Niche durven kiezen

“Ik werkte bij een middelgroot SRA accountantskantoor als IT- en innovatiemanager. Wij hadden een aantal methodieken ontwikkelt om succesvoller om te gaan met IT binnen accountantsorganisaties. Hoe neem je nou mensen mee in het aspect van digitale transformatie? Dat viel op in de markt. ‘Waarom slagen zij wel met digitalisering en wij niet?’ Vanuit vragen van andere kantoren zijn een toenmalige collega en ik bijna 10 jaar geleden de uitdaging aangegaan en het adviesbureau DOCCO gestart. Wij leveren advies en consultancy rondom IT en innovatie aan de accountancybranche. Inmiddels hebben we door de jaren heen meer dan 500 kantoren geholpen en zo’n 1.200 kantoren in onze klassen gehad tijdens een training.”

Vraaggedreven

“Wij profileren onszelf niet actief, omdat de vraag zo groot is dat we vooral daardoor gedreven worden. In het begin hebben we een event georganiseerd over cybersecurity en hebben we geprobeerd die dienstverlening heel actief op de kaart te zetten. In de illusie dat kantoren dachten van hé dat slaat aan, maar dat deed het helemaal niet. Het was te vroeg. Nu zie je door media-aandacht, wetgeving die eraan komt, incidenten en de toenemende afhankelijkheid van digitale infrastructuren dat er juist heel veel vraag en aandacht is voor cybersecurity. Bij DOCCO verdiepen wij ons in thema’s die binnen nu en 1 tot 1,5 jaar relevant zijn binnen een kantoor. Daar proberen we ons in te graven en te zorgen dat we die gidsrol kunnen vervullen bij de kantoren. We hebben geleerd niet te ver te kijken.”

PKIsigning en meer

“Er kwam een verplichtstelling voor elektronisch ondertekenen binnen de accountancysector, maar er was nog geen oplossing. Daarom zijn wij samen met een aantal accountantskantoren gestart met het ontwikkelen van een softwareplatform. Het was eerst een deelproduct dat andere softwareleveranciers konden gebruiken onder de motorkap. Later kwam het idee om het als een zelfstandige ondertekendienst door te ontwikkelen: PKIsigning. Dit platform is niet alleen voor accountantskantoren, maar ook mkb-bedrijven maken daar gebruik van. Voor digitaal ondertekenen en veilig afleveren van documenten. De potentie voor groei zit hem in dit onderdeel. Daarom willen we hier de komende jaren nog meer op inzetten.” Reindert en zijn team zitten niet stil. Ook AccountancyExpo komt van hun hand. “Door de jaren heen zijn er wel meer initiatieven gekomen. Sommige initiatieven hebben we verkocht, met sommigen zijn we gestopt. We zijn ook wel creatieve ondernemers en kijken waar kansen en behoeftes liggen. Door die initiatieven laten we de markt zien dat we veel weten van bepaalde thema’s.”

Grip op IT en cybersecurity

Er zijn twee zaken waar een ondernemer zich mee bezig moet houden, aldus Reindert.

1. Risicoanalyse

“Het belangrijkste is dat ze starten met inzicht, een nulmeting. Wat heb ik nou allemaal aan spullen? Wat verwerk ik aan informatie? Dit is om te voorkomen dat ondernemers meteen in oplossingen denken. De onwetendheid van waar loop ik nu gevaar is eigenlijk het grootste risico. De grote valkuil is wel dat je blind vertrouwd op het advies van jouw securitydienstverlener. Misschien wil hij je op plek a, b en c hele mooie dijken verkopen, maar is dat wel nodig? Je hebt maar beperkt tijd en middelen, dus kijk eerst goed waar de grootste aandachtspunten liggen.”

2. Quick wins

“De tweede stap die jou als ondernemer gelijk meer grip geeft is het uitvoeren van een aantal basismaatregelen.Denk hierbij in ieder geval aan het:

• frequent updaten van jouw apparatuur, servers en werkplek
• maken van een goed uitwijkplan
• instellen van multi-factor authenticatie

Deze incidenten wil jij niet

“Het meest voorkomende incident is met gijzelingssoftware, ook wel bekend als ransomware. Bijvoorbeeld dat er door middel van een phishing e-mail iemand wordt uitgenodigd om op een link te klikken waarmee zich gijzelsoftware in de infrastructuur van die ondernemer nestelt met directe continuïteitsgevolgen van dien. In eerste instantie heerst er vaak paniek. Soms wordt er om losgeld gevraagd. Ga je dat dan betalen of niet? Hoe moet ik schakelen? Heb ik wel goede back-ups? Zo heeft de Engelse krant The Guardian er bijvoorbeeld weken uitgelegen. Dan merk je ineens de impact.”

