Het traditionele bedrijfsnetwerk is verknoopt met de public cloud. Het ondersteunt SaaS apps, mobiele devices en thuiswerkers. Tegelijkertijd biedt de cloud een wendbaarheid en schaalbaarheid die aantrekkelijk is. Toepassingen als IoT en AI zijn niet denkbaar zonder de cloud. Maar hoe zorgen we voor veiligheid, nu de traditionele grenzen van het netwerk zijn vervaagd? Welke eisen stelt een hybride omgeving aan de security-architectuur? Daarover belegde ICT Media, in samenwerking met Infoblox, een online bijeenkomst voor CISO’s en andere leidinggevenden.

Justin Broeders, manager Security, Risk & Compliance bij Eneco Groep, deelde tijdens de sessie de afwegingen die zijn organisatie maakt ten aanzien van de security-strategie. Ook gaf hij aan hoe Eneco omgaat met de security-architectuur en aankijkt tegen ontwikkelingen als ‘zero trust’.

Security-architectuur

Justin Broeders introduceerde in vogelvlucht de IT- en security-karakteristieken van Eneco. Veel van de IT bij Eneco is uitbesteed, legde hij uit, waarbij Eneco regie voert, onder meer over de security operations. Het bedrijf heeft een mix van traditionele IT, IoT – onder meer de bekende slimme thermostaten – en OT, zoals windmolens.

“We zijn steeds meer zaken buiten de grenzen van ons eigen netwerk aan het doen”, vertelde Broeders, “Neem bijvoorbeeld onze werkplekken, die gevirtualiseerd zijn en deels ook gebaseerd op het principe van bring your own device.”

De cloud is de voorkeurskeuze voor Eneco, waarbij het een eigen referentiearchitectuur hanteert. Met het oog op de security heeft Eneco een aantal ‘tolpoortjes’ ingericht, zoals Justin Broeders ze noemt: “Bij het bepalen van business drivers en serviceniveaus bijvoorbeeld eisen we dat systemen geclassificeerd worden.. Zo kunnen we de non-functional requirements bepalen, onder meer op het gebied van security, gegeven de classificatie van de clouddienst.”

“De werelden van IT en OT kruipen naar elkaar toe”

Eneco hanteert een aantal aan security gerelateerde architectuurprincipes, waarvan security and privacy by design er een is: “Dat klinkt voor de hand liggend, maar ik merk dat het soms lastig is zaken aan de voorkant goed te regelen, wanneer je later merkt dat er zaken naar boven komen die je niet voorzien had.”

Uitbesteden

“Een ander belangrijk principe is – zeker wanneer je zaken gaat uitbesteden – dat je data altijd versleuteld is en je vervolgens minder over de grenzen van je netwerk hoeft na te denken. Die ‘grenzenloosheid’ is dan een gegeven.”

Deze observatie leidde tot een korte discussie over de relatie tussen outsourcing en security: “Ik merk in onze organisatie dat we ervoor moeten waken om te denken dat we de verantwoordelijkheid voor de veiligheid van onze data ook hebben uitbesteed”, merkte een deelnemer aan de sessie op, “De contractmanagers hebben voor veel dingen aandacht, maar niet altijd evenveel voor de security-paragraaf.”

“Je third party-risk neemt toe, zorg dus dat je voldoende informatie opvraagt en dat je niet, zoals ik in onze organisatie wel zie, dat je volstaat met het ontvangen van de informatie. Doe er ook iets mee!”, reageerde een ander.

OT

De security-architectuur van Eneco wordt beïnvloed door wet- en regelgeving, die langzamerhand een verplichtender karakter krijgt. Dat geldt ook voor invloeden als covid-19 en het thuiswerken, en anderzijds partnerships en joint ventures, alsmede technologische ontwikkelingen als IoT.

manager Security, Risk & Compliance bij Eneco Groep

Desgevraagd legde Justin Broeders uit dat Eneco ook aan windmolenparken op afgelegen plekken, verbonden met een gesegmenteerd netwerk, security-eisen stelt: “We werken bijvoorbeeld via e-learning aan bewustzijn op het gebied van beveiliging van OT. Het gaat dan meer om beschikbaarheid, terwijl de datageneratie plaatsvindt op koppelvlakken die onder de IT security vallen.” Bij Eneco valt de beveiliging van de OT ook onder de verantwoordelijkheid van de CIO. “Dat is prettig”, aldus Broeders, “Want de werelden van IT en OT kruipen naar elkaar toe.”

