{"id":987627913,"date":"2026-07-02T12:57:32","date_gmt":"2026-07-02T10:57:32","guid":{"rendered":"https:\/\/warpnet.nl\/?p=987627913"},"modified":"2026-07-02T13:08:40","modified_gmt":"2026-07-02T11:08:40","slug":"van-compliance-naar-structureel-volwassen-informatiebeveiliging","status":"publish","type":"post","link":"https:\/\/warpnet.nl\/en\/blog\/van-compliance-naar-structureel-volwassen-informatiebeveiliging\/","title":{"rendered":"Van compliance naar structureel volwassen informatiebeveiliging\u00a0"},"content":{"rendered":"<p class=\"has-medium-font-size\">CJ2 is een hostingorganisatie die al ruim twintig jaar werkt vanuit een duidelijke overtuiging: data hoort dichtbij te zijn. Niet alleen vanwege snelheid en toegankelijkheid, maar steeds meer vanuit het belang van datasoevereiniteit en controle over de volledige keten.&#xA0;De organisatie levert hostingdiensten, online werkplekken, applicaties en websites aan een brede klantgroep,&#xA0;van kleine verenigingen tot zorginstellingen met honderden medewerkers die volledig in de&#xA0;cloud&#xA0;werken.&#xA0;<\/p>\n\n\n\n<p class=\"has-medium-font-size\">Wat&#xA0;CJ2&#xA0;onderscheidt, is dat de volledige infrastructuur end-to-end in eigen beheer is. Van netwerk tot verbindingen en hosting: alles blijft binnen de eigen controle. Daarbij wordt bewust gekozen voor open source technologie en eigen netwerkbeheer, zodat afhankelijkheid van externe partijen tot een minimum wordt beperkt.&#xA0;<\/p>\n\n\n\n<p class=\"has-medium-font-size\">Om hun informatiebeveiliging verder te professionaliseren en hun ISO- en NEN-certificeringen te ondersteunen, werkt CJ2 samen met onze partner Nestor Security en&#xA0;Warpnet. Waar Nestor Security de organisatie ondersteunt op het gebied van&#xA0;governance, risicomanagement en certificering, zorgt&#xA0;Warpnet&#xA0;met onafhankelijke pentesten voor een objectieve toetsing van de technische beveiliging. Samen helpen CJ2 om informatiebeveiliging blijvend te verbeteren. In deze klantcase vertellen betrokkenen van&#xA0;CJ2,&#xA0;Nestor Security&#xA0;en&#xA0;Warpnet&#xA0;hoe die samenwerking eruitziet en welke inzichten en verbeteringen deze heeft opgeleverd.&#xA0;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Informatiebeveiliging als kern van de operatie&#xA0;<\/h2>\n\n\n\n<p>Informatiebeveiliging is binnen CJ2 verweven met de hele operatie. De organisatie is&#xA0;ISO27001 en NEN7510-gecertificeerd en werkt al sinds 2017 structureel aan het verbeteren van haar security volwassenheid.&#xA0;Carlos de Boer, CEO van CJ2 licht toe: &#x201C;Het belang&#xA0;van informatiebeveiliging&#xA0;is in de loop der jaren alleen maar toegenomen, mede door groei, klantverwachtingen en nieuwe regelgeving,&#xA0;zoals&#xA0;de&#xA0;NIS2.&#xA0;Dat is voor ons&#xA0;superbelangrijk. Wij beheren alles dus het is&#xA0;essentieel&#xA0;dat wij&#xA0;ook alles&#xA0;onder controle hebben. Daarom ook die certificaten.&#x201D;&#xA0;&#xA0;<\/p>\n\n\n\n<p>Naarmate de organisatie groeide, groeide ook de hoeveelheid documentatie en processen rondom informatiebeveiliging. Wat ooit overzichtelijk begon, werd steeds complexer door de hoeveelheid beleid, documenten en onderlinge afhankelijkheden.&#xA0;Intern werd teruggekeken op de eerste fase van certificering als een periode waarin vooral de norm leidend was.&#xA0;&#x201C;We deden technisch al heel veel, maar we waren eigenlijk begonnen met het idee dat we alles moesten afvinken wat in de norm stond. Pas later realiseer je dat je ook gewoon moet kijken: wat doen wij al, en hoe leggen we dat goed vast,&#x201D;&#xA0;vertelt&#xA0;Carlos.&#xA0;Die verschuiving werd belangrijk: in plaats van de organisatie aan te passen aan de norm, werd de norm steeds meer vertaald naar de werkelijkheid van de organisatie zelf.&#xA0;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Structuur brengen in complexiteit&#xA0;<\/h2>\n\n\n\n<p>Om die beweging te ondersteunen, werd&#xA0;er een&#xA0;externe security&#xA0;officer&#xA0;ingeschakeld via Nestor Security.&#xA0;Haar&#xA0;rol lag vooral in het opnieuw vormgeven van risicomanagement en het begeleiden van de&#xA0;hercertificering.&#xA0;Vanaf het begin viel op hoe groot de hoeveelheid documentatie was.&#xA0;&#x201C;CJ2 had ontzettend veel documentatie rondom de ISO 27001-richtlijn. Een belangrijke vervolgstap is die documentatie verder structureren, zodat alles&#xA0;gemakkelijk&#xA0;vindbaar en consistent is,&#x201D;&#xA0;zegt&#xA0;Wendy&#xA0;Sikkema,&#xA0;Security&#xA0;officer&#xA0;bij&#xA0;Nestor Security.&#xA0;<\/p>\n\n\n\n<p>Daarom werd&#xA0;gekozen&#xA0;voor vereenvoudiging. Onderwerpen werden opnieuw gestructureerd, beleid werd herzien en waar mogelijk werd gewerkt met verwijzingen in plaats van duplicatie.&#xA0;Daarnaast werd een vaste overlegstructuur ge&#xEF;ntroduceerd.&#xA0;&#x201C;We zitten iedere week met elkaar om tafel.&#xA0;&#xA0;Dit&#xA0;zorgt&#xA0;ervoor&#xA0;dat verwachtingen constant helder blijven en je sneller kunt schakelen als er iets verandert.&#xA0;Wat wij proberen te doen is de norm juist naar de organisatie toe te trekken. Zodat het iets wordt wat je kunt gebruiken in plaats van iets waar je alleen maar aan moet voldoen.&#x201D;&#xA0;&#xA0;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Onafhankelijke validatie in de praktijk&#xA0;<\/h2>\n\n\n\n<p>Naast audits laat&#xA0;CJ2&#xA0;jaarlijks pentesten uitvoeren om de technische kant van informatiebeveiliging onafhankelijk te laten toetsen.&#xA0;Warpnet&#xA0;werd ingeschakeld voor een&#xA0;configuration&#xA0;review en&#xA0;pentest&#xA0;op een nieuwe&#xA0;identity&#xA0;provider en open source platformcomponenten.&#xA0;Omdat het systeem nog in ontwikkeling was, bestond een groot deel van het traject uit interactieve sessies waarin keuzes, inrichting en architectuur samen werden besproken.&#xA0;&#x201C;De medewerkers van CJ2 waren heel goed in het uitleggen van hun keuzes.&#xA0;Ze waren gemotiveerd&#xA0;en ze stelden zelf ook veel vragen terug, waardoor het echt een interactief proces werd,&#x201D;&#xA0;vertelt&#xA0;Nikhil&#xA0;John&#xA0;Thomas,&#xA0;Pentester&#xA0;bij&#xA0;Warpnet.&#xA0;<\/p>\n\n\n\n<p>De uitkomst van de&#xA0;pentest&#xA0;was overwegend bevestigend. Er werden enkele aanbevelingen gedaan, maar geen kritieke kwetsbaarheden gevonden.&#xA0;&#x201C;Wij rapporteren geen bevindingen in de zin van &#x2018;je bent niet goed bezig&#x2019;, maar aanbevelingen. Het gaat erom wat je kunt verbeteren op wat er al staat.&#x201D;&#xA0;Door CJ2&#xA0;werd dit vooral gezien als bevestiging van de bestaande koers.&#xA0;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Ervaring met samenwerking en proces&#xA0;<\/h2>\n\n\n\n<p>Patrick Hulshof,&nbsp;System &amp; Security Engineer bij CJ2,&nbsp;vertelt meer over&nbsp;de&nbsp;samenwerking&nbsp;met&nbsp;Warpnet: &ldquo;Het gehele proces werd als laagdrempelig en transparant ervaren. De intake verliep duidelijk, de samenwerking tijdens de test was open en er was veel ruimte voor wederzijds begrip.&nbsp;De rapportage werd daarbij gezien als een belangrijk onderdeel van de waarde: niet alleen technisch volledig, maar vooral goed te volgen en bruikbaar in de praktijk.