Eneco, sinds juni dit jaar onderdeel van de vitale infrastructuur, neemt cybersecurity zeer serieus. De komende jaren staan dan ook in het teken van de adoptie van de werkwijzen en architectuur van zero trust. We spraken hierover met CISO Justin Broeders. “Zero trust richt je niet alleen vanuit de techniek, maar ook vanuit de risk governance in, om het in de organisatie te verankeren.”

Eneco is tegenwoordig Europees georiënteerd; het concern kent een groeiende klantenkring in Nederland, België en Duitsland. Bekende merken zijn Eneco, Oxxio, WoonEnergie, Agro Energy en in Duitsland LichtBlick. De energieleverancier kent een vrij decentraal ingerichte organisatie. Justin Broeders hierover: “Hoe richt je zero trust vanuit een redelijk decentrale organisatie in? Niet alleen vanuit techniek – alhoewel zeer complex – maar ook vanuit governance, om zero trust in de organisatie te verankeren.”

Trends

Justin Broeders ziet een aantal trends op digitaal gebied die om een antwoord van Eneco vragen. Een algemene trend is dat het aantal cyberaanvallen wereldwijd toeneemt en die aanvallen worden geavanceerder. Het plaatje van een kasteel met muren voldoet allang niet meer, zeker niet nu het hybride werken ingang heeft gevonden. Het draait nu veel meer om wendbaarheid, standaardiseren en automatiseren van de maatregelen.

Bovendien raken technieken als IT, IoT en OT steeds meer vermengd, waarbij de drie technieken nog wel eigen karakteristieken hebben. “Puntoplossingen volstaan niet”, stelt Broeders, “We kijken veel meer naar platformen. Dit geldt ook voor de adoptie van cloud, waarbij standaardisering de norm is, met het oog op schaalbaarheid en snelheid.”

Compliance heeft een grote en groeiende invloed op het bedrijf. Sinds 1 juni is Eneco onderdeel van de vitale infrastructuur in ons land. Justin Broeders hierover: “We hopen op een toezichthouder die ook langskomt en met Eneco in dialoog gaat en daarmee zorgt voor een push richting compliance en security. Aan de andere kant is het afwachten hoe wet- en regelgeving zich de komende jaren zullen ontwikkelen.”

Proactief

Om de uitdagingen en ontwikkelingen op cybersecurity-gebied het hoofd te kunnen bieden, was een meer proactieve benadering gewenst. “Hoe kunnen we security nu meenemen in alles wat we doen in plaats van security enkel vanuit een technologisch perspectief – en daarmee soms later in het proces aanhaken?”, vat Broeders samen, “Ik ben met deze ambitieuze boodschap naar de Raad van Bestuur gestapt.”

“In mijn verhaal heb ik de risico’s – hoe kunnen we die mitigeren en hoe hebben we security onder controle – afgezet tegen de waarde – hoe kan security helpen strategische doelen te bereiken en hoe kunnen we samen met onze partners en klanten digital trust bereiken? Oftewel, beschermen van wat je hebt versus mogelijk maken van de digitale transformatie. Dat vertrouwen is trouwens niet iets dat je alleen vanuit compliance wil bereiken, maar ook om je bestaansrecht te onderbouwen.”

Risico en waarde

Het aangaan van de discussie over risico’s en waarde is volgens de CISO heel belangrijk: “Op boardniveau kan het idee bestaan dat security om techniek draait, maar het gaat zeker ook om governance. Als bestuur en ook als management moet je immers de juiste beslissingen nemen. Je kunt maatregelen nemen, besluiten een risico te accepteren of een cyberverzekering te nemen.”

Het security operating model dat Eneco heeft geadopteerd, is geïnspireerd op het gedachtegoed van bi-modal IT. Het adresseert zowel de behoefte aan basale security, als aan de behoefte van de business om veilig te kunnen innoveren en transformeren.

