Beheer

Security
Fred Streefland

LeaseWeb maakt beveiligingsniveau meetbaar

Niet door tooling, maar door een helder overzicht van risico’s

Fred Streefland © De Beeldredactie ,  Peter Strelitski
28 februari 2017

Niet door tooling, maar door een helder overzicht van risico’s

Fred Streefland heeft als CISO in een jaar de beveiliging van hostingprovider LeaseWeb aantoonbaar op een hoger niveau gebracht. Overzicht, meetbaarheid, begrijpelijkheid en awareness zijn de magische ingrediënten van zijn beveiligingsrecept.

Hostingprovider LeaseWeb biedt IaaS (Infrastructure-as-a-Service) aan, meer concreet cloud, colocatie, bare metal servers, CDN en webhosting. De eigen organisatie en informatie, datacenters en het netwerk van LeaseWeb moeten dus beveiligd worden tegen bedreigingen van onder meer hackers, boze medewerkers en spionnen. Daarnaast moet LeaseWeb ervoor zorgen dat het bedrijf compliant is aan Europese en Nederlandse wetten, met name de meldplicht datalekken. Tijdens het congres ESET Security Days 2016 deed Fred Streefland, CISO bij LeaseWeb, uit de doeken hoe hij samen met zijn team de beveiliging van LeaseWeb heeft aangepakt. “En dan moet ook nog de business kunnen blijven groeien.” 

Hoe doet hij dat? Zeker niet op basis van louter tooling. “Velen beginnen daarmee, maar dat leidt heel vaak tot stapelen van tooling. Daar bescherm je de organisatie en de informatie niet mee.” Nee, Streefland koos voor zijn eigen FIRM-methodiek: Freds ISO 27001 Riskbased Maturity-model. “ISO 27001 is een framework dat bestaat uit veertien domeinen en 114 controls. Die richten we in met een ISMS, een information security management system. Voor ons werkt dat. Het is van groot belang dat we alle veertien domeinen op orde hebben. Is dat niet het geval, dan zul je zien dat precies via het deel van het domein dat niet op orde is, een aanval wordt gedaan.”

De risk-workshops hadden als extra voordeel dat we precies weten wat er leeft

“‘Risks’ vormen de basis van ons werk”, verklaart hij. Daarom liet hij medewerkers uit alle geledingen van het bedrijf – van de board tot aan de receptie – risico’s benoemen en beoordelen op de kans dat ze zouden optreden en op de impact ervan voor de organisatie. Uiteindelijk werden 225 ‘risks’ in een van de veertien domeinen van ISO 27001 geplaatst. “De risk-workshops hadden als extra voordeel dat we precies weten wat er leeft. Ze leveren draagvlak op en de medewerkers weten beter waar ze op moeten letten.”

Het overzicht van mogelijke risico’s die de workshops opleverden, toonde hij onverkort aan de board. “Ik kon ze zo precies laten zien wat de hoge en wat de lage risico’s waren.” De board kon met deze gegevens eenvoudig bepalen welke risico’s het wilde beperken en wat de board daaraan wilde besteden.

Met deze informatie heeft Streefland het volwassenheidsniveau bepaald van alle veertien ISO-domeinen binnen LeaseWeb. Daarvoor gebruikt hij het US DoE Cyber Security Maturity Model. Dit model hanteert vier niveaus van volwassenheid:

0 = Incomplete. Securityregels worden totaal niet gehanteerd.

1 = Basic. Basale securitymaatregelen worden ad hoc uitgevoerd.

2 = Proficient. Security-acties zijn gedocumenteerd, stakeholders zijn betrokken en standaarden worden gevolgd. 

3 = Optimized. Security-acties vinden volledig volgens vastgelegd beleid plaats. Of in de woorden van Streefland: “Security-acties zijn volledig geautomatiseerd en zitten in het DNA van de organisatie.”

225 risico’s in één overzicht

LeaseWeb heeft bij alle controls van ISO 27001 gekeken hoe goed deze controls van toepassing zijn en op welk volwassenheidsniveau. “Per domein levert dit het gemiddelde maturitylevel op. We hebben alles in kaart gebracht en weten daardoor precies hoe de vlag erbij hangt voor LeaseWeb.”

