ik heb het soms wel te doen met ondernemers, met de hele audit druk die er is. Iedereen vraagt, dan heb je de gemeente die zegt de bio, of de scholen zeggen we willen een server-audit hebben. De ander zegt we willen VECOZO in de zorg of willen NEN5710 in de zorg. We willen 27001.
Mischa:We hebben nog 28718 want je zit in de cloud en je verwerkt persoonsgegevens. Doe toch ook maar SOC 1, ook maar SOC 2 en doe ook nog even ISAE 3000 op deze set.
Renco:Nou, aflevering heb ik de CEO van Intercept geïnterviewd Job Verhagen. Hij is Cloud service provider en hij maakte eigenlijk dit punt. Hij zegt ja, compliance druk die wordt steeds groter en ik moet steeds meer audits doen en die kosten mij heel veel geld niet alleen maar het het doen van de audit op dat moment hè, maar je moet daar natuurlijk een partij voor inhuren maar ook natuurlijk, het hele idee erachter natuurlijk, dat je doorlopend je beheerlast, je security last, wordt verhoogd omdat je natuurlijk allerlei activiteiten doorlopend aantoonbaar moet doen. En hij zei ook van ja, het is allemaal prachtig, maar ik kan het niet allemaal doorrekenen aan mijn klanten.
Mischa:Nee, nee.
Renco:Want die accepteren dat niet van mij. Dus aan de ene kant moet ik mee, aan de andere kant als ik niet oplet prijs ik mezelf de markt uit Ja. Omdat ik dat niet kan door doorbelasten. Ja. Wat voor advies heb jij aan aan zo'n bedrijf waar jij het dan ook mee te doen hebt?
Mischa:Ja, ik zou zeggen gewoon doorgaan. Nee, nou ja, Waarmee? Ik heb ook klanten en daar doen we 10 verschillende soorten audits. Dan kunnen we natuurlijk wel weer dingen combineren, want we zeggen we pakken de ISAE 3000 op basis van 20 controls van de 27001. Dus we hebben ook 27001 gecertificeerd.
Mischa:We pakken die 20, dus dan heeft het een sterke in. Dus we maken altijd geïntegreerde control frameworks. Zou ook partijen die met veel te maken hebben, maken geïntegreerd control frameworks.
Renco:Er kwam tijdens die opname testen, control framework waarbij je het wat meer in elkaar kan schuiven, anders is het helemaal niet
Mischa:meer wat er Nee, ben je echt
Renco:Zowel inhoudelijk niet als financieel niet.
Mischa:Ja, nee, en nou en wij willen altijd een normaal betaalbare tarief hebben, dus bij ons allemaal nog wel betaalbaar, maar los daarvan, iedereen blijft maar eisen. In Amerika zeggen ze waar je aan moet voldoen en als het fout gaat komen ze controleren, krijg je een hele hoge boete. Dat is een hele andere methode. Dan hoef je allemaal niet de ouders uit te voeren, moet je zelf weten.
Renco:Als het fout gaat, dan krijg je ook de klepel. Ik ben een shit hits de fan. Ja, dan zou je misschien daar nog je tegen kunnen verzekeren en dan heb je dat ook weggemest.
Mischa:Bijvoorbeeld, ja, dat is een hele andere methode. Dus wij doen het goed. We hebben echt veel klanten en we hebben ook hele leuke klanten. We doen hele leuke opdrachten, maar bij sommige klanten heb ik echt wel medelijden. Ik probeer dan altijd een beetje comfort te geven van nou, gaan je ondersteunen, we gaan zorgen dat je er weinig last van hebt, we proberen een integrated framework voor je te maken, zodat je alles maar 1 keer hoeft te toetsen.
Mischa:We proberen de momenten samen te voegen. Ja, gemeentes doen natuurlijk met Encia, die hebben dat jaren geleden al bedacht laten we ENSIA doen, want dan hebben we alles geïntegreerd.
Renco:Ja, dus je probeert wel mee te denken. Dat zal tot op zekere hoogte kostenvoordeel met zich meebrengen, maar goed uiteindelijk moeten die klantdagen wel gemaakt worden natuurlijk. Ja. Dat onderzoek moet wel gedaan worden.
Mischa:Ja, dat klopt, dat klopt. Maar ik probeer wel, probeer te kijken hoe kunnen we de pijn zo licht mogelijk houden.
Renco:Nou dan nog eens een voorbeeld Ja. Misja. Ik ben een gemeente en ik ik schrijf een programma van eisen. Mhmm. Met zogenaamde non-functionals hè op het gebied van informatiebeveiliging en dan heb ik op 1 staan leverancier voldoet aan de BIO.