&rdquo;&nbsp;<\/p>\n\n\n\n<p>Voor CJ2 zit de meerwaarde van de samenwerking met Nestor Security niet alleen in de inhoudelijke kennis, maar ook in de manier waarop die wordt overgebracht. Waar de organisatie voorheen vooral bezig was met voldoen aan de norm, hielp Nestor Security om informatiebeveiliging vanuit de eigen praktijk te bekijken. Daarbij werden bestaande keuzes kritisch tegen het licht gehouden en waar nodig aangescherpt. Zoals Carlos zelf aangeeft: &#x201C;De consultants van Nestor Security helpen&#xA0;ons om dingen zo duidelijk mogelijk te omschrijven, maar wel realistisch.&#xA0;In het begin hebben ze&#xA0;ons echt een spiegel voorgehouden. Daardoor zijn we anders naar onze processen en ons beleid gaan kijken.&#x201D;&#xA0;<\/p>\n\n\n\n<p>De inzichten uit audits en pentesten worden actief teruggebracht in de organisatie en vormen input voor verdere volwassenheid in risicomanagement.&#xA0;De focus ligt steeds meer op het ophalen van risico&#x2019;s uit de organisatie zelf.&#xA0;Wendy licht toe:&#xA0;&#x201C;Ik ga ieder team&#xA0;bij&#xA0;langs om te kijken waar zij risico&#x2019;s zien. Die neem ik mee terug en daar maken we dan een risicoanalyse&#xA0;van.&#x201D;&#xA0;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Continu verbeteren&#xA0;<\/h2>\n\n\n\n<p>De samenwerking&#xA0;is inmiddels uitgegroeid tot een structurele manier van werken waarin informatiebeveiliging meegroeit met de organisatie.&#xA0;Door de combinatie van externe expertise, interne betrokkenheid en onafhankelijke validatie is een volwassen aanpak ontstaan waarin compliance niet het eindpunt is, maar een logisch gevolg van goed ingerichte processen.&#xA0;Door Carlos&#xA0;wordt dat gevoel uiteindelijk als volgt samengevat:&#xA0;&#x201C;Je wordt er beter van. Professioneler. En dat is iets wat blijft.&#xA0;Digitale afhankelijkheid&#xA0;neemt toe&#xA0;en cyberdreigingen&#xA0;komen steeds vaker voor,&#xA0;zorgvuldig omgaan met gevoelige data&#xA0;is daarom gewoon een prioriteit.&#x201D;<\/p>","protected":false},"excerpt":{"rendered":"<p>CJ2 is een hostingorganisatie die al ruim twintig jaar werkt vanuit een duidelijke overtuiging: data hoort dichtbij te zijn. Niet&#x2026;<\/p>","protected":false},"author":25,"featured_media":987627915,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"off","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-987627913","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorised"],"acf":[],"_links":{"self":[{"href":"https:\/\/warpnet.nl\/en\/wp-json\/wp\/v2\/posts\/987627913","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/warpnet.nl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/warpnet.nl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/warpnet.nl\/en\/wp-json\/wp\/v2\/users\/25"}],"replies":[{"embeddable":true,"href":"https:\/\/warpnet.nl\/en\/wp-json\/wp\/v2\/comments?post=987627913"}],"version-history":[{"count":3,"href":"https:\/\/warpnet.nl\/en\/wp-json\/wp\/v2\/posts\/987627913\/revisions"}],"predecessor-version":[{"id":987627917,"href":"https:\/\/warpnet.nl\/en\/wp-json\/wp\/v2\/posts\/987627913\/revisions\/987627917"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/warpnet.nl\/en\/wp-json\/wp\/v2\/media\/987627915"}],"wp:attachment":[{"href":"https:\/\/warpnet.nl\/en\/wp-json\/wp\/v2\/media?parent=987627913"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/warpnet.nl\/en\/wp-json\/wp\/v2\/categories?post=987627913"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/warpnet.nl\/en\/wp-json\/wp\/v2\/tags?post=987627913"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}