Motivator voorjaar 2014 by Ferry Waterkamp

VOOR PROFESSIONALS IN INFORMATIEVOORZIENING EN -BEVEILIGING

MAGAZINE nr. 01 – voorjaar 2014

VISIE OP RISK MANAGEMENT

Risicomanagement raakt ieder aspect van de organisatie > P. 6

MOTIV CLOUD- EN DATACENTERSECURITYDIENSTEN

Maximaal profiteren van de voordelen van cloudcomputing > P. 18

PIET WOUDT VAN DE GEMEENTE HOUTEN

'msafe is onze Houtense cloud' > P. 26

en veRdeR MOtiv BieDt SNeLLe eN veiLige BeStaNDSuitWiSSeLiNg Met MSaFe DireCt SeCuritY aLS eeN KWaLiteitSattriBuut vaN SOFtWare

> P. 12

Bas Lierens van Reviva

'BeveiLigiNg WerKt vOOr ONS aLS eeN MarKetiNgiNStruMeNt'

MAGAZINE nr. 01 - voorjaar 2014 Coverbeeld: Bas Lierens van Reviva, geportretteerd door Ruud Jonkers Fotograﬁe.

Motivator Magazine is een uitgave van Motiv ICT Security

vooRwooRd

In dIT nuMMeR

6 visie: Risicomanagement raakt ieder aspect van de organisatie 12 Bas Lierens van Reviva: ‘ Beveiliging werkt voor ons als een marketinginstrument’ 18 Motiv cloud- en datacentersecuritydiensten: Maximaal profiteren van de voordelen van cloudcomputing 26 Piet woudt van de gemeente Houten: ‘ msafe is onze Houtense cloud’

46 visie: ‘ Beschouw security als een kwaliteitsattribuut van software’ en veRdeR 4 5 11 16 20 24 30 32 34 36

Motiv Nieuws: Risico’s van onveilig gebruik van Wifi-netwerken Motiv Nieuws: De 'kill chain' in zeven fasen Column: Kop in het zand F5 laat applicaties optimaal profiteren van SDN Breng data bewust naar de cloud Arthur van Uden van Check Point: 'De markt is rijp voor Software-Defined Protection' Motiv Nieuws: Motiv biedt snelle en veilige bestandsuitwisseling met mSafe Direct Carl Leonard van Websense: 'Middelen genoeg om een geavanceerde aanval te onderscheppen' Sander Bierens van Credit Europe Bank: 'Beveiliging moet toegevoegde waarde leveren' Controle over persoonlijke gegevens met Qiy Scheme

38 40

43 44 48 50

Maarten Louman van Qiy: 'We moeten het vertrouwen herstellen' Ramon Driessen en Renzo Zitman van Dinkgreve Solutions: 'We zijn van een Fiat Panda naar een Jaguar gegaan' Column: Kan ik mijn cloudprovider vertrouwen? SVP Art Gilliland van HP Enterprise Security: 'Bescherm alleen de belangrijkste zaken' Impressie opening nieuwe kantoor Motiv Motiv Nieuws: Motiv vergroot gebruiksgemak 'Sterke Authenticatie' met nieuwe portals

sommige risico’s zijn gewoonweg niet voorzien Het beheersen van cyberrisico’s is een lastige klus. En toch moet dit gebeuren. Tot 7 april had niemand rekening gehouden met de ‘Heartbleed’-kwetsbaarheid in OpenSSL. Dankzij Heartbleed bleek een bijzonder groot percentage van de servers op internet ineens kwetsbaar voor afluisteren. In zo’n geval is een snelle en grondige incident/response essentieel. Maar risico’s voorkomen en verminderen is nog altijd beter dan corrigeren. In deze Motivator een uitgebreide beschouwing rondom risicomanagement in relatie tot cyberaanvallen. Helaas blijkt het beheren van de genoemde risico’s geen exacte wetenschap. Het model van het Amerikaanse National Institute of Standards and Technology (NIST) biedt u een interessant model voor het beheersen van risico’s. Verder een uitgebreide update rondom de Motiv-propositie Cloud- en datacenter-securitydiensten. En uitgebreid aandacht voor de ICTomgeving van Reviva Groep – e-commerce-expert met een fullserviceconcept van shop-to-drop inclusief unieke fraudepreventie – die continu door Motiv wordt beschermd tegen aanvallen vanuit internet. Verder casussen rondom het voorkomen van datalekken bij de Credit Europe Bank, veilige bestandsuitwisseling bij de gemeente Houten en de visie van Dinkgreve op het creëren van high-traffic, highperformance en vooral ook veilige applicaties. Motiv heeft meer dan vijftien jaar expertise op het gebied van de beveiliging van netwerken, data en applicaties. Dankzij de ervaring op deze drie gebieden heeft Motiv een oplossing voor veilige apps gebouwd. De nieuwe SecureApp-proxy van Motiv biedt de mogelijkheid om snel en veilig apps voor smartphones te ontwikkelen die een beveiligde verbinding hebben met de bestaande databases in uw datacenter. Op deze manier kunt u profiteren van de toegevoegde waarde van smartphones en tablets met de zekerheid van gedegen bescherming tegen misbruik. Voor nu wens ik u veel leesplezier en ik hoop dat dit magazine u kan inspireren om te werken aan een weloverwogen, risicogebaseerde aanpak voor ICT Security.

Bastiaan Bakker, Directeur Business Development bij Motiv

H E A D L I N E s d y n a m i s c H e v e i l i g H e i d v o o R e e n d y n a m i s c H e i t - o m g e v i n g • R i s i c o ' s va n o n v e i l i g g e B R u i k va n w i f i - n e t w e R k e n

MOTIV NIEUWS

dynamische veiligheid voor een dynamische IT-omgeving Enterprise IT-netwerken ontwikkelen zich van eenvoudige en statische systemen naar dynamische infrastructuren die zich uitbreiden tot private en publieke clouds, mobiele gebruikers en flexibele werkplekken. Hoe groter de complexiteit van deze netwerken, hoe geraffineerder het aantal en soort bedreigingen waar uw netwerk mee te maken krijgt. Werden er eerst beveiligingsproducten geïnstalleerd voor elk nieuw toegangspunt, binnen de moderne IT-omgeving is dit veel te complex en biedt het niet langer de juiste bescherming tegen nieuwe bedreigingen. Daarom heeft Check Point Software-Defined Protection (SDP) ontwikkeld. SDP is een modulair, flexibel en veilig ontwerp effectief tegen huidige en toekomstige dreigingen. Het systeem

bestaat uit een beveiligingsarchitectuur met drie afzonderlijke lagen om je IT-omgeving van de beste bescherming te voorzien.

afspraken en -documenten., en visualisatie; voor een actueel overzicht van de beveiligingsstatus van het bedrijf.

De eerste laag is een handhavingslaag waar het verkeer het netwerk binnengaat, wordt gescreend en van het juiste beveiligingsprofiel wordt voorzien. De tweede laag zorgt voor de juiste controle. Deze controlelaag maakt per type gebruiker, data en device een apart beveiligingsbeleid aan. Het biedt bescherming bovenop de grote hoeveelheid informatie die wordt verkregen uit veilige bronnen, om zowel bekende als nieuwe bedreigingen het hoofd te bieden. Tot slot richt de beheerlaag zich op drie onderdelen; modulatie; om de beveiliging zo flexibel mogelijk en naar eigen voorkeur in te richten, automatisering; om de integratie met systemen van derden mogelijk te maken voor agenda-

check point software technologies presenteert summer security Event. De zomer nadert en als strategische partner van Check Point Software Technologies kijken wij uit naar het jaarlijks Summer Security Event van Check Point. Dat zal plaatsvinden op 19 juni in De Fabrique in Utrecht. Check Point zal dan onder andere verder toelichten wat Software-Defined Protection (SDP) kan betekenen binnen uw IT-omgeving.

Reserveer 19 juni alvast in uw agenda. ME E R I N FoR MAt I E : W W W. MO T I V. N L

Risico's van onveilig gebruik van wifi-netwerken In eerdere publicaties van het NCSC zijn adviezen te vinden voor het verstandig internetten op mobiele apparaten en via draadloze netwerken. Speciaal voor tablets en smartphones heeft het NCSC een beveiligingsadvies in de factsheet Veilig gebruik van smartphones en tablets opgesteld.

agenda afspraken en documenten. Dit brengt beveiligingsrisico's met zich mee.

Factsheet veilig gebruik van smartphones en tablets

In de factsheet op www.ncsc.nl leest u wat belangrijke beveiligingsrisico’s zijn van het gebruik van een smartphone en/of tablet en hoe u op een verstandige manier met deze beveiligingsrisico’s om kunt gaan en mogelijke schade kan voorkomen of beperken.

Naast bellen en sms’en kan men met een smartphone of tablet internetten, e-mailen en applicaties (zogenaamde apps) downloaden en gebruiken. Smartphones en tablets zijn populair en worden gebruikt voor zowel privé- als zakelijke doeleinden. Hierdoor kunnen deze apparaten toegang bieden tot vertrouwelijke of persoonlijke data. Veel apps verwerken vertrouwelijke en/of persoonlijke informatie. Deze apps kunnen uw informatie vrijgeven aan derde partijen. Denk hierbij aan uw contacten, locatie, e-mails,

Motiv adviseert organisaties deze factsheets zeker als informatiebron te beschouwen. Tevens ontvangt Motiv dagelijks vraagstukken hoe om te gaan met Wifi-netwerken. We hebben gekozen voor een interactieve beantwoording van deze vragen. Op 3 juli zal Motiv in samenwerking met de gemeente Houten een interactieve middagsessie verzorgen voor diverse gemeenten. Indien u geïnteresseerd bent in enige vorm van deelname, dan kunt u met ons contact opnemen.

MM 01 | voorjaar 2014

BINNENkoRt MEER op: W W W. MO T I V. N L

H E A D L I N E s d e ‘ k i l l c H a i n ’ i n z e v e n fa s e n • n at i o n a a l R e s p o n s n e t w e R k va n s ta R t

MOTIV NIEUWS

De ‘kill chain’ in zeven fasen Het is essentieel om te weten dat aanvallers gebruikmaken van geavanceerde technieken om verdedigingen te omzeilen tijdens welke fase dan ook. Besef ook dat hoe verder een aanval gevorderd is in deze levenscyclus, des te groter het risico op datadiefstal is. Het Threat Report 2014 van Websense licht het bedreigingenlandschap toe met behulp van dit zevenstappenmodel. Het helpt u: • inzicht te krijgen in de levenscyclus van een aanval, de huidige organisatie en technieken achter cyberaanvallen en de motivatie van aanvallers. Dit is de basis voor inzicht in de risico’s en het herzien van uw beveiligingsstatus; • diepgaand inzicht te krijgen in elke fase van de levenscyclus van aanvallen. Ze leveren essentiële aanwijzingen op, zodat u begrijpt hoe

cybercriminelen hun aanvallen uitvoeren, ze aanpassen en geleidelijk en voortdurend proberen dichter bij uw kritische data te komen; • te erkennen dat langdurige bescherming tegen nieuwe bedreigingen – van de eenvoudigste tot de meest complexe – draait om het herkennen en voorkomen van live aanvallen tijdens alle zeven fasen. Zo onderbreekt u effectief de aanvalsorganisatie van een crimineel voor zowel huidige als toekomstige pogingen om uw data te stelen.

Websense maakte dit rapport met data die de onderzoekers verzamelden met de Websense ThreatSeeker® Intelligence Cloud - een wereldwijd netwerk dat klanten, partners en meer dan 900 miljoen endpoints samenbrengt. Samen bieden ze inzicht in drie tot vijf miljard aanvragen per dag, via Windows-, Mac-, Linuxen mobiele systemen. ME E R I N FoR MAt I E : W W W.W E B S E N S E . C O M / 2 0 1 4 T H R E AT R E P O R T

nationaal Respons netwerk van start Met de oprichting van het Nationaal Respons Netwerk (NRN) is de digitale weerbaarheid van Nederland weer vergroot. De Belastingdienst, SURFnet, Defensie CERT (DefCERT), de Informatiebeveiligingsdienst voor gemeenten (IBD) en het NCSC hebben zich als eerste partijen aan het NRN gecommitteerd. Dat betekent dat er bij toekomstige grootschalige cybersecurity-incidenten snel en effectief kan worden gereageerd door kennis en capaciteiten van de verschillende publiek en private partners te bundelen. Het NRN zal de komende periode worden uitgebreid met andere publieke en private partners. Cyberincidenten zijn lastig te voorspellen. Onze samenleving en economie zijn kwetsbaar door de toenemende afhankelijkheid van ICT. De vraag is dan ook niet of, maar wanneer het volgende grote incident zich aandient. Cyberincidenten los je niet alleen op. Om adequaat te reageren en de schade te beperken, is het essentieel dat overheid en bedrijfsleven elkaar goed weten te vinden. Pas als

len het Nationaal Cyber Security Centrum en ICTresponsorganisaties uit publieke en private sectoren hun ervaring, kennis en capaciteit op het gebied van Incident Respons. Door gezamenlijke werkafspraken te maken, informatie te delen en te investeren in opleidingen, oefeningen, stages en productontwikkeling, bouwen ze aan een krachtig netwerk dat er staat als het onverhoopt mis gaat. deze partijen goed op elkaar zijn ingespeeld en samen de handen uit de mouwen steken, kunnen zij Nederland digitaal weerbaarder maken. Juist omdat online veiligheid in Nederland geen zaak is van één partij is het van belang dat overheid en bedrijfsleven slim samenwerken om van Nederland de meest open en veilige online samenleving te maken. Het Nationaal Respons Netwerk is een actiegericht netwerk van organisaties die geloven in het belang van deze samenwerking en die hierin willen investeren. In het Nationaal Respons Netwerk bunde-

