IT Advisory en The S-Unit: cyberveiligheid en advies als soepel één-tweetje
Niet elk cyberincident begint met een geavanceerde aanval van buitenaf. Veel vaker ontstaan ze door zaken die binnen de organisatie onopgemerkt blijven, bijvoorbeeld accounts van oud-medewerkers die nog niet zijn verwijderd, rechten die nooit zijn aangepast, of configuraties waar niemand meer naar omkijkt. Voor kwaadwillenden zijn dit eenvoudige toegangspoorten tot je systemen. Digitale risico’s worden pas echt zichtbaar als je kijkt naar de samenhang tussen techniek én organisatie.
Precies dat was voor SURF, de ICT‑coöperatie voor onderwijs‑ en onderzoeksinstellingen, aanleiding om Baker Tilly in te schakelen. Ze wilden weten hoe veilig haar Identity & Access Management (IAM) was ingericht, maar vooral ook waar eventuele veiligheidslekken konden ontstaan. Niet alleen meten, maar begrijpen. Niet alleen herstellen, maar voorkomen.
Wilco Brouwers, director IT Advisory bij Baker Tilly, pakte deze uitvraag op: “SURF wilde niet alleen inzicht in de stand van de techniek, maar ook in de achterliggende processen, verantwoordelijkheden en besluitvorming. Voor zo’n gecombineerde uitvraag haakten we The S-Unit aan, specialist in technisch securityonderzoek.”
IAM raakt de kern van je organisatie
Hoewel IAM vaak als technisch thema wordt gezien, raakt het vrijwel iedere medewerker van een organisatie. Joep Klerkx, Senior Security Advisor bij The S‑Unit: “Als een identiteit eenmaal is overgenomen, heeft een aanvaller de sleutels in handen. Dat is precies waarom IAM zo’n aantrekkelijk doelwit is. De identiteit bepaalt immers tot welke systemen, data en handelingen je toegang hebt.”
Het onderzoek bij SURF bracht technische verbeterpunten in hun IAM-omgeving aan het licht. Denk aan verbeteringen in wachtwoordinstellingen en opschoning van oude accounts. De detectie en respons waren wel goed ingericht. Maar de organisatie rondom het beheer van de omgeving was toe aan herinrichting, mede door reorganisaties. Al snel werd duidelijk: de grootste risico’s zitten niet in de techniek, maar in de organisatie ervan.
Samen sterker
Joep zag al snel hoe waardevol de samenwerking met Baker Tilly IT Advisory is: "Door onze krachten te bundelen konden we allebei onze expertise inzetten: volle diepgang aan de technische kant én volwaardig advies op organisatieniveau. Die combinatie is wat deze uitvraag nodig had en waarin we elkaar perfect aanvulden."
-(3).png)
Een soepel één-tweetje
De samenwerking verliep als een soepel één‑tweetje. The S‑Unit bracht concrete technische bevindingen aan het licht; IT Advisory vertaalde die naar governance‑ en procesvragen. Technische analyses voedden de interviews, en inzichten uit die gesprekken leidden weer tot verdiepend onderzoek. Zo ontstond één samenhangend eindbeeld, waarin oorzaak en gevolg duidelijk verbonden waren. Wilco: “We kregen geweldig concreet bewijs mee van The S-Unit, waardoor we veel gerichter konden doorvragen bij de klant. Dat zorgde voor scherpere gesprekken en betere conclusies.”
Flexibiliteit en geduld
Ook in een sterke samenwerking loopt niet alles vanzelf. Wilco: “Bij de tussentijdse evaluatie kregen we complimenten over de kwaliteit en efficiëntie, maar ook de vraag om onze rolverdeling wat duidelijker te maken. Wie doet wat wanneer? Een logisch leerpunt bij zo’n samenwerking.”
De opdracht groeide gaandeweg. SURF vroeg om extra verdieping op specifieke onderdelen. Dat vroeg van beide partijen flexibiliteit en geduld. Joep: “Waar wij normaal in enkele weken een opdracht afronden, duurde deze uiteindelijk vier maanden. Dat vroeg een andere manier van organiseren dan we gewend zijn. Daar kwam bij dat de organisatie van de opdrachtgever complex is en uit veel onderdelen bestaat. Juist dat maakte het zo'n uitdagende en leerzame opdracht.”
Geleerd van elkaar
Beide teams leerden veel van elkaar. Wilco: “The S‑Unit laat met één feit of beeld zien wat ze willen zeggen. Ze kaderen hun werk goed en weten dat kort en helder te formuleren. Daar kunnen wij echt van leren.”
Joep: "Onze opdrachten eindigen normaal met een onafhankelijk rapport met bevindingen en een nabespreking. Het IT Advisory-team ging juist verder: onderzoek naar hoe de processen horen te lopen, advies over verbetering en begeleiding bij de implementatie van de aanbevelingen. Die verdieping was voor mij een eye-opener."
Een complementair partnership met toekomst
De vraag naar deze gecombineerde aanpak groeit. Cyberdreigingen worden door AI slimmer en sneller en nieuwe wetgeving dwingt organisaties om aantoonbaar grip te hebben op hun digitale weerbaarheid. “Veel organisaties missen overzicht,” zegt Wilco. Joep waarschuwt voor schaduw‑IT en schaduw‑AI: “Digitale veiligheid vraagt om blijvende aandacht. Elke nieuwe tool, elke nieuwe leverancier en elke nieuwe AI-integratie verandert het speelveld opnieuw.”
De samenwerking tussen Baker Tilly IT Advisory en The S‑Unit krijgt daarom waarschijnlijk snel een vervolg. Ze blijven klanten en kansen uitwisselen en betrekken elkaar bij evenementen.
Wilco sluit het af: Als complementaire partners die het beste in elkaar naar boven halen, kunnen we klanten echt verder helpen.
Benieuwd naar de impact van de Cyberbeveiligingswet (Cbw) op jouw zorgorganisatie?
Op 11 juni organiseren Baker Tilly en The S-Unit een exclusieve bijeenkomst waarin de Cbw vanuit organisatiekundig, juridisch en technisch perspectief belichten.
Andere inzichten
-
Cyberbeveiligingswet uitgelegd: impact en aandachtspunten op een rij
-
De onderhoudsvoorziening: nuttig instrument of nodeloze administratie?
-
De wereld van morgen begint met keuzes vandaag: een interview met Mariska en Ming over duurzaamheid
