‘Hoe belangrijker security voor je organisatie wordt, hoe minder je het je kunt veroorloven de security er, zeg maar, doorheen te duwen,’ vertelt Vladimir Cibic, CISO bij KPN. Vanwege de toegenomen complexiteit kan de securityafdeling het niet meer alleen af. ‘Je wilt dat elke medewerker, in elke rol, security uitdraagt. Dat ze begrijpen wat de risico's zijn en daar naar handelen.’ En dat vraagt om nieuw leiderschap van onze CISO en zijn securityafdeling. Niet langer directief, maar coachend en begeleidend. ‘In 2 jaar tijd zijn we gegroeid van 60 naar 100 mensen.’
Van een defensieve securitystrategie hebben we in de afgelopen 2 jaar een proactieve securitystrategie neergezet. Waar onze vorige CISO een krachtig defensieapparaat heeft neergezet met een Blue en Red team dat tot de top behoort, zorgt onze huidige CISO voor verdere verbreding binnen KPN. ‘Mijn taak is het om náást de organisatie te lopen,’ licht Vladimir toe. ‘Uiteindelijk is het mijn doel mezelf overbodig te maken. Dat iedereen in de organisatie zo doordrongen is van security en het zo goed kan toepassen in het dagelijks werk, dat ik niet meer nodig ben.’
Stevige verantwoordelijkheid
Als het netwerk van Nederland hebben wij een grote verantwoordelijkheid. Voor de communicatie voor consumenten, zakelijke klanten maar ook voor de vitale infrastructuur. De beveiliging van onze netwerken is dus niet alleen cruciaal voor ons en onze klanten, maar voor het hele land. ‘En die verantwoordelijkheid voel ik iedere dag,’ vertelt Vladimir. ‘Natuurlijk draag ik die samen met de mensen om mij heen, maar de accountability – die voel ik toch echt op mijn schouders rusten.’ In de 2 jaar tijd dat Vladimir CISO is, heeft hij een grote verandering kunnen realiseren. De nieuwe securitystrategie Security First is nu onderdeel van de dagelijkse operatie (zie ook kader). ‘De strategie bedenken was het ingewikkeldste niet,’ relativeert Vladimir. ‘De organisatie meekrijgen, dat vraagt meer inspanning.’
Security First: veiligheid bij iedereen tussen de oren
Iedereen die bij KPN werkt, kent onze securitystrategie: Security First. Wat we ook doen, waar we ook aan werken: security first. Dat is de afgelopen jaren deel van onze mindset geworden. Die strategie hebben we samengevat in 4 A’s:
- Adaptive: We anticiperen op onzekerheden en securityrisico’s
- Automate: We maken veiligheid onderdeel van alle bedrijfsprocessen
- Awareness: We trainen alle medewerkers op risicobewustzijn
- Assure: We kunnen op elk moment aantonen dat onze beveiliging aantoonbaar is geïmplementeerd.
Benieuwd naar onze strategie en de 4 A’s? Downloadt het eBook Zo helpt security je organisatiedoelen te bereiken en laat je erdoor inspireren.
Ruimte en middelen
Zo’n grote verandering, dat vraagt om een forse investering. Heeft Vladimir tips voor andere CISO’s? Hoe heeft hij de ruimte en middelen vrij gekregen? ‘Never waste a good crisis,’ adviseert hij. ‘Er komt nu zoveel wet- en regelgeving op ons af dat de risico’s snel toenemen. Heb je je security niet op orde, dan komt niet alleen je businesscontinuïteit in gevaar, maar loop je ook grote compliancerisico’s. Dat inzicht vergrootte bij ons de urgentie. Bovendien staat of valt onze reputatie ermee. Data moet bij ons veilig zijn, het netwerk moet het altijd doen. Wat er ook gebeurt. Deze en andere redenen – zoals de geopolitieke ontwikkelingen – versterkten de noodzaak om met onze securityafdeling anders te gaan werken. Grijp die urgentie dus aan om security in je organisatie te moderniseren en verankeren.’
Dat de investering noodzakelijk is, ziet Vladimir dagelijks. ‘De aanvallen worden heviger en complexer. Ja, het grootste deel is nog altijd schieten met hagel, maar vooral de pogingen om credentials te ontfutselen van medewerkers worden steeds intelligenter. Eén zwakke schakel is genoeg, binnen of buiten je organisatie. Denk aan een beheerder bij een leverancier die net op een verkeerde link klikt. Je moet je security dus echt heel goed op orde hebben.’
