Vragen waar passende stellingen bij bedacht zijn die door Bert-Jan van Schalkwijk, Security Consultant, en Martijn van Westerneng, Accountmanager bij CSN Groep worden bevestigd of ontkracht om te achterhalen wat nu een wendbare en weerbare organisatie inhoudt.
Eerst even voorstellen
Bert-Jan van Schalkwijk is als Security Consultant verantwoordelijk voor onze klanten op het gebied van informatiebeveiliging. Bert-Jan: “Ik kijk goed naar de huidige situatie van de organisatie en geef advies. Daarnaast beheer en plaats ik firewalls en andere security-oplossingen.” Als Accountmanager heeft Martijn van Westerneng direct te maken met de vraagstukken van organisaties. “Aan de hand van die vragen zoek ik de juiste specialist om zo de juiste vervolgstappen te kunnen zetten op basis van de actualiteit”, zegt Martijn.
Stelling 1 | Een transformatie naar een meer wendbare organisatie is onvermijdelijk
“Als je relevant wil blijven, is het onvermijdelijk”, meent Martijn. Bert-Jan haakt daar direct op in: “Denk simpelweg aan de dingen die de afgelopen twee jaar in een stroomversnelling zijn geraakt. Organisaties die zich nog niet hadden voorbereid op thuis/flexibel werken, hebben een aardige inhaalslag moeten maken. Dan moet je wel wendbaar zijn.” Al ligt het kunnen faciliteren van flexibel werken volgens Martijn wel aan het type organisatie. “Wij hebben veel te maken met productiebedrijven en productiemedewerkers zullen wel fysiek aanwezig moeten zijn. Voor die bedrijfscultuur is het wellicht minder passend als de kantoormedewerkers op een andere locatie hun werkzaamheden uitvoeren”, legt Martijn uit. “Voor de meeste dienstverleners is op afstand werken prima. Daarnaast is het een omslag in de manier waarop een organisatie gemanaged wordt. Je hebt vertrouwen in je medewerkers nodig en dat ze ook thuis productief kunnen zijn. Niet iedere manager kan die ommezwaai maken.”
Andere mindset en eisen van opdrachtgevers
Volgens Bert-Jan hebben sommige organisaties duidelijk niet de transitie gemaakt naar een wendbare organisatie. Bert-Jan: “Soms heb je te maken met een bepaalde overtuiging, waardoor de mindset anders is. Dit vanwege hun kijk op het vaccinatiebeleid bijvoorbeeld en het blijven vasthouden aan het idee dat iedereen naar kantoor moet blijven komen. Dat kan ertoe leiden dat sommige medewerkers uiteindelijk op zoek gaan naar een organisatie waarbij flexibel werken wel wordt gefaciliteerd.” Martijn heeft het idee dat er nog een aspect aan de wendbaarheid zit: de eisen van je opdrachtgevers. “Veel opdrachtgevers eisen dat je wendbaar bent door je te kunnen aanpassen aan hun standaarden”, meent hij. “Ze vragen bijvoorbeeld naar transparantie in de productiefases. Je ziet steeds meer dat je met één druk op de knop realtime je order kunt volgen. Als je dat niet kunt omarmen in je organisatie, betekent het dat je bepaalde opdrachten niet kunt aannemen.” Bert-Jan heeft hier een mooi praktijkvoorbeeld van. “Ik had laatst contact met een organisatie die op afstand haar machines wilde kunnen uitlezen”, vertelt hij. “De fabriek waar deze machines staan, eiste dat de verbinding zou worden opgebouwd via Multifactor Authenticatie (MFA). Daar moet je dan wel in mee.”
Stelling 2 | De bedrijfsprocessen per afdeling in kaart brengen staat de wendbaarheid in de weg
“Als je alleen het volledige proces bekijkt, dan denk ik dat je besluiten neemt op basis van de verkeerde motieven”, denkt Martijn. “Een beleid kan pas succesvol zijn als het voor iedereen te implementeren is. Om een voorbeeld te noemen: We hebben nu een aanvraag van een staalbouwbedrijf dat enorm veel applicaties heeft waar ze hele hoge licentiekosten aan kwijt zijn. Nu blijkt dat die applicaties gewoon niet met elkaar samenwerken. Dus enerzijds zul je per afdeling inzichtelijk moeten maken wat zij gebruikt en wat belangrijk is om het werk te kunnen doen en anderzijds zul je van bovenaf moeten bekijken hoe de processen op elkaar aansluiten.” Bert-Jan is het daarmee eens en vult aan: “De manier van werken moet geaccepteerd worden. Denk bijvoorbeeld aan MFA. Dat vinden sommigen heel lastig. En dat wordt het ook als je twintig keer in een uur moet inloggen voor het starten van een applicatie. Maar als je dat één keer op een dag moet doen, dan is dat uit te leggen en vindt iedereen dat volkomen logisch. Bij CSN staat MFA bijvoorbeeld op kantoor uit en hebben we voorwaardelijke toegang ingesteld. Zo is bepaald of collega’s wel of geen toegang krijgen tot bepaalde informatie.”
