Een effectieve aanpak van informatiebeveiliging en cyber security vereist een nauwe samenwerking tussen alle stakeholders. Pieter van Houten, Chief Information Security Officer (CISO) bij SHV, vertelt over de actuele ontwikkelingen, belangrijke opgaven en succesvolle aanpakken.
Lynsey Dubbeld
“Net als bij andere multinationals wordt er ook bij SHV continu door cybercriminelen aan de digitale deuren gerammeld”, zegt Pieter van Houten, CISO bij SHV. De multinational is met 55.000 medewerkers in 58 landen een van de grootste familiebedrijven van Nederland en bekend van dochterondernemingen zoals Makro, Mammoet, SHV Energy, ERIKS en Nutreco. Van Houten is verantwoordelijk voor het strategische beleid en de governance op het terrein van informatiebeveiliging, en geeft leiding aan de interne community waarin de security officers van de dochterondernemingen samenwerken en expertise en ervaringen uitwisselen.
Target of Choice
“De tijd van hackers die in een joggingpak zitten te fröbelen op een zolderkamertje is echt voorbij. Cybercrime is in toenemende mate het domein van georganiseerde misdaad en we zien een verschuiving van een target of opportunity naar een target of choice”, zegt Van Houten over actuele ontwikkelingen. Zo zijn phishing acties steeds vaker gericht op een specifieke doelgroep en zijn de berichten nauwelijks te onderscheiden van gewone e-mails. Ook bij recente ransomware-aanvallen is zichtbaar hoe geavanceerd en doelgericht cybercriminaliteit nu is. “Het zijn steeds vaker professionele ‘bedrijven’ met een eigen front office en back office, die worden gerund door georganiseerde criminelen. Inclusief een helpdesk die je helpt met betalen als je dan ransomware op je systemen hebt gekregen.”
Afhankelijkheid van derde partijen gegroeid
Van Houten signaleert ook een aantal belangrijke veranderingen in de manier waarop organisaties omgaan met informatiebeveiliging. De overgang van klassieke on premise IT naar cloud computing creëert een sterkere afhankelijkheid van derde partijen. Daarnaast is de risicogebaseerde aanpak van informatiebeveiliging en online security in opmars.
Samenwerking tussen afdelingen steeds belangrijker
“Ik zie ook dat de manier van rapporteren over risico’s, incidenten en doelstellingen steeds meer geïntegreerd wordt. Vroeger had elke afdeling een eigen jaarplanning en een eigen manier van periodiek rapporteren, maar dat kan natuurlijk veel efficiënter. IT-auditors en security officers moeten tegenwoordig steeds meer samen optrekken om goede dashboards te creëren en de timing van het periodiek ophalen van informatie op elkaar af te stemmen.”
Scenarioplanning en digitale transformatie
Wat zijn nu de grootste uitdagingen voor securitymanagers en andere professionals die zich bezighouden met informatiebeveiliging? Van Houten: “Informatiebeveiliging is een heel dynamisch werkveld en dat vraagt om organisaties en professionals die agile opereren: je moet in staat zijn om adaptief te werken en snel in te spelen op wat er gebeurt. Een kasteelmuur neerzetten en een slotgracht graven en dan denken dat je veilig bent – dat werkt niet meer. De vraag is niet óf je gehackt wordt, maar wannéér. Daarom zijn niet alleen preventieve maatregelen nodig, maar moet je ook zorgen dat je op tijd kunt detecteren. En rekening houden met de mogelijkheden om schade te beperken als het misgaat en om goed te herstellen na een incident. Scenarioplanning wordt dan ook steeds belangrijker, zodat je tevens kunt oefenen wat je doet als er een incident heeft plaatsgevonden.”
IT en security verweven in de bedrijfsstrategie
Een andere grote uitdaging voor securityprofessionals heeft te maken met de digitale transformatie die organisaties doormaken. “IT en de business staan steeds dichter bij elkaar: de bedrijfsstrategie is in toenemende mate geënt op digitale technologie als business driver. Dat vereist een hele andere manier van kijken naar IT. Het gaat er niet langer om wat IT kan doen om de business te ondersteunen en security te waarborgen. In plaats daarvan zitten de CISO en andere security specialisten met de business aan tafel om gezamenlijk te kijken hoe IT en security in de bedrijfsstrategie kunnen worden verweven. Het is van belang om naast secure by design ook secure in practice te zijn en security in te zetten als business enabler.”
De securitymanager denkt vanaf de ontwerpfase mee
Wat betekent het voor het werk van de securitymanager als IT een integraal onderdeel wordt van de business? “Zorg dat je in een vroege fase betrokken bent bij plannen en projecten. Niet om als een soort politieagent te roepen wat er wel en niet kan, maar om al vanaf de ontwerpfase mee te denken en waarde toe te voegen”, adviseert Van Houten. “Denk vanuit een risicoanalyse na over de mogelijkheden om de business te ondersteunen én veilige werkwijzen te hanteren. Het gaat erom de balans te vinden tussen security en de ondersteuning van de business. Met een agile attitude kan je inspringen op ontwikkelingen in de bedrijfsstrategie, actuele risico’s en nieuwe projecten – en fungeer je als een goede sparringpartner voor onder meer de directie en het bestuur.”
Risicomanagement naar een hoger niveau
Het risicomanagement draait op een steeds hoger niveau, zegt Van Houten over de positieve ontwikkelingen van de laatste tijd. “Vroeger werden risicoanalyses vaak in hoge mate gebaseerd op interviews met interne stakeholders. Bij SHV bespreken we in interactieve workshops de risico’s die verschillende collega’s signaleren. Dan kan je sneller en beter de belangrijkste risico’s in kaart brengen, met oog voor de verschillende belangen van bijvoorbeeld projectleiders en security officers.”
