De bedrijfsstrategie in de praktijk: Op zoek naar een goede balans tussen innovatie, klantwens en realisatie
In onze laatste Entry is de rode draad van de nieuwe DICTU bedrijfsstrategie toegelicht. DICTU wil zijn dienstverlening vernieuwen en innovatiever worden. Maar hoe wat betekent de implementatie van innovatieve diensten voor informatiebeveiliging? Voormalig Chief Information Security Officer (CISO) Sjoerd Verheijden van DICTU legt dit in ons laatste relatiemagazine Entry uit.
'Klanten starten liever vandaag dan morgen met het gebruik van innovatieve diensten. Toch is in dit geval stap voor stap en zorgvuldig beter dan snel zijn', aldus voormalig Chief Information Security Officer (CISO) Sjoerd Verheijden van DICTU. ‘Het gebruik van innovatieve diensten betekent ook dat je niet alle risico’s vooraf kunt bepalen. Dus moeten we eerst met onze klanten de inhoud en organisatie van deze nieuwe diensten leren, voordat we ze in gebruik nemen. Door dit in kleine opeenvolgende stapjes te doen, blijven de risico’s ook klein. En leren we ze in de context van de klant en de gebruikte technologie kennen en beheersen.’
Een van de pijlers van DICTU’s bedrijfsstrategie is innovatie. Daarnaast zijn wendbaarheid en snelheid van belang. DICTU zet voor het bereiken van deze doelen innovatieve diensten in, waarvan de klant ook verwacht dat deze betrouwbaar en veilig zijn. ‘Daarbij zoeken we de balans tussen wat klanten willen en wat mogelijk is’, vertelt Verheijden. Hij is bij DICTU verantwoordelijk voor alles wat met informatiebeveiliging te maken heeft.
Identiteitsfraude voorkomen
‘DICTU opereert in een wereld waarin veel verandert op het gebied van geopolitiek en technologie. Als je veilig IT wil bedrijven, moet je letten op risico’s die je loopt als het gaat om het datagebruik en wie er toegang toe heeft. Bijvoorbeeld om identiteitsfraude of datalekken te voorkomen’, legt Verheijden uit. ‘Dat betekent dus dat we samen met de klant aan risicomanagement moeten doen. Klanten overzien niet altijd wat er qua cybersecurity bij komt kijken en wat dat organisatorisch betekent. En DICTU kent de klantspecifieke risico’s niet. Ook al werken we met externe partners, de overheid blijft eigenaar van de digitale identiteiten en data van onze ambtenaren. Dat is ons goud en dat moet beschermd worden. Wij - de klant en DICTU - bepalen wie toegang heeft tot onze applicaties, systemen en data. Dat blijven we doen, ook al staan deze bij partners. Maar je kunt niet vooraf voorspellen hoe we deze bescherming in innovatieve projecten moeten doen.’
Hij noemt een voorbeeld: ‘Tijdens de coronapandemie hebben we voor iedere medewerker direct Webex beschikbaar gesteld om digitaal te kunnen vergaderen, met alle risico’s die erbij horen. Om mogelijke veiligheidsrisico’s te voorkomen, hebben we dat later niet in één keer met Teams gedaan, dat onderdeel is van de Microsoft 365-cloud. Toen konden mensen eerst alleen de video- en spraakfunctionaliteiten van Teams gebruiken en pas later ook via Teams chatten en bestanden delen. Later leerden we dat we risico’s liepen bij authenticatie. Bij authenticatie gaat het systeem na of iemand daadwerkelijk toegangsrechten heeft en is wie die beweert te zijn. We hebben daarom een zogenoemde tweefactorverificatie ingevoerd. Dan moeten gebruikers bijvoorbeeld een eenmalig wachtwoord en een pincode opgeven. Door zo’n verandering niet in één keer door te voeren, maar in kleine stapjes te doen, kun je eindgebruikers in je proces meenemen en eventuele risico’s beperken.’
Risicobeheersing in publieke cloud
‘Sjoerd had het al over de risicoanalyse die we vooraf moeten maken. Dat is zeker het uitgangspunt, maar ook is er iets wezenlijks anders. In de Microsoft 365-cloud vindt de risicoanalyse doorlopend plaats, met zo nodig het dynamisch aanpassen van de maatregelen’, vertelt beveiligingsarchitect Erik Holkers. ‘We laten daardoor de wereld achter ons waarin gebruiksvriendelijkheid en veiligheid alleen maar op gespannen voet met elkaar staan.’
