“Ik kan mijn stempel drukken op iets wat veel voor mensen gaat betekenen.”

Peter Takacs, Ik-klaar-de-klus IT’er

Peter Takacs werkt sinds drie jaar bij SimplifyNow als Solution architect. Of zoals hij dat zelf noemt: een technisch onderbouwt Solution architect. Naast oplossingen bedenken programmeert Peter namelijk ook. Zelf aan de knoppen zitten vindt hij ‘nog veel te leuk en uitdagend’. Met de perfecte mix van skills kan hij zijn eigen oplossingen ook uitvoeren. Zo klaart hij elke klus.

Case: optimale security door gestructureerd programma

Als ergens hoge, en steeds hogere eisen worden gesteld aan het beheren en bewaren van klantgegevens, dan is het wel in de verschillende systemen van banken en verzekeraars. Waar elders anno 2023 een inhaalslag wordt gemaakt, wordt in deze sectoren het belang hiervan al jarenlang onderstreept. Logisch want uiterste zorgvuldigheid en vertrouwelijkheid is voor deze organisaties van levensbelang. Voor een van onze opdrachtgevers ontwikkelden we daarom een gestructureerd (beleids)programma waarin alle relevante security-maatregelen zijn voorzien en worden (of zijn) genomen.

Om de risk posture te optimaliseren, wordt het securityprogramma om te beginnen opgebouwd door de kwetsbaarheden inzichtelijk te maken. Vervolgens wordt het proces ingericht om deze kwetsbaarheden op te lossen binnen gestelde termijnen. We hebben het dan over vulnerability management.

Awareness

Waar op organisatieniveau het belang van veilige systemen gewoonlijk niet wordt onderschat, laat dat op individueel niveau van de medewerker nogal eens te wensen over. Dit is echter een van de belangrijkste pijlers van security, die – hoe eenvoudig ook – zelfs begint bij het beschermen en organiseren van persoonlijke toegang: een password-protocol is daarbij slechts de minimale, eerste actie van wat we Identity & Accesmanagement noemen. Daarbij is het van belang rekening te houden met het feit dat er altijd meerdere systemen zijn binnen bedrijfsprocessen. Door de applicatie ‘whitelisting’ (en eventueel ‘blacklisting’) toe te passen, is het mogelijk om malware te weren.

In de basis gaat het echter vooral om het creëren van voldoende bewustzijn en alertheid bij medewerkers, bijvoorbeeld om te zorgen dat systemen niet onbeheerd worden gelaten en phishing en spoofing tegen worden gegaan.

Maatwerk stelt andere eisen

Behalve dat standaard softwarepakketten worden aangeschaft, wordt ook veel maatwerk ontwikkeld. In het securityprogramma is opgenomen dat juist hier aandacht wordt besteed aan securityprincipes en dat er code scanning software wordt geïmplementeerd.

Fysieke toegang

Bij security is het belangrijk om buiten de eigen discipline te kijken, en zelfs buiten de eigen belevingswereld. Zo bestaat er ook zoiets als de offlinewereld, en dus ook de fysieke toegang tot bedrijfspanden en installaties. Aan de hand van het securityprogramma dat door Marcel Bakker werd ontwikkeld, zijn ook hier voor de specifieke opdrachtgever maatregelen genomen en is de toegang verscherpt.

Testen

‘The proof of the pudding’ komt natuurlijk op het moment dat de veiligheid en weerbaarheid wordt uitgedaagd. Onderdeel van het securityprogramma is dan ook de opdracht aan een onafhankelijke partij van vriendelijke hackers. Deze ‘ultieme’ test leidt tot een sterkte-/zwakte-analyse, en daarmee weer nieuwe maatregelen.

Implementatie moet begrijpelijk zijn

Om ervoor te zorgen dat de ICT-structuur blijft voldoen aan de security-eisen is meer nodig dan advanced techniek en andere beheersmaatregelen. Snelheid van implementatie is van belang omdat veranderingen om én van systemen steeds sneller elkaar opvolgen, en security moet meegroeien en up-to-date blijven. Gelijktijdig is het essentieel dat maatregelen en voorzieningen begrijpelijk zijn, zeg maar: simpel. Want uiteindelijk zijn het mensen die mee moeten kunnen komen in het securitybeleid. Ook de fase van implementatie vraagt daarom om een gestructureerd programma.