Het NCSC vervult hierbij de rol van coalitievormer en facilitator van de samenwerking tussen de verschillende organisaties in het netwerk. Binnen het NRN worden organisaties op die manier gestimuleerd om kennis en ervaringen met elkaar te delen om zo ook de eigen responscapaciteiten te verbeteren. Het NRN richt zich daarbij zowel op het organiseren van bestaande responscapaciteit als het stimuleren van nieuwe sectorale responscapaciteit. ME E R I N FoR MAt I E oV E R H E t N At I o N A A L R E s p o N s N E t w E R k : W W W. N C S C . N L

RISK MANAGEMENT | COMPONENTEN | FRAMEWORK | VISIE | MOTIV

door Bastiaan Schoonhoven, marketing manager bij Motiv

RISICOMANAGEMENT raakt ieder aspect van de organisatie

MM 01 | voorjaar 2014

H E A D L I N E R i s i c o m a n a g e m e n t R a a k t i e d e R a s p e c t va n d e o R g a n i s at i e

RISK MANAGEMENT | COMPONENTEN | FRAMEWORK | VISIE | MOTIV

VIsIE op RIsk MANAgEMENt

Zoals banken tijdens een ‘stresstest’ moeten aantonen dat ze een massale bankrun kunnen opvangen' moeten bijvoorbeeld CEO’s of CIO’s kunnen aantonen dat het bedrijf bestand is tegen de toenemende druk die wordt uitgeoefend door cybercriminelen. Het risico dat gerichte cyberaanvallen de bedrijfscontinuïteit in gevaar brengen' moet tot een minimum worden beperkt. Van de geaccepteerde risico’s moeten de gevolgen duidelijk zijn voor als het toch misgaat. Pas dan ben je 'in control’. Helaas is het beheren van de genoemde risico’s geen exacte wetenschap. Bedrijven lijken de crisis achter zich te hebben gelaten en zijn weer bereid om te investeren in ICT Security. Het gemiddelde budget voor informatiebeveiliging steeg in 2013 wereldwijd met maar liefst 51 procent, van 2,8 miljoen dollar in 2012 naar 4,3 miljoen dollar in 2013, zo blijkt uit ‘The Global State of Information Security Survey 2014’1 van adviesbureau PwC. Europa wist zich als enige regio in negatieve zin te onttrekken aan deze wereldwijde tendens (zie kader). Ook met het vertrouwen in de getroffen beveiligingsmaatregelen lijkt het wel goed te zitten. Van de bijna tienduizend directeuren, presidenten en ‘C-level executives’ die in de periode van 1 februari 2013 tot 1 april 2013 via e-mail werden ondervraagd, gaf maar liefst 74 procent aan het volste vertrouwen te hebben in de effectiviteit van de eigen security-activiteiten. Onder Chief Executive Officers (CEO’s) ligt dat percentage zelfs op 84 procent. Maar kosten cybercrime stijgen... Volgens het onderzoek van PwC hebben de cybercriminelen echter meer reden tot enthousiasme. Het aantal gedetecteerde securityincidenten steeg in 2013 met 25 procent naar een gemiddeld aantal van 3741. Deze stijging kan nog positief worden uitgelegd.

“Het aantal incidenten neemt niet alleen toe omdat er meer dreigingen zijn, maar ook omdat bedrijven hebben geïnvesteerd in nieuwe technologieën om die dreigingen beter te detecteren”, zo stelt ‘PwC Principal’ Mark Lobel in het onderzoeksrapport. “In dat opzicht moet de toename van het aantal gedetecteerde security-incidenten als iets positiefs worden gezien.” PwC constateerde echter niet alleen een toename van het aantal gedetecteerde incidenten; ook de gemiddelde kosten per incident stegen en wel met achttien procent. Ook concludeert het adviesbedrijf dat ‘veel bedrijven nog geen technologieën hebben geïmplementeerd om inzicht te krijgen in het ecosysteem van kwetsbaarheden en dreigingen, belangrijke assets te identificeren en beschermen en dreigingen te evalueren binnen de context van de eigen zakelijke doelstellingen’. “Simpel gezegd: slechts weinig organisaties slagen erin om de escalerende risico’s van vandaag de dag bij te houden en nog minder organisaties zijn klaar voor het beheer van toekomstige dreigingen.” De ‘bad guys’ zijn aan de winnende hand, en misschien wel door een bepaalde mate van zelfoverschatting aan de kant van de bedrijven die worden aangevallen. >

Europa blijft achter Bedrijven wereldwijd tasten flink in de buidel voor het verbeteren van de informatiebeveiliging, zo blijkt uit de ‘The Global State of Information Security Survey 2014’ van PwC. De budgetten voor ICT Security stegen in 2013 met maar liefst 51 procent (ten opzichte van 2012). Eén regio weet zich echter aan deze tendens te onttrekken: Europa. De investeringen in informatiebeveiliging daalden hier zelfs met drie procent. 46 procent van de bijna tienduizend ondervraagden gaf aan binnen een jaar een stijging te verwachten van de investeringen in security. Ook blijft ‘het continent achterlopen met de implementatie van cruciale beveiligingsmaatregelen’, zo stelt het adviesbureau. PwC geeft als voorbeelden van ‘cruciale beveiligingsmaatregelen’ back-up en recovery en security awareness-trainingen. Europa scoort ook relatief laag als het gaat om samenwerking en de aanwezigheid van een mobile security-policy. Waar wereldwijd het aantal gedetecteerde incidenten ten opzichte van 2012 steeg met 25 procent, daalde dit aantal in Europa met 22 procent. De financiële schade die werd geleden als gevolg security-incidenten steeg met 28 procent, waarmee Europa op dit punt bovengemiddeld scoort.

1 | http://www.pwc.com/gx/en/consulting-services/information-security-survey/index.jhtml#

H E A D L I N E R i s i c o m a n a g e m e n t r a a k t i e d e r a s p e c t va n d e o r g a n i s at i e

RISK MANAGEMENT | COMPONENTEN | FRAMEWORK | VISIE | MOTIV

V i s ie o p R i s k M ana g emen t

> De schijnbare tegenstelling tussen het overwegende enthousiasme onder de ondervraagden enerzijds en de stijgende kosten van securityincidenten anderzijds maakt in ieder geval één ding duidelijk: in de praktijk ontbreekt vaak een helder beeld van het eigen risicoprofiel. Wat zijn de interne en externe dreigingen voor de bedrijfscontinuïteit, wat is de impact van een incident en welke maatregelen horen daarbij? En zijn de getroffen maatregelen (nog steeds) afdoende? En welke risico’s ben ik bereid om te accepteren? Vragen die cruciaal zijn binnen een risicomanagementproces en nu klaarblijkelijk onvoldoende worden gesteld, of niet afdoende worden beantwoord. Risicomanagement complex proces Risicomanagement heeft nauwe raakvlakken met – en is soms ook een voorwaarde binnen – compliance-vraagstukken. Om de continuïteit van de bedrijfsprocessen te waarborgen, is het noodzakelijk dat automatisering voldoet aan intern en extern opgelegde richtlijnen. Dit geldt ook voor beheer en beveiliging. Denk aan normen zoals ISO 27002 en NEN 7510. Risicomanagement is het toetsen van het geheel van processen en risico’s ten aanzien van de normen. De impact of kans behorende bij risico’s kunnen worden verminderd, verplaatst, overgedragen of geaccepteerd.

Componenten risicomanagement Volgens het NIST zijn binnen een risicomanagementproces vier stappen te onderscheiden: 1 | Frame risk, oftewel het omschrijven van de ‘kaders’ waarbinnen risico’s worden af gehandeld. Binnen dit component wordt omschreven hoe de organisatie als geheel omgaat met de risico’s die de bedrijfs voering in gevaar brengen, zowel gelet op investeringen als op operationele be slissingen. Het ‘framen’ van de risico’s wordt gezien als het fundament voor risico management en het slechten van de obstakels die risicogebaseerde beslissingen binnen de organisatie in de weg kunnen staan. 2 | Assess risk, oftewel het inschatten van de risico’s binnen de context van het ‘risk frame’ van de organisatie. Doel hier is om een beeld te krijgen van onder andere de dreigingen voor de onderneming, de kwets baarheden in kaart te brengen alsmede de dreigingen die van de onderneming zelf uitgaan richting andere organisaties. Ook wordt inzichtelijk gemaakt wat de schade is die de organisatie oploopt als een dreiging erin slaagt om een kwetsbaarheid te mis bruiken en hoe waarschijnlijk het is dat de organisatie schade ondervindt.

3 | Respond to risk. Doel hier is om te komen tot een consistente en organisatiebrede aan pak van risico’s die in overeenstemming is met het gestelde ‘frame’. Om deze stap te ondersteunen, moet een organisatie de mogelijke reacties omschrijven (zoals het accepteren, mitigeren of het overdragen van risico’s) alsmede de tools, technieken en methodieken die per type reactie wor den ingezet. 4 | Monitor risk, onder andere om te kunnen vaststellen of geplande maatregelen zijn geïmplementeerd en het gewenste effect hebben en om te kunnen bepalen of veranderingen binnen de organisatie van invloed zijn op de genomen maatregelen. Zo kan een gewaagde marketingcampagne of de aankondiging van een ontslagronde al invloed hebben op het risicoprofiel en aan leiding vormen voor een bijstelling van de maatregelen. Maar ook wijzigingen op het gebied van bijvoorbeeld weten regel geving kunnen de aanleiding zijn om de genomen maatregelen te herzien.

Risk Management

Dat klinkt echter eenvoudiger dan het is. “Het beheer van informatiebeveiligingsrisico’s is – net zoals risicomanagement in het algemeen – geen exacte wetenschap”, zo stelt het Amerikaanse National Institute of Standards and Technology (NIST) dan ook treffend in zijn ‘Special Publication’ over ‘Managing Information Security Risk’2.

ASSESS INFORMATION AND COMMUNICATIONS FLOWS

< Process volgens het NIST.

INFORMATION AND COMMUNICATIONS FLOWS FRAME

MONITOR

In de ‘Guide for Applying the Risk Management Framework to Federal Information Systems’3 doet het NIST hier nog een schepje bovenop. “Het beheer van aan informatiesystemen gerelateerde beveiligingsrisico’s is een complexe en veelzijdige onderneming die de betrokkenheid van de volledige organisatie vereist. (…) Risicomanagement kan worden gezien als een holistische activiteit die is geïntegreerd in ieder aspect van de organisatie.” Gelukkig bieden organisaties zoals het NIST en de International Organization

for Standardization (ISO) wel handreikingen en raamwerken voor het inrichten van een proces voor risicomanagement (zie kader hierboven).

MM 01 | voorjaar 2014

2 | http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf 3 | http://csrc.nist.gov/publications/nistpubs/800-37-rev1/ sp800-37-rev1-final.pdf

Dit ‘stappenplan’ komt in grote lijnen overeen met het ‘Risk management framework’ zoals dat uiteen wordt gezet in ISO 310004. Deze norm –

RESPOND

waarop geen certificering mogelijk is – biedt primair een raamwerk voor risicomanagement. Dit raamwerk biedt het kader dat ervoor moet zorgen dat risicomanagementprocessen zijn ingebed in de algehele managementstructuur en de besluitvormingsprocessen van een organisatie. Deze processen moeten worden aangestuurd 4 | http://www.iso.org/iso/home/standards/iso31000.htm

'Risicomanagement kan worden gezien als een holistische activiteit die is geïntegreerd in ieder aspect van de organisatie' worden aangepakt en de betrokkenen de risico’s begrijpen en indien nodig accepteren. Risicomanagement pas later in de lifecycle toepassen leidt tot hogere kosten, zo waarschuwt het NIST.

Risk Management Framework Om de hierboven beschreven risicomanagementprocessen te integreren binnen de organisatie staat het NIST een meerlaagse benadering voor die de risico’s adresseert op organisatieniveau, bedrijfsprocesniveau en op het niveau van de informatiesystemen. Op het hoogste niveau – het organisatieniveau dat nauw verbonden is met het ‘framen’ van risico’s – worden een bedrijfsbrede governance-structuur en een risicomanagementstrategie uitgerold die op de lagere niveaus verder worden uitgewerkt. Daarnaast adviseert het NIST om risicomanagement al vroeg in de lifecycle van een informatiesysteem op te pakken, zodat risico’s op een continue basis

Met het ‘Risk Management Framework’ biedt het NIST naar eigen zeggen ‘een gedisciplineerd en gestructureerd proces voor het integreren van informatiebeveiliging en risicomanagement in de development lifecycle van een systeem’. Het framework omschrijft daarvoor zes stappen (zie ook het kader op pagina 10).

Conclusie Vrijwel alle organisaties zijn voor de bedrijfsvoering afhankelijk van informatie- en ITsystemen. Door risico’s te ‘framen’, in kaart te brengen, te monitoren en erop te reageren krijgen organisaties de controle over de risico’s die de bedrijfsvoering in gevaar kunnen brengen. Dat komt zeker van pas als compliance moet worden aangetoond ten opzichte van normen zoals ISO 27002 en NEN 7510. Daarmee is het nog niet gezegd dat een organisatie met een adequaat risicomanagementproces ook daadwerkelijk ‘stressbestendig’ is op het moment dat georganiseerde cybercriminelen besluiten om gericht de aanval te openen. Want dan pas blijkt of de genomen maatregelen afdoende waren en of de kosten van een incident juist waren ingeschat. En dan pas blijkt dat niet alleen het inrichten van een risicomanagementproces een lastig karwei is, maar dat ook het bepalen van het ‘cyberrisico’ een lastige rekensom is. >

Bij het stappenplan en de eerder aangehaalde componenten waaruit een risicomanagementproces bestaat, moet volgens het NIST wel een belangrijke kanttekening worden geplaatst. “Hoewel het aantrekkelijk is om risicomanagement hiërarchisch aan te pakken, is de realiteit van dynamische projecten en organiframework

mandate and commitment

design of framework for managing risk

continual improvement of the framework

implementing risk management

monitoring and review of the framework

process

establishing the context

communication and consultation

principles

risk assessment risk identification

risk analysis

risk evaluation

monitoring and review

vanuit een duidelijke visie op de functie van risicomanagement voor de organisatie en vanuit een duidelijk beleid met betrekking tot risicomanagement.

