De IT-omgevingen van de bedrijven binnen de Visma Groep worden beschermd door een centraal securityprogramma. “Zo houden we controle over de cyberweerbaarheid van de Visma Groep”, zegt Cindy Wubben, Chief Information Security Officer van Visma. Het programma doorstond ook de test van de nationale cybersecurityoefening ISIDOOR.
Visma heeft in de Benelux door acquisities in de afgelopen vijf jaar een ecosysteem opgebouwd van meer dan vijftig bedrijven. Binnen de Visma Groep zijn alle partijen autonoom en varen een eigen koers. De eenheid komt vooral naar voren in het feit dat de bedrijven onder meer dezelfde strategie, doelen en cultuur hanteren en dat zij werken met de financiële rapportage van de Visma Reporting Stack.
Ook op het gebied van security hanteert Visma een uniforme aanpak voor alle organisaties binnen het ecosysteem. De bedrijven moeten aan strenge security-vereisten voldoen met hoge standaarden voor het beschermen van data en privacy. “Daarom hebben we een uniek securityprogramma ontwikkeld dat elk Visma-bedrijf implementeert en dat richtlijnen biedt om security naar een hoger niveau te brengen”, zegt Wubben. “Deelname aan het programma zorgt ervoor dat iedereen in de organisatie goede beslissingen kan nemen voor hun security-strategie op basis van realtime data en dat de klantengegevens in hun producten optimaal beschermd zijn.”
Het securityprogramma wordt beheerd vanuit een centraal dashboard dat inzichten biedt voor alle gebruikers. “Hierin staan basisrichtlijnen waar elk bedrijf aan moet voldoen”, vertelt Wubben. “Zij kunnen in realtime zien welke oplossingen er geïmplementeerd zijn, en welke nog niet, wat voor incidenten of kwetsbaarheden er gedetecteerd zijn en of deze zijn opgevolgd. Ons security-team helpt bij het vaststellen van maatregelen die een bedrijf kan nemen om de weerbaarheid op te hogen.”
Als onderdeel van het securityprogramma heeft Visma gamification toegevoegd. “De bedrijven verlagen hun punten als zij de indicaties in het dashboard snel en goed opvolgen”, vertelt Wubben. “Dit biedt de mogelijkheid om hun producten te vergelijken met andere Visma producten. Het doel is zo min mogelijk punten te hebben. Bij elke implementatie van een security maatregel worden het aantal punten verlaagd, maar bij het vinden van kwetsbaarheden gaat het juist weer omhoog. Het is natuurlijk een ludieke aanpak, maar het legt de lat voor security nog hoger.”
Daarnaast voorziet het securityprogramma in pentesten, code-scanning, uitgebreide self-assessments, aanbevelingen en best practices. Dat is ook noodzakelijk omdat dreigingen voor de IT-omgeving al lang niet meer alleen komen van cybercriminelen. Wubben: “De overheid heeft daarom het beleid voor crisisbeheersing vastgelegd in het Landelijk Crisisplan Digitaal. Dit biedt de kaders voor samenwerking tussen publieke instellingen en maatschappelijk vitale bedrijven.”
Op papier is dit een mooi plan, maar het zal zich in de praktijk moeten bewijzen. Daarom organiseert het ministerie van Justitie en Veiligheid regelmatig een grootschalige cyberoefening, ISIDOOR genaamd. Hieruit moet blijken of de nationale respons tijdens een grote digitale crisis op orde is. Visma was een van de 120 organisaties die deelnamen ISIDOOR IV, dat plaatsvond in november van 2023. Wubben: “Het was bijzonder interessant en leerzaam om hieraan deel te nemen als groep van verschillende bedrijven. Weten de partijen binnen ons ecosysteem elkaar ook goed te vinden in een crisis?” Uit een evaluatie door het instituut voor veiligheids- en crisismanagement blijkt dat er een groot verschil is in de mate waarin bedrijven zijn voorbereid op een digitale noodsituatie. Hoe kwam Visma hierbij uit de verf? “Het was een erg leerzame oefening”, zegt Wubben. “Over het algemeen presteerden we uitstekend, maar er bleken uiteraard ook verbeterpunten te zijn. We weten nu dat ons securityprogramma goed presteert onder zware druk en dat we zelfs een grote crisis aankunnen. Dat biedt bovenal zekerheid voor onze klanten.”
