Lever de beste moderne werkplek
In onze nieuwste podcast bespreekt hij samen met Jelmer Vorstenburg, Business Lead Security bij InSpark, hoe een audit geen hindernis hoeft te zijn maar een hefboom voor budget, draagvlak en versnelling.
Auditdienst Rijk, Rekenkamer en DigiD drukken allemaal op dezelfde zere plek: aantoonbare grip. Wie zijn processen op orde heeft, verandert controle in vertrouwen.
Liever luisteren dan lezen? Bekijk hier de hele aflevering:
Deadline rood omcirkeld: wat staat er echt op het spel?
Je kunt tooling, processen en certificaten tot in perfectie inrichten, maar één kritische vraag van de auditor kan het kaartenhuis doen schudden. De politieke druk groeit, wetgeving stapelt zich op, stakeholders willen wekelijks bewijs, niet volgend kwartaal maar nu.
Dit is het draaipunt. Blijf je tot middernacht brandjes blussen of gebruik je de audit als lanceerplatform voor blijvende verbetering? Geert koos het laatste. Door auditmomenten als vaste punten op de MT-agenda te zetten, maakte hij van controle een versneller.
Als de deadline jouw bondgenoot wordt, veranderen audits in geplande checkpoints in plaats van nachtwerk. Klaar om de drie succeshefbomen te ontdekken die dat mogelijk maken?
Auditstress is geen vijand: druk maakt kansen zichtbaar
Auditstress voelt als de spreekwoordelijke mokerslag, maar zie het als een röntgenscan. Zodra de auditor je processen bekijkt, worden niet alleen fouten zichtbaar, maar ook verborgen kansen.
Elk gevonden pijnpunt is munitie om budget los te krijgen. De board kan er niet omheen, want de bevinding staat zwart op wit. Zo verschuift de audit van kostenpost naar investeringsplan.
Door de druk ontstaat focus: teams plaatsen de kritieke taken bovenaan en parkeren de rest. Dit is jouw versnelling: nieuwe tooling krijgt groen licht, rollen worden aangescherpt en procedures worden eindelijk helder.
Pak wel de regie. Nodig de auditor uit, vraag waar zij de grootste risico’s zien en leg je eigen plan op tafel. Dan kantelt de verhouding: de controleur wordt een bondgenoot en de audit een springplank.
Case Provincie Gelderland: van ‘moeten’ naar voorsprong
“Never waste a good crisis,” zegt CISO Geert Schoots. Audits ziet hij niet als kostenpost, maar als kans om budget en draagvlak los te krijgen.
- ISO 27001 als fundament
De certificering dekte het grootste deel van de gevraagde controls. Auditors konden direct afvinken. - Maandelijkse MT-sync
Elke vier weken een kwartier op de agenda. Risico’s, voortgang en budget in één sheet. Geen verrassingen, wel draagvlak. - Evidence vastleggen in TOPdesk Periodieke tickets vragen automatisch logs en screenshots op. Bewijs ligt klaar voordat iemand erom vraagt.
Het gevolg: een auditrapport zonder major findings en extra ruimte voor lifecycle-budget. Schoots’ les is helder: ken je spelregels vooruit en controle wordt een versneller.
Drie succeshefbomen voor directe winst
Audit binnen vier weken? Draai dan aan deze knoppen:- Lifecycle-rust met de 1-1-regel
Plan maandelijks één uur voor één systeem. Verouderde versies eruit, ongebruikte accounts dicht, kwetsbaarheden gepatcht. Zo voorkom je patch-paniek en presenteer je een actuele assetlijst die de auditor direct accepteert. - Evidence die zichzelf opslaat
Koppel TOPdesk-taken aan automatische log- en screenshot verzameling. Zodra een beheerder een change afrondt, staat het bewijs al in de auditmap. - Maandelijkse board-sync
Reserveer elke maand een kort blok in het MT. Deel drie snapshots: open risico’s, gesloten findings en budget. Auditissues worden zo gedeeld eigendom, niet jouw privéproject.
Met deze hefbomen leg je in korte sprints een fundament dat elke audit verandert van stressmoment in strategische versneller.
Weerbaarheid is een werkwoord: mensen vóór tooling
Een pentest toont kwetsbaarheden, maar bouwt geen securitycultuur. Geert Schoots herhaalt het in de podcast: “Je hebt al jouw medewerkers nodig om dreigingen te lijf te gaan.” Zijn aanpak is simpel en scherp:- Loop langs de afdelingen.
Hij bezoekt teams persoonlijk en vraagt naar hun dagelijkse risico’s. De verhalen die hij ophaalt, worden directe input voor awareness-sessies. - Vertel en luister in de praktijk.
In plaats van e-learning geeft hij korte, live trainingen met voorbeelden uit de eigen organisatie. Zo blijft de boodschap hangen. - Maak ‘rode vlaggen’ bespreekbaar.
Medewerkers leren hun onderbuikgevoel te vertrouwen en collega’s in te schakelen bij twijfel. Vals alarm kost seconden, echte escalatie bespaart tonnen.
Van deadline-gedreven naar deadline-loos: proactief vooruitkijken
Stel je voor dat de auditkalender je niet meer opjaagt omdat je landschap continu up-to-date is. Geert Schoots ziet de overstap naar cloud als sleutel: je krijgt standaard de nieuwste versie, waardoor versiebeheer minder hoofdpijn geeft.Toch is achteroverleunen geen optie. Netwerkapparatuur en vergeten servers blijven risico’s als je ze niet regelmatig scant. Daarom:
- Voer regelmatig een netwerkscan uit om afwijkingen te spotten;
- Leg bevindingen direct vast in je CMDB én in TOPdesk;
- Bespreek de resultaten in de volgende board-sync.
Zo verschuift je focus van reactief patchen naar continu verbeteren. De audit wordt een formaliteit, geen deadline. De afsluitende stap is dichterbij dan je denkt.
Klaar om auditdruk te verzilveren? Spar met een expert
Je hebt nu de routekaart: van slimme hefbomen tot een cultuur die continu verbetert. Het enige wat nog ontbreekt is een spiegel om jouw eigen situatie scherp te zien.
Plan een kosteloos strategiesprek met onze securityspecialisten.
Wil je alle podcast afleveringen beluisteren? Klik dan hier.