RISK MANAGEMENT | COMPONENTEN | FRAMEWORK | VISIE | MOTIV

saties vaak veel complexer.” Onder andere de ‘managementstijl’ binnen een organisatie kan de hiërarchie al doorbreken. “De organisatie moet een consistente en effectieve benadering hebben van risicomanagement wil risicomanagement binnen alle lagen van de organisatie aanslaan.”

risk treatment

De principes, het framework en het proces voor risicomanagement zoals vastgelegd in ISO 31000:2009. 9

H E A D L I N E R i s i c o m a n a g e m e n t r a a k t i e d e r a s p e c t va n d e o r g a n i s at i e

RISK MANAGEMENT | COMPONENTEN | FRAMEWORK | VISIE | MOTIV

'Door risico’s te 'framen' in kaart ' te brengen te monitoren en erop ' te reageren krijgen organisaties de controle over de risico’s'

Risk Management Framework Het framework omschrijft zes stappen: Stap 1 | Categoriseer het informatiesysteem en de informatie die wordt verwerkt, opgeslagen en verstuurd door het systeem op basis van een impactanalyse. Stap 2 | Selecteer op basis van de categorisering een set basis security-controls voor het informatiesysteem, en breidt deze ‘baseline’ op basis van een risk-assessment en interne eisen verder uit. Stap 3 | Implementeer de security-controls en beschrijf hoe de controls zijn uitgerold.

Stap 4 | Beoordeel of de controls op de juiste manier zijn geïmplementeerd, naar verwachting werken en het juiste resultaat opleveren. Stap 5 | Ken de juiste autorisaties toe op basis van de vastgestelde risico’s. Stap 6 | Monitor de security-controls en kijk daarbij onder andere naar de effectiviteit van de controls en veranderingen in de documentatie van het systeem of in de omgeving, voer impactanalyses uit op de veranderingen en rapporteer de ‘gezondheid’ van het systeem aan de aangewezen ‘officials’.

architecture description

ORGANIZATIONAL INPUTS process overview

repeat as necessary

STAP 6 Monitor

STAP 5 autorisEER

Starting point STAP 1 CATEGORISEER RISK MANAGEMENT FRAMEWORK

STAP 4 Beoordeel

Het Risk Management Framework van het NIST

MM 01 | voorjaar 2014

STAP 2 Selecteer

STAP 3 Implementeer

Berekenen cyberrisico Honderd procent veilig bestaat niet. Voor ieder geïdentificeerd risico moet worden bepaald wat het ‘gepaste’ niveau van beveiliging is waarna er een geaccepteerd risico overblijft. Maar hoe weet je nu zeker dat je voor de juiste risicodekking hebt gekozen, zodat je na een incident niet alsnog voor een (financiële) verrassing komt te staan? Die zekerheid krijg je alleen als je een nauwkeurige inschatting weet te maken van de hoogte van het ‘cyberrisico’. In risicomanagementmethodieken staat het risico gelijk aan de impact van een event (de schade) vermenigvuldigd met de waarschijnlijkheid dat een event zich voordoet. Dit is voor IT geen eenvoudige rekensom. Het voorspellen van de schade is aan de hand van richtlijnen – bijvoorbeeld van het NIST – nog wel redelijk te doen. Daarbij helpt het als er een actueel beeld is van de netwerktopologie zodat duidelijk is waar de ‘assets’ zich bevinden. Lastiger is het bepalen van de waarschijnlijkheid van een aanval. Daarvoor moet worden gekeken naar de potentiële dreigingen, de zwakheden van alle systemen in het netwerk en de getroffen beveiligingsmaatregelen. Alle mogelijke combinaties van deze factoren moeten tegen de netwerktopologie worden aangehouden. Modellen en simulatietools kunnen helpen bij een nauwkeurige bepaling van de waarschijnlijkheid een aanval, zoals die ook worden gebruikt voor het voorspellen van het weer of het trainen van piloten. In de context van cybersecurity kan een model helpen bij het verkrijgen van een duidelijk beeld van de ‘cybersecurity-situatie’. Een dergelijk model brengt alle informatie over bijvoorbeeld de netwerkarchitectuur, de kwetsbaarheden en de dreigingen samen. Een volgende stap is het grafisch presenteren van de gegevens zodat er een ‘beeld’ ontstaat van de cybersecuritysituatie.

HEADLINE kop in Het zand

E - M A I L - , W E B - E N DATA S E C U R I T Y | A P T ’ S | W E B S E N S E

coLuMN joAsH HERBRINk, sE MANAgER BENELuX, cENtRAL EuRopE & NoRDIcs BIj wEBsENsE

door Joash Herbrink, SE manager Benelux, Central Europe & Nordics bij Websense

KOP IN HET ZAND Begin dit jaar kwam de Amerikaanse winkelketen target pijnlijk in het nieuws. criminelen waren erin geslaagd om de gegevens van 40 miljoen credit- en debetcards en de persoonsgegevens van 70 miljoen klanten te ontvreemden.

chain’ te doorbreken, is een nieuwe manier van beveiliging nodig die de traditionele aanpak uitbreidt met zaken als ‘inline sandboxing’, malware-isolatie en educatie van de eindgebruikers over bijvoorbeeld de gevaren van phishing.

De stappen die de dieven namen om aan de creditcardgegevens te komen, leest als het perfecte draaiboek voor een Advanced Persistent Threat (APT). Met gestolen inloggegevens slaagden de hackers erin om toegang te krijgen tot een systeem binnen in het interne Target-netwerk. Vanaf dit punt wisten de hackers vervolgens de kassasystemen te infecteren met ‘memory scraping’-malware waarna de gekopieerde gegevens met een Windows-domain account werden verstuurd naar een centrale opslagplaats binnen in het netwerk van Target. Vanaf daar werden de data via een FTP-verbinding verstuurd naar een externe server.

Nog belangrijker is misschien wel het inzien van het gevaar van APT’s zodat de tekenen van een APT ook op waarde worden geschat. Hoewel APT’s momenteel nog met name zijn gericht op grote (financiële) organisaties moeten alle organisaties met waardevolle data zich ervan bewust zijn dat ze een potentieel doelwit vormen. En als de ‘grote jongens’ succesvoller worden in het afslaan van APT’s zullen de aanvallers automatisch hun vizier gaan richten op de ‘middle men’.

Een belangrijk kenmerk van een APT is dat de aanvaller gebruikmaakt van verschillende aanvalsmiddelen, waaronder malware, phishing en Trojans. Het doelwit van deze gereedschappen is vaak een zero-day exploit waarvoor nog geen bescherming beschikbaar is, of zelfs kwetsbaarheden die nog niet bekend zijn. Op die manier kan de aanvaller ongestoord zijn werk doen. Een ander belangrijk kenmerk van een APT is dat de aanvaller altijd uit is op waardevolle data, en er veel geld en tijd voor over heeft om bij die data te komen. Door dit ‘persistente karakter’ en het gebruik van aanvalstechnieken die onder de radar blijven van inbraakdetectie- en -preventiesystemen, is het lastig om een APT tijdig te ontdekken en onschadelijk te maken. Organisaties die vertrouwen op losse security-oplossingen die zijn gericht op slechts enkele onderdelen uit het stappenplan van de aanvaller (de ‘kill chain’) gaan daar zeker niet in slagen. Om de ‘kill

De tijd van de kop in het zand steken is definitief voorbij. Tot dat inzicht moet ook Target zijn gekomen. Een half jaar voordat de criminelen toesloegen, had Target nog een 1,6 miljoen dollar kostend detectiesysteem geïnstalleerd. Enkele weken na het bekend worden van de diefstal lekte echter uit dat het securityteam van Target in Minneapolis meerdere waarschuwingen van het detectiesysteem in de wind had geslagen. En zelfs toen collega’s in Bangalore – die verantwoordelijk waren voor de monitoring – melding maakten van ongeregeldheden bleef het stil in Minneapolis. Met als trieste resultaat dat de kosten van de inbraak op 1 februari van dit jaar al waren opgelopen tot 61 miljoen dollar.

ALLE ORGANISATIES MET WAARDEVOLLE DATA ZIJN EEN POTENTIEEL DOELWIT 11

Fotografie: Ruud Jonkers

C LO U D - E N DATAC E N T E R S E aC U R I T Y | DA S H B OA R D I N G | R E V I VA

'Beveiliging werkt voor ons als een marketinginstrument'

MM 01 | voorjaar 2014

12Â

HEADLINE Beveiliging werkt voor ons als een marketinginstrument

C LO U D - E N DATAC E N T E R S E C U R I T Y | DA S H B OA R D I N G | R E V I VA

in t ervie w B a s L ieren s , M ana g er I T & Pr o c e s s M ana g emen t bi j R eviva

Als ‘e-commerce integrator’ heeft Reviva een zware verantwoordelijkheid op het gebied van beveiliging. Reviva handelt namens haar klanten e-commerce-orders af met vertrouwelijke gegevens en bijbehorende goederen. “In onze dienstverlening is optimale veiligheid een must en in de manier waarop we die bieden werkt het als een marketinginstrument naar onze klanten”, zegt Bas Lierens, Manager IT & Process Management bij Reviva. Reviva startte in 1995 als ‘Belmobiel’, een bedrijf met naar eigen zeggen als belangrijkste doel ‘het via een postordercatalogussysteem verkopen van mobiele telefoons en bijbehorende abonnementen aan consumenten en bedrijven’. In 1999, ten tijde van de opmars van het internet en de bijbehorende webwinkels, werd de catalogus online gezet. “Toen ontstond eigenlijk de eerste website die niet alleen iets verkocht, maar de bestelling ook inclusief abonnement en geactiveerde simkaart afleverde”, aldus Bas Lierens. Vijftien jaar later is het bedrijf uitgegroeid tot een ‘full-service provider’ die complete e-commercetrajecten ontwikkelt, beheert en uitvoert voor onder andere Vodafone, KPN en Tele2. “Wat wij voor deze partners mogen doen, is heel erg divers”, vertelt Lierens. “Dat begint bij het beheer van de content op de websites – het beheren van ‘plaatje, praatje, prijs’ – tot aan het stroomlijnen van de processen van de klant. Alles wat de klant achter de koopknop stopt – en waar de klant veel marketingeuro’s aan besteedt

– mogen wij beheren. De contentmanagers en de procesmanagers zorgen er samen met de klant voor dat de conversie optimaal is.” “Een bestelling komt bij ons binnen via koppelingen met de ERP-systemen van de klant”, legt Lierens uit. “Dat proces is de core van ons bedrijf. Daarvoor hebben we dan ook ruim 45 IT’ers in dienst, waarvan een gedeelte in Manilla; een aantal dat de afgelopen jaren fors is gegroeid.” Nadat een order bij Reviva is binnengekomen en verwerkt, wordt de bestelling per post verstuurd of door het eigen koeriersbedrijf van Reviva aan de deur afgeleverd. Voor de afwikkeling aan de deur heeft Reviva het Paperless Secure Delivery System (PSDS®) ontwikkeld. “Ondanks dat ‘voor de aankoopknop’ al detectie op fraude plaatsvindt, doen wij dat na de aankoop nog een keer door te controleren of ‘Meneer Jansen’ ook daadwerkelijk ‘Meneer Jansen’ is. Het ID-bewijs wordt aan de voordeur op echtheid en geldigheid gecontroleerd en

'Wij zijn al heel lang met beveiliging bezig' Bas Lierens, Manager IT & Process Management bij Reviva

dat is ons onderscheidend vermogen. De koerier leest het identiteitsbewijs van de consument in en laat het digitale contract op de tablet ondertekenen en direct per mail naar het postvak van de consument versturen. Eventueel kan de betaling vervolgens via pin of contant worden voldaan waarna de consument direct kan bellen. Deze vorm van leveren is óók een belangrijk onderdeel van wat wij beveiliging noemen omdat wij op deze manier mogelijke fraude voorkomen.”

Orderverwerking De orders worden vanuit een groot magazijn van Reviva gedistribueerd. Hier worden de toestellen inclusief de contracten met daarop de simen IMEI-nummers en geactiveerde simkaarten samengevoegd. “Wij zijn al heel lang met beveiliging bezig en zorgen ervoor dat alleen de juiste mensen binnen kunnen komen”, zegt Lierens. Deze focus op beveiliging heeft in Den Bosch onder andere geleid tot een meters hoge ‘power fence’ om het pand, camerabewaking binnen > 13

C LO U D - E N DATAC E N T E R S E C U R I T Y | DA S H B OA R D I N G | R E V I VA

> en buiten en een ‘vliegtuigpoortje’ dat alarm slaat als goederen ongeautoriseerd het magazijn verlaten. Gasten krijgen na binnenkomst en inschrijving een uitgeschreven beveiligingsprotocol overhandigd en mogen zich alleen onder begeleiding door het pand bewegen. “De manier waarop wij kijken naar de fysieke beveiliging kan één-op-één worden doorgetrokken naar de manier waarop wij aankijken tegen ICT Security”, benadrukt Lierens. “De scheidslijn tussen fysieke beveiliging en ICT Security is heel erg dun. Zo willen we met fysieke beveiliging exact in kaart krijgen wie we binnen hebben en in welke zones, en dat is ook precies wat we beogen met onze Next-Generation Firewalls die zijn voorzien van Intrusion Detection and Prevention.”

