InAudit voert interne auditdiensten uit voor organisaties die zelf niet de capaciteit of expertise hebben om dit in eigen huis te ontwikkelen. Dat kan betekenen dat het bedrijf gevoelige informatie van klanten op zijn systemen heeft staan. “Er is voor mij geen groter trauma denkbaar dan dat die gegevens gestolen, gelekt of door ransomware versleuteld zouden worden”, zegt Ronald van de Langenberg, oprichter en directeur van het bedrijf. Al sinds de start koos hij voor Apple-apparatuur, sinds enkele jaren aangevuld met de beheerstool Jamf via Amac Pro.
InAudit
InAudit
Risico’s beheersen
Interne auditing is een jong vakgebied waarbij de consultants van InAudit op verschillende gebieden bij klanten kijken naar risico’s, risicobeheersing, processen en maatregelen. “Bij alles wat onze klanten vertellen dat ze doen en ingericht hebben, vragen wij ons af: ‘Is dat zo? Laat maar eens zien’. Die twee zinnetjes vormen de essentie van ons vak”, zegt Van den Langenberg.
In de financiële sector is het vaak verplicht om een interne auditfunctie te hebben, maar in toenemende mate zien we ook gemeenten en bijvoorbeeld ziekenhuizen deze functie inrichten. “Uiteindelijk wil iedere organisatie zijn risico’s inzichtelijk hebben en goed kunnen beheersen. Wij vormen de third line of defence en controleren kritisch of er sprake is van een beheerste en integere bedrijfsvoering, waaronder naleving van de geldende wet- en regelgeving. Zoals bijvoorbeeld de AVG.”
Er is een essentieel verschil tussen Windows-machines en Apple-devices
Vertrouwen van klanten
De werkzaamheden die InAudit uitvoert, vergt dat er gevoelige en vertrouwelijke informatie van klanten met ons wordt gedeeld. Security en bescherming van de privacy zijn dan ook cruciaal voor het bedrijf. “Het zou werkelijk een nachtmerrie zijn wanneer er iets met die data zou gebeuren. Dit gaat primair om het vertrouwen van mijn klanten dus daar willen we zelf nul risico op lopen”, zegt Van de Langenberg. Reden voor InAudit om alles te doen aan veiligheid, waaronder een ISO 27001-certificering en het werken met Apple-devices. “Er is een essentieel verschil tussen Windows aan de ene kant en macOS en iOS aan de andere kant. Windows wordt ontworpen voor veel verschillende hardwareplatformen, waardoor er veel opties open moeten worden gehouden. De hardware en software van Apple zijn specifiek voor elkaar ontworpen, waardoor veiligheid en privacy een integraal onderdeel is bij het ontwerp van Apple-devices.”
Professionele ondersteuning
Van de Langenberg ging voor het beheer en de beveiliging van de apparatuur in zijn bedrijf eerst in zee met lokale organisaties die zich specifiek bezighielden met systeembeheer en ondersteuning, maar daarbij liep hij tegen twee zaken aan. “Ik merkte dat deze dienstverleners onvoldoende kennis van Apple-producten hadden en bovendien vond ik hun security awareness matig.” Net op het moment dat de InAudit-directeur zich afvroeg of hij wel met de juiste ondersteuners werkte, kwam hij op een online Amac-presentatie over Jamf uit. “Dat webinar ging over nieuwe macOS- en iOS-features en speelde ik op de achtergrond af. Mijn aandacht werd pas echt getrokken toen het ging over Jamf Pro en wat daarmee mogelijk was. Het sprak me bovendien aan dat Amac Pro Jamf niet alleen konden uitrollen, maar ook zouden kunnen beheren. Na een eerste gesprek was ik ervan overtuigd dat we met hen de stap konden maken naar een professionele ondersteuningsorganisatie met een echte helpdesk en meerdere mensen.”
Mijn grootste angst is dat gevoelige klantgegevens onbedoeld op straat komen te liggen
ISO 27001-certificering
Van de Langenberg koos voor Jamf Pro en Jamf Protect, waarbij Amac Pro, in de rol van Managed Service Provider, het beheer voor zijn rekening nam. “Informatiebeveiliging is niet ons primaire werkgebied. We hebben er best veel kennis van, maar zijn zelf niet 24/7 beschikbaar om issues op te lossen en hebben een organisatie achter ons nodig die dat wel is. Daarom kozen we voor deze aanpak.” Gezien de achtergrond van zijn bedrijf was het voor Van de Langenberg een voorwaarde dat hij met de service-organisatie van Amac Pro kon meekijken. “Ik vertelde al dat het mijn grootste angst is dat gevoelige klantgegevens onbedoeld op straat komen te liggen. Ik wil dus vaststellen dat de controls ook echt effectief zijn. We hebben veel tijd, moeite en geld geïnvesteerd om de ISO 27001-certificering te behalen en om daarmee onze klanten vertrouwen te geven dat wij security serieus nemen. De manier waarop we de services van Amac en Jamf inzetten is onderdeel van ons raamwerk. Daarmee kunnen we aantonen dat onze informatiebeveiliging beheerst en effectief is.”
Open, eerlijk en transparant
Het was een relatief nieuwe constructie, waar beide organisaties even aan moesten wennen. “Het zit in ons DNA om ons af te vragen of dingen zijn zoals ze worden voorgesteld. Maar ook om te bekijken of zaken niet misschien anders of beter kunnen. Daar zat in het begin van onze samenwerking een kleine kink”, zegt Van de Langenberg. “Onze vragen werden defensief ontvangen, waardoor er een issue ontstond waarbij even sprake was dat onze meekijkrechten zouden worden ingetrokken. Dat was buitengewoon ernstig voor mij, want in dat geval zou mijn organisatie niet langer aan ons raamwerk van de ISO-certificering kunnen voldoen.” De accountmanager van Amac Pro sprong in en in een persoonlijk gesprek met Van de Langenberg werd al snel duidelijk dat het issue voornamelijk berustte op miscommunicatie tussen twee personen. “Het was goed om een open, eerlijk en transparant gesprek te hebben over de wederzijdse wensen en verwachtingen. Dat gesprek heeft veel opgelost en verduidelijkt. Uiteindelijk worden we er allebei beter van als we samen optrekken in continu verbetering.”
Met Jamf zijn we effectief beveiligd en kunnen we met een gerust hart werken
Pentest
Van de Langenberg is heel tevreden met Amac Pro als partner. “Het geeft rust te weten dat er een organisatie achter ons staat die onze systemen en security 24/7 in de gaten houdt. Bij InAudit zijn we consultants en dat betekent dat we veel bij klanten op locatie zitten. Dat geldt ook voor mezelf. In het geval van een incident, kan ik dat – als manager ICT, wat ik ook ben binnen InAudit – niet altijd direct oplossen. Met Jamf hebben we onze laptops en systemen nu zo effectief beveiligd dat we met een gerust hart kunnen werken.” In het geval van een mogelijke dreiging, alarmeert en acteert de service-organisatie van Amac direct. “We hebben onlangs een pentest laten uitvoeren en daaruit bleek dat deze samenwerking goed functioneert. Amac Pro was vooraf geïnformeerd en kon ook direct zien dat er iets gebeurde wat buiten reguliere rechten om was, wist de rechten in te trekken en zo de (gesimuleerde) aanval in de kiem te smoren. De wetenschap dat mijn klantgegevens veilig zijn, geeft mij de rust en de ruimte om me te richten op mijn werk. Maar informatiebeveiliging is een voortdurende opdracht en je moet je realiseren dat je nooit klaar bent. Daarom is samenwerking met professionele partijen ook van groot belang; in ieders belang.”