Justin Broeders: “We bieden de baseline voor IT en OT binnen Eneco aan, als een meer dynamische verdediging tegen cyberaanvallen en security die zich richt op innovatie en digitale transformatie. Daaroverheen hebben we een ’laag’ toegevoegd, het ‘business aligned security strategy & governance model’, die zich richt op het risicomanagement voor de hele organisatie en haar partners.”

Security board

“Dit vereist wel dat we anders gaan werken en denken, minder gefocust op de technologie als primaire invalshoek en meer bezig met adviseren van de business en begrijpen wat er speelt binnen het bedrijf, vervolgt Broeders.

Eneco heeft daartoe direct onder de Raad van Bestuur een security board ingericht, met senior managers zoals de CIO, de COO en de director Operations. “Hier kunnen we de dialoog aangaan over security, als enige onderwerp, en niet een bijkomend onderwerp. Het is echt goed om zo’n gespecialiseerde board te hebben, nu we zulke grote stappen op security-gebied zetten. Onze focus ligt op het centraal ontwikkelen van beleid, kaders en sturing, maar daarnaast zetten we in op empowerment van de lokale business- en IT-teams.”.

Verdedigingslinies

Eneco heeft de governance rond cybersecurity ingericht conform een model met drie verdedigingslinies: de afdelingen, dan het risk en compliance management en als derde linie de board en het audit committee. “Met dit model met drie linies proberen we ook betrokkenheid van de board bij security te garanderen en daarnaast de juiste rollen en verantwoordelijkheden in te vullen.”

“Hoe kunnen we security meenemen in alles wat we doen?”

“Ik vind wel dat je hier niet te dogmatisch mee moet omgaan”, tekent Justin Broeders hierbij aan, “De activiteiten lopen regelmatig over van de ene naar de andere linie. Soms moet je bijvoorbeeld de schouders eronder zetten in de eerste linie, omdat je wil voorkomen dat je alleen staat aan te geven wat er allemaal moet verbeteren… Je wilt tenslotte de motivatie van de teams en de betrokkenheid van leveranciers goed houden.”

Route

De route naar een zero trust ecosysteem – waarin security-diensten standaard worden aangeboden om veilig werken eenvoudig te maken – kent een gefaseerde aanpak, legt Broeders uit: “Eerst de basis goed neerzetten, vervolgens een voldoende mate van security-volwassenheid in de organisatie (door-)ontwikkelen. De periode daarna zal dan in het teken staan van het ontwikkelen van geavanceerde security capabilities en herbruikbare security services voor de business.”

“Bij het neerzetten van de basis hebben we ons risk framework en de security-architectuur onder de loep genomen, ook in het licht van onze internationalisering. Dat was soms terug naar de tekentafel. Overigens is dat werk in uitvoering, niet een eenmalige actie. Bij het verhogen van de volwassenheid draait het naast preventie en detectie om weerbaarheid, ofwel cyber resilience.”

Niet eenmalig

Meer concreet staat de komende periode bij Eneco vooral in het teken van het verder ontwikkelen van een dynamische verdediging tegen cyberaanvallen. Daarna komt de ondersteuning van innovatie en digitale transformatie meer in the picture.

Justin Broeders: “Dit betekent niet dat we zulke ontwikkelingen als eenmalige activiteiten zien. Je wil veranderingen wel duurzaam realiseren. We werken adaptief en passen metrieken en policies waar nodig aan, werken aan bewustzijn via bijvoorbeeld roadshows, et cetera. We werken al lang aan awareness, ook vanuit compliance, maar nu, sinds de covid-tijd, overwegen we dat anders aan te pakken, bijvoorbeeld met meer interactiviteit. We onderzoeken daarbij ook opties als gamification.”