Vertrouwelijke informatie Het belang van ICT Security voor Reviva laat zich raden. Lierens: “We verwerken vertrouwelijke informatie, zoals contracten, telefoonnummers en toetsen de echtheid van identiteitsbewijzen. Onze klanten moeten erop kunnen vertrouwen dat wij correct omgaan met alle gegevens die wij binnenkrijgen om orders te kunnen verwerken. Daar komt veel informatiebeveiliging bij kijken, en de manier waarop we dat doen moet bijdragen aan de klanttevredenheid. We volgen ISO 27001 als leidraad voor informatiebeveiliging, maar de norm voor ons Informatiebeveiligingsbeleid wordt vormgegeven door ons streven naar tevreden klanten.” Een goed voorbeeld daarvan is de manier waarop de tablets van de koeriers zijn beveiligd. Lierens: “Onze tablets zijn voorzien van een aantal maatregelen die ervoor zorgen dat er nimmer informatie in verkeerde handen kan vallen. Onze klanten krijgen waarvoor ze betalen en hoeven zich geen zorgen te maken over de beveiliging van de data en informatie. De beveiliging hebben wij voor ze geregeld.”

Beveiliging extern getoetst Reviva heeft er bewust voor gekozen om voor de ICT Security de hulp van een externe partij in te schakelen. “Wij zijn goed in ‘solutions en integration’, en het is belangrijk dat juist een externe partij de beveiliging daarvan toetst en ook helpt om de security op een hoger niveau te krijgen”, 14

MM 01 | voorjaar 2014

' De norm voor ons Informatiebeveiligings- beleid wordt bepaald door ons streven naar tevreden klanten’ aldus Lierens. “Wij houden ons liever bezig met mooie oplossingen die bijdragen aan maximale conversie voor onze partners. Het is daarom goed een partner te hebben die je scherp houdt dat ook ICT Security op orde is en je bovendien uitdaagt waar nodig.” Sinds ruim een jaar is Motiv voor Reviva de externe partner als het gaat om ICT Security. “We stonden toen op het punt om nieuwe firewalls aan te schaffen, en we wilden ‘slimme’ apparaten die veel informatie kunnen leveren over wat er allemaal aan netwerkverkeer passeert. Dan moet je jezelf wel de vraag stellen: wie gaat dat allemaal beheren en 24/7 monitoren?” Na een ‘intensieve selectieprocedure’ kwam Motiv naar voren als een partij met ‘een onderscheidend vermogen en een mooie middenpropositie’. “Motiv kon ons niet alleen de gewenste firewalls leveren, maar biedt ook de dashboarding om mee te kunnen kijken in onze verkeersstromen. Dat is een belangrijke toegevoegde waarde. Motiv kan tijdig ingrijpen in het geval van calamiteiten. Daarnaast is het ook heel belangrijk hoe je met elkaar schakelt. We hadden vrij snel een klik met Motiv.”

Naast de firewalldienstverlening en de monitoring verzorgt Motiv ook alle netwerken webscans voor Reviva. Een voorbeeld daarvan zijn de scans die Motiv uitvoert op de websites en diensten die Reviva bouwt voor haar klanten, om te controleren of ze niet gevoelig zijn voor bijvoorbeeld SQL-injecties. “Ook daar is het belangrijk dat, waar wij de websites en diensten voor onze klanten bouwen, een externe partij de scans uitvoert om te controleren of de beveiliging op het juiste niveau is en waar verbeteringen mogelijk zijn”, aldus Lierens. “Dat helpt om de lat keer op keer hoger te leggen.”

Marketinginstrument “Met de Next-Generation Firewalls in combinatie met de monitoring door Motiv hebben we onszelf op het gebied van ICT Security toekomstbestendig gemaakt”, concludeert Lierens. “Voor ons werken beveiligingsmaatregelen als een marketinginstrument in onze dienstverlening. We bieden iets wat de concurrentie niet heeft en overtreffen daarmee de verwachtingen van de klant.”

SYNTHESIS-ARCHITECTUUR | SDAS | DDOS | F5 NETWORKS

F5 laat applicaties optimaal profiteren van SDN De meeste leveranciers die nu Software-Defined Networking (SDN) omarmen, richten zich in het datacenter op de onderste lagen van het OSI-model. Het beheer van de lagen daarboven gebeurt nog gewoon op de traditionele manier. Zonde van de inspanningen, zo is de stellige overtuiging van F5. Het wordt namelijk pas echt interessant als je SDN kunt koppelen aan de hogere lagen, waar de prestatiekracht, veiligheid en betrouwbaarheid van applicaties worden bepaald. Als we het hebben over het leveren van applicatieservices dan gaat het over beveiliging, beschikbaarheid, user-authenticatie en toegangscontrole, cloudservices en prestatiebeheer. SDN voegt daar programmeerbaarheid en uitbreidingsmogelijkheden aan toe. Het is van belang dat deze voordelen van SDN niet beperkt blijven tot de onderste lagen van het OSI-model in de datacenterarchitectuur. Applicaties centraal F5 is met ‘Software Defined Application Services’ (SDAS) een van de eerste partijen die ook de bovenliggende infrastructuur aanpakt. Het model van F5 stelt applicaties centraal en voegt daar allerlei services aan toe. Daardoor verandert de manier waarop applicatieservices worden geleverd. F5’s Software Defined Application Services zijn, ongeacht de status van de onderliggende infrastructuur, gericht op de optimalisatie van applicaties van het datacenter tot aan de eindgebruiker. Synthesis SDAS maakt deel uit van F5’s Synthesis-architectuur. Met deze architectuur kunnen bedrijven al 16

MM 01 | voorjaar 2014

hun toepassingen voorzien van dezelfde services zodat ze de zekerheid hebben dat altijd sprake is van bijvoorbeeld dezelfde security, prestaties en beschikbaar, ongeacht of een toepassing in het eigen datacenter of in de cloud draait en welke hardware of software wordt gebruikt. Hierdoor wordt het eenvoudiger om de dienstverlening te verbeteren en voor toepassingen een kortere timeto-market te realiseren middels geautomatiseerde provisioning en intelligente service-aansturing. Synthesis is opgebouwd uit drie componenten: - de services-fabric ScaleN. Dit is de technologie die alle elementen in een netwerkinfrastructuur samenbindt; - de eerder besproken Software Defined Application Services, oftewel de programmeerbare applicatieservices die op een intelligente manier kunnen worden toegepast op elke applicatie binnen de ScaleN-fabric; - Reference, een verzameling beschrijvende architecturen bedoeld om gebruikersverwachtingen en de prestaties gelijk te houden, ongeacht de IT-uitdagingen.

Een voorbeeld van zo’n referentie-architectuur is het in november geïntroduceerde ‘DDoS Protection’. Met deze referentie-architectuur kunnen bedrijven de beschikbaarheid van hun netwerken en applicaties optimaliseren. Een ander voorbeeld is Cloud Federation dat beschrijft hoe bedrijven veilig gebruik kunnen maken van Software-as-a-Service. Tijdens de RSA Conference die eind februari plaatsvond in San Francisco werden twee nieuwe toevoegingen aan het Synthesis-portfolio bekendgemaakt. In de eerste plaats ging het om de F5 Secure Web Gateway Services voor het elimineren van malware die gebruikers mogelijk binnenhalen bij het bezoeken van webpagina’s en het gebruik van web- en SaaS-applicaties. De andere toevoeging betrof de referentiearchitectuur ‘Web Fraud Protection’. Overkoepelende strategie “Door ons aanbod security-oplossingen continu uit te breiden, helpt F5 bedrijven bij het tackelen van uiteenlopende securitydreigingen”, zegt Rene Oskam, bij F5 Director Sales voor de

SYNTHESIS-ARCHITECTUUR | SDAS | DDOS | F5 NETWORKS

' Je haalt de complexiteit uit de infrastructuur en maakt de levering van applicaties programmeerbaar' Rene Oskam is bij F5 Director Sales voor de Benelux

n DDoS Protectio

Benelux. “Onze focus blijft gericht op het veilig verbinden van gebruikers, ongeacht het type device en de applicaties die ze gebruiken. We geven organisaties de volledige controle over de policy’s die van toepassingen zijn op die verbindingen. Of je het nu hebt over ingaande of uitgaande beveiliging, in onze visie moet het allemaal deel uitmaken van één overkoepelende applicatiebeveiligingsstrategie.” Volgens analist Jeff Wilson van Infonetics Research is zo’n overkoepelende strategie ook precies waar klanten behoefte aan hebben. “Klanten zijn op zoek naar manieren om beveiligingsplatformen te consolideren, met behoud van de prestaties en beschermingen die noodzakelijk zijn. Het inte-

Met de referentie-architectuur ‘DDoS Protection’ kunnen bedrijven de beschikbaarheid van hun netwerken en applicaties optimaliseren

greren van verschillende mogelijkheden op een platform is aantrekkelijk omdat de security-practices en -praktijken dan beter kunnen worden afgestemd op de behoeften van de gebruiker en van de business. Ook is het aantrekkelijk om minder leveranciers te hoeven managen.” Integratie met SDN Om de talrijke Software Defined Application Services vervolgens te kunnen koppelen aan Software Defined Networking – om zo de voordelen van SDN optimaal te kunnen benutten – heeft F5 een samenwerking met Cisco voor zijn Application Centric Infrastructure (ACI).

Door deze samenwerking was consolidatie en programmeerbaarheid van het hele datacenter nog niet eerder zo dichtbij. Cisco biedt met ACI een framework voor service catalogi dat automatische service injection, network stitching en aansturing biedt. Integratie met F5’s SDAS stelt IT-organisaties in staat om centrale applicatielevering, applicatieservices en een service-geschikt netwerk te automatiseren. Op die manier haal je de complexiteit uit de hele infrastructuur en wordt de levering van applicaties programmeerbaar. Het resultaat zijn betrouwbare, veilige en krachtige applicaties. 17

H E A D L I N E M o t i v l a a t e i n d g e br u i k e r s m a x i m a a l p r o f i t e r e n v a n d e v o o r d e l e n v a n c l o u d c o m p u t i n g

C LO U D - E N DATAC E N T E R S E C U R I T Y | U P DAT E C LO U D - E N DATAC E N T E R D I E N S T E N | V I S I E | M OT I V

V i s ie van M o t iv o p Cl o u d

C LO U D CO M P U T I N G

Motiv laat eindgebruikers maximaal profiteren van de voordelen van cloudcomputing Na een jaar van ‘heroverweging’ presenteert Motiv een geheel vernieuwd portfolio ‘Cloud- en datacenter-securitydiensten’. “Met deze diensten kunnen eindgebruikers volop profiteren van de kracht van cloudcomputing en altijd en overal veilig werken”, zo belooft Bastiaan Bakker, Directeur Business Development van Motiv. “Het vraagstuk rondom beveiliging gaat veranderen”, zo stelde Vincent Kalkhoven, operationeel directeur van Motiv, een jaar geleden in Motivator Magazine. “De afgelopen jaren waren beveiligingsoplossingen heel erg gericht op de gateway tussen het internet en het netwerk van de klant. Nu komt de nadruk veel meer te liggen op het veilig ontsluiten van data, applicaties en gebruikers die onder andere door cloudcomputing 18

MM 01 | voorjaar 2014

overal en nergens kunnen zijn. Het veranderende vraagstuk rondom informatiebeveiliging zorgt ervoor dat ook wij andere soorten diensten moeten gaan leveren.” Deze constatering vormde de opmaat naar een jaar waarin Motiv ‘een aantal zaken heeft heroverwogen en opnieuw uitgedacht’. “Deze heroverweging heeft geleid tot een geheel vernieuwd

portfolio met dertien ‘Cloud & datacentersecuritydiensten’ die we nu volop uitrollen en continu vernieuwen”, zo stelt Bastiaan Bakker van Motiv een jaar later tevreden. “Met deze diensten kunnen eindgebruikers volop profiteren van de kracht van cloudcomputing en altijd en overal veilig werken.”

Filters in de publieke cloud Voorbeelden van diensten die Motiv voortaan ook via de publieke cloud aanbiedt, zijn ‘E-mail security’ en ‘Web security’. “Waar deze oplossingen voorheen altijd on-premise werden geïnstalleerd, leveren we ze nu via de wereldwijde datacenters van onze partner Websense”, licht Bakker toe. “Dit betekent dat eindgebruikers altijd en overal – zowel thuis, op kantoor als onderweg – hebben te maken met dezelfde securitypolicy’s en antispamregels die voorheen alleen

V O L G E N D E PA G I N A B r e n g d ata b e w u s t n a a r d e c l o u d › P. 2 0

Connect’ waarbij Motiv en de klant in onderling overleg samen het beheer en de monitoring verzorgen.

On-premise Web Application Firewall en DDoS-protectie zijn andere voorbeelden van diensten waarvoor Motiv gebruikmaakt van filters in de publieke cloud van een partner, in deze gevallen de Incapsula-cloud van Imperva. “Hierdoor kunnen we websites veel beter beschermen tegen cyberaanvallen zoals DDoS-attacks en SQL-injecties”, stelt Bakker. “De aanvaller valt immers niet meer een lokale webserver aan, maar die grote cloud. En doordat de beschermende maatregelen en caching in de cloud worden genomen, is een website beter beschermd en veel sneller beschikbaar voor de eindgebruiker. De beschermende maatregelen hoeven bovendien niet meer per website op maat te worden gemaakt, waardoor de beheerlast enorm afneemt. De maatregelen worden ook automatisch bijgewerkt om bescherming te bieden tegen de nieuwste dreigingen.”

