Interview Tonny Roelofs, Trend Micro: ‘Security is meer dan alleen technologie’

De rol van IT-leveranciers is de afgelopen jaren ingrijpend veranderd. Waar het vroeger vooral ging om het aanbieden van technologie, gaat het nu om beantwoorden van business vragen. Dat geldt zeker op het gebied van security, waar de CIO verantwoordelijk is voor de bedrijfscontinuïteit. Executive People sprak hierover met Tonny Roelofs, Country Manager bij Trend Micro Nederland.

Trend Micro bestaat dit jaar 25 jaar, toevallig even lang als het internet. Ooit gestart als anti-virus aanbieder is het bedrijf ondertussen uitgegroeid tot all round security organisatie, de grootste wereldwijd. Dagelijks werken meer dan 1200 threat experts aan het veilig houden van IT. Waar het vroeger ging om virussen op een pc, treden de bedreigingen nu op alle lagen van het netwerk op.

“De CIO heeft in die tijd andere verantwoordelijkheden gekregen”, zegt Tonny Roelofs, Country Manager bij Trend Micro Nederland. “Waar het vroeger alleen ging om techniek is de CIO nu verantwoordelijk voor de continuïteit van een organisatie. Het gaat daarbij om proces, mensen en techniek. Continuïteit en veranderende markten hebben invloed op die drie aspecten. Dat zien wij ook bij security-vraagstukken terug komen.”

Investeringscyclus verandert

“Wij leveren de techniek, maar zien dat de andere twee pijlers wel in orde moeten zijn om technologie succesvol in te zetten. Bij iedere beslissing die en CIO neemt spelen de vragen van de business op de achtergrond. Dat komt neer op een aantal trends. Mensen willen overal kunnen werken, wat weer betekent dat ze met ieder apparaat willen kunnen werken. Ook is er veel vraag naar flexibiliteit, om snel extra capaciteit te hebben, bijvoorbeeld voor een tijdelijke campagne. De investeringscyclus van bedrijven is anders, men wil betalen voor gebruik en daar flexibel in zijn. Het maakt niet ut met welke partij ze het doen.”

Het lokale sales team van Trend Micro is daarom fors uitgebreid, om in te spelen op die veranderende vraag. “Klanten willen geholpen worden bij die vraag, ze vragen om toegevoegde waarde. Dat gaat verder dan alleen technologie, onze rol is duidelijk veranderd. Dat maakt ons werk leuker, want je kunt concrete business vragen vertalen naar en oplossing waar beveiliging een onderdeel van is. Ons portfolio is breed genoeg om het in allerlei vormen in te vullen, je hoeft de klant niet in één richting te sturen.”

Dat raakt een belangrijke verandering die optreedt in de IT-markt. “Waar vendoren vroeger vooral hun eigen verhaal vetrellen, zien we nu de trend dat vendoren gezamenlijk de markt benaderen. Dat zal volgend jaar alleen maar doorzetten. Vergelijk het met het bouwen vaneen huis. Je kunt zelf alle losse leveranciers aansturen, of je kunt met één aannemer werken die zorgt dat iedereen zijn werk doet. Dergelijke constructies zien we bijvoorbeeld bij het opbouwen van datacenters, die allemaal vaste componenten hebben.”

Netwerkstack

“We noemen dat de netwerkstack, die klanten kant en klaar kunnen kopen. Alle oplossingen zitten er al in, en alles is op elkaar afgestemd. We gaan bijvoorbeeld samen met VMware en NetApp naar klanten toe, samen vertellen we onze boodschap aan de markt. De markt verandert ingrijpend, je benadert de markt anders. Voor ons is het leuker, en voor de klant is het makkelijker.”

De gevaren spelen op verschillende vlakken. Het grootste gevaar zijn de gerichte aanvallen. “Vroeger werd met hagel geschoten, maar dat is nu veranderd in aanvallen waarbij de aanvaller de tijd nemen om een bepaald doel aan te vallen. Alles wat mogelijk is wordt daarbij ingezet. Kwaadwillenden gaan eerst heel goed kijken wat de zwakke plekken zijn, inclusief onderzoek naar de mensen in de organisatie op social media.”

“We zien dat het maanden kan duren voor de laatste actie wordt uitgevoerd. Je ziet bijvoorbeeld dat firewalls worden omzeild door een besmette email te sturen die afkomstig lijkt van de dochter van de receptioniste, of er wordt een besmette USB-stick in de parkeergarage neergelegd. Standaard beveiligingsoftware ziet dat niet. Daar is een specifieke verdediging voor nodig. Men kan op zoek zijn naar intellectueel eigendom, of informatie over aanbestedingen, klantgegevens, of de continuïteit van het bedrijfsproces verstoren.”

Zwijgen werkt averechts

Ook in dat laatste geval speelt meer dan alleen technologie. “De bedrijfsprocessen moeten ingericht zijn op een mogelijke aanval. Want wat ga je communiceren als je wordt aangevallen? Dat is vrij belangrijk voor bijvoorbeeld financiële instellingen, maar ook voor andere organisaties. Veel organisaties hebben daar niet over nagedacht, en we zien dat er daar ook nog wel stappen te zetten zijn. Want mensen accepteren vaak wel dat je aangevallen wordt, maar het is wel belangrijk dat je er dan met je klanten over communiceert. Zwijgen werkt vaak averechts.”

Security vraagt om beleid, het is meer dan alleen software aanschaffen. “Wat wil je beschermen, welke apparaten zitten er achter, hoe zet je internet in? Als CIO ben je niet alleen verantwoordelijk voor de beveiliging, maar voor de continuïteit van de bedrijfsvoering. Het wordt bovendien steeds belangrijker om een platform te hebben waarbij het niet meer uitmaakt welke apparaten gebruikt worden, dat wordt met trends als virtualisatie, cloud en BYOD alleen maar belangrijker. Bovendien wil je ook berekend zijn op de toekomst. Want platformen die nu populair zijn worden misschien over een paar jaar weer verdrongen door andere. Vergelijk de opkomst van Apple en Samsung ten koste van Nokia.”

Om deze visie uit te dragen faciliteert Trend Micro maandelijks ronde tafeldiscussies, samen met partner. “We willen daar organisaties met elkaar late praten over actuele onderwerpen, zoals digitale spionage en de rol van de overheid. Daar komen gesprekken uit tussen grote organisaties die elkaar advies geven over de omgang met digitale bedreigingen, zoals het opstellen van die communicatieprotocollen. Onder de noemer Let’s talk about IT delen we zo in een breed platform informatie. Want de traditioneel, passieve, manier van beveiligen is niet meer van deze tijd. De huidige bedreigingen vragen om een actieve aanpak.”