×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsbedrijven willen keurmerk voor Nederlandse securitybranche

Door , 39 reacties

Nederlandse beveiligingsbedrijven willen een keurmerk in het leven roepen voor hun branche, naast een organisatie waarin ze zijn vertegenwoordigd. Daarmee willen ze zich onderscheiden van andere aanbieders, waarvan er steeds meer verschijnen.

Het ministerie van Veiligheid en Justitie zegt tegen het FD dat het in het najaar een rondetafelsessie wil organiseren om de noodzaak van certificering te bespreken. Onder de negen bedrijven die het initiatief steunen, zijn onder meer Fox-IT en Northwave, zo meldt de krant. Volgens Fox-IT-oprichter Ronald Prins moet een keurmerk ervoor zorgen dat de kwaliteit van de beveiligingssector verbetert.

Hij claimt dat hij nieuwkomers op de markt toejuicht, maar dat 'het zonde is als organisaties geld uitgeven om hun beveiliging te verbeteren en daar dan niets mee opschieten'. Daarnaast zou hij willen dat de overheid bedrijven verplicht om hun beveiliging op orde te hebben, zoals in het Verenigd Koninkrijk het geval zou zijn. Daar moeten bedrijven beveiliging inkopen bij bedrijven die zich aan vastgestelde regels houden.

Een woordvoerder van beveiligingsbedrijf Innopay, dat geen deel uitmaakt van het initiatief, zegt dat er al wel isocertificeringen voor beveiligingsbedrijven zijn, maar dat deze geen bepaald niveau van de aanbieder garanderen. Verder ziet hij de noodzaak voor een Europees keurmerk, vanwege het internationale karakter van de beveiligingsmarkt.

Door Sander van Voorst

Nieuwsredacteur

28-08-2017 • 12:28

39 Linkedin Google+

Reacties (39)

Wijzig sortering
Natuurlijk zegt meneer Prins dat, die ziet de euro's al op zn bankrekening staan bij dergelijke wetgeving...

Neemt niet weg dat het belang van goede IT security door veel bedrijven nog steeds niet gezien wordt en IT een ondergeschoven kindje blijft.

Maar ik zou dan eerder een soort AFM/ACM, zeg Autoriteit IT Security zien, die naast de AP opereert om dergelijke zaken te waarborgen, dan een keurmerk dat op den duur zn waarde toch weer verliest zoals met vrijwel alle keurmerken gebeurt...
Precies dit, waarschijnlijk word die certificering vooral een hoge kostenpost voor kleinere cybersec bedrijven waardoor de grote jongens hun positie in de markt steviger staat. Maarja, dat is uiteraard noooit in ze opgekomen toen ze dit bedachten, alleen maar goeie wil.
Feitelijk gaat het om een wens tot standaardisering. Hoe maakt dan eigenlijk niet uit.
Stormen - Normen - Vormen
Eerst de markt laten werken dan blijkt dat er een wildgroei aan mogelijkheden en varianten is ontstaan op een bepaald gebied. Om overzicht en inzicht te krijgen ontstaan er normen waar men zich aan dient te houden. En als laatste wordt er een vorm in de markt gevonden die dan een tijdje standhoudt. Totdat er een nieuwe ontwikkeling plaatsvindt en dan begint het weer van voor af aan. Principe werkt trouwens ook voor (groepen van) mensen.
Tja de overheid moet keuren, uh even kijken kippen fiproniel te late reactie. Nee de overheid en keuren gaat ook niet echt hand in hand. Die lopen qua keuren meestal jaren achter de feiten aan.
Beetje jammer dat de eierbranche zichzelf controleert, en dit dus geen overheidsinstantie is.
Niet echt daar is de voedsel en warenautoriteit voor. Maar die hebben schijnbaar liggen slapen na een tip.
Dat heeft ook vooral te maken met bezuinigingen en deregulering... De slager die zn eigen vlees keurt begint werkelijkheid te worden.
Ja, keurmerken...ben daar over het algemeen niet zo van, zie;
https://www.acm.nl/nl/pub...5163/ACM-over-keurmerken/

De overheidsverplichtingen heeft de Verenigd Koninkrijk zo goed geholpen....
Als ik aan keurmerken denk, denk ik aan totale wildgroei, geen controle of juist weer een groepje dat zichzelf wil keuren, zoals de slager zijn eigen vlees keurt.

