Security compliant aan nieuw beleid

De opdrachtgever in deze casestory is een toonaangevende leverancier van stroom, gas, zonnepanelen én IT-diensten aan organisaties als Rijkswaterstaat en Shell. Eind 2018 scherpte men de Cyber Security Policy aan, die geldt voor alle locaties in diverse landen. We hielpen het Nederlandse hoofdkantoor het nieuwe beleid te implementeren. Onze aanpak, waarbij we ook de mens centraal stellen, verraste de opdrachtgever, gelukkig wel zeer tot diens tevredenheid.

Aan de hand van verschillende beveiligingsstandaarden, waaronder ISO 27001, hadden interne securityspecialisten het beveiligingsniveau geanalyseerd. Deze analyse leverde een lijst van 134 verbeterpunten op. De opdrachtgever beschikte wel over de benodigde inhoudelijke kennis, maar men zag het belang van een gestructureerd programmamanagement (met kennis van security) met als doel het verbetertraject soepel en efficiënt te laten verlopen. Aan een dergelijke aanpak voegt SimplifyNow de menselijke benadering toe; deze maakt dat de verbeteringen duurzamer beklijven.
We verbeterden in korte tijd de securitypositie aan de hand van een aantal deelprogramma’s, om te beginnen bij vulnerability management en vervolgens aandacht te besteden aan bewustwording, Azure Information Protection om documenten te classificeren en het verbeteren van licentiemanagement.

Kwetsbaarheden in kaart
Onze eerste stap was het opzetten van vulnerability management: kwetsbaarheden in software identificeren, prioriteren en verhelpen. Een hygiënecheck op het datacenter waar de servers worden gehost, bracht verschillende aandachtspunten in de infrastructuur aan het licht. We stelden een plan van aanpak op en ondersteunden de interne securityspecialisten bij de uitvoering. Binnen een jaar waren deze verholpen.

Bewustwording en beveiliging
Naleving van securitybeleid vraagt niet alleen om het oplossen van technische kwetsbaarheden, maar ook om bewustzijn van security bij alle medewerkers. Om dit bewustzijn te vergroten, stelden we een jaarplan op voor narrowcasting: tips en uitleg over de gevaren via mailings, intranet en bijeenkomsten. Denk aan het instellen van sterke wachtwoorden en het vergrendelen van laptops. Ook informatie op USB-sticks en in e-mails vormt een risico. Daarom implementeerden we Azure Information Protection, een cloudtool die het versleutelen van bestanden en mails vereenvoudigt. Met de classificatiefunctionaliteit bepaal je wie wel en wie geen toegang heeft tot documenten.

Beheer van softwarelicenties
Het nieuwe securitybeleid vroeg ten slotte om een verbeterslag in het licentiemanagement: het beheer van de licenties voor alle software die binnen de organisatie wordt gebruikt. Hiervoor zochten we samenwerking met de interne inkoop- en administratieafdelingen en een externe leverancier. Dankzij de tooling is er nu volledig inzicht in geïnstalleerde software, inclusief licenties, gebruikersinformatie en facturen.

Soepele afstemming
Voor onze werkwijze kregen we veel waardering. Door eerst met alle stakeholders individueel te praten, werden alle belangen gehoord en werd het gezamenlijk overleg effectiever. Dit versnelde het proces aanzienlijk. En daardoor kon de opdrachtgever uiteindelijk sneller en meer vertrouwen en veiligheid garanderen aan klanten van het bedrijf.

SimplifyNow maakt IT eenvoudig en begrijpelijk

Meer weten over IT-security of werken bij SimplifyNow? Neem contact op voor de inhoud van bovenstaand artikel met
Marcel Bakker (+31 6 26 59 04 37 | marcel.bakker@simplifynow.nl) of
Pieter Ruigrok (+31 6 83 06 96 54 | pieter.ruigrok@simplifynow.nl).