Herijken

Eneco is bezig de security-strategie te herijken. “De adoptie van de principes van zero trust was al ingezet, maar wordt nu doorgezet. Dit onder invloed van ontwikkelingen als thuiswerken en internationalisering”, legde de spreker uit.

De ‘strijd’ tegen shadow IT, zeker in een tijd van thuiswerken, bleek ook bij de deelnemers vragen op te roepen: hoe houd je shadow IT onder controle? Op managed devices kun je met agents veel doen, maar bij BYOD is dat een stuk ingewikkelder, zo bleek.

Een benadering kan zijn in elk geval vanaf de gebruikte platforms, zoals Microsoft 365, de datastroom te volgen. Het kweken van bewustzijn bij medewerkers, bijvoorbeeld door communicatie vanuit het hoger management, en aanspreken van medewerkers die over de schreef gaan, helpt wel wat, maar helemaal voorkomen van shadow IT lijkt een lastige opgave.

De herijking bij Eneco brengt ook een aanpassing van het security operating model met zich mee, net als het beter gaan benutten van bestaande oplossingen – in plaats van telkens nieuwe point solutions, om de TCO naar beneden te brengen. Daarnaast staat procesgericht werken op de agenda: “Niet alleen maar functies en opties in je oplossingen aanzetten, maar ook consequent acteren op de informatie die daaruit voortkomt.”

Uitdagingen

De energiesector kent een minder stringent toezicht dan bijvoorbeeld de financiële sector. Toezicht kan helpen de volwassenheid van security management te verhogen. “Dat willen wij ook”, gaf Broeders aan. “Ons ambitieniveau verhogen. Laten zien dat we actie nemen op de uitkomsten van de ISO-rapportages van elk kwartaal. Net even een tandje erbij, niet alleen compliant zijn, maar echt in control. “Eneco kent daarbij diverse uitdagingen, zoals interne dynamiek (bijvoorbeeld centralisering van IT) en legacy, die soms met overnames is meegekomen.

“Een tandje erbij, niet alleen compliant zijn, maar echt in control”

Samenwerken in ketens en ecosystemen komt steeds vaker voor: “Daarbij willen we voorkomen dat wij, maar ook onze leveranciers, de zwakste schakel in de keten zijn. Dat betekent samenwerken, partnership, en elkaar naar een hoger volwassenheidsniveau brengen.” Een passende afronding van een sessie waarin Eneco’s herkenbare reis naar een almaar hogere security-volwassenheid centraal stond.

Pleidooi voor DNS

Martin van Son van Infoblox deed tijdens de sessie een oproep naar DNS te kijken als het fundament van het netwerk en het ook te gebruiken om aanvallen tegen te gaan. “Als je kijkt naar de cyber kill chain, dan is DNS in bijna elke fase betrokken. Door te automatiseren kun je het securityteam helpen te bepalen wie wat deed. Immers, al het verkeer gaat via DNS, of het nu in je eigen datacenter of in de public cloud is. Dan hoef je niet weer een security-oplossing aan te schaffen.”

Fotografie: Eneco

Arnoud van Gemeren is hoofdredacteur van CIO Magazine, Boardroom IT en voormalig hoofdredacteur van TITM (Tijdschrift IT Management) en Outsource Magazine. Hij heeft een lange staat van dienst in de Nederlandse IT-mediawereld. Na een start bij een redactiebureau, was hij als hoofdredacteur van 1996 tot 2001 bij uitgeverij Array Publications verantwoordelijk voor diverse IT-vakbladen. In 2001 sloot hij zich aan bij een adviesbureau op het gebied van marketingcommunicatie, Beatrijs Media Group. Vanuit dit bureau bleef hij als hoofdredacteur actief, onder meer voor Sdu Uitgevers.

REAGEREN

Plaats je reactie
Je naam