Renco:Ja. Dus dus ik heb niet allemaal individuele eisen geschreven, ik heb gewoon 1 eis ik ben een overheidsorganisatie, ik moet voldoen aan de BIO. Ja. Dus als ik ga aanbesteden, leg ik mijn leverancier de eisen op. Je moet voldoen aan de BIO.
Renco:Ja. Wat is jouw reactie daarop als ik dat zo op die manier doe?
Mischa:Ja, kijk, als professional vind ik allemaal onzin dat we al die normen hebben bedacht. Laten we ons allemaal richten op de 27001. Hebben allemaal hetzelfde. We hebben niet nog een 7510 met wat extra's, we hebben geen bio erbij met wat extra's. Het is er al vooruit gegaan en vroeger natuurlijk voor de gemeentes en voor de waterschappen.
Mischa:Is al beter geworden, maar hé, maar guys stop met al die aanvullende dingen te bedenken. Pak 17001 en dan heeft iedereen dezelfde standaard.
Renco:Even tussendoor, als jij zegt 27001, bedoel je dan ook automatisch 27002?
Mischa:Ja, dat hoort erbij.
Renco:Dat is onlosmakelijk met elkaar. Ja, dat klopt ja.
Mischa:Dus ik zou zeggen stop met die bio stop met de NEN 5710 en gebruik allemaal gewoon de 27001 of een andere standaard, maar ga niet allemaal je specials implementeren, want daar kunnen bedrijven, alle leveranciers, slecht mee omgaan. Ik spin er garen bij hè, maar ik denk altijd ja waar zijn we mee bezig?
Renco:Ja, maar dat is meer zeg maar jouw principiële antwoord, jij eigenlijk bezwaar maakt tegen die vernormarisering, dat verzin ik ter plekke nu hè, oké, is voor mij nou eenmaal de realiteit hè, ik moet mij als overheidsorganisatie houden aan die BIO en die druk ik op deze manier, leg ik die ook op het bord van ik wou zeggen druk ik hem door de strot, maar ik zeg dat op het bordje van
Mischa:mijn nek. Als knock-out criterium hè, jammer dan.
Renco:Ja, het is dan dus oké, dus jij zegt liever gewoon 1 en dezelfde normtaal spreken. Nou, dat is helaas niet zo. Nee. Dus dit is wat het is. Ja.
Renco:Hoe kan ik nou als overheidsorganisatie het beste de verplichtingen die ik heb, namelijk ik moet aantoonbaar voldoen aan de bio, hoe kan ik die het beste voor zover dat deel relevant is, delegeren naar mijn IT-leverancier? Hoe moet ik dat doen? Wat dan wel slimme vragen?
Mischa:Als gemeente wil je 100 procent zekerheid hebben, zie ik altijd. Dus wat wordt er gevraagd aan een leverancier? Ik wil dat jij een rapportage oplevert dat je voldoet aan de Bio 20. Dat kan zijn een assuringsrapportage. Ik zie ook bij CI's dat die nog een aanvullende Bio 20 audit uitvoeren over de aanvullende maatregelen, niet onder accreditatie.
Mischa:Dan krijg je nog een tweede kleurplaat erbij, 27001 en biomaatregelen. Nou, dus bij de ene weet je dat ze naar het managementsysteem hebben gekeken en bij de ander weet je dat er assurance is gegeven.
Renco:Maar het voelt ook wel als voor de zekerheid, maar alles altijd vragen.
Mischa:Ja, maar dat was vroeger al. Wat wil je dat je computer kan en dan moet je aan de gebruiker vragen alles. Ik zie dat vooral bij overheden die willen geen keuze maken, die willen gewoon alles. Want waarom zou je een keuze maken als je alles kan krijgen?
Renco:Ja, dat voelt een beetje als ik heb niet zoveel zin om erover na te denken, dus maak het andermans probleem.
Mischa:Ik weet niet of dat het is. Ik dat heel veel organisaties geen risico willen lopen. Dus als ik nu iets uitstel, stel dat ik maar 20 controls van de BIO vraag en straks gaat er net iets fout op een andere control. Of stel je als gemeente, laten we een gemiddelde gemeente Utrecht nemen, die heeft misschien wel 500 leveranciers. Ga je nou met die 5 of misschien wel 1000 leveranciers, ga je van al die 1000 leveranciers, dan denk je nou deze doet die maatregel, daar doet die maatregel,
Renco:dat is ook
Mischa:niet die beheers.
Renco:Dat is bijna niet doen.
