Vivera is een zeer snel groeiende organisatie. Als onderdeel van die groei wordt de producent van plantaardige voedingsmiddelen geconfronteerd met een snel stijgend aantal uitdagingen. Niet alleen in de bedrijfsvoering, maar ook in informatiebeveiliging. “We hebben onze handen vol aan de groei van Vivera. Daarom hebben we PQR gevraagd om onze informatiebeveiliging te helpen voldoen aan de Cyberbeveiligingswet”, zegt Danny Beuving, ICT Manager bij Vivera. Hiervoor maakt Vivera gebruik van een handige dienst in het portfolio van PQR: CISO-as-a-Service.
De Cyberbeveiligingswet (Cbw) is de Nederlandse doorvertaling van de Europese NIS2-richtlijn. Deze richtlijn is opgesteld om de digitale en economische weerbaarheid van Europese lidstaten te versterken. Een groot aantal sectoren valt onder de Cbw, waaronder de levensmiddelenindustrie – en daarmee Vivera. In de praktijk betekent dit dat het bedrijf een zorgplicht heeft om een groot aantal technische en organisatorische maatregelen te nemen om de veiligheid van hun informatiesystemen en de bedrijfscontinuïteit te waarborgen. Deze maatregelen lopen uiteen van algemeen cyberbeveiligings- en toegangscontrolebeleid tot incident response-plannen en due diligence-processen bij de aanschaf van nieuwe systemen of diensten. Een flinke kluif voor elke organisatie, maar des te meer voor snelgroeiende bedrijven zoals Vivera, waar procesontwikkeling nooit stil staat.
“We worden geconfronteerd met nieuwe wetgeving om onze informatiebeveiliging op orde te krijgen”, aldus Beuving. “Daar komen niet alleen alle haken en ogen van cybersecurity bij kijken, maar ook nieuwe organisatorische en procesmatige aspecten. Dat is natuurlijk niet per se nieuw voor ons. Maar Vivera is groot geworden door alles zo goed mogelijk in te richten. De business case voor een full-time CISO was er echter nog niet. Daarom kozen we in onze reis richting NIS2-compliance voor externe expertise.”
Risicobeheersing en bewustzijn
Deze externe expertise vonden ze bij PQR. Via CISO-as-a-Service levert PQR ervaren informatiebeveiligingsexperts die zowel op locatie als op als virtueel ondersteuning bieden. Deze CISO’s begeleiden organisaties bij het ontwikkelen en onderhouden van processen die de risico’s rond informatiebeveiliging minimaliseren. En omdat bij PQR meerdere experts de rol van CISO kunnen vervullen, kan continuïteit in de dienstverlening worden gegarandeerd.
“In de informatiebeveiliging hebben we het altijd over risicobeheersing”, legt Haaino Beljaars uit, de aangewezen CISO van PQR bij Vivera. “In de moderne digitale wereld kun je nooit alles volledig dichttimmeren zonder je wendbaarheid volledig te verliezen. Dat is dodelijk voor het concurrentievermogen. De vraag is dus: accepteer je een risico of ga je er wat mee doen?”
Dit was een nieuwe manier van werken voor Vivera. “We moesten in eerste instantie erg wennen aan die mindset,” geeft Beuving aan, “maar omdat Haaino op wekelijkse basis bij ons over de vloer komt, ging het soepeler. We gingen ons bijvoorbeeld sneller realiseren dat we niet alleen goed kunnen acteren op incidenten, maar dat we ook alle processen daaromheen goed moeten beschrijven. Haaino houdt wat dat betreft onze medewerkers een spiegel voor om bewustzijn te creëren.”
Door op zo’n gestructureerde manier naar problemen te kijken, houdt een organisatie sneller rekening met risico’s die ze eerst niet op het vizier hadden. Als je aan informatiebeveiliging denkt, denk je al snel aan IT-systemen met bijvoorbeeld klantgegevens. Maar tegenwoordig treft het de gehele organisatie: de machines die de recepten van Vivera bevatten, de logistieke systemen die zorgen dat de vakken in de supermarkt tijdig gevuld zijn – informatiebeveiliging raakt al deze bedrijfsaspecten.
Door de geïdentificeerde risico’s en mitigatieprocessen vervolgens goed te documenteren en er op voor te bereiden, creëer je rust in de organisatie. Zo raken medewerkers in geval van crisis niet in paniek. Bovendien helpt dit met de overdraagbaarheid: kennis die slechts bij enkele medewerkers in het hoofd leeft, is immers óók een risico.
Meters maken
Vivera is erg te spreken over de behaalde resultaten. “We hebben flink meters kunnen maken”, aldus Beuving. “We hebben een diversiteit aan processen duidelijk beschreven op basis van ISO 270001, wat heel grote raakvlakken heeft met de NIS2. Vervolgens hebben we deze processen uitvoerbaar gemaakt binnen Vivera.”
De huidige fase van de samenwerking tussen Vivera en PQR staat in het teken van een verdiepingsslag. Met andere woorden: de basisprocessen zijn op orde, nu is het tijd om met de nodige fine-tuning de kwaliteit zo hoog mogelijk te krijgen. Niet dat dit een eenmalige exercitie is. Dreigingen evolueren voortdurend, wetgeving kan veranderen en ook Vivera staat niet stil. Met iedere verandering begint het verhaal weer van voor af aan en moeten risico’s opnieuw worden geëvalueerd en in kaart gebracht. Continue verbetering is the name of the game.
Of ze dit samen met PQR en de CISO-as-a-Service blijven doen, kan Beuving nog niet zeggen. “Naarmate onze organisatie groeit, is het mogelijk dat we op een punt komen waar een full-time CISO te verantwoorden is. Maar tot die tijd zijn we ontzettend blij met Haaino.”