DICTU gebruikt bijvoorbeeld public cloud-technologie van Microsoft 365 met Teams en SharePoint als onderdeel van de werkomgeving. We hebben hiervan geleerd dat het gebruik van een public cloud een nieuwe manier van werken vereist’, vult technisch architect Koen van Maaren aan. ‘Grip op de data waarbij altijd bekend is waar deze zich bevinden en wat men ermee kan doen en een bredere afstemming over de verantwoordelijkheden in de gehele keten, zijn hierbij uiterst belangrijk. Evenals goede afspraken maken over waar onze verantwoordelijkheid ophoudt en die van een ander begint. Rode draad daarbij is de beveiliging van onze identiteiten en data.’
Authenticatiemanagement is belangrijk, net als het goed en veilig opslaan van data en vooral het labelen en monitoren van data. Van Maaren: ‘Als je iets in de cloud wilt doen, moet je die informatie beveiligen, maar ook een label geven om het terug te vinden. We moeten dus veel meer aan de voorkant nadenken over hoe we dat gaan doen, maar ook beseffen dat je gedurende je innovatieve traject nieuwe risico’s moet herkennen en afzwakken.’
Passend architectuurplaatje
‘Naar de cloud betekent meeliften op wat daar al is en wordt aangeboden. Zo min mogelijk zelf het wiel uitvinden. Als je toch moet bouwen, dan aansluiten bij en gebruikmaken van de bouwstenen die daar al beschikbaar zijn. Dat noemen we cloud native’, vertelt Holkers verder. Infrastructuur wordt programmeerbaar. Dat geautomatiseerde proces heet Infrastructure as Code (IAS). Deze IAS is volgens Holkers niet hetzelfde als het maken van architectuurkeuzes. ‘Juist in de cloud is een herkenbaar, herhaalbaar en goed te integreren architectuurontwerp van toegevoegde waarde.’
Er vindt nu ook monitoring en analyse van data plaats. ‘Binnen de Rijksoverheid is men best huiverig voor het monitoren van zaken. Het is niet vanzelfsprekend dat alles in de gaten wordt gehouden. Dat past niet in onze cultuur maar het is wel het fundament van werken in de cloud’, vertelt Verheijden. ‘Je kunt niet met een blinddoek om in de cloud werken. Je moet alles in de gaten houden, wil je op het gebied van cybersecurity de ratrace tussen hacken en beveiliging bijhouden. Dus om de veiligheid en het gedrag van medewerkers en niet-medewerkers in onze cloudoplossingen goed te bewaken, is monitoring van groot belang. Dit vraagt echter veel afstemming op gebied van privacy, inrichting van een monitoringsteam en natuurlijk technische configuratie en beheer. Dit is niet één-twee-drie geregeld. Ook al is monitoring op zich in de cloud een kwestie van een knop omdraaien, cultureel en organisatorisch gezien heeft het nog heel veel voeten in de aarde. En dan heb ik het nog niet eens over de Europese wetgeving op het gebied van privacy.’
Opsporen en blokkeren identiteitsfraude
Holkers wijst tot slot als voorbeeld naar het opsporen en blokkeren van een mogelijke identiteitsfraude: ‘Als iemand om 11.00 uur in Den Haag inlogt en dit twee uur later vanuit China probeert te doen, dan is er mogelijk sprake van fraude. De security-diensten van de public cloud bieden mogelijkheden om dit te signaleren en automatisch hierop in te grijpen om misbruik te voorkomen. Dit helpt ook bij het beschermen van persoonsgegevens.’
Meer Entry-artikelen lezen of aanmelden
Dit artikel is eerder verschenen in ons relatiemagazine Entry, een magazine boordevol met artikelen over de activiteiten van onze klanten, partners en DICTU zelf? Wilt u meer lezen over de nieuwe DICTU bedrijfsstrategie, de samenwerking met IT-partners of bijvoorbeeld de resultaten van een robotiseringsproject? Klik dan hier. Aanmelden voor toekomstige edities kan natuurlijk ook. U kunt op het formulier kiezen of u Entry digitaal en/of op papier wilt ontvangen.
■