Mischa:Dus wat zie je dan bij grote corporates die zeggen nou deze 30 maatregelen moet iedereen aan voldoen en bij de gemeente zou ik dan ook zeggen ja het is de BIO, toon maar aan dat je er aan voldoet.
Renco:Maar je zou eigenlijk nog als je 1000 of 500 in ieder geval heel veel leveranciers hebt, dan zou je kunnen zeggen nou ik maak groepjes, dus ik zeg er is een ronde lat hè. Deze eisen moeten altijd in een programma van eisen worden opgenomen, tenzij je een goed verhaal hebt waarom het hier niet van toepassing is bijvoorbeeld. Ik heb een middengroep waarbij ik zeg: Doe dat setje, maar dan nog aangevuld met een ISO 27001 en dan heb je nog Zwaar. Dan zeg je nu niet alleen die set plus 27001, nee 27001 plus een ISAE 3000 op nog meer controls.
Mischa:Het klinkt een beetje als de BIO 1.0 volgens mij, of niet?
Renco:Hoe bedoel je? Ja,
Mischa:dat hadden
Renco:we toen dus. Die weer,
Mischa:nu moeten we overal aan voldoen. Dus die basisbeveiligingsniveaus. Ik heb ook heel lang bij Defensie gezeten, hadden we dat ook. Hadden we gewoon 3 niveaus en daar moet je een mooi boekje met alle maatregelen, daar moet je aan voldoen. Dan werd je ook op getoetst.
Renco:Je was dan het Defensie-onderdeel of ook de toeleveranciers voor dat Defensie-onderdeel? Dat
Mischa:was ook de toeleveranciers, intern en de toeleveranciers. Dus wij oudeten alle systemen deden we toen.
Renco:Ja, maar je blijft dus in de spanning zitten tussen wat je wat jij net zei van als je heel veel systemen hebt, dan kan je niet voor ieder individueel systeem individuele programma van eisen opstellen elke keer helemaal wikken en wegen wat wil ik wel en niet. Maar aan de andere dus en maar dat werkt in de hand dat je misschien wel overal dan maar 1 smaak uitvraagt namelijk nou 27001 plus al dan niet een ISA 3000 een assurance rapportage, daarmee vraag je bij veel gevallen ook te veel uit en dat kun je zeggen ja dat dat zei je dan zo, maar ja dan zit je in het perspectief van die IT-leverancier, ja die die kan weer een audit bijschrijven in zijn boekje. Ja dus ik voelt altijd wel dat we als aanbestedende hè ik ik heb vanuit mijn positie bij de aan de kant van de overheidsorganisatie dat je dat we toch iets meer ons best moeten doen om niet meer te vragen dan nodig.
Mischa:Ja, maar dat is lastig.
Renco:Dat is wel lastig ja.
Mischa:Want welk risico loop je dan? Heb je wel de goede inschatting gemaakt en hoe ga je dat doen voor 500 leveranciers?
Renco:Ja, ik heb het antwoord niet.
Mischa:Nee, ik zat 20 jaar geleden bij Defensie, deed ik alle informatiesystemen auditen. Ik had daar 8 kasten vol met boeken waar ze allemaal aan moesten voldoen.
Renco:Alleen de toetsen ervan, dat hebben we nooit gedaan. Dus dat is daarna op een andere manier bedacht.
Mischa:Hoe ga je nou toetsen? Want per informatiesysteem hadden we een klapper met alle maatregelen. Ga dat nou toetsen?
Renco:Ja, dat vind ik dan ook nog wel een interessant onderwerp tot slot om het over te hebben met je. Dat is dat je besteedt iets aan en dan moet die leverancier om zich in te schrijven. Ja, die zegt dan nou ik voldoe hieraan, ik voldoe hieraan. Over het algemeen moet die leverancier natuurlijk ook documenten aanleveren waaruit blijkt dat hij ook daadwerkelijk voldoet. Dus een 70000 certificaat door een geaccrediteerde club en een ISA 3000 rapportage, assurance rapportage op een x aantal controls uit de bio.
Renco:Oké, dan heeft hij dat allemaal laten zien. Op een gegeven moment wordt die opdracht definitief gegund aan de leverancier en het contract gaat lopen. Dus de leverancier gaat het product leveren of een IT oplossing leveren en die wordt dan gewoon een aantal jaren gebruikt door die gemeente of een andere organisatie. Dit hoeft helemaal niet per se een gemeente te zijn. Wat ik nog wel lastig vind, is we hebben vaak heel veel aandacht aan de voorkant zal maar zeggen bij het contracteren en het aanbesteden van die leverancier, maar als hij eenmaal zeg maar door alle hoepels heen gesprongen is, dan hebben we toch wel het gevoel dat hij de boel op orde heeft.
