Security compliant aan nieuw beleid

De opdrachtgever in deze casestory is een toonaangevende leverancier van stroom, gas, zonnepanelen én IT diensten aan organisaties als Rijkswaterstaat en Shell. Eind 2018 scherpte men de Cyber Security Policy aan, die geldt voor alle locaties in diverse landen. We hielpen het Nederlandse hoofdkantoor het nieuwe IT beleid te implementeren. Onze (mensgerichte) aanpak verraste de opdrachtgever, gelukkig wel zeer tot diens tevredenheid.

Aan de hand van verschillende beveiligingsstandaarden, waaronder ISO 27001, analyseerden interne security specialisten het beveiligingsniveau. Deze analyse leverde een lijst van 134 verbeterpunten op. De opdrachtgever beschikte wel over de benodigde inhoudelijke kennis, maar had behoefte aan een gestructureerd programmamanagement (met kennis van security). Dit met als doel het verbetertraject soepel en efficiënt te laten verlopen. Aan een dergelijke aanpak voegen de IT specialisten van SimplifyNow de menselijke benadering toe. En deze maakt dat de verbeteringen duurzamer beklijven.

We verbeterden in korte tijd de securitypositie aan de hand van een aantal deelprogramma’s, om te beginnen bij vulnerability management en vervolgens aandacht te besteden aan bewustwording, Azure Information Protection om documenten te classificeren en het verbeteren van licentiemanagement.

Kwetsbaarheden in kaart

Onze eerste stap was het opzetten van vulnerability management: kwetsbaarheden in software identificeren, prioriteren en verhelpen. Een hygiënecheck op het datacenter waar de servers worden gehost, bracht verschillende aandachtspunten in de infrastructuur aan het licht. We stelden een plan van aanpak op en ondersteunden de interne security specialisten bij de uitvoering. Binnen een jaar waren deze verholpen.

Bewustwording en beveiliging

Naleving van security beleid vraagt niet alleen om het oplossen van technische kwetsbaarheden, maar ook om bewustzijn van security bij alle medewerkers. Om dit bewustzijn te vergroten, stelden we een jaarplan op voor narrowcasting: tips en uitleg over de gevaren via mailings, intranet en bijeenkomsten. Denk aan het instellen van sterke wachtwoorden en het vergrendelen van laptops. Ook informatie op USB-sticks en in e-mails vormt een risico. Daarom implementeerden we Azure Information Protection, een cloud tool die het versleutelen van bestanden en mails vereenvoudigt. Met de classificatiefunctionaliteit bepaal je wie wel en wie geen toegang heeft tot documenten.

Beheer van softwarelicenties

Het nieuwe security beleid vroeg ten slotte om een verbeterslag in het licentiemanagement: het beheer van de licenties voor alle software die binnen de organisatie wordt gebruikt. Hiervoor zochten we samenwerking met de interne inkoop- en administratieafdelingen en een externe leverancier. Dankzij de tooling is er nu volledig inzicht in geïnstalleerde software, inclusief licenties, gebruikersinformatie en facturen.

Soepele afstemming

Voor onze werkwijze kregen we veel waardering. Door eerst met alle stakeholders individueel te praten, werden alle belangen gehoord en werd het gezamenlijk overleg effectiever. Dit versnelde het proces aanzienlijk. En daardoor kon de opdrachtgever uiteindelijk (snel) meer vertrouwen en veiligheid garanderen aan klanten van het bedrijf.