Door alle (media)aandacht rondom cybersecurity en de herziening van de Standaard 315 zijn accountantskantoren steeds meer bezig met informatiebeveiliging. Goed nieuws, zo stellen we bij DOCCO, want het niveau van beveiliging is ondermaats bij kantoren. Ons IT-adviesbureau begeleidt en audit steeds meer administratie- en accountantskantoren op dit thema. Hoewel kantoren vanuit audit en de aankomende NIS2-wetgeving kansen zien in dienstverlening, liggen de uitdagingen vooral intern. Het devies: voorkom tunnelvisie en beschouw informatiebeveiliging holistisch. Begin nu met de implementatie van een raamwerk.
‘Bij de loodgieter thuis lekt de kraan’ is een bekende beeldspraak. Zo is ook de praktijk bij accountantskantoren. De term ‘lekken’ in de beeldspraak krijgt daarbij een concrete betekenis als het gaat om informatiebeveiliging. Vóórdat kantoren de adviesrol oppakken rondom nieuwe standaarden en aankomende wetgeving, moet eerst intern de boel op orde. En dat valt niet mee met de drukke agenda’s.
Totaaloverzicht nodig
Niet alleen de top vijf IT(compliance) valkuilen zijn belangrijk om tegen te gaan, ook de benadering van informatiebeveiliging moet beter. Te vaak wordt gedacht dat beveiliging compleet geregeld is na het nemen van enkele maatregelen. Zo beantwoordt een kantoor op de vraag ‘is de beveiliging op orde?’, in de praktijk bijvoorbeeld met ‘ja we doen bewustwordingssessies’ of ‘ja we hebben monitoringsoftware’. Om in controle te zijn is totaaloverzicht nodig. Inzicht in risico’s. Met toegepaste maatregelen om de kans en impact van risico’s te verkleinen. Én grip of de voortgang van de implementatie. Een holistische aanpak is nodig om blinde vlekken te voorkomen. Want juist daar schuilt het gevaar. Vele beveiligingsincidenten ontstaan doordat mens of techniek buiten het zichtveld is geraakt. Die oude printer die geen updates heeft gehad. Of de vertrokken medewerker die nog kon inloggen.
NIS2 op komst
Omdat cyberaanvallen een groot verstorend effect kunnen hebben, gaat de Europese Unie bedrijven verplichten om grip te krijgen op informatiebeveiliging. Deze regelgeving heet NIS2 en gaat een stevig sanctiebeleid krijgen. Waar de AVG vooral een papieren impact had voor bedrijven, gaat de NIS2 verder. Bedrijven met zogenaamde essentiële activiteiten én alle toeleveranciers hiervan moeten compliant raken aan NIS2. Veel bedrijven en kantoren gaan hier vanaf 2023 mee te maken krijgen. Als onderdeel van NIS2 is een beleid, risicoanalyse, grip op de keten en continuïteitsplanning straks vereist. Een standaard als ISO27001 kan hierin een rol vervullen. In elk geval volstaat een losse maatregel niet en is voor risicobeheersing een integrale, holistische aanpak nodig.
Deze voorbereiding kun je al doen
Onverlet de aankomende verplichtstellingen is het voor kantoren nú al raadzaam om orde op zaken te stellen. Het ontbreekt op dit moment aan totaaloverzicht en grip binnen je kantoor rond informatiebeveiliging, terwijl steeds meer klanten hiernaar gaan informeren. Ook cyberrisk-verzekeraars stellen al steeds verdergaande eisen bij acceptatie en rond uitkering. Verklein je risico’s en start met voorbereiden. Waar? Voor een holistisch perspectief moet je aan de slag met het implementeren van een raamwerk. Vergelijk dit met een mix van een werkprogramma en een kwaliteitshandboek. Naast de risicobeoordeling en het risicobehandelplan (de set aan te implementeren maatregelen), leg je processen vast en werk je met een gestructureerd format voor het houden van overzicht op alle elementen van informatiebeveiliging. Aan alle onderdelen koppel je verantwoordelijken. Of het nu gaan om het onderhoud van een firewall of het trainen van medewerkers rond phishing. Periodiek controleer je -intern of met externen- de werking.
Let goed op de volgorde
Het opzetten van een raamwerk voor informatiebeveiliging is de eerste stap die je als kantoor idealiter neemt om in controle te raken. Daarna start je met het toepassen van maatregelen en de inzet van hulpmiddelen. Zo voorkom je het bouwen van ‘virtuele dijken’ op plekken waar het water helemaal niet hoog staat. Zonde van je tijd en de middelen. Of vergeet je dijkverzwaring met risico’s tot gevolg. Informatiebeveiliging is geen kunstje, maar vereist een bedrijfsbrede aanpak.
Onderzoek je als accountantskantoor de (toekomstige) stap naar ISO27001 certificering en/of wil je aan de slag met een raamwerk? Adviesbureau DOCCO heeft speciaal voor accountantskantoren een zeer laagdrempelig raamwerk ontwikkelt op basis van ISO27001. Het model helpt je kantoor om de basale informatiebeveiligingshuishouding op orde te krijgen, structuur aan te brengen en risicogericht om te gaan met informatiebeveiliging.
Reindert Doorn
reindert@docco.nl