“Geen enkel incident is hetzelfde”

Bob van Graft over de rol van IT Security in Business Continuïteit.

Bob van Graft

Om de rol van Chief Information Security Officer (CISO) te kunnen vervullen naast je dagelijkse werkzaamheden als CIO, moet je van goede huize komen. Bob van Graft bekleedt deze dubbelfunctie sinds twee jaar voor de Vrije Universiteit Amsterdam. Hij is breed onderlegd op alle facetten in én rondom IT. Benieuwd waarom een goede security manager volgens hem over een flinke dosis improvisatievermogen moet beschikken? Lees dan verder.

Is security volgens jou een opzichzelfstaand vakgebied?

“Nee, in mijn optiek is security een onderdeel van business continuïteit. Je wilt namelijk voorkomen dat er verstoringen optreden, in welke vorm dan ook. Wij zijn als IT-organisatie op de VU  dan ook bezig met het leggen van verbindingen tussen de fysieke ICT en de campusvoorzieningen, zoals brandveiligheid. Dit vereist een integrale aanpak. Gelukkig wordt dat ook zo benaderd in de nieuwe GDPR-wetgeving. De vraag die wordt gesteld is: waar sta je met je organisatie? Je doet geen risk assessment of een privacy impact assessment omdat je dingen wilt verbieden, je doet dit omdat je wilt weten wat het effect is van wat er met de data en de omgeving gebeurt.”

Hoe is IT security in jullie organisatie ingebed?

“In het verleden hadden we een Security Operations Center waarin strategische, tactische en operationele security specialisten bij elkaar zaten. Daar zijn we van teruggekomen. Het operationele gedeelte zit tegenwoordig veel meer verspreid in de organisatie om de business continuïteit in de gaten te houden. Hierdoor kan de naleving van het beleid ook gewaarborgd worden. We willen het liefst alle incidenten voorkomen, maar dat gaat niet en daarom moet ons calamiteitendraaiboek op orde zijn. Ik probeer daarom IT en bedrijfsvoering – zoals huisvesting en de normale calamiteitenprocedures – bij elkaar te brengen. Stel je voor, er vindt een hack plaats op het gebouwenbeheersysteem en er wordt een brandkraan open gedraaid, dan gebeurt er iets in zowel de gebouwen als in de IT-voorzieningen. Die twee kun je niet meer los van elkaar zien en daarom moet je calamiteitenbeheersing en incident management goed op elkaar af stemmen.

“Onderwijsinstellingen hebben regelmatig te maken met studenten die bewust of onbewust de ICT-voorzieningen proberen te frustreren.”

“Als ik praat over incidenten, heb ik het niet alleen over dreigingen van buitenaf. Onderwijsinstellingen hebben regelmatig te maken met studenten die bewust of onbewust de ICT-voorzieningen proberen te frustreren. Ook in het bedrijfsleven komen veel bedreigingen van binnenuit. Wij proberen daarop te anticiperen door te onderzoeken welk gedrag we mogen verwachten van een groep mensen. Dat doen we door gebruik te maken van tools die bijvoorbeeld monitoren wat er op een werkplek gebeurd. Hierdoor kunnen we herleiden welk gedrag kan resulteren in een verstoring van de omgeving. Op dit vlak is de VU erg vooruitstrevend. Het is echter een illusie om te denken dat je kunt leunen op slechts een product. Het zou altijd een combinatie moeten zijn van een suite van producten en maatregelen. Op grond daarvan bepaal je welke stappen je gaat ondernemen als er wat gebeurt. Tot slot moet je beschikken over improvisatievermogen; want geen enkel incident is hetzelfde.”

Welk advies zou jij willen geven aan andere CI(S)O’s?

“Organisaties zijn allemaal onderdeel van een keten. Mijn advies zou daarom zijn: ken je partners. De grenzen van informatiebeveiliging stoppen niet bij de eigen organisatie. Breng daarom in kaart wat het effect is van de data in jouw organisatie, maar ook daarbuiten. Zet daarnaast op een rij wat het effect is van de data die je van andere partijen krijgt en hoe jouw organisatie dit verwerkt. En als er wat gebeurt met die data, wat betekent dat dan? Hoe kun je daarop handelen? Hoe kun je eventueel de grens van jouw systemen afsluiten en wat is het effect op de primaire bedrijfsvoering? Zoek je ketenpartners op en denk hierover na.”

Dit artikel is geschreven door Diane Kwakman

Author: Diane Kwakman

Diane Kwakman is team manager bij Tergos; een specialistische recruitment organisatie uitsluitend gericht op IT Infrastructure & Cyber Security. Zij interviewt op regelmatige basis prominente CISO’s en Security Managers over hun visie op security. dkwakman@tergos.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *