18 apr Security is niet alleen iets van specialisten
“Informatiebeveiliging is van iedereen.” Het is een van de tien ‘gouden regels’ die energieleverancier Eneco heeft opgesteld voor security. Maar hoe zorg je ervoor dat alle zevenduizend medewerkers een verantwoordelijkheid voelen voor de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens? “Dat doe je in ieder geval niet door in een hoekje regels te gaan zitten schrijven”, vindt Luisella ten Pierik, Information Security Officer bij Eneco.
Ten Pierik heeft niet bepaald een carrièrepad doorlopen dat je verwacht bij een Information Security Officer van Eneco. Dat vindt ze zelf ook. “Het is inderdaad een beetje raar gegaan.” Na een ‘superinteressante’ studie Analytische & Fysische Chemie aan de Hogeschool Rotterdam viel de praktijk van molecuultjes haar tegen. “Ik miste de mensen en de snelheid; onderzoeken gaan zo traag en langzaam.”
Om het gemis op te vullen, combineerde ze haar werkzaamheden in het lab met de ‘zachte kant’ van kennismanagement. “Maar dat was niet te combineren.” Een carrière op het gebied van marktonderzoek was het ook niet helemaal. “Toen miste ik de techniek en ben ik er IT-projecten bij gaan doen.” Die IT-projecten waren wel een schot in de roos. “Hier kwam alles bij elkaar; de mensen, de processen en de techniek.”
Haar werkzaamheden als SAP-consultant – waar security volgens Ten Pierik een steeds groter deel van uitmaakte – vormden de opmaat naar haar huidige functie van Information Security Officer, die ze sinds 2014 bij Eneco vervult. “Dit is voor mij echt het walhalla”, zegt ze glunderend. “Als ISO pak je echt alles mee, van de policy’s tot aan de techniek en alles wat daar tussenin zit, inclusief de processen en de mensen. Informatiebeveiliging is bovendien een vakgebied dat zich razendsnel ontwikkelt.”
Security aanpassen aan dynamiek
Als ISO heeft Ten Pierik de taak om security binnen de Eneco Group nog meer op de kaart te zetten, onder andere door de diverse afdelingen binnen Eneco met elkaar te verbinden en met partners en collega’s te netwerken en te praten over techniek. “Binnen Eneco was security altijd al een belangrijk onderwerp, tot op het niveau van de raad van bestuur”, zo haast Ten Pierik zich om te benadrukken, “maar Eneco is momenteel heel erg aan het veranderen. We worden steeds innovatiever, zoeken steeds meer de samenwerking op en zijn continu op zoek naar nieuwe technologieën. Als de dynamiek verandert, dan moet je ook anders omgaan met security.”
“De traditionele watervalprojecten hebben bijvoorbeeld plaatsgemaakt voor een agile manier van werken”, legt Ten Pierik uit. “Als je vervolgens vasthoudt aan een informatiebeveiligingsbeleid dat strikt de stappen voorschrijft die je moet doorlopen en verlangt dat je bergen documentatie aanlegt, dan zet je zo’n agile organisatie helemaal vast. Met je beleid en je hulpmiddelen moet je dus ook snel bijsturen.”
Hetzelfde geldt volgens Ten Pierik voor ontwikkelingen als cloud en bring your own device, die een organisatie als Eneco veel voordelen kunnen brengen. “Het vergt dat mensen in kansen gaan denken en ondertussen inzien dat ze de risico’s moeten managen. Dat is iets anders dan tegen de gebruikers zeggen: dit is het kader en daar moet je binnen blijven. Die oude benadering van security werkt niet meer.”
“Het zijn transities waar we nu middenin zitten”, aldus Ten Pierik. “We kijken bijvoorbeeld welke businessvoordelen de cloud biedt en voor welke typen data de cloud acceptabel is. Bijvoorbeeld voor facturatie zijn er goede cloudoplossingen beschikbaar, maar die oplossingen hebben wel als consequentie dat ook de procesketen linkjes gaat krijgen met de cloud en je zelf veel minder de controle hebt.”
In control blijven
Om ‘in control’ te blijven, hanteert Eneco wat Ten Pierik noemt een ‘hybride model’. Binnen de Eneco Group zijn de diverse onderdelen zoals Eneco Consumenten, Eneco Zakelijk, netbeheerder Stedin en infraspecialist Joulz zelf verantwoordelijk voor hun eigen IT en security. Wel is er vanuit de Eneco Groep sprake van een centrale aansturing. “De decentrale onderdelen krijgen kaders en een raamwerk mee. ‘Dit is de architectuur, dit zijn de afspraken die je moet maken en dit zijn de securitykaders.’”
