Information Security – Zekerheid als einddoel


Frauduleus gebruik van data en informatie blijft een groot probleem. Om dat tegen te gaan is eerst een zo compleet mogelijk inzicht nodig; welke data en informatie bevinden zich binnen een organisatie met welke classificatie. Product Manager Albertho Bolenius, verantwoordelijk voor informatiebeveiliging, vertelt hoe SMT daarbij helpt.

“Jarenlang moest ik praten als brugman om bedrijven uit te leggen waarom ze toch echt moesten investeren in beveiliging”, geeft Bolenius aan. “De laatste jaren zien mensen in dat het geld kan kosten als ze hun security niet op orde hebben. En dan ook echt serieus geld. Door imagoschade, door verlies van data, door boetes, maar ook simpelweg doordat klanten weglopen als bedrijven niet aan kunnen tonen dat ze security op orde hebben.”

 

Pijn zoeken

Om dat soort schade voor te zijn, ondersteunt SMT veel organisaties. “Via korte stappen beklimmen we uiteindelijk een berg. Het begint met de intake. We gaan altijd eerst op zoek naar waar de pijn van de klant zit. We kijken naar de behoeftes en kiezen een assessment die toe te passen is op de situatie en behoefte van de klant. Als ze een SOC (Security Operating Center, red.) willen neerzetten, dan doen we een technisch assessment. Maar als klanten een management buy-in willen, dan zal het assessment over risico’s gaan. En soms moeten klanten aan bepaalde wet- en regelgeving voldoen. Dan doen wij een audit assessment.”

SMT brengt al die informatie bij elkaar. “Daar komt een SSAD uit, oftewel: SMT Security Assurance Document. Daarin staat hoe wij de klantbehoefte, de assessmentresultaten en de oplossingen bij elkaar gaan brengen. Ook wordt daarin duidelijk in welke fase van volwassenheid de klant op dat moment zit. We kijken daarbij naar vijf domeinen: business, mensen, proces, technologie en services. Daarnaast komen we met een plan van aanpak. En omdat we transparantie heel belangrijk vinden is dat inclusief bijlages met alle relevante informatie die we hebben gevonden.”

“Wij zeggen niet ‘Beste klant, we zien dat u daar pijn heeft, hier heeft u een pleister, succes ermee!’. Wij laten zien waar de pijn zit en stellen een aantal oplossingen voor. Soms wil een klant alleen een pleister, soms liever een hele operatie. Samen gaan we dat traject in en we stoppen pas als het helemaal klaar is. We hebben namelijk de kennis en ook de samenwerkingsverbanden om zo’n heel traject, ook aan de achterkant, te doen.”

Net als bij IT Operations en Business Analytics maakt SMT ook bij Information Security gebruik van het SMT EDAP® (SMT Enriched Data Analytics Platform®). “Het hangt allemaal met elkaar samen. Om de structuur voor IT Operations op orde te krijgen, moet je voldoen aan een bepaalde securitystandaard. Een beursgenoteerd bedrijf heeft rekening te houden met het normenkader van De Nederlandsche Bank. Een bedrijf dat ook in de Verenigde Staten actief is, moet daar aan standaarden voldoen. Daarvoor moet je eerst je Business Analytics voor elkaar hebben, zodat je weet welke data je moet classificeren. Door gebruik te maken van het SMT EDAP® kunnen we die drie pilaren met elkaar verbinden.”

Eilandjes

Bolenius geeft een praktijkvoorbeeld. “Bij een grote organisatie die onder de overheid valt verlenen we consultancy en doen we services over een dataplatform. Maar de IT-afdeling had een eigen platform, net als de financiële afdeling. Het waren allemaal eilandjes. Wij hebben ons ingezet om alles samen te brengen binnen het SMT EDAP®. We hebben ook een SOC assessment gedaan waarin het SOC helemaal is doorgelicht: van de processen tot de technologieën en van de mensen tot de cultuur. Vooral ook op C-level, want weet de directie wel wat er in het SOC gebeurt? Dit heeft uiteindelijk geresulteerd in één dataplatform, waarmee alle afdelingen werken. Het SMT EDAP verzamelt alle data waaruit de analyses worden uitgevoerd en alle betrokken partijen hebben toegang tot al die beschikbare data. Operationele handelingen kunnen nu vanuit eenduidige analyses worden uitgevoerd. Dit maakt het voor security bovendien mogelijk om abnormaalheden uit de monitoring te halen. Incident monitoring en response heeft mede hierdoor een veel hoger waarheidsgehalte.”

Bolenius geeft nog een voorbeeld. “Een grote verzekeraar, waar de IT voor een groot deel is uitbesteed, moest voldoen aan normen van De Nederlandsche Bank. Ze moesten een bepaalde controle hebben over hun IT, maar omdat ze er bewust voor kozen om geen SOC te hebben, werd dat lastig. Een SOC uitbesteden is enorm kostbaar, dus dat was ook geen optie. De klant werkte met vijf IT-regisseurs voor verschillende gebieden, die niet goed samenwerkten. Met behulp van een data-analyse konden we aantonen dat samenwerken, ook met een gezamenlijk budget, enorme voordelen op zou leveren. Qua kosten, maar ook qua kennis. Eigenlijk maar een kleine stap, maar wel met grote gevolgen.”

Abnormaalheden

Uiteraard zet SMT zich met Information Security ook in om aanvallen aan te zien komen en op tijd af te wenden. “Dat kan door het analyseren van abnormaalheden. We zien dat er iets is dat afwijkt van de normale statistieken zoals, simpel gezegd, ongewoon veel drukte om half twaalf ’s nachts. Als IT Operations goed is ingericht, kun je dat soort gebeurtenissen, zonder dat er mensen voor nodig zijn, meteen proactief omzetten in acties en het maken van een rapportage. De volgende ochtend hoef je niet eerst uren te overleggen. De eerste stappen zijn namelijk al gezet door het verrijkte dataplatform.”

De doelstellingen die worden afgesproken verschillen sterk per bedrijf, maar uiteindelijk is het einddoel volgens Bolenius hetzelfde. “We willen Security Assurance bieden. Zekerheid op het vlak van data en informatie.”

 

Juni 2019