Stelling 3 | De verantwoordelijkheid van het weerbaar maken/houden van de organisatie ligt bij het management
Martijn antwoordt stellig: “Niet mee eens. Het management stippelt een visie uit, maar de gebruikers hebben invloed of een maatregel daadwerkelijk succesvol gaat zijn of niet. Dus als zij de maatregelen accepteren en ook erkennen dat deze nodig zijn, dan zullen ze zich aan deze maatregelen houden. Als deze opgelegd worden of het is onduidelijk waarom een maatregel nodig is, dan zullen ze wegen zoeken om die te omzeilen.” Je zou volgens Martijn moeten kunnen uitgaan van een bepaalde mate aan verantwoordelijkheid en zelfredzaamheid van medewerkers. “Of je nu een phishingmail krijgt of je laat iemand mee naar binnen lopen. Die bewustwording moet er bij iedereen zijn, zowel bij de directie als de medewerkers. Er ligt wel een opdracht bij de directie om die bewustwording te vergroten en te stimuleren bijvoorbeeld via security awarenesstrainingen, maar je hebt de medewerker nodig om het beleid in de praktijk te brengen.” Sommige zaken kunnen volgens Bert-Jan helemaal niet bij het management liggen. “Daar zou een overkoepelende IT-partij iets van moeten vinden”, meent hij. “Denk bijvoorbeeld aan het Log4j-verhaal. Op dat soort momenten moet er snel gereageerd worden en ik kan me niet voorstellen dat een management weet welke nieuwe zaken er spelen binnen IT-security.”
Stelling 4 | Het is niet zozeer de vraag of een systeem of proces uitvalt, maar wat er gebeurt als het zover is
“Er zijn bedrijfskritische processen die niet mogen uitvallen”, zegt Martijn. “Hierin kun je IT-technisch keuzes maken door bijvoorbeeld dingen dubbel uit te voeren of prioriteit te geven. Alleen moeten we zeker niet in de illusie geloven dat er nooit iets zou kunnen voorvallen. Daarom is het goed per afdeling te weten welke maatregelen je moet nemen.” Bert-Jan windt er geen doekjes om: “Ga er maar vanuit dat het een keer misgaat. Het belangrijkste van wendbaarheid en weerbaarheid is dat je op dat moment een goed plan hebt liggen. Maak inzichtelijk hoelang je het je kunt permitteren om plat te liggen. Of je het je kunt permitteren. Stel dat het misgaat, hoelang duurt het om bepaalde zaken weer operationeel te krijgen? Wat heeft voorrang? Het is een afweging in kosten en tijd. Voor een accountantskantoor is het belangrijk dat iedereen weer zo snel mogelijk in de systemen kan komen, maar voor een productiebedrijf zal het belangrijker zijn dat de banden door blijven lopen. Dat de administratie wat achter komt te liggen, zal een minder grote zorg zijn. Wees je bewust van de eerste stappen die genomen moeten worden. Als je dat pas moet gaan bepalen als de emotie hoog is, dan kom je er niet uit. Wij voeren om die redenen tests uit bij klanten om te zien hoe lang het duurt voordat de organisatie weer up-and-running is.”
Stelling 5 | In ronduit de meeste gevallen vormen verouderde IT-systemen kwetsbaarheden in cruciale processen
“In veel gevallen wel”, reageert Martijn. “Geplande aanvallen van een cybercrimineel hebben inderdaad vaak te maken met bekende lekken. Een mooi voorbeeld hiervan is de traditionele prikklok. Dit is geen bedrijfskritisch proces, maar als je nog geen mogelijkheid hebt om die uit te faseren, dan moet het niet zo zijn dat de zelfrijdende heftruck ontspoort door een lek in het prikkloksysteem. Weet wat er gebeurt in je productieproces en welke devices hieraan gekoppeld zijn. Vormen devices een risico? Welke maatregelen moet je dan nemen? Het is een keten van dominostenen die kunnen omvallen.”