“Het beleid van de Eneco Groep is heel erg gericht op het ‘wat’”, verduidelijkt Ten Pierik. “Wat is er nodig om de beschikbaarheid, integriteit en vertrouwelijkheid van de data te garanderen? Vervolgens kijken we samen met de business naar het ‘hoe’. Dat ‘hoe’ schrijven wij als Eneco Groep niet voor, want wij zijn ook niet de specialisten per applicatie.”
Als voorbeeld geeft de ISO van Eneco het proces dat heeft geleid tot de keuze voor mSafe van Motiv voor het veilig uitwisselen van bestanden. “Onze ‘wat’ was dat er een veilig alternatief moest komen voor bijvoorbeeld WeTransfer en Dropbox. Architectuur heeft vervolgens gekeken naar welke oplossingen er beschikbaar zijn en gekozen voor mSafe. Stedin gebruikte al mSafe en inmiddels wordt de toepassing ook door collega’s onderling aanbevolen.”
Security is van iedereen
“De basis voor ons beleid is een strategie die we hebben samengevat in een heel simpel cirkelvormig plaatje dat voor iedereen is te begrijpen”, vervolgt Ten Pierik. “De buitenste rand stelt dat je als medewerker ‘committed’ moet zijn; succes behalen doe je samen, maar ook het herstellen van bijvoorbeeld een security-incident doe je samen. Het binnenstuk van de cirkel is verdeeld in drie stukken: ‘be aware’, ‘be capable’ en ‘be resillient’.”
Uit deze strategie vloeien weer tien ‘gouden regels’ voort. Ten Pierik: “Zo moet alles wat we doen, en dus ook informatiebeveiliging, bijdragen aan onze missie. Security mag dus niet de bedrijfsvoering frustreren.” Een andere belangrijke regel is dat informatiebeveiliging een verantwoordelijkheid is van iedereen. “Iedereen die met informatie van Eneco werkt, heeft hierin een rol.”
“Security is niet alleen maar iets van specialisten, maar van iedereen”, vindt Ten Pierik. “Eigenlijk zou je het niet eens door moeten hebben dat je met security bezig bent. Het moet een logisch onderdeel zijn van de manier waarop je werkt, en niet een aparte discipline. Security moet in je DNA zitten; je zorgt er gewoon voor dat het veilig is.”
Awareness creëren
Om security in het DNA van de medewerkers te krijgen, is het ‘be aware’ een belangrijk onderdeel van de strategie. “Security doe je niet door in een hoekje regels te gaan zitten schrijven”, aldus Ten Pierik. Het creëren van awareness doet Eneco onder andere door het organiseren van sessies voor de medewerkers waar bijvoorbeeld externe sprekers een hack demonstreren of een groot incident toelichten dat de media heeft gehaald. “Ook bespreken en communiceren we de incidenten die we zelf hebben gehad om zo het taboe van incidenten af te halen. En we laten bijvoorbeeld zien wat er gebeurt als je op een phishingmail klikt.”
“Ook vragen we medewerkers zich voor te stellen wat er gebeurt als een bepaald proces dat nodig is om een doelstelling te behalen ineens ‘paf, boem’ wegvalt. Dan heb je het ineens over de kroonjuwelen die je moet beschermen. Als mensen begrijpen hoe security bijdraagt aan het behalen van doelen – en je plaatst het in hun eigen wereld – dan krijg je ineens een heel ander gesprek. Informatiebeveiliging is zoveel meer dan alleen IT.”
Politieagent
De aanpak van Eneco werkt, zo merkt Ten Pierik in de praktijk. “Wij worden niet meer gezien als de politieagent, maar als een van de collega’s met een rol in het behalen van de missie. Collega’s komen nu naar ons toe voor advies en ze spreken elkaar aan op mogelijk onveilig gedrag, zoals het plaatsen van privacygevoelige informatie op het intranet of op Yammer”, zegt ze vol trots. “En dat gebeurt zonder de tussenkomst van ook maar één privacyspecialist of informatiebeveiliger.”
Over Eneco
Eneco is met ongeveer zevenduizend medewerkers actief in Nederland, Groot-Brittannië, Frankrijk en België. De drie kernbedrijven binnen de Eneco Groep zijn energiebedrijf Eneco, infraspecialist Joulz en netbeheerder Stedin. Ook consultancybureau Ecofys is onderdeel van de Eneco Groep.
Het hoofdkantoor van de Eneco Groep staat in Rotterdam. De aandelen van Eneco zijn in handen van drieënvijftig Nederlandse gemeenten waarvan de gemeente Rotterdam de grootste aandeelhouder is.
Bron: https://www.securityvandaag.nl/article/item/Security-is-niet-alleen-iets-van-specialisten
Sorry, het is niet mogelijk om te reageren.