Redactie - 01 oktober 2017

QS solutions wil bedrijven meer inzicht geven in security

QS solutions breidt haar aanbod uit met cybersecurity. De Microsoft-specialist heeft daarop een duidelijke eigen visie. De nieuwe activiteit is een logische stap voor de dienstverlener en softwareontwikkelaar uit Amersfoort, zo legt de kersvers aangenomen Security Specialist Erik Oppedijk uit.

QS solutions implementeert Microsoft-software. Om de Microsoft-technologie in de praktijk eenvoudiger en veiliger te maken ontwikkelt QS solutions aanvullende standaardsoftware. Het bedrijf is al sinds 2002 actief met CRM, SharePoint en Projectserver. De laatste jaren kwamen er, door de ontwikkelingen richting cloud computing, steeds meer vragen over identity management en daarop acquireerde het bedrijf in 2013 Elephant Security. Oppedijk: “We hebben de technologie van hun product, PortalTalk, overgenomen, maar ook consultants en ontwikkelaars met kennis en ervaring.”

Met identity management begonnen de securityactiviteiten van QS solutions. Dat werd binnen korte tijd het snelst groeiende onderdeel van het bedrijf. Toen Microsoft haar securityaanbod verder begon uit te breiden was het voor QS solutions een kleine stap om hetzelfde te doen. Met zijn ervaring als Security Officer is het aannemen van Oppedijk een stevige stap.

Microsoft als security specialist
De visies van Microsoft en QS solutions op het gebied van security komen sterk overeen. Oppedijk: “Wij geloven er net als Microsoft in dat security niet alleen over infrastructuur, maar ook over content gaat. Lekken ontstaan vaak niet door kwaadwillenden, maar door onbewust onveilig handelende medewerkers. Microsoft is al langere tijd heel sterk in het beveiligen van documenten. De afgelopen twee jaar heeft Microsoft een volledig securityaanbod ontwikkeld. Windows 10 kun je eigenlijk als een securityproduct beschouwen. Daarnaast hebben ze onder andere een gedragsanalyse tool (Advanced Threat Analytics), een product dat e-mails op malware scant (Advanced Threat Protection) en een oplossing voor Cloud App Security.”

Wie Microsoft zegt zal niet meteen denken aan cyber security. En andersom ook niet. Oppedijk: “Het klopt, daar krijgen we zeker vragen over. Maar in de hele breedte is het wat mij betreft echt de meest complete partij op het gebied van security. Bescherming van de endpoints, inclusief laptops en tablets, maar dus ook op het niveau van content beveiliging. Er is geen andere leverancier die dat allemaal op die manier meepakt. Microsoft heeft de laatste jaren enorme stappen gezet met goede en zeer eenvoudig te gebruiken producten.”

Uitdagingen
Oppedijk kent de uitdagingen in het bedrijfsleven. “Er is natuurlijk veel publiciteit rond ransomware geweest. Bedrijven weten dat de aanvallen steeds professioneler worden en dat de wetgeving tegelijkertijd strenger wordt, zoals met de Europese GDPR. Daardoor is er meer noodzaak om iets met security te doen. Toch wordt er vaak onvoldoende actie genomen. Security blijft voor organisaties een abstract onderwerp. Ze weten niet precies waar ze moeten beginnen. En dat kan ik goed begrijpen. Security is breed en je kunt niet alles in één keer aanpakken. Het is moeilijk om prioriteiten te stellen.”

Cyber Security Roadmap
Daarvoor denkt QS solutions dé oplossing te hebben. “We zitten nu in de afrondende fase van de ontwikkeling van de CyberSecurityAssesmentTool, ofwel CSAT. Door middel van een geautomatiseerde scan, gecombineerd met een vragenlijst, geeft de tool inzicht in de security status van uw organisatie. Waar zijn de sterktes? Wat zijn de aandachtspunten? Hieruit volgt een Cyber Security Roadmap. Ideaal voor Security Officers en IT-managers om prioriteit en budget te krijgen bij hun businesscollega’s. Het unieke van de tool is dat er niet alleen naar de infrastructuur wordt gekeken, maar ook naar content en cloud applicaties. De tool scant bijvoorbeeld Fileshares en SharePoint-omgevingen om te zien wie, zowel intern als extern, toegang heeft tot welke locaties. Uit de rapportages kan bijvoorbeeld worden opgemaakt dat er 10 personen toegang tot de documenten van het HR team hebben, terwijl zij daar geen onderdeel van uitmaken. Zo’n analyse neemt het sluimerende gevoel van onzekerheid bij bedrijven weg en legt de vinger op de zere plek.”

De CSAT wordt tijdelijk op een server van de klant gezet. “Het zet vervolgens een tijdelijke agent op elk endpoint. De software verzamelt informatie en verwijdert zichzelf uiteindelijk weer. De informatie blijft on-premise en komt dus, heel bewust, niet in de cloud. De scan kan eenmalig worden gedaan, maar ook, als klanten dat willen, elke week.” CSAT wordt door QS solutions overigens ook apart in de markt gezet als een product voor andere Microsoft-partners.

Handhaven van securitybeleid
De scan is ook bedoeld om het beleid aan te scherpen. “Het handhaven van een securitybeleid is lastig. Als er afgesproken is om geen externe cloudapplicaties te gebruiken dan kan de scan aantonen of dat toch gebeurt. In dat geval kun je je beleid aanpassen, of de regels strikter handhaven. Strenger toezien op het gebruik van zo’n applicatie is daarbij volgens ons niet het hoofddoel. Belangrijker is om de vraag te beantwoorden waarom medewerkers die applicatie gebruiken. Ze zijn niet bewust kwaadwillend. Blijkbaar missen ze bepaalde faciliteiten om hun werk goed uit te voeren. De uitdaging is om security niet in strijd te laten zijn met de productiviteit van medewerkers.”

De tool is een hulpmiddel voor Security Officers en IT-managers. “Zij zijn verantwoordelijk voor de IT en security. Dat laatste is vaak maar deels onder controle doordat het niet alleen een IT-uitdaging is. Te vaak wordt security als abstract ervaren door collega’s in de business. Hierdoor krijgt het onderwerp niet de noodzakelijke aandacht en budget. IT-managers en Security Officers zitten klem en de CSAT helpt hen om security visueel en concreet te maken. Met op feiten gebaseerde informatie kan samen met de businessverantwoordelijken een Cyber Security Roadmap opgesteld worden. Dan wordt security de gedeelde verantwoordelijkheid die het zou moeten zijn!”

Door: Johan van Leeuwen

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024