De technische beveiliging op orde? Check. Maar wie is er verantwoordelijk voor wat? Welke risico’s blijven onder de radar? Wat gebeurt er als een externe leverancier een fout maakt? Op deze vragen wou Xpo Group een duidelijk en formeel gedocumenteerd antwoord. Cingulum hielp hen dat in kaart te brengen, en legde de basis voor een aanpak die verder gaat dan tools en systemen.
De situatie
Xpo Group is een middelgrote organisatie met zo’n 140 medewerkers, actief in de eventsector. Ze organiseren beurzen en exposities, op hun eigen locatie in Kortrijk en internationaal. Hun IT-omgeving is daardoor bijzonder: tijdens een evenement moeten alle systemen perfect werken. Daarvoor en daarna ligt de druk wat lager. Dat wisselende belang maakt de omgeving ingewikkelder dan ze op het eerste gezicht lijkt.
De interne IT-ploeg is klein. Voor het dagelijkse IT-beheer werkt Xpo Group met een managed service provider, en voor nieuwe systemen leunen ze steeds meer op externe leveranciers of maatwerk in en buiten hun eigen cloud. Die afhankelijkheid groeit, en de organisatie wou daar bewust op inspelen.
Juist daarom hanteren ze een vaste gewoonte: om de twee à drie jaar laten ze hun omgeving volledig doorlichten, afwisselend technisch en vanuit beleid en processen. Drie jaar eerder toetsten ze hun technische weerbaarheid aan de hand van een pentest. Nu was het tijd voor de andere kant van het verhaal.
Xpo Group maakte voor dit traject gebruik van het VLAIO Cybersecurity Verbetertraject, een subsidieregeling van de Vlaamse overheid waarmee kmo’s tot 50% van hun cybersecuritytraject gesubsidieerd krijgen. Ze kozen voor het MEDIUM-pakket: een grondige analyse van de volledige securityomgeving, gevolgd door gerichte advies- en implementatiedagen op maat.
De uitdagingen
Uit de eerste gesprekken bleek dat de technische beveiliging op de kritische systemen goed zat. Xpo Group wist ook zelf dat er op vlak van beleid en processen nog ruimte was om te groeien. Dat bewustzijn was net de reden om Cingulum in te schakelen.
De voornaamste groeipunten situeerden zich op drie vlakken: de interne structuur, de samenwerking met externe partijen en het bewustzijn bij medewerkers. Wie is er verantwoordelijk voor wat? Hoe worden afspraken met leveranciers vastgelegd en opgevolgd? En hoe zorg je ervoor dat beveiliging niet alleen op de IT-afdeling rust?
Bijzondere aandacht ging naar de lopende cloudmigratie. Nieuwe systemen worden gebouwd door externe partijen, elk met hun eigen aanpak. Xpo Group wou daar een duidelijke structuur rond, zodat ze dit in de toekomst goed konden opvolgen en bijsturen.
Onze aanpak
Cingulum voerde een Security Maturity Assessment uit op basis van de ISO 27001-norm, aangevuld met een uitgebreide gap-analyse. In zeven à acht gesprekken werden alle relevante betrokkenen aan tafel gebracht: de CEO, de managed service provider, de interne IT-verantwoordelijke, de facility manager, de ERP-beheerder én HR. Dat alle partijen, ook externe, meteen constructief meededen, maakte het verschil. Dat brede perspectief leverde een volledig en eerlijk beeld op.
Alle gesprekken gebeurden ter plekke bij Xpo Group. De aanpak was gericht op hun specifieke context, met bijzondere aandacht voor de cloudstrategie en de samenwerking met externe partijen. Uit die gesprekken bleek al snel dat verschillende technische domeinen goed op punt stonden: van netwerksegmentatie, tot Active Directory configuratie en back-ups. Een rondleiding bevestigde daarnaast de goed uitgewerkte fysieke beveiliging.
Bevindingen werden meteen concreet gedeeld, als basis voor gerichte actie. Het management reageerde niet verrast, maar wél tevreden over het niveau van detail en diepgang.
Wat er op tafel lag
Na afronding van het assessment ontving Xpo Group niet alleen een score per onderdeel van de ISO-norm, maar een volledig actieplan met concrete stappen in volgorde van prioriteit. Alles werd bewust afgestemd op hun context:
- Een securitybeleid dat de minimale lijn vastlegt, inclusief het risicobeheersproces en principes voor continue verbetering
- Een applicatie-inventaris met alle relevante kolommen: application owner, hosting-locatie, interne en externe verantwoordelijken, met de al gecapteerde informatie ingevuld
- Een beoordelingsformulier voor toekomstige cloudontwikkelingen
- Een raamwerk voor het beheer van leveranciersrisico’s, met een inventaris en modelafspraken voor beveiliging
Elke bevinding werd gekoppeld aan een concrete maatregel: wat pak je nu aan, én hoe voorkom je dat het zich later herhaalt?
Meer weten over subsidie voor cybersecurity?
Cyberaanvallen treffen steeds vaker kmo’s, maar er is ook goed nieuws: jouw kmo komt mogelijk in aanmerking voor tot 50% korting op een cybersecurity verbetertraject met Cingulum en VLAIO. Ontdek wat de voorwaarden zijn en zet vandaag de eerste stap.
Het resultaat
Xpo Group heeft nu een helder risicoregister met prioriteiten, een securitybeleid en een duidelijk startpunt om risico’s te beheren. De basis is gelegd, en dat is precies wat dit traject moest doen.
Dat dit traject vlot verliep, is ook een verdienste van Xpo Group zelf. Het management gaf van bij het begin duidelijk aan dat ze wilden weten waar ze stonden, en droeg dat engagement ook uit naar de rest van de organisatie. Iedereen werkte open en constructief mee. Dat maakte een grondige aanpak mogelijk.
De organisatie ontdekte zo wat de volgende stappen waren, en waar ze als eerste op moesten inzetten. Dat inzicht was het doel van het traject, en dat doel is bereikt.
Tijdens de gesprekken kwamen ook meteen een aantal quick wins naar boven, zaken die ter plaatse opgepikt werden doordat de juiste mensen aan tafel zaten. Dat brede stakeholderoverleg maakte het verschil.
“We hechten belang aan security. Dankzij Cingulum wisten we waar we stonden, en kregen we een duidelijk plan waarmee we de juiste stappen gezet hebben.” — Vincent Windels, IT & Digital Innovation Manager, Xpo Group
Wilt u weten waar uw organisatie staat? Neem contact op met Cingulum voor een vrijblijvend gesprek. www.cingulum.eu