Ecosysteem

Het doel van alle activiteiten is te komen tot een zero trust ecosysteem, samen met partners en klanten, in 2025. Het zal hard werken worden en nog een lange weg zijn, beaamt Justin Broeders: “Ik zie de nodige dillema’s. Hoe beleg je bijvoorbeeld de verantwoordelijkheid voor security in de lijnorganisatie? Security is tenslotte niet alleen een technologie-issue.”

“Dit geldt ook voor het beoordelen van risico’s. En verder, hoe behoud je je wendbaarheid? Vaak ben je aan het verbouwen met de winkel open en soms moet je dan accepteren dat je sommige zaken wat later adresseert.”

Hij concludeert: “Het is nadrukkelijk een reis naar zero trust: er is geen blauwdruk.”


Highly Secure Organisations

Dit interview is tot stand gekomen naar aanleiding van een bijeenkomst in het kader van het programma Highly Secure Organisations, mogelijk gemaakt door CIO Magazine, F5 Networks, Okta en Orange Cyberdefense. Deze derde sessie, met als gastheer Okta, stond in het teken van zero trust security, met als spreker Justin Broeders, CISO van Eneco.

De deelnemende CISO’s herkenden de toename van het aantal cyberrisico’s en daarnaast de invloed van compliance en regelgeving op de ontwikkeling van cybersecurity. In reactie daarop nemen investeringen in cybersecurity toe, net als collectieve maatregelen, zoals gemeenschappelijke SOCs.

Pieter Slavenburg, F5 Networks, een van de partners van het programma, wees op de noodzaak van automatisering en de inzet van AI en ML, om de snelle ontwikkeling van de threatscapes te kunnen bijbenen.

Walter Geers, Okta, gastheer van deze sessie schetste een maturity roadmap van zero trust, waarbij eerst sprake is van een gefragmenteerde identiteit en je toewerkt naar een unified identity & access management. “Authenticatie is wat ons betreft een vertrekpunt om je zero trust op orde te krijgen.”

Bij het bespreken van het governancemodel wees een van de CISO’s op het gevaar van de gedachte ‘het zit nu wel goed’, als het model er eenmaal staat. ‘Blijf je maatregelen ter discussie stellen en laat ze op de proef stellen.’ Gilles van Heijst, Orange Cyberdefense, eveneens een partner van het programma, vulde aan: “Zorg ervoor dat je niet gaat afvinken, maar procesmatig je controls blijft afwerken.”

Een van de CISO’s merkte op dat zero trust lastig te implementeren is: “Alles dichtzetten en alleen toestaan wat nodig is, werkt niet. We moeten naar een meer werkbare definitie.” Andere deelnemers wezen op het nut van identiteiten en toegang tot data als uitgangspunten. “Als je zeker weet dat het goed zit – bijvoorbeeld met single sign-on – kun je voorkomen dat zero trust onwerkbaar wordt.”

Volgens een van de deelnemers is de discussie ‘risico versus waarde’ gebaat bij het zo veel mogelijk kwantificeren van risico’s. Het gesprek wordt vervolgens een board issue als de risico’s bepaalde drempelwaarden overschrijden.

Maar het blijft lastig. Walter Geers van Okta sloot dan ook af: “De balans tussen risico en waarde is belangrijk. Welke risico’s aanvaard je om de ontwikkelingen ook soepel voor je gebruikerspopulatie te laten zijn?”

Arnoud van Gemeren is hoofdredacteur van CIO Magazine. Hij heeft een lange staat van dienst in de Nederlandse IT-mediawereld. Als hoofdredacteur was hij van 1996 tot 2001 bij uitgeverij Array Publications verantwoordelijk voor diverse IT-vakbladen, onlines en congressen. Vanaf 2001 was hij communicatieadviseur en hoofdredacteur van diverse media bij Ten Hagen & Stam en Sdu Uitgevers. Sinds 2008 is hij actief bij ICT Media (bladen, online, onderzoeken en events) en tevens eigenaar van Contact Media, producent van content voor de IT-sector.

REAGEREN

Plaats je reactie
Je naam