Securitymanagers kunnen allerlei technieken inzetten om aan preventie, detectie en repressie te werken, ziet Van Houten ook. “Tooling en innovaties zoals Artificiële Intelligentie (AI) kunnen steeds meer ontzorgen. Denk aan antivirus- en malware-oplossingen die met behulp van AI en data analytics een voorspellend vermogen hebben.”
Sterke focus op techniek is een valkuil
Een aandachtspunt is volgens Van Houten dat veel organisaties geneigd zijn om te focussen op preventie en daardoor te weinig aandacht besteden aan detectie, repressie en herstel na incidenten. Ook een sterke focus op techniek is een valkuil. “Technische applicaties en systemen zijn belangrijk voor informatiebeveiliging, maar we moeten ook oog hebben voor governance, processen en mensen. Er hoeft maar één medewerker te zijn die op een phishing e-mail klikt en de gevolgen voor de security kunnen al gigantisch zijn. Aan de andere kant kan ook één alerte medewerker die een verdachte e-mail of activiteiten meldt een aanval afslaan – en daarmee kunnen we security verbeteren. Daarom is awareness heel belangrijk. Met e-learnings en voorlichting aan medewerkers kunnen we uitleggen wat veilige werkwijzen inhouden én waarom ze zo belangrijk zijn.”
Stakeholdermanagement
Goed stakeholdermanagement is essentieel voor het effectieve optreden van security officers, benadrukt Van Houten. “Luister naar wat managers en bestuurders belangrijk vinden: wat verwachten ze van IT en security, wat hebben ze nodig om de bedrijfsdoelstellingen te realiseren, waarvan liggen ze wakker? Geef in een open dialoog aan wat jij vanuit jouw professie belangrijk vindt, en voorzie het management en bestuur van de informatie over risico’s, dreigingen en kwetsbaarheden die echt relevant zijn voor de organisatie.”
IT-auditor de ideale samenwerkingspartner voor de securitymanager
Tot de stakeholders van de securitymanager behoren volgens Van Houten ook IT-auditors, die een belangrijke rol hebben in de three lines of defence. “De IT-auditor heeft een goed zicht op wat er wel en niet goed gaat in organisatie. Daarmee is hij een ideale samenwerkingspartner voor de securitymanager: dan kan je samen optrekken om proactief betrokken te worden bij het strategische beleid en je adviesrol optimaal invullen.”
Sturen op basis van inzicht
Wat zijn de prioriteiten voor de toekomst als het gaat om informatiebeveiliging? We hebben meer inzichten nodig in risico’s, bedreigingen en kwetsbaarheden, vindt Van Houten. “Veel professionals sturen in feite op basis van onvoldoende inzicht. Met goede dashboards kan je zinnige dingen zeggen, je stakeholders informeren en daadwerkelijk de juiste dingen doen. Informatiebeveiliging is natuurlijk een continu proces en een adaptief dashboard is een belangrijk onderdeel van de Plan-Do-Check-Act cyclus.”
Ook klanten en leveranciers moeten informatiebeveiliging op orde hebben
Ketenafhankelijkheid wordt steeds belangrijker voor succesvol beleid op het terrein van informatiebeveiliging, waarschuwt Van Houten. “Je kunt de security als organisatie misschien goed op orde hebben, maar ook je klanten en leveranciers moeten de zaken goed regelen. De overheid stimuleert de ketensamenwerking actief. Zo brengt het Nationaal Cyber Security Centrum (NCSC) publieke en private partijen samen en gaan verschillende specialisten via bijvoorbeeld Information Sharing and Analysis Centres (ISACs) aan de slag om van elkaar te leren over incidenten, dreigingen, kwetsbaarheden en maatregelen.”
Van Houten ziet dergelijke sectorale overleggen als essentieel om als organisatie de digitale weerbaarheid te vergroten. “Je kunt onmogelijk alle specialistische kennis van de uiteenlopende facetten van security in huis hebben, dus het is raadzaam om de samenwerking met externe partijen op te zoeken.”
Crisis als kans
“In het Chinees heeft een crisis twee betekenissen: aan de ene kant is er de negatieve betekenis van gevaar zoals wij die kennen, maar aan de andere kant betekent een crisis ook een kans en uitdaging. Die twee kanten zie ik ook aan de crises die ons land de laatste jaren hebben getroffen, zoals de coronapandemie en de financiële crisis”, aldus Van Houten.
“Door de lockdown zijn we steeds meer gaan thuiswerken en worden allerlei IT-initiatieven versneld doorgevoerd. Dat is soms misschien lastig, maar geeft organisaties ook de gelegenheid om een digitaliseringsslag te maken en digitale informatie op nieuwe manieren te ontsluiten. De uitdaging voor iedereen die bezig is met security is om straks te zorgen dat de beweging zich op een veilige manier doorzet. Dat kan bijvoorbeeld door Business Continuity Management en Incident Response op te pakken en daadwerkelijk te anticiperen op incidenten, onder meer door te oefenen met het herstel na een hack. Als de coronacrisis ons één ding heeft geleerd dan is het wel dat het belangrijk is om je voor te bereiden op iets dat kan gebeuren, ook al weet je niet wanneer het gebeurt.”
Lynsey Dubbeld is communicatieadviseur, contentstrateeg, trensanalist en copywriter
– Digitale weerbaarheid: een hoofdrol voor decentralisatie en participatie
– Tikkie Fraude: nieuwe goudmijn voor cybercriminelen
– “Zonder inzet nieuwe technologieën is cyberweerbaarheid niet te garanderen”
– DNS: basis voor veilig digitaal werken
– Voorbereiden op digitale ontwrichting vraagt om coördinatie overheid