Als je niet om een verouderd systeem kan
Bert-Jan weet uit ervaring dat je vooral in grote organisaties verouderde systemen in het netwerk blijft vinden. “Sommige organisaties weten niet eens dat ze nog bestaan”, vertelt hij. “Dat is verontrustend, dus zorg ervoor dat je je netwerk goed in kaart brengt, weet welke devices met elkaar babbelen en isoleer die verouderde systemen. Zo ontdekte ik tijdens een inventarisatie bij een staalbouwbedrijf dat men goede oplossingen had, maar ook nog een aantal heel oude devices die machines aanstuurden. Het bedrijf had ervoor gezorgd dat de oude devices apart in hun netwerk gestopt waren.” In een ideale wereld heb je geen verouderde systemen in je netwerk, maar zo werkt het volgens Bert-Jan niet.
Een oplossing eisen
“Soms moet je eisen van je leverancier dat zij met een oplossing komt voor een verouderd systeem”, meent Bert-Jan. “Zeker als je daardoor jouw weerbaarheid niet kunt garanderen. Hetzelfde geldt voor andere partijen die verbinding willen maken met jouw netwerk. Ga eisen dat het aan bepaalde voorwaarden voldoet. Kunnen ze daar niet aan voldoen, wat heeft zo’n bedrijf dan op jouw netwerk te zoeken?”
Stelling 6 | Je kunt je beter focussen op het herstel van je organisatie na een cyberaanval dan op je IT-beleid voor een cyberaanval
“Je moet altijd proberen om een aanval voor te zijn”, meldt Bert-Jan. “Als je te maken hebt met een cyberaanval, dan zitten de mensen die dit moeten oplossen hoog in de emotie. Ik heb meegemaakt dat er blinde paniek ontstond, omdat men niet wist wat ze moest doen. Je wilt achteraf kunnen zeggen dat je er alles aan hebt gedaan om je te beschermen tegen een cyberaanval. En komen ze toch binnen, dan wil je een plan klaar hebben liggen, zodat je weet wat je moet doen.” Martijn sluit zich bij Bert-Jan aan en vindt dat je niet pas na een aanval kan beginnen met nadenken. “Als je niet in kaart hebt hoe snel je een proces weer in de lucht moet hebben, dan ben je automatisch te veel tijd kwijt na de cyberaanval”, zegt hij. “Tijd investeren in de gevolgen van de aanval begint al ruimschoots voordat je ermee te maken hebt.”
Stelling 7 | Een wendbare en weerbare organisatie kan zich geen fouten permitteren
Beide heren zijn het erover eens dat iedereen in elke aangepaste en vernieuwde situatie fouten kan maken. Martijn vult aan: “Het gaat erom dat je de juiste back-upscenario’s hebt liggen. Je kunt ook te maken krijgen met onvoorziene externe factoren. Dat kun je misschien geen fout noemen, maar er kan altijd iets voorvallen wat impact heeft. Daar worden we creatief en wendbaar van.”
Stelling 8 | Het is voor een organisatie voldoende om een IT-beleid vastgelegd te hebben
Hierover zijn de heren het ook eens: het hebben van een IT-beleid alleen is zeker niet voldoende. Ze vinden dat je rekening moet houden met steeds nieuwe inzichten. “Het is goed dat je een IT-beleid hebt vastgelegd, maar dit blijft een doorgaand proces”, legt Bert-Jan uit. “Toets je beleid minstens één, twee keer per jaar om na te gaan of je bedrijfsprocessen nog hetzelfde zijn en wat er aangepast is. Is het op basis daarvan nodig om je beleid aan te passen? Is je disaster plan nog up-to-date? Je maakt een back-up, maar kun je die back-up daadwerkelijk teruglezen? Je IT-beleid is dus niet in beton gegoten.”
Stelling 9 | De juiste techniek zorgt voor een goede verdedigingstactiek
De basis zit volgens de mannen in de oplossingen die je implementeert. “Maar,” reageert Martijn, “je hebt ook hier te maken met de medewerker en hoe hij/zij de beschikbare middelen inzet. De keuze van de juiste hulpmiddelen zorgt dat je weerbaarder bent en weer sneller up-and-running bent op het moment dat het misgaat.” Bert-Jan geeft een praktijkvoorbeeld: “Als je een security-oplossing hebt die bijvoorbeeld alle ‘high criticals’ midden in de nacht afvangt, dan ben je zonder dat je het weet goed beschermd. De juiste middelen maken een aanzienlijk deel van je weerbaarheid. Alleen zul je altijd te maken hebben met het vinden van de juiste balans tussen techniek, proces en mens.” “Het is net koorddansen”, reageert Martijn. “En dan met een plan voor het geval je van het koord glijdt”, aldus Bert-Jan.