Full Connect Andere voordelen van de genoemde clouddiensten zijn volgens Bakker de beschikbaarheid die ‘extreem hoog’ is en het elastische prijsmodel waarbij de klant per gebruiker betaalt en niet vooraf hoeft te investeren in de oplossing. “Motiv blijft bovendien het aanspreekpunt voor de klant en houden ook de verantwoording richting de klant. Wij ‘ontzorgen’ volledig door alles goed te configureren en te integreren met de bestaande omgeving van de klant.” Na deze door Motiv begeleide transitie kan de klant ervoor kiezen om zelf het beheer, de monitoring en incident-response te doen. Motiv noemt dit ‘Easy Connect’. Bij ‘Full Connect’ wordt het beheer en de monitoring volledig overgedragen aan de ICT-organisatie van Motiv. “Wij houden dan continu de dreigingen in de gaten die op een klant af komen en zorgen voor het incident-responseproces op het moment dat er iets niet in de haak is. We zorgen er dus voor dat een eventueel brandje direct wordt geblust. Als de klant ervoor kiest om zelf het beheer en de monitoring te doen, dan zal de klant zelf een brandje moeten signaleren. De klant blust de brand zelf waarbij expertise van Motiv kan worden bijgeschakeld.” Een derde variant is ‘Service

Bij diensten zoals E-mail security, Web security, Web Application Firewall en DDoS-protectie ligt het volgens Bakker voor de hand om gebruik te maken van publieke clouds zoals de Websense Threatseeker Cloud en Imperva Incapsula. “Door de schaalgrootte van deze oplossingen dalen de kosten per gebruiker. Daar staat tegenover dat de filters constant worden bijgewerkt en een beschikbaarheid halen die we met een on-premise oplossing niet kunnen realiseren. Je verstrekt kortom de beveiliging terwijl je tegelijkertijd een kostenreductie realiseert.”

' Je verstrekt de beveiliging terwijl je tegelijkertijd een kostenreductie realiseert' Bastiaan Bakker, Directeur Business Development van Motiv

C LO U D - E N DATAC E N T E R S E C U R I T Y | U P DAT E C LO U D - E N DATAC E N T E R D I E N S T E N | V I S I E | M OT I V

op kantoor konden worden afgedwongen. Hierdoor profiteert een eindgebruiker maximaal van de voordelen van cloudcomputing; overal is sprake van dezelfde gebruikerservaring.”

wordt in beide situaties gebruikgemaakt van dezelfde software”, vervolgt Bakker. Een andere ‘architectuurkeuze’ is de Motiv Cloud, een optimaal beveiligde cloudomgeving die wordt gehost in twee datacenters in Nederland en die wordt beheerd door in Nederland gescreend personeel. Doordat het een volledig ‘Nederlandse cloud’ is, spelen compliance-issues rondom bijvoorbeeld safe harbour niet en zal het voor veel bedrijven eenvoudiger zijn om de stap naar de cloud te maken. Bij uitbesteding aan Motiv kan zekerheid middels een ISAE3402-certificaat worden afgegeven. “Vanuit dit twin-datacenterconcept bieden wij een aantal oplossingen die helemaal ‘cloudready’ zijn en dus worden afgerekend op basis van gebruik”, legt Bakker uit. Een goed voorbeeld van zo’n cloud-ready oplossing is mSafe, Motiv’s platform voor het uiterst veilig uitwisselen van vertrouwelijke documenten. “Daarnaast bieden we vanuit de Motiv Cloud een Secure Hostingplatform aan klanten die bedrijfskritische webapplicaties naar de cloud willen brengen. Wij zorgen er dan niet alleen voor dat die applicaties in de cloud komen te staan, maar ook voor de security. Om gebruikers veilig op applicaties in te laten loggen, bieden we vanuit de Motiv Cloud de aanvullende dienst Sterke Authenticatie. Op deze manier kan een gesloten groep gebruikers via publiek internet werken met vertrouwelijke gegevens.”

Optimale architectuur Uiteraard blijven er situaties denkbaar waarin de voorkeur uitgaat naar een implementatie on-premise. “De firewall staat op de netwerkgrens, dus die zal veelal op klantlocatie worden geïnstalleerd”, aldus Bakker. De klant kan dan nog steeds voor Full Connect kiezen en het beheer en de monitoring dus overdragen aan de securityspecialisten van Motiv. “Vanuit complianceoverwegingen zijn ook ‘hybride oplossingen’ mogelijk, waarbij je bijvoorbeeld voor de scanning van e-mail wel gebruikmaakt van filters in de cloud, maar de logging en de e-mailberichten die worden tegengehouden opslaat op een lokale appliance.”

Motiv Cloud “On-premise of in de cloud, uiteindelijk is het slechts een architectuurkeuze. In veel gevallen

“Door de publieke clouddiensten van onze partners te combineren met de Motiv Cloud en oplossingen on-premise kunnen we komen tot de architectuur die uiteindelijk voor onze klant het aantrekkelijkst is”, besluit Bakker. “Als de klant bijvoorbeeld zelf zijn DMZ niet goed op orde heeft, is het logisch om deze uit te besteden in de Motiv Cloud met aanvullende standaard security-bouwblokken. Maar mocht de klant zelf zijn bescherming van webapplicaties goed onder controle hebben, dan is de toegevoegde waarde van uitbesteden richting de cloud beperkt. Daarom is het ook belangrijk dat er altijd eerst een goede intake wordt afgenomen, zodat een probleem zo kosteneffectief en veilig mogelijk wordt opgelost zodat de klant optimaal profiteert van de veranderende digitale wereld.”

H E A D L I N E BR eng daTa B e wusT n a aR d e c L o u d

C LO U D - E N DATAC E N T E R S E C U R I T Y | O P T I M A L E B E S C H I K B A A R H E I D | V I S I E | M OT I V

VIsIE DooR ANNE kARINE HAFkAMp (BusINEss LINE MANAgER sERVIcEs BIj MotIV) E N p E t E R s t R AV E R ( s E c u R I t Y A R c H I t E c t B I j M o t I V )

Breng data bewust naar de cloud Bij het afnemen van een clouddienst worden er bijna altijd data ondergebracht binnen de dienstverlening. Daarmee worden de data als het ware in ‘bewaring’ gegeven bij de cloudprovider die er op basis van een afsprakenstelsel op toeziet dat de data veilig en beschikbaar zijn. Voor een succesvolle uitbesteding van het ‘behoud’ van de data is het echter wel noodzakelijk dat de eigenaar inzicht heeft in de data die naar de cloud gaan. Het verkrijgen van dat inzicht vraagt meer van de organisatie dan van de techniek.

MM 01 | voorjaar 2014

C LO U D - E N DATAC E N T E R S E C U R I T Y | O P T I M A L E B E S C H I K B A A R H E I D | V I S I E | M OT I V

ne Hafka

ri Anne Ka

Peter Strave

Een cloud kan niet van de tafel vallen. Een server met harddisks kan dat wel. Het is misschien een enigszins vreemde vergelijking, maar het geeft wel exact het grote nadeel van de cloud aan: het gebrek aan tastbaarheid. Hoewel een cloudhostingdienst exact dezelfde functionaliteit biedt als een fysieke server, zien we in de cloud ineens niet meer hoe een product of dienst in elkaar steekt. Door dit gebrek aan ‘tastbaarheid’ ontstaat onzekerheid waardoor er verkeerde beslissingen worden genomen en de betrouwbaarheid, integriteit en vertrouwelijkheid van data gevaar kunnen lopen. Om data bewust naar de cloud te kunnen brengen, is het noodzakelijk dat we ook de cloud ‘tastbaar’ maken. Dat kan alleen als er inzicht is in de data en in de samenhang. Daar is een belangrijke rol weggelegd voor de eigenaar van de data.

De eigenaar van de data blijft verantwoordelijk voor de data, ook als deze in bewaring zijn bij een cloudprovider.

classificeren en kaders stellen Voordat het behoud van de data wordt uitbesteed, zal dus eerst de vraag moeten worden beantwoord wie de eigenaar van de data is. Deze persoon (de ‘Data Steward’) is de enige die de data kan classificeren en op basis van de classificatie kan bepalen welke beveiligingsmaatregelen het best passend zijn. Net zoals we er thuis voor kiezen om het tuinmeubilair buiten te laten staan en sieraden in een kluis te leggen, zo moeten we ook per type data afwegen welke beveiligingsmaatregelen het best passend zijn. Dat deden we binnen een traditionele ITinfrastructuur al, en daar verandert in de cloud niets aan.

Ook zal de eigenaar van de data kaders moeten stellen voor het gebruik van de data. Daarbij moeten vragen worden beantwoord als ‘waar mogen mijn data worden opgeslagen?’, ‘wie heeft er toegang tot de data?’ en ‘waarmee kunnen gegevens worden benaderd en gemuteerd?’. In deze fase gaan identiteiten – en het beheer daarvan – een belangrijke rol spelen. Voor het benaderen van bepaalde data door een identiteit is een intermediair nodig: een applicatie. In de visie van Motiv moeten gebruiker, applicatie en data zich onafhankelijk van elkaar kunnen bewegen tussen on-premise en de cloud. Een ‘lock-in’ wordt hierdoor geëlimineerd. Wanneer je de controle hebt over de identiteiten en de data ‘bewust’ hebt ondergebracht, kan de applicatie overal zitten en doet de fysieke locatie er veel minder toe. >

Voordat het behoud van de data wordt uitbesteed, zal eerst de vraag moeten worden beantwoord wie de eigenaar van de data is 21

H E A D L I N E BR eng daTa B e wusT n a aR d e c L o u d

C LO U D - E N DATAC E N T E R S E C U R I T Y | O P T I M A L E B E S C H I K B A A R H E I D | V I S I E | M OT I V

VIsIE

Afsprakenstelsel Het is kortom van belang om inzicht te krijgen en samenhang te zien. Als duidelijk is wie de eigenaar van de data is, de data zijn geclassificeerd en kaders zijn gesteld voor het gebruik van de data, pas dan is er een goede basis voor het uitbesteden van het behoud van de data. De eigenaar en de bewaarder van de data zullen afspraken maken over hoe de data beschikbaar worden gesteld en gehouden. Hierbij spelen veelal beschikbaarheidsvraagstukken een rol. Vanuit een risicoanalyse van bedrijfsprocessen wordt bepaald welke beschikbaarheid van data (applicaties) benodigd is. Middels deze bepaling worden mogelijke Recovery Time Objective (RTO) en Recovery Point Objective (RPO) eraan gekoppeld. Vervolgens worden aanvullende maatregelen genomen om tevens integriteit en vertrouwelijkheid van data te borgen volgens afgesproken service levels.

niveaus doorgevoerd. Zo maakt Motiv gebruik van twee datacenters in de regio Amsterdam die zijn ontworpen conform de kwaliteitseisen van de Tier 3-norm. Dit wil zeggen dat de drie belangrijkste aspecten in een datacenter gegarandeerd in een hoge beschikbaarheid voorzien: stroom, temperatuur en luchtvochtigheid. Single points of failure in de installatie zijn dan ook uitgesloten. De omgevingen in beide datacenters zijn volledig gespiegeld waardoor ze elkaars taken in het geval van een storing direct kunnen overnemen. Als een host met virtuele servers uitvalt, zal automatisch worden overgeschakeld naar een host in het secundaire datacenter. Om data altijd beschikbaar te houden, worden alle data geback-upt. Daarnaast gaat er nog een replica naar een tweede locatie.

In de oude situatie maakte Motiv gebruik van twee datacenters die beide onder NAP staan en waarbij eenzelfde internetserviceprovider de connectiviteit levert. Door in Groenekan de hoogte op te zoeken, krijgt Motiv de beschikking over twee datacenters met twee verschillende providers voor de connectiviteit. De dienstverlening zal dan geen hinder ondervinden van een storing in een van de internetlijnen. Bijkomend voordeel is dat de nieuwe ruimte zich dichtbij het kantoor van Motiv bevindt waardoor medewerkers van Motiv in het geval van een calamiteit snel ter plaatse zijn.

getest en getoetst Motiv neemt in de rol van ‘bewaarder’ ook het beschikbaarheidsvraagstuk kortom uiterst serieus. Bij een incident mag de dienstverlening niet langer dan vier uur worden verstoord.

Motiv als bewaarder Motiv heeft zijn Cloud- en Datacenter securitydiensten ingericht met een focus op vertrouwelijkheid en integriteit; data moeten te allen tijde zijn beschermd tegen misbruik, uitlekken en ongeautoriseerde toegang en mutatie. De gelaagdheid van de architectuur voorziet in het ter beschikking stellen van integere en vertrouwelijke informatie. Daar ligt ook de kracht van Motiv. Zo wordt encryptie toegepast op zowel de data die in beweging zijn als op de opgeslagen data. Ook verlaten gegevens nooit de omgeving van Motiv. Als data bijvoorbeeld verhuizen naar een nieuwe disk, wordt de oude disk met behulp van een stroomstoot volledig vernietigd.

Redundantie Om de beschikbaarheid optimaal te houden, is redundantie in de ‘Motiv Cloud’ op meerdere

MM 01 | voorjaar 2014

Het gebrek aan tastbaarheid is het grote nadeel van de cloud optimale connectiviteit De geschetste set-up ondergaat momenteel een belangrijke wijziging die de kans op een downtime nog verder terugdringt: de inrichting van een compleet nieuwe computerruimte. Deze ruimte bevindt zich in een datacenter van Eurofiber dat is gevestigd in Groenekan. Deze nieuwe locatie gaat een van de twee datacenters in de regio Amsterdam uiteindelijk vervangen.

Doordat Motiv is gecertificeerd voor ISO 20000 en ISO 27001 wordt die beschikbaarheid – en de maatregelen die worden genomen om die beschikbaarheid zo optimaal mogelijk te houden – ook getest en getoetst door een externe auditor.