Renco:Even uitgaande dat je vertrouwen had in je eigen requirement. Dan zeg je op een gegeven moment een bosje bloemen bij wijze van spreken, maar we gaan met elkaar zaken doen. Maar wat moet nou die aanbestedende partij dan in jouw optiek na jaar 1 doen? Want jij komt als certificerende club kom jij na een jaar terug voor controle.
Mischa:Ja, als de klant dat wil. Dat is ook niet altijd. Kijk, met een assurance kijken we altijd terug en mag een klant besluiten hoe vaak hij het wil doen. Dus daar vinden we met een assurance rapportage, met een ISAE 3000 vinden we daar niks van.
Renco:Nee, maar ik bedoel eigenlijk voor een certificaat.
Mischa:Certificaat kom je wel elk jaar terug. Ja, en dan zou je verwachten dat de afnemer jaarlijks die certificaat weer opvraagt.
Renco:Ja ja, dus in het geval van een aanbestedende partij heb je allemaal, iedereen is, of de IT-leverancier die gecontracteerd is, die is door alle hoepels gesprongen. Ja. Heeft het ook allemaal kunnen laten zien. En dan zeg jij nou als het jaar voorbij is, dan vraag jij opnieuw dat ISO certificaat op omdat jij dan voor de hé jij als pro certifier bent weer langs geweest. Ja.
Renco:En je je geeft ook een nieuwe certificaat dan af als je voor controle langs bent geweest?
Mischa:Nee, je houdt hetzelfde certificaat, maar je trekt hem niet in.
Renco:Oké.
Mischa:Dus wij toetsen, want het certificaat heeft eigenlijk een geldigheidsduur van 4 jaar en elk jaar toets je dan weer of die nog steeds voldoet aan alle richtlijnen.
Renco:Maar geef jij daar dan ook als certificerende instantie een soort bewijs van af wat dan jouw klant kan afgeven? Want hoe kan ik anders weten dat
Mischa:dat hij nog steeds een certificaat heeft en dat je kan dus bij de certificerende instelling kan je opvragen is dit bedrijf nog steeds geactiveerd? Precies,
Renco:moet ook ergens een bron hebben waar je dat kan verifiëren.
Mischa:Ja, dat moet je eigenlijk bij de certificerende instelling doen.
Renco:Anders moet ik jou bellen als jij het certificaat pakt.
Mischa:Ja, of stuur een mailtje of er zijn ook een certificerende instelling waar je het kan toetsen gewoon op de website.
Renco:Oké, dus dan kan ik de geldigheid van het certificaat zelf vaststellen. Ja. Nou en dan ben ik gerustgesteld op het moment dat blijkt dat dat certificaat niet ingetrokken is. Ja. Daar geldt dan omgekeerd uit dat het nog zeg maar op orde is.
Renco:Ja. Wat raad je dan aan als het gaat om assurance rapportage? Wat zou ik daar periodiek moeten doen?
Mischa:Ja, is lastig. De assurance rapportage kijkt altijd terug. Dus dat is de beperking weer van assurance. Dus zeker in type 2, want je roept wat over de werking en die werking kijk je meestal minimaal 3 maanden terug. Dus elk rapport op assurance wat je krijgt, is eigenlijk al verouderd, van ja, ik kijk terug.
Mischa:Behalve als je een type 1 hebt, dan gaat het over opzetten en bestaan van een bepaald moment.
Renco:Ja, dat is die foto wat je zei, ja. Dan is de film.
Mischa:Dus dan heb je de foto van vorige week of de film van vorig jaar. Nou, wat wil je hebben?
Renco:Het is nog steeds meer dan niks.
Mischa:Nee, dat is waar. Dat geeft jou een indicatie over hoe is het gelopen het afgelopen jaar. En met de ISO 27001 geeft jou een indicatie, hebben ze alles onder controle. Het kan ook wel weer versterken.
Renco:Maar moet ik nou elk jaar mijn leverancier om een nieuwe ISAE 3000 rapportage vragen?
Mischa:Ja, dat zou je voor mijn business graag.
Renco:Ik wou net zeggen, komt hier neutraal
Mischa:antwoord Nee, en voor de leverancier en voor de vragen zou ik zeggen van ja, wat is het risico bij dit bedrijf? En dan van daarvan bepaal je wil ik nou 1 of 1 keer in de 3 jaar een assurance hebben.
