Interview Maartje- adviseur bij NCOD Audit

Maartje's reis binnen het IT-vak is 5 jaar geleden begonnen. Ze is toen samen gaan werken met extern IT-Auditor Rien Hommes van At Risk Advies, voor het uitvoeren van externe audits zoals de ENSIA- en Wpgaudit. Samen geven ze diverse trainingen en doen ze adviesopdrachten over de NIS2 en de NEN7510. Door die samenwerking kwam ze erachter dat het werk van IT-auditor haar goed past. Dit is ook terug te zien in haar eerdere werk als CISO, Privacy Officer en IT-Auditor. Uit de combinatie van Maartje's kennis, haar interesse in IT-audits en alle maatschappelijke ontwikkelingen op dit gebied is NCOD Audit geboren. 

"Ik had zelf altijd een bepaald beeld bij auditors: ‘strenge mensen, die checklijsten afwerken’. In 2020 was mijn eerste opdracht via NCOD bij de gemeente Stein als CISO en adviseur privacy. Daar ben ik aan de slag gegaan onder het motto: ‘ik heb het nog nooit gedaan, dus denk dat ik het wel kan’. Door het te doen in de praktijk, kwam ik erachter dat er veel meer bij komt kijken. Een audit is geen controlelijstje, het is een samenspel.

Ik vergelijk het wel eens met het spelen in een orkest. Iedere partij is anders, ieder instrument heeft een eigen rol. En wie ooit tussen de lessenaars heeft gezeten, weet: een orkest klinkt alleen goed als iedereen zijn partij serieus neemt. Je kunt schitterende noten op papier hebben staan, maar als de helft wat improviseert en de ander zijn instrument niet stemt, blijft er vooral een kakofonie over. Dat mag in de jazz misschien charmant zijn; in een symfonie is het ronduit pijnlijk.

Magie ontstaat pas wanneer iedereen zijn verantwoordelijkheid pakt én het geheel met bezieling wordt gespeeld."

"We moeten kunnen vertrouwen op een veilige en betrouwbare digitale overheid. In onze samenleving is daar een groeiende zorg over. De veiligheid van informatie en IT is bijna dagelijks in het nieuws. Met NCOD Audit gaan we Nederland echt een stukje mooier maken. We beschermen onze opdrachtgevers, en daarmee onze samenleving, tegen onveilige en onbetrouwbare IT, en helpen zo mee aan meer betrouwbare en veilige informatie."

"We geloven dat NCOD Audit een succes wordt. We werken al samen met een externe RE-auditor, maar willen dit ook volledig zelf in huis hebben. Daarom ben ik gestart met Executive Master of IT-Auditing aan de TIAS in Tilburg. De opleiding geeft mij veel energie, zet mij weer op scherp en het is heel mooi om nieuwe mensen te mogen ontmoeten. Door mijn ervaring bij verschillende klanten kan ik goed meepraten over de inhoud. Als ik straks de opleiding op zak heb, mag ik zelf assurance verklaringen ondertekenen en kunnen we vanuit NCOD volledig zelfstandig audits uitvoeren."

"We richten ons nu op IT-audits in de publieke sector, zoals de wettelijke ENSIA-, Wpg- en NEN7510-audits, evenals NIS2- en BIO2-audits en gapanalyses. Daar ligt onze kracht. Wij kennen die organisaties, weten wat er speelt en welke uitdagingen ze hebben. Dat is ook een voordeel van NCOD, we zijn zo’n brede organisatie en hebben op alle thema’s vakmensen in huis. Daardoor kunnen wij de juiste vragen stellen om organisaties echt vooruit te helpen. Ons doel is om een team te bouwen en de komende jaren samen te groeien.”

Benieuwd hoe Maartje dit aanpakt? Neem contact met haar op.

“Digitale dreigingen nemen toe. In juni was bijvoorbeeld de NAVO-top. Rondom de beveiliging van de NAVO-top gaat het steeds meer over de digitale beveiliging. Er was heel veel opgetuigd om de digitale beveiliging te waarborgen. Daar werden wij als CISO’s steeds van op de hoogte gehouden.

Als digitale dreigingen groter worden, moeten we ons daar ook beter tegen beschermen.Wij kunnen helpen om organisaties sterker te maken door de mensen te laten begrijpen wat er speelt. Want zodra je dat weet, ben je ook sterker als er wel dreigingen op je af komen. Dat begint erbij, dat mensen binnen de organisaties gaan begrijpen dat ze echt iets moeten doen aan digitale veiligheid. Met een IT-Audit haal je de kwetsbaarheden omhoog, en kun je maatregelen treffen.

Ik merk dat vooral het hogere management nog onvoldoende doorheeft hoe dichtbij en écht de digitale dreigingen zijn. Digitale veiligheid gaat eigenlijk over alle andere thema’s van een organisatie heen. We weten dat de meeste datalekken ontstaan door menselijk handelen. Soms gaat het om iets ogenschijnlijk kleins, zoals per ongeluk een e-mail met gevoelige informatie naar de verkeerde ontvanger sturen. En dat kan echt iedereen overkomen – zelfs als je tot over je oren in de cybersecurity zit."

"Iedereen binnen een organisatie heeft zijn eigen partij: bestuur, lijnmanagement, medewerkers, specialisten. Iedereen levert een bijdrage aan het totale informatiebeeld. Wanneer processen niet goed op elkaar zijn afgestemd, of wanneer stemmen, in dit geval procedures, systemen en verantwoordelijkheden niet op toon staan, ontstaat geen heldere uitvoering maar ruis. Bij NCOD geloven we dat een goede audit dezelfde kenmerken heeft als een goede muzikale uitvoering:

• ​Heldere partituur – Eenduidige normen en kaders, zodat duidelijk is wat er moet worden gespeeld.
• ​Gestemde instrumenten – Processen, maatregelen en verantwoordelijkheden die kloppen en in verhouding zijn.
• ​Samenwerking in hetzelfde tempo – Afdelingen en disciplines die elkaar begrijpen en dezelfde richting volgen.
• ​Een dirigent met overzicht – De auditor die structuur aanbrengt, scherpte houdt en helpt om verbetering zichtbaar te maken.
• ​Bezieling – Want zonder intrinsieke motivatie klinkt het allemaal technisch correct, maar nooit inspirerend."