IK kijk niet eens meer naar keurmerken ze zeggen eigenlijk totaal niet en zijn ondertussen gewoon onderdeel van een marketing campagne en geven een schijnveiligheid.
Iets verder op vraag je waarom ik het over een "erkend" keurmerk heb. Hierom dus.
Misschien een keurmerk opzetten voor keurmerk instanties :Y) :)
je bedoeld een keu keurmerk of keurkeurkeurmerk, ga er haast van stotteren.
Uiteraard willen ze dat. IT security is "booming" en zodoende zijn er veel bedrijven die hier flink van profiteren. Hiertussen bevinden zich veel (erg veel) resellers van security producten. Eigenlijk zijn dit dozenschuivers die aan implementatie en beheer doen. Ga je met deze partijen inhoudelijk over IT security in discussie, dan valt de discussie al snel stil. Deze bedrijven zijn de titel "IT securitybedrijf" m.i. niet waardig.

Deze ontwikkeling wordt door steeds meer organisaties ingezien, waardoor er een nieuw geluid in de wereld van IT security begint te galmen: ophoepelen met de proprietary "security oplossingen" die veelal schijn-security bieden, en met daadwerkelijke IT security bezig gaan. Want IT security is heel wat anders dan ergens een doosje tussen plaatsen. En dat is natuurlijk tegen het zere been van de eerdergenoemde bedrijven, die deze ontwikkeling met zo'n keurmerk flink kunnen gaan frustreren.

Is het dan allemaal de schuld van deze securitybedrijven? Nee, net zo goed van de bedrijven die de diensten bij hen afnemen. Het gemiddelde bedrijf geeft niets om IT security, maar is vooral met "risicomanagement" bezig. In de praktijk komt dit er op neer dat men security producten en diensten afneemt als "bewijs van inspanning", voor het geval het eens mis mocht gaan en er boetes op de loer liggen. Maar of ze echt secure zijn, dat interesseert ze maar bar weinig.

[Reactie gewijzigd door mjszwo op 28 augustus 2017 14:02]

En weer certificaat erbij. Laten we bedrijven alsjeblieft eens gaan afrekening op de implementatie en de uitvoering in plaats van de prachtige papieren versies en procedures die in de kast staan. En ja voor de audit wordt alles even opgepoetst en bijgewerkt. Ik geloof alleen in onaangekondigde audits en controles. Ik heb teveel stress gezien omdat de audit eraan kwam. Bij mij mochten ze altijd langskomen.
Hmja, wat goede IT Security wordt natuurlijk alleen maar geleverd door een Fox-IT of Northwave die hun dikke rapportages op het bureau gooien waar verder niemand meer iets mee doet?
In de sector zie ik juist steeds meer kleinere praktische organisaties die niet alleen met dikke rapportages afkomen naar het management maar ook meehelpen het werkelijk te verbeteren, tegen een redelijke prijs.

Maargoed, natuurlijk zo doorzichtig als wat om een keurmerk te lanceren alleen om er zelf meer geld mee te kunnen verdienen.
Brr, overheidsbeleid voor beveiliging. Door bureaucratie is de overheid laat of gewoon non-conform aan de huidige standaarden. En die zou dan bewaakt moeten worden? Laat ze eerst maar eens aantonen dat ze gemeenten een redelijke beveiligingsstandaard laten volgen, daar hoor je nog vaak genoeg over.
Volgens mij gaat het hier om een keurmerk vanuit de branche-vereniging, en niet een door de overheid opgezet keurmerk.
De branchevereniging zal er wel over in overleg gaan met het Ministerie, en ze lobbyen voor een verplichting tot bepaalde standaarden. Het keurmerk komt misschien niet vanuit de overheid, maar de plicht om het te hebben wel. Dat zie ik dan toch als hetzelfde, want dan wil de overheid ook weten of het keurmerk wel echt de goede dingen aanbeveelt.
Klinkt als een besluit om direct een drempel op te werpen voor nieuwkomers op de markt. En dan onder het mom van 'kijk ons eens goed bezig zijn'. Op zich geen slecht idee, maar dan moet er ook iets te verzinnen zijn waarbij jonge bedrijven niet gelijk op een achterstand staan. Ik zie meer in een norm waar je vervolgens naar kunt werken, maar niet direct in een keurmerk.
Die drempel voor nieuwkomers is juist het doel van zo'n keurmerk. Dat je als klant enigszins een idee kan krijgen welke bedrijven zich enigszins bewezen hebben, en dat de markt een beetje doorzichtiger wordt. Ome Henk die naast z'n slagersbedrijf een beetje bijbeunt als security-adviseur staat op een volkomen ander niveau als security-bedrijven die dit al een poosje doen.

