Laat het monitoren van je security omgeving aan experts over
“Security is iets wat continu aandacht vraagt. Bovendien gaan de ontwikkelingen zo snel dat het voor een IT-manager nauwelijks nog te doen is om de kennis up-to-date te houden.” Dat zegt Lex Brinkhuijsen, IT-manager bij Ab Ovo. Hij kiest daarom voor een managed services-contract met het Security Operations Center (SOC) van Pinewood.
Ab Ovo is een wereldwijd opererend Supply Chain Planning & Optimization (SCP&O)-bedrijf met vestigingen in Europa, China en de Verenigde Staten. De organisatie ontwikkelt software voor en levert advies aan transportbedrijven en andere logistieke dienstverleners.
Brinkhuijsen vertelt: “We zijn in 1997 begonnen als consultancybedrijf en implementatiepartner voor logistieke software- pakketten. Van lieverlee zijn we ook eigen software gaan ontwikkelen gericht op nichemarkten. Zo hebben we een ERP-systeem ontwikkeld voor rail cargo, waar diverse Europese klanten gebruik van maken. Nu leveren we onze software nog alleen als on-premise applicatie aan grote spelers, maar het is de bedoeling om in de toekomst webbased software te ontwikkelen voor kleinere transporteurs. De ontwikkeling van ons bedrijf van consultancy naar IT-dienstverlener zal zich dus ook in de toekomst nog verder doorzetten.”
Steeds zwaarder beroep op IT
Dit betekent veel voor de manier waarop Ab Ovo zijn eigen IT-omgeving inricht. “Consultants hebben niet zo’n zware IT-omgeving nodig. Met Office 365 komen zij een heel eind”, zegt Brinkhuijsen. “Maar ons software-ontwikkelteam doet natuurlijk wel een zwaar beroep op IT. Zij stellen hoge eisen aan de ontwikkelomgeving, achterliggende databases, het netwerk en ga zo maar door. Dit zijn ook geen diensten die wij maar zo even uit de cloud kunnen afnemen, dit draait in eigen huis. Dat betekent dat mijn collega-IT-er en ik verantwoordelijk zijn voor de beschikbaarheid en veiligheid van de omgeving.”
Explosieve stijging van risico’s
Hij ziet dat de eisen aan beschikbaarheid en veiligheid groeien, terwijl het aantal en soorten dreigingen de laatste jaren explosief zijn gestegen. Dat leidde uiteindelijk tot de strategische keus om de security bij een extern SOC te beleggen, ondanks het feit dat Brinkhuijsen zelf CISSP (Certified Information Systems Security Professional) is. Hij verklaart: “Ab Ovo heeft 120 werkplekken op drie continenten. Het IT-team bestaat uit slechts twee mensen die vanuit Nederland de wereldwijde omgeving beheren. Mijn collega en ik moeten overal verstand van hebben: de interne server omgeving, het netwerk, de databases waar de ontwikkelomgeving op draait, de applicaties waar we zelf intern mee werken. Je kunt gewoon niet op alle gebieden je kennis up-to-date houden. Daarom hebben we besloten om e?e?n van de meest kritische onderdelen te outsourcen: onze security.”
De keuze voor SOC-dienstverlening
“Voorheen waren we zelf verantwoordelijk voor de monitoring van de security omgeving en voor het oplossen van kleine incidenten en storingen. Bij complexere zaken riepen we de hulp van een externe partij, in ons geval Pinewood, in. Naarmate de IT bedrijfskritischer werd, ging dat wringen. Want het betekent dat we steeds meer kennis moesten hebben van security, terwijl we ook op andere gebieden up-to-date moeten blijven. Drie jaar geleden hebben we het afroepcontract veranderd in een managed services contract. Pinewood is nu verantwoordelijk voor de totale omgeving: monitoring van firewalls en SIEM, oplossen van storingen, ingrijpen bij security-incidenten en de rapportage hierover.”
In het Security Operations Center (SOC) in Delft houdt een team van hoogopgeleide, Nederlandstalige security analisten nu proactief 24 uur per dag, zeven dagen per week de systemen en netwerken van Ab Ovo nauwlettend in de gaten. Ab Ovo ontvangt maandelijks rapportages over de status van de omgeving en de voorgevallen incidenten. Eens in de drie maanden volgt er een contactmoment om de security strategie te evalueren en eventuele wijzigingen in de aanpak te bespreken. “Doordat we security nu proactief in plaats van reactief benaderen, hoeven wij ons in het dagelijks werk niet meer met security bezig te houden; het is uit de agenda en ook uit ons hoofd”, zegt hij. Dat neemt niet weg dat hij zijn kennis wel wil onderhouden. “Ik vind het belangrijk om als klant een goed tegenwicht te kunnen bieden. Daarom bezoek ik regelmatig events. Dat is een goede e?n leuke manier om op de hoogte te blijven.”
Onlangs bezocht hij een seminar over penetratietesten. “Op dat moment realiseerde ik me weer hoe goed de beslissing is geweest om de monitoring en het beheer van onze security omgeving volledig buiten de deur te leggen. Een paar keer dacht ik: ‘zo heb ik er nog nooit naar gekeken.’ Dat komt doordat hackers bezig zijn met aanvallen, terwijl je als IT-manager bezig bent met verdedigen. Als verdediger leg je het initiatief bij de aanvaller en daar reageer je op, wat betekent dat je min of meer automatisch achter de feiten aanloopt.”
Laat het aan experts over
Als hij andere IT-managers e?e?n advies mag geven dan is het: “Ga niet zelf lopen klooien, maar laat het aan experts over. Het is namelijk een illusie dat je alles zelf in de gaten kunt houden. Je hebt er de tijd niet voor, en zeker niet de expertise. Bovendien is IT in de meeste organisaties bedrijfskritisch geworden. Het is te? belangrijk om hier risico’s mee te nemen.”
Door: Lex Brinkhuijsen, IT-manager bij Ab Ovo