Nieuwe wetgeving informatiebeveiliging

“De NIS 2 Directive gaat bedrijven verplichten om tot een basisniveau van informatiebeveiliging te komen en dan met name bedrijven in de vitale infrastructuur. Maar ook toeleveranciers van die bedrijven in die vitale infrastructuur door het ketenbelang. Het is goed om het komende jaar te verkennen of je hiermee te maken krijgt. De verwachting is dat het eenbepaald domino-effect gaat hebben waardoor iedereen wat meer vragen naar elkaar gaat krijgen in de markt. De exacte duiding van deze wet wordt dit jaar meer concreet. Mijn advies: blijf de media hierover volgen en ga alvast uitzoeken wat NIS 2 Directive inhoudt. Je moet in ieder geval een risicoanalyse uitvoeren. Daarnaast is het belangrijk om grip te krijgen op de keten, dus wat verwerk ik met welke partij. Tenslotte gaat het om een continuïteitsplanning. Plus de basale informatiebeveiligingsmaatregelen die ik eerder noemde. Het uitvoeren van losse maatregelen volstaat niet meer onder de NIS 2 Directive. Je moet een integrale aanpak hebben en daarop getoetst worden.”

Jouw mensen

“Naast de eerdere genoemde maatregelen is bewustwording bij jouw medewerkers essentieel. Hoe zorg ik dat al mijn personeel, ook als ze niet dagelijks met IT werken, toch goed op de hoogte zijn. En dat ze weten hoe ze veilig met data omgaan.” Reindert noemt de mobiel als voorbeeld van een apparaat dat een hoop gevaren en complexiteit met zich meebrengt. “Zowel zakelijk als privé ben je ongeveer getrouwd met dat apparaat. Het is jouw telefoon in de meeste gevallen, maar een werkgever heeft ook een belang om te zorgen dat de data op jouw mobiele telefoon goed beveiligd is. Het is van belang om daar goede afspraken over te maken. Samen met je IT-dienstverlener kun je voorzieningen inrichten. Bijvoorbeeld als het apparaat verloren gaat dat het zakelijke gedeelte automatisch gewist wordt. Als werkgever moet je die zakelijke data beschermen ook al is het buiten de kasteelmuren van je bedrijf. Om grip te houden op die data zijn er hulpmiddelen vanuit Microsoft die je kunt gebruiken. Zo zijn Intune en MDM (Mobile Device Management) mechanismes die je kunt inzetten.

Update jouw apparaten

“Iedereen beschikt thuis over steeds meer apparaten. Een slimme deurbel, energiemeter of een met Wi-Fi verbonden koelkast. Dat is een groeiend probleem, omdat er veel van dat soort apparaten standaard een zwakke beveiliging hebben. Dat zorgt er ook voor dat de overheid nu een campagne aan het voeren is. Update je apparaten! Ik heb meegemaakt dat een bedrijf via zijn printer gehackt werd, omdat deze niet geüpdatet was. Ook dat vormt een risico. Mijn tip is om de apps op je telefoon ook regelmatig te checken, van updates tot de privacy instellingen.”

Goed om te weten! Er komt een nieuwe eIDAS-verordening die met zich meebrengt dat we een Europese digitale identiteit gaan krijgen. Daarmee kun je je authentiseren bij publieken private partijen, maar ook digitaal ondertekenen op een hoog betrouwbaarheidsniveau.

Kansen van digitalisering

“Als we het over security hebben gaat het met name over risico’s, bedreigingen en verplichtstellingen. Ik denk dat het ook mooi is om te kijken naar de kansen op het vlak van
digitalisering. Een korte termijn kans is bijvoorbeeld het op afstand werken. We zijn gewend aan video vergaderen en het digitaal ondertekenen op afstand is ook een hele makkelijke quickwin. Op iets langere termijn kun je je ogen openen voor kunstmatige intelligentie, AI. Dan doel ik bijvoorbeeld op de ChatGPT die helpt met content schrijven. Er gaan nu geluiden dat ChatGPT wordt gekoppeld aan Microsoft Office om je te helpen teksten te schrijven. Denk verder aan PowerPoint die jou helpt om slimme presentaties te maken of de suggesties in Teams op basis van eerder gegeven reacties. Kijk als ondernemer of er aanknopingspunten zijn in het gebruik hiervan. Experimenteer ermee om zo nog beter voorbereid te zijn op de ontwikkelingen die de komende jaren gaan komen!