Dat idee van een norm is ook wel goed. Maar de markt mag volgens mij echt wel een beetje doorzichtiger.
Het ene securitybedrijf is het andere niet. Bij het ene bedrijf kan je aankloppen voor goede pentesten, bij andere voor forensisch onderzoek en bij weer een andere voor ISO 27001 trajecten. Dat is wel iets om rekening mee te houden bij zo'n keurmerk.
En bij weer anderen om de gaten in je netwerk meteen door te sturen naar de GHQC en NSA. Zoals tegenwoordig bij Fox-IT volgens Prins zelf.
Verder ziet hij de noodzaak voor een Europees keurmerk, vanwege het internationale karakter van de beveiligingsmarkt.
Dat zou toch juist een rede zijn om GEEN Europees keurmerk in te voeren?
Juist wel. Europese bedrijven handelen steeds meer met elkaar. Vanuit Amsterdam handel je net zo makkelijk met een bedrijf in Warschau als in Groningen.
Wanneer jij als Nederlands bedrijf daarbij persoonsgegevens verstuurt, moet je zeker weten dat die niet zomaar op straat komen te liggen. Dan kan dat Poolse bedrijf wel op hun site zeggen dat ze certificaat X hebben, maar dat zegt jou niets. Maar als Nederlands bedrijf blijf jij medeverantwoordelijk voor alles dat er met die persoonsgegevens gebeurt. Dan helpt het enorm wanneer dat Poolse bedrijf certificaat Y van een Europees keurmerk heeft, waar jij als Nederlands bedrijf op mag vertrouwen.
Het is maar waar je het mee vergelijkt he? Het is beter dan alleen Nederland. Wereldwijd zou nog beter zijn maar dat is gewoon niet realistisch. Hoeveel wereldwijd erkende keurmerken ken jij?
weer wat nieuws erkende keurmerken. Dat klinkt alsof een normaal keurmerk niet meer voldoende is, het moet erkend zijn.
Maar ja wat zegt erkend dan uiteindelijk over de betrouwbaarheid van dat keurmerk. Het zegt alleen de overheid zegt we erkennen het keurmerk.
Ja, iedereen kan waardeloze keurmerken uit z'n mouw schudden. Zo'n keurmerk krijgt pas waarde als er meerdere organisaties zijn die het erkennen en er toezicht op houden. Dat 'erkennen' hoeft overigens niet door de overheid te worden gedaan, het kan net zo goed de branche zelf zijn als de gebruikers er maar (terecht) vertrouwen in hebben.
Moet diezelfde overheid dan dat keurmerk weer controleren ?
Als de overheid achter een keurmerk gaat staan dan helpt dat een hoop voor de erkenning, maar dat is niet hetzelfde.
Hoe betrouwbaar is controle door de overheid. Neem recent kippen fiproniel, daar liep diezelfde overheid die moet keuren achter de feiten aan.
Perfectie bestaat niet, overal worden fouten gemaakt. Wat telt is of het beter gaat met of zonder controles. Ik weet vrij zeker dat er zonder die overheidscontroles nog veel meer schadelijke middelen gebruikt zouden worden.

Maar goed, ik wilde de overheid niet bijhalen, dat is jouw interpretatie ;)
Ik begrijp het initiatief wel maar heb ook een beetje het gevoel dat wc eend vind dat iedere pot met een gecertificeerde wc reiniger gedaan moet worden. :)

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*