Say EASE

​Jan van Enk is naast projectmanager Cloud ook projectmanager Security. Als projectmanager Security is hij verantwoordelijk voor de implementatie van een uniforme security & compliance baseline op basis van Microsoft E5 Security & Compliance en de implementatie van een divisie-overkoepelend Security Operations Center (SOC) in Nederland. In deze Say EASE vertelt Jan over de security baseline en wat dit betekent voor de cyberveiligheid van VolkerWessels.

Succesvolle aanvallen verkleinen

Jan van Enk: “We zien dat in Nederland steeds meer cyberinbraken plaatsvinden, je leest dit bijna dagelijks in de krant. Iedereen komt wel een keer aan de beurt en daar wapenen we ons tegen door ons ‘huis’ beter te beveiligen. In 2020 werd door de Raad van Bestuur en het IT-management vastgesteld dat VolkerWessels niet zo goed beveiligd was als dat nodig is in deze tijd. Het was duidelijk dat er iets moest gebeuren voordat we straks bijvoorbeeld niet meer kunnen inloggen, of erger, dat we te maken krijgen met een ransomware aanval. Zoiets kan zomaar miljoenen kosten. Als onderdeel van Programma EASE hebben we als project Security de opdracht gekregen het veiligheidsniveau, dus de security baseline, op voldoende niveau te krijgen waardoor de kans op een succesvolle aanval een stuk wordt verkleind.”

Optimale cyberbeveiliging

“Een security baseline is eigenlijk niets meer of minder dan proberen je huis goed te beveiligen, zodat inbrekers veel minder kans maken om daadwerkelijk in te breken om iets te stelen of kapot te maken,” legt Jan uit. “Je kan het zo zien; we zetten als het ware een goed slot op het dakraam en een camera bij de voordeur en als extra beveiliging een open valluik achter de voordeur. Hiervoor gebruiken we de  cyberbeveiligingsmogelijkheden uit de Microsoft cybersecurity architectuur en het Windows 10 security platform. De implementatie van Microsoft  E5 Security & Compliance doen we met InSpark. Dit is een bedrijf dat gespecialiseerd is in de implementatie van Microsoft producten. Zij hangen als het ware samen met ons de camera’s op, graven putten, vervangen sloten om uiteindelijk ons huis veilig te krijgen. Hiermee zou je het kunnen vergelijken.”  

‘Uiteraard beveiligen we ook applicaties en data, zodat iemand zonder
bijbehorende rechten niet zomaar bepaalde data naar buiten kan sluizen’ 

Infrastructuur? Check. Identiteit? Check. Netwerk? Check. Data? Check.

“Voor VolkerWessels betekent dit bijvoorbeeld dat we onze infrastructuur beter hebben beveiligd,” vervolgt Jan zijn verhaal. “Ook op de lijnen, switches en firewalls hebben we nu de juiste beveiliging zitten. Maar los van dat het bedrijfsnetwerk veilig is, gaat Microsoft ervan uit dat er een lek is en verifieert ieder toegangsverzoek, alsof het uit een open netwerk afkomstig is. Dit is nodig omdat medewerkers steeds meer thuiswerken, hun eigen apparaten gebruiken en data en applicaties in de publieke cloud, zoals Office365 en Azure, buiten het bedrijfsnetwerk benaderen en delen met externe medewerkers en leveranciers. Dat betekent dat als je inlogt dat we controleren of je met een toegestaan device inlogt en of je het ook echt bent. Je kan niet nu in Nederland inloggen, een uur later in Suriname en een uur later weer in Nederland. In een dergelijke situatie vragen we extra bewijs om te controleren of jij het echt bent. Bijvoorbeeld via de authenticator-app of een sms-code op je telefoon. Uiteraard beveiligen we ook applicaties en data, zodat iemand zonder bijbehorende rechten niet zomaar bepaalde data naar buiten kan sluizen.”

Alarmcentrale om de boel in de gaten te houden

“Vandaag de dag is het niet langer de vraag of een organisatie met een security incident te maken krijgt, maar wanneer het incident optreedt en of het incident wordt opgemerkt. Het gaat dus om het beperken van de gevolgen van een incident. Hiervoor hebben we zusterbedrijf Tesorion gevraagd voor ons een Security Operations Center, een zogenaamde SOC, in te richten. Dit SOC is als het ware een alarmcentrale die continu ons bedrijfsnetwerk, identiteiten, devices, applicaties en data monitort. Door snelle detectie van security incidenten kunnen we de tijdsduur van een incident beperken en ook schade beperken.”

Continue kwetsbaarheden detecteren

“Om succesvol te zijn met de informatiebeveiliging moet je weten waar je zwakke plekken zitten. Dit doen we door een security aanvalssimulatie te laten uitvoeren. Dat is te vergelijken met wat in computerspelletjes gebeurt: een rood team probeert in te breken bij een blauw team.​​​​Bij VolkerWessels hebben we nu een zogenaamd rood team ingehuurd om ons aan te vallen, in dit geval het bedrijf Tesorion. We vragen Tesorion ons ‘huis’, onze IT-omgeving, binnen te dringen om te kijken waar zwakke plekken zitten. Soms vinden ze dan ook zwakke plekken,” zegt Jan. “Zij hebben dan als het ware een open dakraampje gevonden. Dan weten we dat we onze beveiliging moeten verbeteren. Dit is een constante herhaling om kwetsbaarheden te detecteren en de hackers een stapje voor te blijven.”

Security: strategie, tactisch en operationeel

“Mijn project levert de initiële inrichting en binnen een aantal maanden moet ons project het grootste deel van het werk opgeleverd hebben. Dan neemt het Security team van VolkerWessels ITBV het beheer en de doorontwikkeling van deze producten over. Dit doen zij in samenwerking met de verschillende divisies en Corporate Security. Wim Harlaar en zijn team geven binnen ITBV vorm aan Security Operations. Zij zorgen ook dat de beveiliging op het juiste niveau blijft, worden bij alle technische security issues betrokken en zorgen dat daarbij de juiste maatregelen getroffen worden.” 

De aankomende maanden zorgt Jan van Enk binnen Programma EASE samen met zijn projectteam voor de juiste overdracht naar het Security team van ITBV, zodat de security baseline ook na Programma EASE sterk en actueel blijft.

Klik hier voor meer informatie over Programma EASE.