JanWillem Breukink & Peter Oosterhoff, Incotec, over de risicoinventarisatie van Hoffmann
"Incotec is een kennisintensief bedrijf", vertelt directeur JanWillem Breukink. "Elk jaar investeren we zo'n 8 à 9 procent van onze omzet in R & D. Vaak gaat het om speciale recepten, dat is een soort Coca-Colaverhaal: je kunt dit moeilijk patenteren, dan wordt het te openbaar en geef je het eigenlijk weg. Verder hebben wij technologie ontwikkeld die uniek is in de wereld. Ook werken we met vertrouwelijke gegevens van onze klanten. In onze business draait het om de drie r'en: reputatie, relatie en resultaat. Als wij hier in Enkhuizen verkeerd werk leveren, weten ze het morgen in Amerika. Een goede bescherming is een must, dat is belangrijk voor onze boterham!"
Het bedrijf koos juist vanuit de ICT-hoek voor Hoffmann. Peter Oosterhoff, IT-manager en securitymanager, licht toe: "We zijn een global bedrijf. We hadden ons netwerk zoveel mogelijk gecentraliseerd om kennis gemakkelijk deelbaar te maken. Maar toch voelde ik me er niet zo gerust op. Ik kreeg veel aanbiedingen van ICT-leveranciers op het gebied van veiligheid: wij hebben dé oplossing. Een jaar of twee geleden leek het ook wel in de mode. Toen kwam Hoffmann langs, en het sprak me aan dat zij het probleem niet vanuit de technologie benaderen, maar heel praktisch vanuit de kwaadwillende zelf." Breukink vult aan: "Ik kende Hoffmann al uit het verleden, en had goede ervaringen."
Eyeopeners
Twee resultaten van de risico-inventarisatie sprongen in het oog. "Het allereerste: de bewustwording", zegt Breukink. "Beveiliging was geen onbekend fenomeen, maar toch zie je dat er details zijn die je over het hoofd ziet. Papieren op je bureau laten slingeren, oud papier dat je gewoon weggooit, kasten die niet op slot zitten. Dat zijn wel eyeopeners. Bij een controle-ronde na sluitingstijd bleek ook mijn eigen kantoor niet helemaal in orde."
"Veel bedrijven zijn zich er niet van bewust dat hun draadloze netwerk onvoldoende beveiligd is."
Daarnaast was het draadloos netwerk van Incotec onvoldoende beveiligd. Iets waar veel organisaties zich niet van bewust zijn. Oosterhoff: "Daar zijn we erg van geschrokken, direct na de presentatie hebben we het uit de lucht gehaald en zaken aangepast."
Beveiliging is cultuurverandering
Hoffmann heeft het bestaande securitybeleid tegen het licht gehouden. De gaten zijn nu zo veel mogelijk gedicht. "Het is geen uitgebreid boekwerk", zegt Breukink. "Het is een A4'tje of 4, met regels waar iedereen zich aan moet houden. Prioriteit daarbij is dat het tussen de oren van een ieder komt te zitten. Mensen moeten zich bewust worden van het feit dat beveiliging hun eigen boterham betreft. Dan ben je al over de helft. Het is een cultuurverandering en dat kost tijd. We hebben er dus een paar jaar voor uitgetrokken om alles te realiseren. Grote en kleine maatregelen. Binnenkort wordt bijvoorbeeld ons oud papier verzameld in afgesloten containers waar je niets uit kunt halen. Het wordt daarna gecontroleerd vernietigd."
"Je merkt het als er uit de kas gestolen is, bij ICT-fraude zie je niets"
Een ander belangrijk aspect is het voorkomen van ICT-fraude. Volgens Oosterhoff is dat een lastige zaak: "Je weet het niet! Als er iets uit de kas gestolen is, merk je dat. Bij ICT-fraude zie je niets, je denkt dan dat er niets aan de hand is. De verleiding is dan om er ook niets aan te doen."
De risicoinventarisatie van Hoffmann bracht een aantal zaken aan het licht, waar Incotec mee aan de slag is gegaan. Zo werkt het bedrijf nu met USB-sticks en laptops die beveiligd zijn met encryptie.