De startsituatie was behoorlijk uitdagend, zo legde Streefland de board uit, met een niveau van rond de 1,5. “Ik vertelde dat zo: ‘Een organisatie op level 0 of 1 die te maken krijgt met een incident, is out of business. Bij een volwassenheidsniveau 2 levert een incident veel schade op, maar kan de organisatie wel redelijk doordraaien. Op niveau 3 zijn bij een incident maatregelen nodig, maar kan de organisatie wel goed doordraaien.’ Een niveau van 1,5 is dus niet goed. Ik heb dat gekoppeld aan een roadmap waarbij het doel is om na een jaar minimaal op niveau 2 te komen en na drie jaar op niveau 3 te zijn. Dat begreep de board.”

Houd het simpel en meetbaar. Dat vindt de board belangrijk

Elke maand zit Streefland met het bestuur om de tafel en laat ze dan dit schema zien. De gebruikte tools laat hij achterwege. “Ik heb mijn ISMS. Die 225 risico’s staan in een simpel overzicht en zijn goed meetbaar. Ik houd alles bij. Bijkomend voordeel is dat auditors daar erg blij mee zijn. Het is monnikenwerk om een dergelijk ISMS op te zetten, maar als je dat gedaan hebt, ben je wel erg blij met je overzicht. Hiermee zet ik controls tegenover een residual risk. Ik schat in welke risico’s overblijven en spar met de board over de overgebleven risico’s en wat zij daarvan vinden. De board begrijpt het zo prima; ik hoef niets technisch aan ze uit te leggen.”

CV
Fred Streefland

Fred Streefland begon in de zomer van 2015 als CISO bij LeaseWeb. Daarvoor werkte hij onder meer als officier Inlichtingen & Veiligheid bij de Koninklijke Luchtmacht, IBM, Accenture, ENCS en kort bij Exact.

Serieuze verbeteringen gerealiseerd

Streefland stelde ook enkele eisen. Hij wilde ‘poppetjes bij de controle zetten’ zodat duidelijk is wie waar verantwoordelijk voor is. “Ook krijgt elke nieuwe medewerker een verplichte security-awarenesstraining. We hebben endpoint encryptie ingevoerd. We hebben next-gen firewalls aangeschaft, onder meer Splunk en Palo Alto Networks-firewalls, en zijn ons aan het oriënteren op de verdere stappen, zoals een SIEM en/of managed SOC. Deze combinatie biedt ons zicht op het netwerk. Daarnaast hebben we ook de administratieve afdeling getraind in het herkennen van spoofing en organisatie breed PKI ingevoerd. Mijn advies is om met verschillende partijen samen te werken voor de verschillende securityprojecten, want geen enkel bedrijf kan dat alleen.”

Sinds zijn aantreden in augustus 2015 is veel ten goede veranderd, zegt Streefland. “We zijn nu al heel ver op niveau 2, maar vooral in assetmanagement en datamanagement moeten we nog flink stappen maken. We zijn daarom bezig met een security checklist voor onze procurementafdeling, om nog beter om te kunnen gaan met onze suppliers. 

Kortom, er zijn al serieuze verbeteringen in de security maturity gerealiseerd, maar we zijn er nog lang niet.”

De moraal van dit verhaal is dat deze FIRM-aanpak een kapstok biedt. “Door dit alles zo in te richten zijn we ook in staat om certificeringen als ISO 27001, SOC-1 en NEN 7510 te behalen”, stelt Streeland. “Je bent echter afhankelijk van de support van de board en je moet een goed team hebben. Die zaken zijn essentieel voor het succes van de security roadmap. Houd het simpel en meetbaar, dat vindt de board belangrijk.”

Lees meer over
Zie ook Beheer op AG Connect Intelligence
1
Reacties
Anoniem 28 februari 2017 12:00

Goed verhaal, zo hoort het.
Op directieniveau 9+2 streepjes, anders raken ze het spoor bijster.
Met de techneuten de diepte in.

Reactie toevoegen