Renco:Ja, daar zou je eigenlijk ook kunnen differentiëren in het risicoprofiel of zoiets van de betreffende leven. Maar dat alles zet toch eigenlijk het vakgebied contract en leveranciers management, supply chain management. Dus we hebben er allemaal andere woorden voor, uiteindelijk gaat het erom heb ik zicht op wie ik allemaal in de toeleveranciersketen voor me aan de slag heb. Heb ik goed mijn verplichtingen door belegt op een passende, risicogerichte manier naar mijn leveranciers? Dat is 1.
Renco:Goed beleggen in contracten en aanbesteding en dat soort dingen.
Mischa:NIS2
Renco:hè? Ja precies, NIS2 die legt ook veel nadruk hierop en daarnaast ook dus de controleslag. Daar zit ook een stuk administratie bij hè. Dus na een jaar even een mailtje sturen naar die club en zeggen kun je nog even je nieuwe certificaat sturen of het mailtje sturen naar de certificerende instantie om te vragen. Ik merk dat dat werk is wat een beetje op het snijvlak zit tussen informatiebeveiliging en zeg maar contractbeheer.
Renco:Contractbeheerder voert natuurlijk meer contractbeheer werkzaamheden uit, maar heeft over het algemeen geen verstand van ISO 27001.
Mischa:Nee, klinkt goed.
Renco:Moet het nou naar jouw idee een taak zijn van een security officer om die controle uit te voeren of moet het een taak zijn van de inkoper of moet het nog ergens anders liggen?
Mischa:Ja, dat ligt natuurlijk aan de omvang van je organisatie. Kijk, als je kijkt naar een gemiddelde gemeente heeft een inkooporganisatie. Ze
Renco:hebben
Mischa:ook security afdeling of security officer. Maar in kleinere zou je verwachten, het hoort, zie je in elk geval bij bedrijven die ISO gecertificeerd zijn, die doen allemaal leveranciers management in die ISO. Dat is namelijk een apart onderdeel ervan. Dus als het bedrijf ISO gecertificeerd is, weten zij van alle leveranciers welk risico er is. Hoe gaan ze daarmee om?
Mischa:Die toetsen ze ook elk jaar. En de gemeente zou vanuit de bio dat eigenlijk weer moeten doen. Wie het dan doet, ja dat kan inkoop zijn.
Renco:Ja,
Mischa:maakt niet uit wie het doet, als iemand het maar doet en snapt waar die naar kijkt. En niet te veel vraagt, snapt wat die vraagt en risico gebaseerd. En niet vragen om het vragen. Ja, ik vind het eigenlijk wel een krachtige afsluiter. Ja, nou dat is hartstikke mooi.
Renco:Ja, ik vond het super interessant, want dit zijn vragen die ik vaak in mijn eigen werk tegenkom, maar ook in gesprekken met andere security officers is altijd hoe ga ik nou om met die IT-leveranciers en hoe in het volgens mij hadden we in de outlook uitnodiging voor deze podcast had jij gezegd het moeras van IT audits of zo?
Mischa:Ja, het ouder het moeras.
Renco:Ja, ouder het, zo voelt het ook echt af en toe.
Mischa:Ja, dat snap ik. Sommigen verdrinken echt. Ja. En dan is het ook weer aan de overheid om soms even een reddend handje toe te steken.
Renco:Nou, ik vind in ieder geval dat het dat je heel heel een heel aantal zaken goed verhelderd hebt. Ik hoop dat degene de ja, de mensen die luisteren dat die ook niet denken van ja.
Mischa:Certificeren bij ProCertify, dat moeten ze steken.
Renco:Schaamteloos reclame op het einde. Ja, die knippen we er niet uit. Die laten we er lekker in. Volgens mij gaan wij zo nog een hapje eten. Ja.
Renco:Gezellig. Ja. En ontzettend bedankt, leuk dat je er was.
Mischa:Dank je wel. Jij ook. Leuk voor de tijd die je hebt vrijgemaakt en interessante vragen.
Renco:Yes, graag gedaan. Hoi. Doei. Ja, daarmee komt niet alleen aflevering 26 tot zijn einde maar ook het derde seizoen van qeep talking eindigt hier. Dat is natuurlijk heel verdrietig hé, maar je hebt vast het seizoen wel eens een aflevering overgeslagen, dan zou ik zeggen ja, in de zomerperiode kan je even lekker bij luisteren.
Renco:Dus doe dat vooral en je ziet mij vanzelf weer in de lucht komen met een nieuwe aflevering na de zomervakantie en als ik je dan toch heb, ja, ik hoop ook nog in de zomervakantie een nieuwe site te lanceren. Een content platform ofwel een website waar al mijn content op komt te staan. qeepposted punt nl Nu nog niet toegankelijk, maar binnenkort wel. Tot kijken.
