Lili Guo: “Laat je niet meeslepen met alle innovatietrends: zorg dat je eerst een doel voor ogen hebt”

Innoveren gaat niet om het innoveren zelf, maar om de impact die je ermee kunt bereiken. Bedrijven zouden daarom niet zomaar overal hun geld aan uit moeten geven, maar hun middelen op een constructieve en slimme manier moeten inzetten. Dat zegt Lili Guo, CISO bij Modelverse.

Als CISO van het start-up SaaS platform, en als security adviseur voor enkele grote organisaties, heeft Lili Guo een uniek perspectief op de uitdagingen en kansen van innovatie in cybersecurity. In een gesprek deelt ze haar visie op de verschillende manieren om te innoveren, de uitdagingen van certificeringen voor kleine bedrijven, en het vinden van een balans tussen basismaatregelen en innovatie.

Certificeren als klein bedrijf: de voor- en nadelen

Modelverse biedt een SaaS-oplossing aan voor het beheren van alle aspecten van cyberbeveiliging, risico’s en naleving. Het bedrijf werkt samen met het bedrijfsleven, met adviesorganisaties, en verzekeraars en investeerders. Hoewel het bedrijf nog maar zes werknemers heeft, waarvan twee parttime, besloten ze twee maanden geleden om te beginnen met het ISO 27001-certificeringstraject.

“Sommige potentiële partners en klanten vragen ernaar. Of ze zijn zelfs meer geneigd om te kiezen voor een andere aanbieder die wel een ISO-certificering heeft,” legt Lili uit. De keuze om dit nu al te doen was bewust: “Als het bedrijf nog klein en compact is, is je scope misschien ook nog wat beperkter en zijn je processen compacter en overzichtelijker. Het ISO 27001 traject dwingt ons ook om nu al goed te kijken naar processen, rollen en verantwoordelijkheden en die goed vast te leggen. Bestaande dingen veranderen kost nu eenmaal veel meer tijd, middelen, coördinatie, en overtuigingskracht.”

Toch brengt het certificeringstraject voor kleine organisaties specifieke uitdagingen met zich mee. “Waar wij voornamelijk tegenaan lopen is de verdeling van verantwoordelijkheden,” vertelt Lili. “Als je vier fulltimers hebt, is het soms lastig om rollen en taken te scheiden. Bijvoorbeeld als we straks met de audits zitten, zouden we eigenlijk weer een externe moeten vragen om voor ons de interne audit te gaan doen.”

Innoveren is leuk, maar heb je je basis op orde?

In haar rol als adviseur voor soms grote organisaties met meerdere vestigingen ziet Lili ook een andere kant van het security-spectrum. “Er zijn nog veel stappen te maken,” zegt ze wanneer het onderwerp basis veiligheidsmaatregelen op tafel komt.

Het implementeren van fundamentele security-processen in een grote organisatie blijkt een tijdrovende opgave: “Elke vestiging kan een eilandje of mini-staat zijn. Het maken van een gedragen verbeterplan, laat staan het uitvoeren ervan, vraagt om veel project- en stakeholder management.

Deze realiteit roept vragen op over de rol van innovatie in zulke organisaties, waarop Lili het belang van doelgerichtheid benadrukt: “Je moet wel een bepaald doel voor ogen hebben, want je kan je helemaal verliezen in alle opties die er zijn. Wat wil je precies aanpakken, wat is precies je doel? Heb je genoeg mensen en middelen om innovaties te implementeren?” Dit zijn vragen die elke organisatie zichzelf moet stellen voordat er grote investeringen worden gedaan, zo stelt Lili.

Een efficiënte security-aanpak voor kleine organisaties

Kleine organisaties bieden weer andere security-uitdagingen dan grote bedrijven. Wat is de beste aanpak voor security-professionals in kleinere bedrijven? Een belangrijke les is om pragmatisch te blijven en je aanpak aan te passen aan de schaal van de organisatie, zo zegt Lili. “Een klein bedrijf heeft wellicht geen extreem uitgebreid data-privacybeleid nodig. Dat kost veel te veel tijd, en vraagt om middelen die zij niet hebben”

Haar advies is daarom om te beginnen met wat verplicht is, én wat het meeste risico vormt.. “Een verwerkingscatalogus bijvoorbeeld, waar je alle gegevens van elke verwerking documenteert, dat is verplicht voor organisaties van meer dan 250 mensen. Maar voor kleinere bedrijven kan een simpeler beleid misschien wel volstaan. Je moet flexibel en pragmatisch blijven in de beleidsmaatregelen die je moet treffen.”

Lili Guo: “Laat je niet meeslepen met alle innovatietrends: zorg dat je eerst een doel voor ogen hebt”

Certificeren als klein bedrijf: de voor- en nadelen

Innoveren is leuk, maar heb je je basis op orde?

Een efficiënte security-aanpak voor kleine organisaties

‘Vooroordelen zitten in de weg,’ Saskia Meeuwessen pleit voor innovatie en diversiteit in wervingsprocessen

Jeroen Prinse: “Het is aan ons om security inzichtelijk te gaan maken”

Mike Privette: “Getting funding takes three years in Europe, six weeks in the US”

Naomi Levi: “Innovatie gaat niet alleen over het inzetten van nieuwe tools, maar ook over het leren van je fouten”

Eward Driehuis: “Met toenemende analoge aanvallen, moeten we ons wapenen met high-tech oplossingen”

Jurjen Harskamp ontwikkelt zijn holy grail: “Geautomatiseerd beveiliging valideren is de toekomst”

Certificeren als klein bedrijf: de voor- en nadelen

Innoveren is leuk, maar heb je je basis op orde?

Een efficiënte security-aanpak voor kleine organisaties

Vergelijkbare berichten