C LO U D - E N DATAC E N T E R S E C U R I T Y | S D P | M S P | C H E C K P O I N T S O F T WA R E T E C H N O LO G I E S

Arthur van Uden van Check Point Software Technologies

'De markt is rijp voor Software-Defined Protection' Na Software-Defined Networking, Software-Defined Storage en het Software-Defined Datacenter wordt nu ook security ‘Software-Defined’. Door de controle van alle securitycomponenten onder te brengen op een aparte softwarelaag, ontstaat volgens Check Point Software Technologies een ‘revolutionaire beveiligingsarchitectuur’. Software-Defined Protection, zoals Check Point de nieuwe visie heeft gedoopt, zorgt voor een effectieve bescherming tegen huidige en toekomstige dreigingen, maakt het eenvoudiger om nieuwe beveiligingstechnologieën te implementeren en verlaagt de beheerlast. Ondanks alle aandacht voor security, en de implementatie van uiteenlopende securitymaatregelen, zijn organisaties nog altijd kwetsbaar voor de nieuwste dreigingen. “Het is niet langer de vraag of we gehackt worden, maar wanneer. Ook het management binnen grote bedrijven is zich daar steeds beter van bewust”, zo stelt Arthur van Uden, Country Manager Benelux bij Check Point. “Er komen steeds weer nieuwe dreigingen bij”, vervolgt Van Uden. “Zo hebben we vorig jaar in Nederland aan den lijven kunnen ondervinden wat Distributed Denial of Service-aanvallen aanrichten. Wat we nu in andere landen sterk zien opkomen, is de ‘interne DDoS-attack’ waarbij bijvoorbeeld gegevens in een database worden gemanipuleerd om zo gebruikers op het verkeerde been te zetten. Zo’n nieuw type aanval vraagt ook weer om nieuwe defensiemaatregelen.” 24

MM 01 | voorjaar 2014

Aparte tak van sport Er worden kortom steeds meer middelen ingezet om gebruikers, netwerken en gegevens te beschermen tegen de nieuwste dreigingen. Zo worden de gateways uitgerust met additionele securityfunctionaliteiten zoals Data Leakage Prevention, antivirus en Intrusion Detection en Prevention. Binnen het interne netwerk worden allerlei technieken toegepast om bijvoorbeeld te voorkomen dat de logistieke afdeling in de salarisadministratie kan kijken. “De software die op al die verschillende apparaten draait, moet continu worden geüpdatet en bijgewerkt om bescherming te kunnen bieden tegen de nieuwste dreigingen”, aldus Van Uden. “Binnen bedrijven wordt zelfs op C-level steeds vaker de vraag gesteld: ‘hoe gaan we dat allemaal doen?’” En dan worden bedrijven ook nog eens geconfronteerd met de Bring Your Own-apparaten zoals

tablets en smartphones die buiten het bedrijf komen en niet door de organisatie worden beheerd. “Dan moet je als bedrijf goed duidelijk maken hoe de mobiele gebruikers om horen te gaan met security en wat de securitypolicy’s zijn”, benadrukt Van Uden. “Het inregelen, onderhouden en beheren van de policy’s blijkt echter vaak een lastige opgave waar specialistische kennis voor nodig is. Security is toch een aparte tak van sport.” Software-Defined Protection Tegen deze achtergrond van steeds weer nieuwe dreigingen die we proberen af te vangen met een defensie die steeds complexer wordt, presenteert Check Point nu Software-Defined Protection (SDP). Deze nieuwe beveiligingsarchitectuur beschermt, zoals het zo mooi heet, ‘tegen de dreigingen van morgen’ en maakt het eenvoudiger om nieuwe beveiligingsmaatregelen te adopteren en

C LO U D - E N DATAC E N T E R S E C U R I T Y | S D P | M S P | C H E C K P O I N T S O F T WA R E T E C H N O LO G I E S

' Ook met SDP blijft de afweging: gaan we het beheer zelf doen, of besteden we het uit?' Arthur van Uden, Country Manager Benelux bij Check Point

desktops. Door gebruik te maken van firewallvirtualisatie kan men deze segmentatie bewerkstelligen met minimale inzet van hardware.

Architectuur Software-Defined Protection

securitypolicy’s door te voeren. SDP zorgt ervoor dat de bedreigingsinformatie die afkomstig is uit diverse bronnen, zoals de Check Point ThreatCloud, in realtime wordt vertaald in updates van de diverse beveiligingscomponenten binnen het netwerk. Om dit te bewerkstelligen, maakt SDP gebruik van drie lagen die nauw met elkaar zijn verbonden. De onderste laag is de ‘enforcement layer’ (handhavingslaag). Dit is de laag waar de inspectie van het netwerkverkeer plaatsvindt en de bescherming wordt afgedwongen. Voor een optimale beveiliging wordt het netwerk in de visie van Check Point in zo klein mogelijke segmenten opgedeeld. “Segmentatie is de nieuwe perimeter”, zo luidt het devies dan ook. Handhaving vindt vervolgens plaats op de grenzen tussen de segmenten, maar ook op bijvoorbeeld laptops en

Boven de handhavingslaag treffen we de ‘Control Layer’ aan. Dit is de laag waar de aansturing van de handhavingspunten plaatsvindt en de beschermingen worden gegenereerd. Beheerders kunnen op deze laag de beveiligingspolicy’s opstellen voor de controle van de interacties tussen gebruikers, tussen data en tussen applicaties. De policy’s kunnen vervolgens worden gepusht naar de handhavingspunten. ‘Threat Protection’ helpt op deze laag om zowel bekende als onbekende dreigingen op het spoor te komen. Beschermingen voor nieuwe dreigingen worden automatisch gegenereerd en naar de handhavingspunten gestuurd. Om een optimale bescherming te bieden, wordt de ‘intelligentie’ uit zoveel mogelijk bronnen verzameld. De derde laag is de ‘Management Layer’. Dit is als het ware de ‘cockpit’ voor de beheerder. De beheerder krijgt een overzicht van de informatie die wordt verzameld door de handhavingspunten. Hierdoor ontstaat een goed beeld van de actuele staat van de beveiliging. Het beeld dat de beheerder krijgt voorgeschoteld, kan eventueel worden gebaseerd op zijn of haar rol. Beheer uitbesteden Volgens Van Uden is Software-Defined Protection het gepaste antwoord op het fenomeen dat we de beveiliging steeds verder opvoeren maar

ondertussen wel kwetsbaar blijven voor de dreigingen die we nu nog niet kennen. “Check Point zet dan ook vol in op Software-Defined Protection. De markt is er helemaal rijp voor. We moeten nu de visie uit gaan dragen.” Ook met SDP blijft echter de afweging: ‘gaan we het beheer zelf doen, of besteden we het uit?’ Van Uden: “Securitybeheer is een zeer specialistische tak van sport waarbij je je af kunt vragen of bijvoorbeeld de netwerkbeheerder binnen je organisatie daar voldoende tijd voor en kennis van heeft. In veel gevallen is het dat ook raadzaam om het beheer over te laten aan een van onze Managed Service Providers. Motiv heeft bijvoorbeeld al vele jaren aangetoond hier een expert in te zijn. Motiv implementeert niet alleen de beveiliging, maar kan ook de montoring 24/7 uitvoeren, het incident-responseproces verzorgen en het beheer volledig overnemen door bijvoorbeeld alle changes en updates door te voeren. Met onze nieuwe SDParchitectuur kan Motiv deze taken zelfs uitvoeren zonder een ‘management station’ op klantlocatie te installeren.” “Binnen het Managed Service Provider-model is eigenlijk alles mogelijk”, besluit Van Uden. “De klant kan er bijvoorbeeld voor kiezen om de apparatuur zelf aan te schaffen en het beheer aan Motiv over te laten. Ook is het mogelijk om Motiv de apparatuur aan te laten schaffen. In dat geval berekent Motiv een maandelijkse vergoeding voor de apparatuur waardoor de aanschafkosten voor de klant worden gespreid over een langere periode.” 25

HEADLINE ‘mSafe is onze Houtense cloud’

V eilige bestandsuitwisseling | m S afe | G emeente H outen kiest voor m S afe

' Je moet je er altijd bewust van zijn dat je met vertrouwelijke informatie werkt'

Fotografie: Ruud Jonkers

Piet Woudt, Senior adviseur Informatiemanagement gemeente Houten

MM 01 | voorjaar 2014

V eilige bestandsuitwisseling | m S afe | G emeente H outen kiest voor m S afe

I n t ervie w Pie t W o u d t , Seni o r advi s e u r I nf o rma t iemana g emen t g emeen t e H o u t en

' mSafe is onze Houtense cloud' Het werken voor een gemeente betekent ook het vertrouwelijk omgaan met informatie, zoals de gegevens van burgers. "En daar passen geen toepassingen zoals Dropbox en WeTranfer bij", vindt Piet Woudt, Senior adviseur Informatiemanagement bij de gemeente Houten. De gemeente vond voor het uitwisselen van vertrouwelijke en omvangrijke documenten een alternatief in Motiv mSafe. Op basis van artikel 93 van de Paspoortuitvoeringsregeling Nederland 2001 heeft Piet Woudt een formele taak als beveiligingsfunctionaris. “Vanuit die rol heb ik informatiebeveiliging steeds meer naar me toe getrokken”, vertelt Woudt. “Al onder de vorige burgemeester hebben we ingezet op het verder verbeteren van de beveiliging. Inmiddels is dat wel bijna een dagtaak. Informatiesystemen zijn zo cruciaal geworden dat geen enkele organisatie zonder kan en dat geldt zeker ook voor een gemeente. We hebben dan ook een zware verplichting; zo mag de uitgifte van paspoorten nooit langer dan 24 uur stil komen te liggen, zelfs niet als het gemeentehuis afbrandt. Dat is dan ook de reden dat we de IT-omgeving volledig hebben gespiegeld en daarnaast een uitwijk hebben geregeld. Onze verantwoordelijkheid op dit punt is heel groot en we gaan dan ook niet over één nacht ijs.” Vanuit die verantwoordelijkheid heeft Woudt ook het schrijven van een Informatiebeveiligingsplan en een Uitvoeringsplan informatiebeveiliging voor de gemeente Houten op zich genomen. “In het Informatiebeveiligingsplan, dat is gebaseerd op de code voor informatiebeveiliging, staat het beleid omschreven terwijl in het Uitvoeringsplan staat wat we concreet doen”, licht Woudt toe.

Een belangrijk punt van aandacht in beide documenten is het creëren van beveiligingsbewustzijn onder de medewerkers van de gemeente Houten. Om de ‘security awareness’ te verhogen verzorgt Woudt onder andere workshops over de tactieken die social engineers toepassen. “Ook heb ik een keer een phishingmail naar honderd mensen gestuurd om te kijken hoeveel daar nu op klikten; dat bleken er toch nog dertig te zijn. Twee mensen vertrouwden het niet en belden de helpdesk.”

Veilige plaats “Het internet is een gevaarlijke plaats en voor iedereen moet duidelijk zijn wat de risico's zijn”, vervolgt Woudt. “Als je bijvoorbeeld op een iPad zit te lezen, moet je er rekening mee houden dat anderen kunnen meelezen en dat dat dus een beveiligingsrisico vormt. Je moet je er altijd bewust van zijn dat je met vertrouwelijke informatie werkt.” Volgens Woudt ligt dit uitgangspunt ook verankerd in artikel 13 uit de Wet bescherming persoonsgegevens (Wbp). “Wij zijn verplicht om gegevens goed te beveiligen, maar wel ‘binnen de redelijkheid van kosten en inspanning’. Daar moet je een balans in zien te vinden, en dat is best wel lastig. Dat doe je door de informatie te classificeren en op basis van de classificatie de juiste beveiligingsmaatregelen toe te passen.

Informatie uit de Gemeentelijke Basisadministratie, personeelsgegevens en misschien zelfs medische gegevens moeten als ‘vertrouwelijk’ worden gekenmerkt, terwijl er ook heel veel informatie juist openbaar moet zijn.” >

Gemeente Houten “Het werk bij een gemeente is heel erg leuk, maar soms ook heel erg veel waardoor je fragmentarisch bezig bent”, vertelt Piet Woudt, Senior adviseur Informatiemanagement bij de gemeente Houten. De gemeente in de provincie Utrecht telt een kleine vijftigduizend inwoners. Daar staan nog geen driehonderd medewerkers tegenover. “En dat aantal medewerkers loopt nog terug. Net zoals iedere andere gemeente moeten ook wij bezuinigen terwijl het aantal taken toeneemt. Dat kan alleen maar met meer techniek. Op het gebied van de mid-office – het zaakgericht werken – werken we bovendien samen met Zeist en Nieuwegein. Op het gebied websites hebben we een vereniging waar we met vijftig gemeenten samenwerken.”

HEADLINE ‘msafe is onze Houtense cloud’

VEILIGE BESTANDSUIT WISSELING | MSAFE | GEMEENTE HOUTEN KIEST VOOR MSAFE

I N t E RV I E w pI E t wo u Dt, sEN I oR A DV I sEu R I N FoR MAt I E MAN Ag E MEN t g E ME EN t E H o u t EN

' zowel onze medewerkers als de raadsleden hebben een eigen verantwoordelijkheid, en daar moet je op kunnen vertrouwen' > De informatie voor raadsleden is volgens Woudt een voorbeeld van informatie die ‘heel erg openbaar’ moet zijn. “Die kunnen we rustig op internet zetten. Maar raadsleden krijgen zo nu en dan ook vertrouwelijke informatie, bijvoorbeeld tijdens de benoemingsprocedure voor een nieuwe burgemeester. Dan wil je ervoor zorgen dat de informatie eenvoudig toegankelijk is voor de raadsleden, zonder dat gevoelige informatie op straat komt te liggen. De informatie moet dan op een veilige plaats komen te staan en toegankelijk zijn voor

alle raadsleden zonder dat ze naar het gemeentehuis hoeven te komen. Maar wel per gebruiker afzonderlijk beveiligd, zodat we kunnen zien wie wat heeft gedownload.”

