‘Je moet het securitybewustzijn constant op peil houden’

Beveiliging heeft natuurlijk ook alles te maken met beschikbaarheid. En hoe uniformer je dat maakt, hoe beter controleerbaar het is.

Michiel Panders is bij Cisco verantwoordelijk voor de enterprise-markt. Dat betreft grootzakelijke klanten uit onder meer de financiële wereld, het verzekeringswezen, manufacturing, transport & logistiek en de energiesector. Het securitybeleid bij zijn klanten komt steeds meer op de voorgrond te staan. Hieronder een schets van waar het volgens hem op securitygebied over zou moeten gaan.

“IT-security wordt een steeds breder vakgebied”, begint Michiel Panders, Director Enterprise bij Cisco, zijn betoog. “Traditioneel zijn er allerlei technieken en maatregelen, elk gericht op een bepaald deelaspect. IT is in de loop der jaren echter een steeds belangrijker en omvangrijker bedrijfsonderdeel geworden. Dat gaat in de ene sector sneller dan in de andere, en daarmee is de beveiliging van de IT-voorzieningen voor bedrijven ook een steeds groter punt van aandacht. Neem de financiële sector. Vroeger was het belangrijk dat ze daar je geld in een kluis konden bewaren. Tegenwoordig haal je je geld niet meer op bij de bank, maar betaal je via een app op je mobiele telefoon. Dus in plaats van die kluis is het nu van het allergrootste belang voor klanten dat banken hun IT-domeinen volledig kunnen afschermen. Daarbij willen klanten steeds meer flexibiliteit, ze willen die betalingstechnologie in steeds meer situaties en op steeds meer devices kunnen toepassen. Daarmee wordt het hele securitylandschap van een redelijk overzichtelijk en gecontroleerd domein langzamerhand getransformeerd in een enorm breed domein, dat steeds moeilijker adequaat te controleren is. Daarin kun je niet meer per deelgebied naar oplossingen zoeken.”

Bewustwording
Wat volgens Panders voor bedrijven vooral belangrijk is, is het bevorderen en het vervolgens constant op peil houden van het securitybewustzijn van hun medewerkers. “Als je hier op kantoor was geweest (het interview vindt telefonisch plaats), dan had ik je een bak koffie aangeboden, die je, neem ik aan, zonder enige aarzeling had opgedronken. Je had je niet afgevraagd of je die koffie wel kunt vertrouwen. Dat zie je ook veel met de IT bij bedrijven gebeuren. We hebben recent onderzoek gedaan en de op één na grootste bedreiging die onze klanten zien – na de georganiseerde cybercrime – is het gedrag van het eigen personeel. Dat komt vooral omdat veel medewerkers zich onvoldoende bewust zijn van de gevaren. Ze vertrouwen er blind op dat hun werkgever ervoor zorgt dat de security prima geregeld is.”

Panders trekt de parallel met de bak koffie nog even verder door naar kraanwater. “Hier in Nederland zal je je niet snel de vraag stellen of je het water uit de kraan wel kunt drinken. Maar op het moment dat je op vakantie gaat, stel je je in veel landen wel die vraag. Dus dan ben je opeens ‘wel bewust’, om het zo maar even uit te drukken. Dat is dus een heel belangrijk aspect, met name voor onze enterprise-klanten.”

Enerzijds weten bedrijven volgens Panders dat de eigen medewerkers een belangrijk risico vormen. Niet zozeer omdat hun pc of laptop gehackt kan worden, maar veel meer nog omdat zij zelf als middel kunnen worden gebruikt om een aanval uit te voeren. Anderzijds willen ze hen een zo flexibel mogelijke werksituatie verschaffen en zorgen dat alles goed beveiligd is. “Dan kun je proberen ze bekwaam te maken door middel van training, maar waarschijnlijk is het beter ze bewust te maken van de gevaren. Waarna je dat securitybewustzijn constant op peil moet zien te houden. ”

Before, during en after
Panders pleit voor een aantal zaken. Ten eerste moet de security bij het topmanagement op de agenda komen. Er moet een apart securityteam worden opgericht met aan het hoofd een CISO, een Chief Information Security Officer. Niet alleen voor cybersecurity, maar ook voor alle andere zaken die de beveiliging van de organisatie betreffen. “Dat zie je bij veel bedrijven in de grootzakelijke markt overigens ook gebeuren. Doe je dat allemaal niet, dan heb je grote kans dat security vanzelf een top-level prioriteit wordt, namelijk als het te laat is. Verder is het belangrijk een breed securitybeleid te voeren. Niet meer je beperken tot allerlei deelgebieden, maar één centraal beleid uitgerold over de volle breedte.”

Cisco’s aanpak is gebaseerd op drie pijlers: before, during en after. Eerst moet je in kaart brengen wat je kwetsbaarheden, je vulnerabilities, zijn. Want wat je niet ziet, kun je niet beveiligen, luidt Panders stelling. Vervolgens moet je zorgen dat je tijdens een aanval over de juiste mechanismes beschikt om die aanval te bestrijden. En na een aanval moet je beschikken over de middelen om goed te kunnen vaststellen welke schade is opgelopen.

Internet of Everything
Wordt, met alle ontwikkelingen rond het Internet of Everything, het feit dat er steeds meer zaken op internet worden aangesloten, alles ook niet steeds kwetsbaarder? Panders ziet dat anders. “Natuurlijk zie je dingen verschuiven. Alleen denk ik niet dat de zaken kwetsbaarder worden, maar juist dat alles veiliger wordt. Als je meer zaken met elkaar gaat verbinden, dan doe je dat omdat je dingen sneller of efficiënter wilt maken.” Hij verwijst naar een business-case van Cisco bij WML, Waterleiding Maatschappij Limburg (zie ook de animatiefilm op YouTube hierover: https://www.youtube.com/watch?v=hVa4D9cWswA). “Daar zie je dat ze van alles gekoppeld hebben. Niet alleen om de efficiency te verhogen, maar ook de beschikbaarheid van de watervoorziening. In geval van calamiteiten kan WML nu sneller en uniformer reageren. Beveiliging heeft natuurlijk ook alles te maken met beschikbaarheid. En hoe uniformer je dat maakt, hoe beter controleerbaar het is. Hun primaire drijfveer was om hun controleruimte te centraliseren, hun aanpak te generaliseren en de ruis die ze in hun processen hadden zitten, weg te snijden. Daarvoor hebben ze een uniforme infrastructuur aangelegd, zodat ze diezelfde infrastructuur kunnen gebruiken om hun beveiliging te implementeren.”

Waterbedrijven moeten de besturingsinstallaties beveiligen, maar hebben ook gewoon te zorgen voor de fysieke  beveiliging van pompinstallaties en dergelijke. “Daar heb je beveiligingscamera’s en aanverwante zaken voor nodig. Op het moment dat je dat aan hetzelfde netwerk kunt koppelen, heb je in ieder geval een netwerk minder om te beheren. Dat helpt niet alleen je efficiency te verhogen, maar uiteindelijk ook je veiligheid.”

Cisco kan ervoor zorgen dat de juiste sensoren in het netwerk aanwezig zijn om gevaren in beeld te brengen, en kan middelen leveren om tijdens de aanval terug te vechten en na de aanval te inventariseren wat de schade is. De kracht is hier vooral dat alles met elkaar kan communiceren. “Binnen Cisco is security een aparte architectuur”, merkt Panders desgevraagd nog op. “Dus de aanpak die we onze klanten adviseren, hanteren we zelf ook.”