Complementaire kennis, een gemeenschappelijke markt, een gedeelde focus op cybersecurity én een cultural fit. Het zijn deze componenten die de samenwerking tussen Centric en NFIR (Nederlandse IT Forensics Incident Response) tot een logisch verbond maken.
Arwi van der Sluijs is oprichter en algemeen directeur van NFIR. Hij zet uiteen wat zijn drijfveer was om in 2016 zijn eigen cybersecuritybedrijf te starten. “Een belangrijk onderdeel van cybersecurity – en een onderdeel dat mijn grote belangstelling heeft – is security monitoring van bedrijfsnetwerken. Met andere woorden: het voorkomen van een cyberincident. In die tijd waren er uiteraard al meerdere spelers in de markt; vaak met een deels internationale oriëntatie. Die richtten zich voornamelijk op het bedrijfsleven en op grote overheidsorganisaties. Er waren destijds geen monitoringdiensten die betaalbaar waren voor de kleinere gemeenten; de bestaande marktpartijen voorzagen daar niet in. Dat heb ik met NFIR opgepakt.” De tijd zat mee voor NFIR, want in de jaren na 2016 haalden verschillende cybersecurity-incidenten bij gemeenten de voorpagina’s. Dat gaf een boost aan de bewustwording rond digitale veiligheid bij gemeenten. NFIR is in dat gat gesprongen, niet alleen met het bieden van goede betaalbare security monitoring, maar met het hele pakket aan preventieve diensten, zoals pentesten en social engineering, en reactieve diensten als incident response, digitaal forensisch onderzoek en retainer contracten. “We zijn oplossingsgericht en staan 24/7 klaar voor onze klanten.”
Olifanten
De combinatie Centric en cybersecurity ligt misschien niet direct voor in de gedachten. Ten onrechte weet Jan Willem Nooter, business development manager bij Centric. “We zijn een belangrijke softwareleverancier, maar we willen nog relevanter zijn en beperken ons niet alleen tot software. Toevoeging van diensten op het gebied van cyberveiligheid is logisch: security en IT zijn een onlosmakelijk duo. Centric is verantwoordelijk voor de security van de eigen dienstverlening, of het nu gaat om de software die we leveren, om onze werkplekdiensten of onze SaaS-diensten. Deze intern gerichte securitydiensten hebben we georganiseerd in een aparte organisatie; met een eigen red team (testen van digitale weerbaarheid), een SOC (security operations center) en een CERT (computer emergency response team). De kennis en kunde die we hiervoor inzetten zijn gericht op onze eigen diensten en worden behalve vanuit Nederland ook geleverd vanuit onze kantoren in Roemenië en Litouwen. Met deze interne diensten konden we de Nederlandse lokale overheidsmarkt echter niet volledig bedienen. Daar komt nog bij dat veel gemeenten de security monitoring niet door de eigen IT-leverancier willen laten uitvoeren. Dan krijg je immers de situatie van de slager die z’n eigen vlees keurt. De conclusie is snel getrokken: we gingen op zoek naar een partner. Dat moest een Nederlands bedrijf zijn die bekend is met de Nederlandse lokale overheid en een bewezen track record heeft in het oplossen van complexe incidenten. Een bedrijf dat vakmanschap hoog in het vaandel heeft staan, en met wie Centric een cultural fit heeft. NFIR voldoet aan al die voorwaarden.” “Heel spannend voor ons,” vult Van de Sluijs aan, “want olifanten doen het meestal met olifanten, en qua omvang – wij werken met ongeveer zestig experts – zijn wij dat natuurlijk niet.”
Veilig op reis
Nooter pakt graag door op de beeldspraak van Van der Sluijs: “Wanneer een olifant wordt ingezet om iets te transporteren, zit er vaak iemand op de rug van die olifant die hem influistert waar hij naartoe moet. Of wellicht nog een betere metafoor: een sleepboot die de tanker meeneemt op de juiste koers. NFIR is in dit geval de ideale gids. In de lokale overheidsmarkt – en niet alleen daar – gaat het IT-landschap op reis naar de cloud. Zo’n migratie is ingewikkeld. Moet je alle applicaties migreren, moet je bepaalde applicaties losmaken van andere applicaties? In dat traject zijn gemeenten vaak onthand. Want je moet wel veilig blijven tijdens die reis. Voor onze eigen producten weten we als Centric wel hoe we dat kunnen regelen. De meerwaarde zit erin dat we dat nu samen met NFIR voor het complete IT-landschap kunnen organiseren. En dan ook op een manier die betaalbaar en haalbaar is voor kleinere gemeenten. De hele grote redden zich wel. Vanuit Centric streven we natuurlijk naar standaardisatie. Eén oplossing is mooi, maar bij security-oplossingen moet je ook maatwerk kunnen bieden.” Met NFIR erbij gaat dat nu veel makkelijker.
Complementair pakket
Samen kunnen Centric en NFIR een complementair pakket aan diensten leveren. Van der Sluijs tot slot: “Van consultancy tot het daadwerkelijk bijstaan in beleid en uitvoering tijdens de reis die gemeenten maken. Er komt enorm veel op de gemeenten af dat direct aan cybersecurity raakt. Denk aan de NIS2-richtlijn (de IT-security-regelgeving vanuit de EU), aan de BIO (Baseline Informatiebeveiliging Overheid), en aan ISO 27001 (de mondiale norm voor informatiebeveiliging). Met onze gezamenlijke én specifieke kennis en ervaring kunnen we gemeenten hierin bijstaan. Met robuuste digitale beveiliging, maar ook door razendsnel te reageren als er zich een security-incident voordoet. Op die manier leveren we zowel preventief als reactief gezamenlijk een bijdrage aan de digitale veiligheid van de Nederlandse gemeenten.”
Jan Willem Nooter, business development manager bij Centric en Arwi van der Sluijs, oprichter en algemeen directeur van NFIR.