Dat onze assets goed beveiligd zijn, daar kun je op vertrouwen. Audits geven je al decennia steekproefsgewijs goed zicht op de staat van onze security. En een scala aan beveiligingsmaatregelen biedt een goede indicatie. Maar in een tijd dat datagedreven werken de normaalste zaak van de wereld is, wil je het continu wéten. En zien. Daarom ontwikkelden wij de KPN Security Watchtower. Ernst Doornebosch vertelt erover.
Net als een uitkijktoren biedt onze Security Watchtower rondom goed zicht op de performance van onze securityprocessen.. Het scherpe zoeklicht laat niets in het duister.– Hoeveel kwetsbaarheden zijn er opgelost, zijn er end point protection agents geïnstalleerd -zelfs of medewerkers succesvol zijn getraind. Ernst Doornebosch, Lead Security Monitoring en Reporting van onze securityafdeling, vertelt over het waarom van deze aanpak, hun werkwijze en over de tool ineen. ‘Om security deel te laten worden van al onze werkzaamheden en onze mindset, is inzicht in de security status van assets en de kwaliteit van je securityprocessen onmisbaar. Van elk asset en proces wil je immers in kaart brengen hoe veilig het asset is en hoe goed het proces de risico’s mitigeert. Of het nou gaat om een server in één van onze datacenters of een clouddienst. Die informatie hebben we zelf nodig om onze securityprocessen te optimaliseren én voor onze klanten om ze de assurance te geven die ze nodig hebben. Daarom wilden we een werkwijze en tool die ons rondom zicht gaf en ons ondersteunde in onze ‘4A’ securitystrategie (zie kader). Zowel op het vlak van Automate als van Assure.’
Meten hoe veilig we zijn
Met de Security Watchtower kunnen wij de performance van onze securityprocessen meten. Om dit meetbaar te maken hebben Ernst en zijn collega’s als uitgangspunt de KPN Security Policy genomen en zich gericht op de dekking en effectiviteit van de securityproces. De dekking van het securityproces over de assets heen in kaart hebben – de ‘coverage’ – was de eerste stap. De tweede de kwaliteit, de derde het oplossend vermogen, oftewel: hoe snel en effectief we kunnen verbeteren in een bepaald proces of in staat zijn om een afwijking op te lossen. Ernst: ‘Om je security te kunnen verbeteren, geïnformeerde besluiten te kunnen nemen en aan te passen op een veranderende wereld, kun je niet anders dan datagedreven werken. Van raad van bestuur tot operationele teams: je hebt inzicht nodig in de dekking van je security, de kwaliteit en het oplossend vermogen om te weten hoe veilig we als KPN eigenlijk zijn. Vanuit die inzichten ontstaan weer nieuwe uniforme standaarden om security verder en beter in onze werkprocessen te verankeren.’
eBook: De toekomst van cybersecurity
5 grote uitdagingen: hoe passen organisaties hun securitystrategie hierop aan? Ontdek het in dit eBook.
DownloadSteeds meer commitment
Elke dag een stapje beter, dat is waar we met onze securitystrategie aan werken. En dat is waar de Security Watchtower ons bij helpt. ‘Het is hét middel om niet alleen de status van onze security performance, maar ook de voortgang ervan inzichtelijk te maken,’ vertelt Ernst trots. De schaal waarop de tool en de werkwijze meer en meer ingeburgerd raakt, is indrukwekkend. Omdat het over alle securityprocessen in onze organisatie gaat, werken binnen KPN verschillende onderdelen en afdelingen aan de ontwikkeling mee. Van reportingunits tot complianceteams. ‘We bestrijken de hele organisatie – van onze netwerken tot onze diensten.
Ook voor klanten is dat een groot voordeel. ‘Wij meten en bewaken continu dat onze assets en processen veilig zijn. Iedere dag. En dat is een groot verschil met periodieke audits, vaak op een specifiek gebied. Zeker nu NIS2 eraan komt, met een waslijst aan rapportagevereisten, is dit voor onze klanten een hele geruststelling.’
Geleerde les van Ernst
‘Met data gedreven security in gedachten ontwikkelden we de KPN Security Watchtower: een aanpak waarmee we nog meer in control zijn van onze securityprocessen. Door geopolitieke ontwikkelingen en veranderende cybersecurity wetgeving wordt controle over je compliance en securityrisico’s namelijk steeds belangrijker.’
De 4 A’s van security en hoe dat jou kan helpen
Net als veel andere organisaties hebben wij te maken met grote securityuitdagingen, zoals een tekort aan securityspecialisten en een steeds grotere aanvalsoppervlakte door AI. Omdat wij zorgen voor het netwerk van Nederland is onze verantwoordelijkheid extra groot. Daarom delen we onze securityaanpak en -strategie met de 4 A’s: adaptive, automate, aware en assure. Benieuwd wat jij daaraan hebt? Je ontdekt het in het eBook: De toekomst van cybersecurity.
Maak kennis met alle securityspelers
Onze CISO: stippelt beleid uit en coacht > lees het interview met Vladimir
Business Continuity: zorg voor de continuïteit > lees het interview met Jos
Blue team: verdedigers die snel reageren > lees het interview met Coen
Red team: onze ethical hackers > lees het interview met Mark