Motiv msafe Zo'n ‘veilige plaats’ heeft de gemeente Houten gevonden in mSafe, de clouddienst van Motiv die in februari 2013 op de markt kwam. Het platform is speciaal ontwikkeld voor de zakelijke markt voor het uitwisselen van bijvoorbeeld personeelsdossiers, medische dossiers of financiële informatie. Uitgangspunten zijn maximale veiligheid en betrouwbaarheid. Zo zijn sterke authenticatie, scanning op malware en versleuteling standaard. Door de dienst continu te bewaken, wordt oneigenlijk gebruik van het platform voorkomen. Binnen de gemeente Houten werd mSafe in eerste instantie gebruikt door de afdeling die de vergunningen afgeeft en veel tekeningen uitwisselt. “Voor het uitwisselen van tekeningen werd WeTransfer gebruikt, maar dat vonden we structureel geen goede oplossing”, licht Woudt toe. “Diensten zoals WeTransfer en Dropbox zijn sowieso niet geschikt aangezien een overheid geen gegevens mag opslaan op buitenlandse servers en al helemaal niet buiten Europa. mSafe voldoet aan de eisen die gelden voor een Nederlandse overheid. De dienst draait op servers

MM 01 | voorjaar 2014

Hoe werkt msafe? De basis van Motiv mSafe is een werkruimte die een organisatie bijvoorbeeld per project, klant of contactpersoon aanmaakt. Aan deze virtuele folder koppelt de beheerder of eigenaar gebruikers die op de werkruimte inloggen met behulp van een gebruikersnaam (e-mailadres), wachtwoord en een eenmalige code. Zij krijgen deze code via een sms-bericht binnen. Sterke authenticatie is dus standaard binnen mSafe. Gebruikers kunnen vervolgens bestanden uploaden naar de werkruimte. Deze bestanden komen eerst in een quarantaineomgeving waar Motiv ze scant op malware. Daarna krijgen de gebruikers automatisch per e-mail een melding van de upload. De dienst is volledig webgebaseerd en vereist geen installatie van software; alleen bestanden groter dan 100 MB vereisen een plug-in van Microsoft Silverlight.

in Nederland en is goed beveiligd. Daar komt bij dat mSafe eenvoudig is in gebruik en snel was te realiseren. Na een proef van een maand hebben we de dienst direct aangevraagd en we zijn nog altijd erg enthousiast. Wat voor ons nog wel een wens zou zijn, is dat je documenten wel kunt lezen maar niet kunt downloaden, want het liefst wil ik dat documenten nooit op iPads terechtkomen.”

Houtense cloud Met de ingebruikname van mSafe zijn diensten als Dropbox en WeTransfer verleden tijd binnen de gemeente Houten. “Maar daar was ons Informatiebeveiligingsplan eigenlijk al duidelijk over”, zegt Woudt. “Daarin staat letterlijk: ‘Dropbox en soortgelijke oplossingen zijn niet toegestaan. Indien daar behoefte aan is, kan daarvoor een Houtense cloud worden opgezet.’ Nu huren we een soort van Houtense cloud. We hebben Dropbox overigens niet geblokkeerd. Zowel onze medewerkers als de raadsleden hebben een eigen verantwoordelijkheid, en daar moet je op kunnen vertrouwen."

H E A D L I N E XXX x x x x x

H E A D L I N E mo t i v B i e dt s n e l l e en v e i l i g e B e stan d su i t w i s se l i ng me t m saf e d i R e c t

VEILIGE BESTANDSUIT WISSELING | MSAFE | MSAFE DIREC T | MOTIV

MOTIV NIEUWS

Motiv biedt snelle en veilige bestandsuitwisseling met mSafe Direct Motiv kondigt de beschikbaarheid aan van ‘msafe Direct’. Hiermee kunnen documenten snel, veilig en eenvoudig worden gedeeld met één contactpersoon. mSafe Direct vormt een belangrijke uitbreiding van mSafe, Motiv’s platform voor het uiterst veilig uitwisselen van gevoelige documenten. De basis van Motiv mSafe is een werkruimte die een organisatie bijvoorbeeld per project, klant of contactpersoon aanmaakt en die alleen toegankelijk is met een gebruikersnaam, wachtwoord en een sms-code. Gebruikers kunnen vervolgens bestanden uploaden naar de werkruimte.

mSafe is uiterst veilig door de sterke authenticatie op basis van gebruikersnaam, 10GBen eenmalige sms-code, wachtwoord de continue bewaking van het platform en de malwarescanning door Motiv.

10GB

mSafe is een Nederlands product dat 10GB wordt gehost in Nederlandse datacenters.

10GB

MM 01 | voorjaar 2014

mSafe kan volledig op maat en in uw eigen huisstijl worden geleverd, met een voor uw gebruikers herkenbare interface.

Met mSafe Direct is het nu ook mogelijk om – zonder eerst een werkruimte aan te maken – tot maximaal tien documenten rechtstreeks met één contactpersoon te delen. Vijf dagen na uploaden worden de documenten automatisch verwijderd. De uploaddata worden voortaan getoond in een aparte kolom in de gebruikersinterface. Daarnaast heeft Motiv enkele wijzigingen doorgevoerd die

10GB

mSafe is geschikt voor zeer grote bestanden, tot wel 10 GB.

mSafe is eenvoudig te koppelen aan uw eigen domeinnaam.

mSafe maakt integratie met uw intranet of bedrijfsapplicatie mogelijk, onder de voorwaarde dat er een VPN-koppeling met de klant is.

het gebruik laagdrempeliger maken. Zo is er een pagina toegevoegd met Frequently Asked Questions waar de gebruiker antwoorden kan vinden op de meest gestelde vragen. Als de gebruiker zijn vraag niet terugvindt, is er een mogelijkheid om een vraag te stellen vanuit de FAQ-pagina.

continue verbeteringen Motiv mSafe is speciaal ontwikkeld voor het uitwisselen van zakelijke documenten, zoals personeelsdossiers, medische dossiers of financiële informatie. Uitgangspunten zijn maximale veiligheid en betrouwbaarheid. Zo zijn sterke authenticatie, scanning op malware en versleuteling standaard. Door de dienst continu te bewaken, wordt oneigenlijk gebruik van het platform voorkomen. Sinds de introductie van mSafe in februari 2013 heeft Motiv de functionaliteit van het platform al op vele punten uitgebreid. Zo is het sinds eind 2013 standaard mogelijk om mSafe te koppelen aan Microsoft Active Directory. Door mSafe te koppelen aan Active Directory neemt het gebruiksgemak aanzienlijk toe. Gebruikers die binnen de directoryservice van Microsoft zijn geautoriseerd voor gebruik van mSafe, kunnen snel en eenvoudig toegang krijgen tot mSafewerkruimtes. Gebruikers kunnen zich bij mSafe aanmelden door bijvoorbeeld te klikken op een link in Microsoft SharePoint. Een andere verbetering die Motiv heeft doorgevoerd, is de uitbreiding van mSafe met een ‘dienstwerkruimte’ voor het geautomatiseerd ontvangen van gebruiksrapportages.

V o L g E N D E pA g I N A ' m i d d e l e n g e n o e g o m e e n g e ava n c e e R d e a a n va l t e o n d e R s c H e p p e n ’ › p. 3 2

N ieuw!

+ Sleep max 10 bestanden in

dit vak om deze te uploaden

Bastiaan schoonhoven, marketing manager bij Motiv

kracht van de cloud “Motiv mSafe biedt de beheerder van een werkruimte de informatie die nodig is bij het aantonen van compliance of het overleggen van een auditlog”, zegt Bastiaan Schoonhoven, marketing manager bij Motiv. “Daarmee zijn bedrijven niet alleen verzekerd van een uiterst veilige bestandsuitwisseling via internet, maar blijven ze ook volledig

mSafe Direct overzicht 0

' Bedrijven zijn met msafe niet alleen verzekerd van een uiterst veilige bestandsuitwisseling via internet, maar blijven ook volledig 'in control' over hun eigen gegevens'

Ook is de mogelijkheid toegevoegd om permanente werkruimtes aan te maken. Een dergelijke ruimte, die alleen kan worden aangemaakt door een beheerder, heeft zelf geen vervaldatum. Wel hebben de documenten binnen een permanente werkruimte een vervaldatum die kan worden aangepast.

VEILIGE BESTANDSUIT WISSELING | MSAFE | MSAFE DIREC T | MOTIV

mSafe Direct

‘in control’ over hun eigen gegevens. Die controle ontbreekt bij consumententoepassingen als Dropbox, Google Drive of WeTransfer.” Updates die beschikbaar komen, zijn direct en zonder extra kosten beschikbaar voor alle gebruikers van mSafe. “Hieruit blijkt de kracht van Motiv’s cloudpropositie”, aldus Schoonhoven. “Voor de opkomst van cloudcomputing verscheen er misschien één keer per jaar een nieuwe release van een softwareproduct, en om gebruik te kunnen maken van de nieuwe features werd je als gebruiker gedwongen om een nieuwe licentie aan te schaffen. Met dat model rekenen we nu genadeloos af.”

Een belangrijke verbetering is de verdere uitbreiding van de controlemogelijkheden Zo krijgt de beheerder van een werkruimte nu te zien: • wie op welk moment een bepaald document heeft geüpload, gedownload of gewijzigd, • of er een virus is aangetroffen en • wat het laatste moment van inloggen is geweest.

msafe kan gedurende dertig dagen gratis en vrijblijvend worden uitgeprobeerd. kijk voor meer informatie op www.msafe.nl of www.motiv.nl/ veilige-bestandsuitwisseling.

E - M A I L - , W E B - E N DATA S E C U R I T Y | T H R E AT R E P O R T | W E B S E N S E

Carl Leonard, Senior Manager bij Websense Security Labs

'Middelen genoeg om een geavanceerde aanval te onderscheppen’ “Geavanceerde aanvallen zijn de norm geworden.” Tot deze belangrijke conclusie kwam Carl Leonard, Senior Manager bij Websense Security Labs, bij de presentatie begin april van het ‘Websense 2014 Threat Report’. Het ecosysteem waarbinnen geavanceerde aanvallen zich afspelen, wordt steeds complexer. “Het ecosysteem kent een steeds grotere diversiteit aan spelers die uiteenlopende redenen hebben om een aanval te openen”, zo lichtte Carl Leonard toe tijdens een webinar die in het teken stond van de resultaten uit het nieuwe onderzoeksrapport van Websense. Hoewel financieel gewin nog altijd de belangrijkste reden vormt om data te stelen, hebben hackers steeds vaker ook andere motieven, zoals het verkrijgen van een concurrentievoordeel. “En niet langer vormen alleen grote organisaties het doelwit, maar bijvoorbeeld ook specifieke sociale groeperingen en zelfs individuen.” Volgens Leonard worden de ‘bad guys’ steeds professioneler. “Er is een wereldwijd crimineel netwerk ontstaan waar tools voor het uitvoeren van een aanval ‘as-a-service’ worden aangeboden. Criminelen hoeven daardoor niet meer vanaf nul te beginnen. Wie niet zelf de tools kan bouwen, kan ze kopen.” Het resultaat is dat het ‘dreigingslandschap’ steeds sneller wijzigt. Zo identificeert de Threatseeker Intelligence Cloud van Websense 2,3 ‘state changes’ per seconde. 32

MM 01 | voorjaar 2014

Kill chain In 2013 – de periode waarop het ‘2014 Threat Report’ betrekking heeft – werden met de technologie van Websense meer dan 4,1 miljard live aanvallen voorkomen. “Bij bijna alle aanvallen werden technieken gebruikt die onder de radar blijven van de traditionele beveiliging om vervolgens systemen te compromitteren en op het besmette netwerk jacht te maken op vertrouwelijke data”, zo vermeldt het rapport. In het rapport laat Websense zien welke zeven stadia een aanvaller doorloopt om uiteindelijk bij de gewenste data te komen (de ‘kill chain’), en wat in 2013 per stap de trends waren: • Stadium 1: het ‘opsporen’ (Recon) van een slachtoffer, waarbij alles draait om het vergaren van zoveel mogelijk informatie. “De aanvaller bouwt een beeld op van een mogelijk slachtoffer, bijvoorbeeld via LinkedIn of Twitter”, aldus Leonard. De aanvaller gaat hier doorgaans nog niet erg gericht te werkt. Een van de adviezen van Websense op dit punt is om gebruikers bewust te maken van de mogelijk gevoelige informatie die ze bijvoorbeeld via sociale media delen.

• Stadium 2: het verleiden (Lure) van het slachtoffer, door bijvoorbeeld een gemanipuleerde webpagina voor te schotelen in de hoop dat het slachtoffer daar zijn inloggegevens of andere persoonlijke informatie invoert. • Stadium 3: slachtoffers ‘redirecten’ van een webpagina die er betrouwbaar uitziet naar een site die exploit kits, exploit code of andere kwaadaardige content bevat. “Zie een redirect ook als een event”, zo luidde het advies van Leonard. Uit het onderzoek van Websense blijkt dat per aanval gemiddeld vier redirects werden gebruikt. • Stadium 4: een ‘exploit kit’ scant het systeem van een gebruiker op bekende en onbekende gaten in de beveiliging. “Er is een markt voor exploit kits ontstaan – met namen als Blackhole, Redkit en Neutrino – die maar moeilijk is bij te houden”, aldus Leonard. Actief patchen is volgens de Senior Manager het beste advies. • Stadium 5: een ‘dropper file’ wordt gedownload op de machine van het slachtoffer waarna aanvallers de omgeving kunnen scannen en de controle over het besmette systeem kunnen overnemen.

Carl Leonard, Senior Manager bij Websense Security Labs

• Stadium 6: het besmette systeem ‘calls home’ en neemt contact op met een Command & Control-server voor het downloaden van additionele programma’s, tools en instructies. Leonard: “Daarom is het belangrijk om ook het uitgaande communicatieverkeer te scannen en monitoren en SSL/TLS-verkeer te inspecteren.” • Stadium 7: de daadwerkelijke datadiefstal. De data worden – vaak in kleinere ‘data drips’ – naar buiten gestuurd. Dat kan open en bloot, via een beveiligde SSL/TLS-verbinding of verpakt in versleutelde files. Het verkrijgen van inzicht in de zeven stadia is volgens Websense belangrijk om een aanval zo snel mogelijk in de kiem te kunnen smoren. Hoe meer stappen een aanvaller kan zetten, hoe groter de kans dat de datadiefstal ook daadwerkelijk slaagt. “Wacht niet tot het allerlaatste moment maar zorg dat je maatregelen neemt in de eerste zes stadia”, zo luidde dan ook het belangrijkste advies van Leonard. “Er zijn genoeg middelen om een aanval eerder te onderscheppen.”

