'Security cruciaal bij hergebruik IT-apparatuur'

Nu cybercriminelen steeds inventiever worden, is cybersecurity de afgelopen jaren steeds belangrijker geworden voor de dagelijkse werkzaamheden binnen bedrijven. Daarbij raakt cybersecurity steeds vaker de hele IT-levenscyclus; vanaf het onboarden van nieuwe medewerkers tot aan de afvoer en/of recycling van oude devices en randapparatuur.

Ook IT Lifecycle Partner Aces Direct ziet cybersecurity binnen de hele IT-levenscyclus als een belangrijk aandachtspunt, vertelt Jordi Martin Lago, ESG en Compliance Officer bij het Tilburgse bedrijf. “Het is tegenwoordig niet meer de vraag óf je wordt gehackt, maar wannéér. In een tijd waarin cyberincidenten en ransomware dagelijks de headlines domineren, wordt het belang van een robuuste IT-beveiliging duidelijk en noodzakelijk.”

Veilig offboarden vaak vergeten

Een goed securitybeleid begint bij preventie, vertelt Jordi. “Dan kun je bijvoorbeeld denken aan regelmatige pentesten, waarbij een ethische hacker een realistische cyberaanval simuleert om te ontdekken waar je systemen kwetsbaar zijn en welke beveiligingslekken er zijn. Ook helpen we klanten bij het doorvoeren van Mobile Device Management (MDM)-oplossingen en bij het in kaart brengen van hun IT-landschap door middel van asset management. Want een goede beveiliging begint bij het simpelweg weten wat je aan devices in huis hebt.”

Maar ook bij het on- en offboarden van nieuwe medewerkers is er steeds meer aandacht voor cybersecurity, ziet Jordi. “Het veilig en duurzaam hergebruiken of afvoeren van oude devices of gegevensdragers is nog steeds een vaak vergeten onderdeel. Vooral als medewerkers uit dienst treden wil het nog wel eens misgaan, als er te weinig aandacht is voor wat er met het device van die betreffende medewerker gebeurt.”

“Zo blijkt uit eigen onderzoek dat één op de vijf (nieuwe) medewerkers nog op één of andere manier data van voorgangers op hun hergebruikte device aantreft; van werkdocumenten tot persoonlijke bestanden. Dat brengt verschillende risico's met zich mee: vertrouwelijke bedrijfsinformatie kan uitlekken, je reputatie kan schade oplopen, en als het gaat om persoonsgegevens komt daar ook nog de AVG-wetgeving bij kijken. Die stelt strenge regels aan het beschermen van persoonsgegevens en kan leiden tot imagoschade en hoge boetes bij datalekken.”

Gecertificeerde veilige en duurzame afvoer

Als het gaat om een veilige offboarding en recycling/afvoer van de IT-apparatuur, ontzorgt Aces Direct zijn klanten via een volledig gecertificeerd IT Asset Disposal (ITAD)-proces; vanaf het moment van ophalen van de apparatuur op een door de klant gewenst tijdstip tot aan de veilige verwerking. Aces Direct voldoet hierbij aan alle benodigde certificeringen, zoals de AVG/GDPR en andere privacywetgeving, de ISO-normen 9001, 14001 en 27001 voor kwaliteit, milieu en informatiebeveiliging, NIWO voor het veilig ophalen van apparatuur, en de WEEELABEX-norm voor afgedankte elektronische apparatuur. Dataverwijdering gebeurt met gecertificeerde Blancco-software, en alle activiteiten en de restwaarde worden vastgelegd in transparante rapporten.

Zijn apparaten nog herbruikbaar? Dan krijgen ze een tweede leven, al dan niet via donaties aan goede doelen (zoals Stichting Digidromen), zodat klanten duidelijk een bijdrage kunnen leveren aan een circulaire en duurzame economie. Is apparatuur écht afgeschreven? Dan zorgt Aces Direct ervoor dat deze op milieuvriendelijke manier wordt gerecycled, vertelt Jordi. “Op deze manier is het mogelijk om IT-apparatuur echt een complete milieuvriendelijke en ook veilige levenscyclus te geven en ervoor te zorgen dat die cirkel altijd blijft doorgaan.”

Toenemende compliance-druk

Veilige dataverwijdering is echter niet het enige waar bedrijven zich zorgen over maken. Klanten van Aces Direct zien zich geconfronteerd met een groeiend aantal IT-beveiligingseisen. Dit geldt vooral voor organisaties in de zorg en semipublieke sector, maar ook voor steeds meer MKB- en grootzakelijke bedrijven, schetst Jordi. “We zien dat klanten vaker met vragen komen over compliance, omdat ze hier wettelijk toe verplicht worden. Naast de AVG moeten veel organisaties nu bijvoorbeeld ook voldoen aan NIS2, dat hen aansprakelijk stelt voor beveiligingslekken in hun toeleveringsketen, of aan DORA voor de financiële sector, dat strenge eisen stelt aan digitale weerbaarheid."

“We passen onze dienstverlening hierop aan door te kijken hoe wij klanten kunnen helpen deze complexe wet- en regelgeving praktisch toe te passen. Het doel is dat bedrijven aan de eisen voldoen zonder dat dit hun dagelijkse werkzaamheden vertraagt of zorgt voor extra administratieve rompslomp.”

Draagvlak en hulp partners belangrijk

Jordi benadrukt dat security niet alleen een ‘IT-feestje’ is, maar een belangrijk strategisch thema. “Wet- en regelgeving als NIS2 legt de verantwoordelijkheid voor cybersecurity expliciet bij het management, waarbij bestuurders zelfs persoonlijk aansprakelijk kunnen worden gesteld bij ernstige nalatigheid. Dat vraagt om actieve betrokkenheid: risico’s in kaart brengen, passende maatregelen treffen en ervoor zorgen dat medewerkers zich – op alle niveaus – bewust zijn van hun impact en hun rol in digitale veiligheid.”

Toch gaat het in de praktijk vaak mis, ziet Jordi. “We zien vaak dat het management beveiligingsregels opstelt die op papier kloppen, maar die op de werkvloer niet werkbaar zijn. Medewerkers gaan dan shortcuts zoeken, en dat is juist een beveiligingsrisico. Test daarom nieuwe protocollen eerst met de mensen die ermee moeten werken. Zo voorkom je dat je beleid opstelt dat niemand kan of wil volgen."

“Het is ook van belang om hierbij samen te werken met (IT-)partners die proactief meedenken in plaats van alleen te reageren. Kies voor een partner die relevante certificeringen heeft en daar regelmatig op wordt geaudit. Zo weet je zeker dat deze partner daadwerkelijk doet wat hij belooft. Dat geldt ook bij het afvoeren en refurbishen van devices: je moet erop kunnen vertrouwen dat alle data volledig is gewist voordat apparaten opnieuw worden uitgereikt aan medewerkers.”

Aces Direct implementeert alle security- en duurzaamheidsmaatregelen ook intern, benadrukt Jordi tot slot. "Alleen zo kunnen we onze klanten eerlijk adviseren over wat écht werkt.”