‘Security moet integraal onderdeel zijn van de infrastructuur’

Een spionage-app vanuit de Emiraten die duizenden keren is gedownload in Nederland, het Hof van Twente die na een vernietigende cyberaanval weer opkrabbelt of het datalek in het GGD-systeem dat al driekwart jaar bestaat. Het zijn slechts enkele nieuwsberichten waaruit blijkt hoe cyberdreigingen de maatschappij plat kunnen leggen. Juist daarom pleit Van den Heuvel voor Secure by design. “Bij implementatietrajecten moeten direct security-vraagstukken worden meegenomen.”

Juist door Covid-19 zijn veel organisaties momenteel op zoek naar ontzorging. Want ook het thuiswerken heeft security weer complexer gemaakt. Van den Heuvel: “Juist de endpoints die buiten het netwerk vallen vormen een kwetsbare schakel. Hoe dit te voorkomen is? Door niet met pointsolutions te werken, maar door security als geheel te bekijken en er blijvend mee bezig te zijn.”

Integraal onderdeel
Security is dan ook een integraal onderdeel van alle PQR services. “Data, informatie en applicaties moeten zowel beschikbaar als veilig zijn. PQR kiest daarbij voor een viertrapsaanpak om daarmee doorlopende de veiligheid te verbeteren. Stap één draait om Identify. Identificeer alle componenten binnen de infrastructuur. Weet wat je hebt, wat is belangrijk en wat is een risico of waardevol?”, legt Van den Heuvel uit.

Het start met het stellen van vragen, gaat hij verder. “Hoe lang kun je in het geval van een calamiteit zonder data? Waar staat de bedrijfsgevoelige data en wordt er gebruik gemaakt van SaaS-applicaties die mogelijk buiten het zicht van de IT zijn. De security experts van PQR kunnen dit in kaart brengen en hierover adviseren, bijvoorbeeld door een Externe Security Scan uit te voeren.”

Stap twee draait om het voorkomen van incidenten met inzet van technologie en procedures. Van den Heuvel: “Op basis van jarenlange ervaring en benchmark data hebben we een Security Improvement Proces ontwikkeld. Daarnaast kan een pentest ingezet worden als een gerichte zoekactie naar mogelijke verbeterpunten. Naast de technische middelen en processen blijft de belangrijkste component de mens. Er kunnen via technologie veel deuren dichtgezet en gecontroleerd worden, maar als de eindgebruiker toch de deur op een kier laat, schiet het risicoprofiel omhoog.”

Up-to-date
Bij stap drie draait het om ‘time to detect’. Monitor verdacht gedrag en volg incidenten op. “Welke maatregelen en voorzieningen we implementeren, is afhankelijk van de eisen en wensen. Niet alleen wat betreft producten, maar juist ook ten aanzien van de processen. Wie kan bijvoorbeeld besluiten om een Disaster Recovery Plan in werking te stellen?”, licht Van den Heuvel toe.

Naast de Time to Detect is de opvolging - de Time to Respond - cruciaal. Bij de opvolging is het niet alleen van belang om het incident te verhelpen, maar ook de continuïteit van de overige bedrijfsvoering te borgen. “Het PQR Security Operations Center (SOC) is 24 uur per dag paraat om actie te ondernemen wanneer zich een incident voordoet. Bovendien zorgen we er met periodiek onderhoud voor dat alles gezond en up-to-date blijft. PQR biedt diverse as-a-Service-oplossingen waarmee we klanten volledig ontzorgen qua beveiliging en beschikbaarheid.”