Functiescheiding
Incotec heeft Peter Oosterhoff als securitymanager aangesteld. De gecombineerde functie IT- en securitymanager is in de ogen van Hoffmann niet ideaal, zo vertelt Breukink. "Toch hebben wij die keuze gemaakt. De motivering ligt in het soort persoon dat in mijn ogen het meest succesvol ons securitybeleid door het hele bedrijf uitgevoerd kan krijgen. Daar moet je geen politieagent voor zijn met een fluitje, je moet subtiel te werk kunnen gaan. Ook al omdat we te maken hebben met internationale vestigingen die ons beveiligingsbeleid naar hun eigen lokale situatie en cultuur moeten vertalen. Peter kan dat."
Voorbeeldfunctie
Oosterhoff vult aan: "Ik wilde graag aan de slag met security, maar heb wel als voorwaarde gesteld dat het management en de directie zich daar ook voluit aan zouden conformeren. Zij hebben een voorbeeldfunctie, mensen kijken toch naar de directeur."
De bedrijfscultuur binnen Incotec biedt voldoende aanknopingspunten om het security beleid top of mind te krijgen bij medewerkers, zegt Breukink: "We zijn een close, heel open bedrijf. Integriteit en transparantie staan bij ons hoog in het vaandel. Bij ons zijn mensen geen nummer. Werkplezier vinden we belangrijk en er zijn goede doorgroeimogelijkheden. Mensen waarderen dat: er is bijna geen verloop.
"Mensen kijken toch naar de directeur"
Als directie zijn wij ook altijd heel open tegen medewerkers. Daar schuilt misschien een gevaar in, mensen moeten zich wel bewust zijn dat sommige gegevens binnen het bedrijf moeten blijven. Toch gaan we voor openheid. Een sfeer van wantrouwen wil ik niet, dat zou ik echt fout vinden." Oosterhoff: "Er is hier geen hokjesgeest, mensen denken niet: dat is mijn pakkie-an niet maar het probleem van een andere afdeling. Als er iets niet klopt, trekken ze aan de bel. Zo'n signaalfunctie is natuurlijk heel belangrijk. Mensen voelen zich echt verantwoordelijk voor het totale bedrijf."
Screening
Personeel vertrouwen is één ding, zeker weten is beter. Tot nu toe heeft Incotec niet gekozen voor screening van personeel. Toch is het iets dat in de toekomst wel zou kunnen gebeuren. "Voor cruciale functies zou ik het wel willen overwegen", zegt Breukink. "Het wereldje waar wij in werken is heel klein, en voor zover ik kan beoordelen nog niet zo gevoelig voor bijvoorbeeld criminaliteit. Maar dat kan veranderen en ik wil liever niet de eerste zijn die ermee te maken krijgt.
Ik heb eens geïnformeerd bij onze buitenlandse vestigingen hoe ze daar over screening denken. In Amerika is het vrij gewoon, daar doen bedrijven dat alleen al vanuit hun wettelijke aansprakelijkheid. Gegevens over iemands strafblad zijn er vrij gemakkelijk te krijgen. Maar in een land als Japan vinden ze het maar een raar idee."
"We rekenen er op dat Hoffmann's externe audit ons verrast"
Externe audit
Incotec heeft besloten om Hoffmann jaarlijks een externe audit te laten verrichten. Oosterhoff: "Daar ben ik blij mee. Als er straks iets niet klopt met de ICT, heb ik een dubbele verantwoordelijkheid. Zo'n externe audit helpt om je scherp te houden.
De externe audit vindt plaats naast interne audits. "We zijn een gecertificeerd bedrijf, we zijn gewend aan het uitvoeren van audits en hebben een afdeling die zich daar specifiek mee bezig houdt. Zij gaan de interne audits ook uitvoeren."
De inhoud van de externe audits wordt bepaald in nauw overleg met Hoffmann. "We rekenen erop dat ze ons weten te verrassen", zegt Breukink.
