“In een crisissituatie moet er niet gepraat maar gepoetst worden”

Henk Bronk over het inrichten van een CSIRT.

Henk Bronk heeft een sterke achtergrond in informatiebeveiliging en incident response. Zijn passie voor het vakgebied komt duidelijk naar voren tijdens het gesprek. Jarenlang heeft hij zichzelf als ondernemer gericht op information security en cybercrime preventie. Momenteel werkt Henk als CISO | Manager Security & Business Continuity voor VodafoneZiggo. Met hem spraken wij onlangs over het ontwikkelen en het runnen van een CSIRT.

Henk Bronk

CSIRT staat voor Computer Security Incident Response Team; een georganiseerde en structurele aanpak voor de afhandeling van IT-beveiligingsincidenten. Deze term is niet nieuw: het eerste CSIRT is opgericht door het Amerikaanse ministerie van Defensie aan het einde van de jaren tachtig. De aanleiding hiervoor was de eerste grote uitbraak van de Morris worm waarbij talloze IT-systemen over de hele wereld geïnfecteerd werden. Dit incident was een wake-up call: men werd zich plotseling bewust van de dringende behoefte aan samenwerking en coördinatie om dit soort problemen het hoofd te kunnen bieden. Het model werd al snel overgenomen in Europa en daar is Henk Bronk van meet af aan bij betrokken geweest. Zo heeft hij onder meer bij KPN en ABN AMRO een CSIRT opgericht en is hij tevens de grondlegger van GOVCERT, het computer emergency response team van de Rijksoverheid.

Hoe past incident response binnen jouw huidige werkzaamheden?

‘Bij VodafoneZiggo gebruik ik de Security afdeling voor crisis management. Ik kijk naar de procedures en naar hoe die gemanaged worden. Wat moet je bijvoorbeeld klaar hebben staan? Ga je een virtuele organisatie bouwen of wil je een dedicated team? Er zijn allerlei combinaties mogelijk. Ik zie het als crisis management met cyber als specialisatie.’

Wat versta jij zelf onder CSIRT?

‘Soms moet je pragmatisch kijken. De vraag is vaak: doen we wel genoeg op het gebied van beveiliging? Het gaat over de organisatie van parate kennis en actiebereidheid kortom kennis van de juiste mensen en de organisatie om snel en accuraat actie te kunnen ondernemen. Daarnaast moet je ervoor zorgen dat je de domeinen binnen je organisatie hebt geïnventariseerd, zodat je ook vanuit een business continuity perspectief kunt kijken als je bijvoorbeeld te maken krijgt met een DDOS-aanval.

Als ik een CSIRT optimaal zou neerzetten zou ik een virtuele organisatie creëren, bemand door specialisten met security affiniteit.

Bij voorkeur zouden ze zich in ieder geval voor 20% van de tijd uitsluitend bezig houden met incident response, zodat de operationele paraatheid verhoogd kan worden. Vanuit awareness en mandaat zouden de specialisten dan ingezet kunnen worden, zonder dat projecten dan altijd prioriteit hebben.’

Wat zijn de voordelen van het hebben van een CSIRT?

‘Met CSIRT organiseer je onder andere autoriteit en escalaties. Het helpt je als organisatie om het aantal beveiligingsincidenten en de ernst hiervan tot een minimum te beperken. Het zorgt ook voor een gespecialiseerde afhandeling van IT-incidenten. Mijn advies zou zijn: begin klein. Zorg ervoor dat je al je ketens goed voor elkaar hebt en zorg ervoor dat je inzicht hebt in zaken die elkaar kunnen beïnvloeden.’

Wat zijn voor jou de belangrijkste lessen geweest op dit gebied?

‘Mandaat. Wat mag wel en wat mag niet? In een crisissituatie moet er niet gepraat maar gepoetst worden. Daarom heb je mandaat nodig en dat is een kwestie van vertrouwen. Vertrouwen bouw je op. Als CSIRT moet je jezelf daarom profileren aan de hand van een aantal eerdere incidenten. Je bent nooit klaar en je moet blijven trainen en testen. Ik vergelijk informatiebeveiliging graag met een andere hobby van mij: wedstrijdzeilen. Je moet vooruit blijven kijken naar de wind en daarop schakelen’.

Dit artikel is geschreven door Diane Kwakman

Author: Diane Kwakman

Diane Kwakman is team manager bij Tergos; een specialistische recruitment organisatie uitsluitend gericht op IT Infrastructure & Cyber Security. Zij interviewt op regelmatige basis prominente CISO’s en Security Managers over hun visie op security. dkwakman@tergos.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *