‘Mensen denken bij security vaak als eerste aan technische oplossingen,’ vertelt Jos Oostdam, BCM-adviseur, ‘terwijl het onderliggende doel, je bedrijfscontinuïteit, veel breder is. Beveiligen is één, maar zorgen dat je weerbaar en robuust bent en tegen een stootje kunt, is twee. Dat vraagt om altijd actuele plannen, precies weten wat je kwetsbaarheden en kroonjuwelen zijn en goed voorbereid zijn op onverwachte tegenslagen. Zodat de bedrijfscontinuïteit overeind blijft, ook bij grote incidenten en verstoringen.’
Een belangrijk team binnen onze securityafdeling is het Business Continuity Management (BCM)-team. Jos werkt in een team met security en business continuity adviseurs die gezamenlijk verantwoordelijk zijn voor de implementatie van relevante wet en regelgeving. Daarvoor werkt ze nauw samen met andere Nederlandse telecomproviders, toezichthouders en ministeries. ‘We hebben veel wettelijke veiligheidsverplichtingen,’ vertelt Jos. ‘Eén daarvan is het garanderen van de bedrijfscontinuïteit. Ons netwerk moet tegen een stootje kunnen.’ Daar zorgt haar BCM-team op verschillende manieren voor. ‘Allereerst zorgen we ervoor dat scenario’s uitgedacht zijn en dat continuïteitsplannen altijd klaar liggen. Voorkomen – en goed voorbereid zijn – is immers beter dan genezen en herstellen. Daarnaast organiseren we dat de betrokkenen bij een incident de plannen direct kunnen uitvoeren.’
Aanpassen op een veranderende realiteit
Robuustheid en weerbaarheid zijn volgens Jos cruciaal voor bedrijfscontinuïteit. Weerbaarheid zit ‘m in de mentaliteit en vaardigheden van de organisatie om goed om te gaan met onverwachte situaties, legt ze uit. ‘In ons denken en doen moet KPN weerbaar zijn. Daarvoor werken we – heel praktisch – met de bekende Deming-cirkel: Plan, Do, Check en Act. Die helpt ons om plannen steeds opnieuw te verbeteren en bij te stellen. De wereld is dynamisch, onze omgeving verandert continu. Een systeem dat gisteren niet kwetsbaar of gevoelig was, kan dat morgen wel zijn. We zeggen hier wel eens: als de wet van Murphy en moeder natuur samenspannen, dan ontstaan situaties die je van tevoren nauwelijks kan inschatten en beheren. Daarom hebben we niet alleen een plan B, maar ook een plan C en D nodig. Verandert onze omgeving, dan stellen we die plannen weer bij. Dat is ook weerbaarheid, dat je de flexibiliteit hebt om je steeds aan te passen op een veranderende realiteit.’
Geen oneindige resources
‘Robuustheid gaat over de maatregelen die we nemen om ons netwerk en onze diensten in de lucht te houden en hoe we, bij een incident, binnen acceptabele tijd alles weer terug in de lucht hebben. Het maken van risicoafwegingen is daarbij noodzakelijk. We hebben nu eenmaal geen oneindige resources en budgetten om elk asset de allerhoogste graad van beveiliging te geven. Voor een goede risicoafweging moet je met elkaar in gesprek blijven. Zodat verwachtingen helder zijn en duidelijk is waar de ene verantwoordelijkheid begint en de ander eindigt. En natuurlijk je kwetsbaarheden en kroonjuwelen heel goed kennen. We zorgen er met BCM voor dat die gesprekken continu gevoerd worden.’
eBook: De toekomst van cybersecurity
5 grote uitdagingen: hoe passen organisaties hun securitystrategie hierop aan? Ontdek het in dit eBook.
DownloadVertrouwelijke informatie
Om deze continuïteit te borgen, hebben we verantwoordelijkheden ook vastgelegd in onze KPN Security Policy, de KSP.’ Met dergelijke voorschriften gaan we met de KSP verder dan wetgeving van ons vraagt. En dat vindt Jos verklaarbaar. ‘Als KPN hebben we nu eenmaal te maken met een unieke combinatie aan klanten, wetgeving, belangen, eisen, normen en waarden.’
Bedrijfscontinuïteit leeft bij onze klanten, vertelt Jos. Klanten vragen geregeld om de continuïteitsplannen en -rapportages. ‘Omdat die informatie vertrouwelijk is, geven wij die niet vrij. De opzet, het bestaan en de werking ervan borgen we via de ISO-normen voor informatiebeveiliging. Aan die certificaten zien klanten namelijk dat er door een onafhankelijke derde – een externe – auditor hiernaar is gekeken. Net als een chef-kok laten we het menu graag uitgebreid zien en het resultaat proeven, en houden we de recepten en procedures voor onszelf.’
Geleerde les van Jos
‘Wanneer je dataverbinding je levenslijn is, denk dan goed na over je backup – en wat je doet als je backup eruit ligt. Elke technologische oplossing heeft zijn eigen risico’s. Het gaat erom dat je voorbereid bent om op een alternatieve werkwijze zo snel mogelijk weer door te kunnen gaan..’
De 4 A’s van security en hoe dat jou kan helpen
Net als veel andere organisaties hebben wij te maken met grote security uitdagingen, bijvoorbeeld door beperkte budgetten en snel veranderende technologieën en tactieken. Omdat wij zorgen voor het netwerk van Nederland is onze verantwoordelijkheid extra groot. Onze securityaanpak en -strategie is ingedeeld naar 4 A’s: adaptive, automate, aware en assure. Benieuwd wat jij daaraan hebt? Je ontdekt het in het eBook: De toekomst van cybersecurity.
Maak kennis met alle securityspelers
Onze CISO: stippelt beleid uit en coacht > lees het interview met Vladimir
Blue team: verdedigers die snel reageren > lees het interview met Coen
Red team: onze ethical hackers > lees het interview met Mark
Security Watchtower: goed zicht op alle assets > lees het interview met Ernst