Het Kat en Muis Spel

Naar overzicht

“Ha betrapt!” riep ik uit toen ik de ethical hackers van onze security consultant betrapte terwijl ze een penetration test uitvoerde, waarbij ze het datacenter van Nationale Nederlanden (NN) probeerden binnen te dringen.. Alle actualiteiten op het gebied van informatiebeveiliging (denk aan de opkomst van Anonymous), in combinatie met de rol van NN binnen de maatschappij, hebben Security tot een randvoorwaarde van een goede IT-dienstverlening gemaakt. Daarom vertel ik jullie in mijn tweede blog graag meer over de rol en het belang van IT Security en Risk Management binnen IT-organisaties

Gedurende mijn eerste 2 jaar bij NN draaide het vooral om het open houden van ons winkeltje, zodat we verzekeringen konden blijven verkopen via de online kanalen. De heilige graal van 99,6% ketenbeschikbaarheid was dè topdoelstelling voor de meeste IT-afdelingen binnen het bedrijf. Daar is recentelijk verandering in gekomen. Het is nu niet alleen belangrijk dat we open blijven, maar dat we onze klanten ook een veilige omgeving kunnen bieden om hun persoonlijke informatie in te delen. Met deze ontwikkeling zijn IT Security en Risk Management hot topics geworden, die een essentiële rol spelen binnen een succesvolle IT-organisatie. Het feit dat er recentelijk een CISO (Chief Information Security Officer) is aangesteld binnen NN, onderstreept het belang van een solide informatiebeveiliging. Maar wat betekent dit in de praktijk?

Hoewel de facetten van IT Security en Risk Management enorm uiteenlopen en op diverse plekken verweven zijn in de bedrijfsvoering, komen we in de dagelijkse operatie vooral op een vijftal manieren in aanraking met deze randvoorwaarde: Security Documentatie, Security Monitoring, Verificatie, audits, en bovenal ook awareness bij de medewerkers. Nu kan ik natuurlijk helemaal los gaan over alle documentatie en monitoring die we hebben ingericht om ervoor te zorgen dat alle systemen en onderliggende informatie van onze klanten veilig blijven, maar het is veel leuker om de toepassing te beschrijven aan de hand van een voorbeeld!

Zo zat ik 2 maanden terug in een workshop over het belang van Security Awareness (hoe ironisch is dat?) toen een collega van het Security Operations Center (SOC) in Praag bij mij in de lucht kwam met een mogelijk security risico. De scanners die in onze omgevingen draaien om verdacht gedrag te identificeren zagen verschillende pogingen om in te breken op onze Linux omgeving. Snel het mogelijke risico inschatten, alles uit je handen laten vallen en actie! Onder begeleiding van ons Computer Security Incident Response Team (CSIRT) gingen we op zoek naar de dader en stelden we de acties in gang om de aanval te pareren. Door de bron en de target te identificeren konden we de netwerkverbinding snel dicht zetten en de aanvaller behoeden van een mooie prooi. Maar wacht eens even, blijkt uit het IP-adres nou dat de aanvaller zich in het gebouw bevindt? Eens even kijken op welke poort deze netwerkverbinding zit aangesloten. Ha, op de eerste verdieping van het kantoor! In overleg met het CSIRT mocht ik op onderzoek uit en had ik de locatie snel gevonden. Ik gooide de deur open en liep met een brede grimas op mijn gezicht naar binnen om daar een groep ethical hackers aan te treffen zonder internetconnectie.

Ha betrapt! riep ik uit toen ik de ethical hackers van onze security consultant betrapte.

Op basis van deze test en onze maatregelen werd duidelijk dat we een strakke en snelle reactie geven op een mogelijke bedreiging in onze omgeving. Nu is NN als bekende financiële dienstverlener een aantrekkelijk doelwit voor hackers die echt kwaad willen. Dat zorgt er voor dat Security Awareness en het in plaats hebben van de juiste Security Controls boven aan onze agenda staat en we hier 24 uur per dag, 7 dagen in de week mee bezig zijn. Hackers slapen namelijk niet en een mogelijk risico kan zich op elk moment van de dag voordoen. Deze aanval is in ieder geval netjes afgeketst, maar het is wachten tot de volgende uitdaging zich aandient. Was jij vroeger een Cluedo kampioen en spreekt het je aan om dit toe te passen in de praktijk?

Dan is IT wellicht een passende carrièrestap voor jou! Voel je vrij om contact met me op te nemen via LinkedIn om te sparren over de mogelijkheden.

Onze opdrachtgevers