Complex landschap
‘Wij zijn een bedrijf,met veel assets, met veel systemen en platforms. Het betreft nieuwe state of the art systemen maar soms ook systemen die oud zijn. Legacy inderdaad. Daarmee blijft voor ons de complexiteit groeien. Want die grote verscheidenheid aan systemen moet je ook kunnen updaten – en dat is geen kwestie van even een patch en klaar.’ ‘De technische infrastructuur is bij ons software gedreven, waardoor informatie- en netwerkbeveiliging in elkaar overlopen.’ Automatisering van de security – de tweede A van de 4 A’s uit de strategie – is daarom cruciaal. Vanwege de complexiteit, diversiteit en omvang kun je allang niet meer alles handmatig doen, legt Vladimir uit. ‘Eerst de securityprocessen in je hele organisatie uniformeren, dan automatiseren.’ En dat scheelt ook in de werkdruk van je securityprofessionals.
Daarover gesproken: hoe is het mogelijk dat hij, in een tijd van grote tekorten aan securityprofessionals, zijn afdeling bijna kon verdubbelen? Vladimir: ‘Dat is allereerst vanwege de nieuwe profielen die we zochten: we hebben niet langer alleen die héél schaarse mensen met diepgaande technische kennis nodig, maar ook mensen met andere vaardigheden. Mensen die de organisatie goed kunnen begeleiden, die kunnen netwerken en collega’s meekrijgen. Overigens hoefden we ook niet veel extra moeite te doen voor de technische mensen en ethical hackers. Omdat security voor ons zo belangrijk zijn we aantrekkelijk voor talent. De lat ligt hoog, maar daar krijg je veel voor terug. Het is bij ons goed geregeld en je leert hier van de besten.’
Serieuze gesprekspartner
Vladimir begrijpt dat deze investering in talent niet voor elke organisatie een mogelijkheid is. ‘Op een organisatie van 1.000 medewerkers is een afdeling van 100 securityspecialisten wellicht wat groot. Voor die organisaties zou ik zeggen: koop het in en houd alleen de belangrijkste expertise in huis. Nu internationale cloudleveranciers steeds groter worden, is het ook belangrijk dat je – om aan je securitybeleid vast te kunnen houden – een serieuze gesprekspartner voor die grote spelers kunt zijn. Vladimir: ‘Wij overleggen intensief en zoeken steeds naar wegen om toch ons eisenpakket neer te kunnen leggen. Daar gaat veel tijd en energie in zetten, maar op ons beleid willen en gaan we echt niet inleveren.’
Kijkend naar de securitydienstverlening van KPN heeft Vladimir zelf ook een stevig pakket aan wensen. ‘Als CISO verlang ik van een securitydienstverlener dat ze mij inzicht kunnen geven zodat ik wéét dat de security op orde is. Ten tweede dat ze werken met standaarden en ik geen houtje-touwtje oplossingen ervaar. En ten derde dat ik kan rekenen op consultancydiensten, zodat de security op mijn organisatie afgestemd kan worden. Al deze elementen zie je gelukkig terug in onze securitydienstverlening. Voor de aantoonbaarheid van de security en de compliance heb ik me als CISO bovendien extra ingezet.’
Comfort
De aantoonbaarheid en compliance zie je terug in de vierde A van onze securitystrategie: Assure. ‘Die aantoonbaarheid is de laatste jaren zoveel belangrijker geworden. Door de toegenomen wet- en regelgeving bovenal omdat klanten dat van ons verlangen. Want ook onze klanten moeten aantoonbaar secure zijn. Om die reden hebben we de Security Watchtower ontwikkeld, waarmee we continue inzicht hebben in de status en prestaties van onze security. Zo kunnen we aan onze klanten assurance aantonen conform internationale standaarden. Daarmee kan ik klanten én onszelf comfort geven: we weten wat er gebeurt, hebben de controle en kunnen razendsnel ingrijpen.’
Geleerde les van Vladimir
‘Never waste a good crisis! Grijp de urgentie van nieuwe wet- en regelgeving aan om security in je organisatie te moderniseren en verankeren.’