Realtime defensie Om datadiefstal te voorkomen, is het volgens Leonard noodzakelijk dat bedrijven gebruik maken van een ‘complete en realtime defensie’. Zo’n bescherming kan onder andere ontwijkingstechnieken zoals encryptie signaleren, afbeeldingen herkennen middels optical character recognition (OCR), alle communicatiekanalen beveiligen, zowel het ingaande als het uitgaande verkeer monitoren en inzicht bieden om te kunnen reageren op events en trends met een hoog risico. Websense biedt met het TRITON-platform een gecombineerde oplossing voor e-mailen websecurity en Data Loss Prevention. DLP is bij Websense geen losstaande oplossing maar diep geintegreerd in de TRITON-architectuur, middels ‘TruEmail DLP’ voor bescherming op de e-mailgateway en ‘TruWeb DLP’ voor bescherming op de webgateway. Hierdoor zijn organisaties gedurende alle zeven stadia van de ‘kill chain’ beschermd. Logging en rapportages zijn binnen één gebruikersinterface terug te vinden, evenals de forensische analyses van geconstateerde aanvallen.

Enkele belangrijke data uit het websense 2014 threat Report Het volledige websense 2014 threat Report kan worden gedownload via www.websense.com/2014threatReport

De ‘intelligentie’ van het TRITON-platform wordt dagelijks bijgewerkt vanuit de Websense ThreatSeeker Intelligence Cloud die meer dan negenhonderd miljoen eindpunten verbindt en die met de Websense ACE (Advanced Classification Engine) zo’n drie tot vijf miljard verzoeken per dag analyseert. Ook wordt TRITON ‘gevoed’ door de experts van het Websense Security Lab die onophoudelijk bezig zijn om nieuwe bedreigingen in kaart te brengen.

E - M A I L - , W E B - E N DATA S E C U R I T Y | T H R E AT R E P O R T | W E B S E N S E

Hoe meer stappen een aanvaller kan zetten, hoe groter de kans dat de datadiefstal ook daadwerkelijk slaagt

H E A D L I N E ' B e v e i l i g i n g s m a at r e g e l e n m o e t e n d e t o e g e v o e g d e wa a r d e l e v e r e n d i e w i j n o o d z a k e l i j k ac h t e n '

E - M A I L - , W E B - E N DATA S E C U R I T Y | E - M A I L - E N W E B | C R E D I T E U R O P E B A N K K I E S T V O O R M OT I V

in t ervie w Sander B ieren s van Credi t E u r o p e B an k N . V .

Sander Bierens van Credit Europe Bank N.V.

' Beveiligingsmaatregelen moeten de toegevoegde waarde leveren die wij noodzakelijk achten' Het is een ongeschreven regel in de bankenwereld, een ‘gentlemen’s agreement’: op security wordt niet geconcurreerd. “Maar omdat elke financiële instelling anders is, zijn er op het gebied van informatiebeveiliging wel degelijk verschillen in de implementaties”, zegt Sander Bierens, Head of Operational Risk Management and Information Security bij Credit Europe Bank. Motivator sprak met Bierens over de keuzes die Credit Europe Bank maakt. Credit Europe Bank heeft, als algemene bank, sinds 1994 een volledige banklicentie in Nederland. In de jaren die volgden is de financiële dienstverlener uitgegroeid tot een wereldwijde speler die met 6200 werknemers in 11 landen ruim 4,2 miljoen klanten bedient.

hetzelfde. Bij Credit Europe Bank vinden we security belangrijk omdat we voor onze klanten een betrouwbare partij moeten zijn. We volgen dan ook de ‘industry best practices’ op het gebied van security. Met name de controle- en beheersingsmaatregelen moeten gewoon optimaal op orde zijn.”

Front-runner Informatiebeveiliging vormt, als onderdeel van de kwaliteit van de dienstverlening, een van de speerpunten van Credit Europe Bank, zo begrijpen we van Sander Bierens. “Binnen de bankenwereld is er een soort ‘gentlemen’s agreement’ dat je niet concurreert op het gebied van security, maar geen enkele financiële instelling is

MM 01 | voorjaar 2014

Maar Credit Europe Bank ziet zichzelf ook niet als een ‘front-runner’ op het gebied van informatiebeveiliging, zo benadrukt Bierens. “Als de markt op een bepaald onderwerp reageert, is het niet zo dat wij daar ook direct op duiken. We kijken heel nauwgezet naar wat bij ons past en wat belangrijk is om te implementeren. Daarvoor hanteren

we een ‘risk-based approach’. Risicomanagement is breed geïmplementeerd binnen de organisatie conform ons Risk & Control-framework. Daarbij hanteren we diverse richtlijnen.” “We kijken goed naar onze producten en diensten en naar onze risico’s, en aan de hand van onder andere audits en reviews bepalen we of we voldoende maatregelen hebben getroffen om een risico af te dekken en nemen we eventueel additionele maatregelen”, vervolgt Bierens. “Daarbij is ons uitgangspunt dat we altijd ‘proven technology’ willen hebben – en niet per se de goedkoopste – maar die moet dan wel de toegevoegde waarde opleveren die noodzakelijk is.”

E-mailen websecurity Op het gebied van informatiebeveiliging onderhoudt Credit Europe Bank een langdurige relatie met Motiv. Zo heeft Motiv bij Credit Europe Bank een oplossing geïmplementeerd voor veilig telewerken en sterke authenticatie. “Als verantwoordelijke voor security- en riskmanagement gaat het mij erom dat ik zaken doe met een betrouwbare partij. Motiv heeft al meerdere malen aangetoond die betrouwbare partij te zijn”, zo licht Bierens de samenwerking toe.

E - M A I L - , W E B - E N DATA S E C U R I T Y | E - M A I L - E N W E B | C R E D I T E U R O P E B A N K K I E S T V O O R M OT I V

' ons uitgangspunt is dat we altijd 'proven technology' willen hebben' sander Bierens van credit europe Bank n.v.

Een ‘geïdentificeerd risico dat moest worden aangepakt’ vormde recentelijk de aanleiding voor een verdere intensivering van de samenwerking. Deze verdere intensivering leidde tot de implementatie van een geconsolideerde oplossing van Websense voor e-mailen websecurity. Deze oplossing kan in een later stadium nog worden uitgebreid met functionaliteit voor Data Loss Prevention (DLP). “De consolidatie van Web Security, E-mail Security en eventueel ook DLP binnen één oplossing levert aantrekkelijke voordelen op”, aldus Bierens. “Met Websense kun je het aantal hardwarecomponenten terugbrengen van drie naar één, waardoor je lagere beheerkosten, een lagere investering in de apparatuur, en last but not least, een lager energieverbruik hebt. Ook is Websense heel sterk in het ‘schoon houden’ van de rapportages

en logs zodat dataverkeer niet direct is te koppelen aan een bepaalde medewerker. De privacy van onze werknemers is daardoor te allen tijde gewaarborgd.”

over credit Europe Bank Never ending story “Samen met Motiv gaan we ook nadenken over de toekomstige situatie. Wat willen we bijvoorbeeld bereiken met DLP? Wat moet er gebeuren als er een e-mail met een vertrouwelijk document wordt verstuurd? ”, zo vraagt Bierens zich hardop af. “Daar ligt de toegevoegde waarde van Motiv: ons helpen met het identificeren van de vertrouwelijke data en dat koppelen aan een toekomstige DLP-oplossing. Dat is naar mijn mening een ‘never ending story’.”

Credit Europe Bank N.V. heeft zijn hoofdkantoor in Nederland en was eind 2013 actief met 184 bijkantoren, 957 pinautomaten, 21.870 verkooppunten en 22.600 ‘point of sale terminals’. De bank heeft in elf landen ongeveer 6.200 werknemers in dienst. Meer dan 4,2 miljoen klanten wereldwijd vertrouwen hun financiële zaken toe aan Credit Europe Bank. Credit Europe Bank bedient zakelijke, mkb- en particuliere klanten met een breed portfolio aan bancaire diensten. De bank is aanwezig in: Nederland, België, China, Duitsland, de Verenigde Arabische Emiraten, Malta, Oekraïne, Roemenië, Rusland, Turkije en Zwitserland.

HEADLINE Afsprakenstelsel geeft individu controle over persoonlijke gegevens

D I G I TA L E I D E N T I T E I T | Q I Y - A F S P R A K E N S T E L S E L | Q I Y F O U N DAT I O N

Afsprakenstelsel geeft individu controle over persoonlijke gegevens Tal van grote private en publieke organisaties werken samen aan de ontwikkeling van een onafhankelijk afsprakenstelsel voor het online delen van persoonlijke gegevens. Dit ‘Qiy-afsprakenstelsel’ biedt individuen de controle over hun persoonlijke gegevens en de mogelijkheid om gegevens gemakkelijk en toch veilig met vertrouwde bedrijven en overheden te delen. Met de groei van de digitale economie doen meer en meer mensen online zaken met bedrijven, overheden en elkaar. Probleem voor de consument is de steeds groter wordende hoeveelheid gegevens en het gebrek aan controle en overzicht. Online zijn wordt steeds meer een ‘gedoe’: continu inloggen om persoonlijke gegevens weg te brengen of op te halen. Het resultaat is dat niemand meer weet waar al die data blijven en wat ermee gebeurt. De roep om meer privacy wordt daardoor alleen maar sterker.

MM 01 | voorjaar 2014

Samenwerking cruciaal De huidige versnippering van persoonsgegevens is een duidelijk geval van een ‘many to many’-probleem. Dit probleem kwam ook in andere markten voor, zoals in de telecommarkt en in de wereld van creditcards en betalingen. Sleutel tot het oplossen van de problemen in dit soort versnipperde markten is een vorm van samenwerking tussen concurrerende partijen. De vorm van deze samenwerking noemt men een ‘scheme’ oftewel een afsprakenstelsel. Bekende voorbeelden van afsprakenstelsels zijn gsm voor mobiele telefonie,

Visa en MasterCard voor creditcards, iDEAL voor online betalingen en ICANN in de internetwereld. Als het gaat om persoonlijke gegevens is de samenwerking tussen verschillende partijen eveneens cruciaal. Individuen moeten toestemming kunnen geven voor het delen van hun persoonlijke gegevens op een privacyvriendelijke manier. De partijen die deze gegevens mogen gebruiken, moeten in staat zijn om op een veilige, uniforme en betrouwbare manier toegang tot deze gegevens te krijgen.

D I G I TA L E I D E N T I T E I T | Q I Y - A F S P R A K E N S T E L S E L | Q I Y F O U N DAT I O N

' Qiy stelt marktpartijen in staat om op een veilige en privacyvriendelijke manier persoonlijke gegevens aan te bieden aan klanten'

Qiyfoundation.org

Qiy-afsprakenstelsel Als dit soort oplossingen voor samenwerking op het gebied van gegevensuitwisseling goed is ontworpen, goed wordt uitgelegd en aantrekkelijk wordt geprijsd, worden ze makkelijk en snel geaccepteerd door consumenten. Maar bestaat een dergelijke oplossing? Het antwoord is ‘Qiy’, een baanbrekende initiatief dat marktpartijen in staat stelt om op een veilige en privacyvriendelijke manier persoonlijke gegevens aan te bieden aan hun klanten. Motiv is intensief betrokken bij dit initiatief.

In de afgelopen zes jaar heeft de Qiy Foundation gewerkt aan een verbetering van de positie van het individu voor wat betreft het beheer van de eigen gegevens. Dat doet Qiy door individuen een persoonlijk domein te geven waarmee zij hun digitale gegevens kunnen beheren. Qiy geeft individuen een veilige toegang tot hun persoonlijke gegevens binnen de overheid, bedrijven en eigen online opslag. Vervolgens bepalen zij zelf hoe en wanneer anderen gebruik mogen maken van hun gegevens. Het Qiy-afsprakenstelsel gaat live op 5 januari 2015. Om dat voor elkaar te krijgen, wordt een grote inspanning geleverd door alle betrokken partijen. Dit gebeurt in de vorm van deelname aan wekelijkse werkgroepen die de afspraken vastleggen over tal van onderwerpen. Motiv levert daaraan zijn bijdrage, naast de securitydiensten die Motiv al een aantal jaren levert aan Qiy.

conclusie

de markt, blijft de fragmentatie van gegevens de norm en zullen individuen nooit de controle over hun privégegevens krijgen. De beschikbaarheid van gevalideerde en dynamische gegevens lost veel problemen op het gebied van dataverzameling, databeveiliging en privacy en de vaststelling van de identiteit van het individu op.

Qiy en authenticatie Uitwisseling van persoonlijke gegevens heeft een stevige relatie met online authenticatie, maar is niet hetzelfde. Identificatie en online authenticatie zijn voorwaardelijk voor het veilig en betrouwbaar kunnen gebruiken van een persoonlijk Qiy-domein. Een afsprakenstelsel als Qiy werkt complementair aan eID aangezien Qiy zich richt op de uitwisseling van persoonlijke attributen (persoonlijke- en persoonsgegevens).

Zonder een goede set aan afspraken en een gecoördineerde regeling tussen de beide zijden van 37

HEADLINE 'we moeten Het veRtRouwen HeRstellen'

I D E N T I T E I T S F R A U D E | R E S P E C T P R I VAC Y | I D - C O V E R | Q I Y F O U N DAT I O N

I N t E R V I E w M A A R t E N L o u M A N , M E D E - o p R I c H t E R VA N Q I Y

'we moeten het vertrouwen herstellen' ‘Het internet is kapot!’, zo kopte NRc Next op 18 maart. Volgens Maarten Louman van de Qiy Foundation is het defect onder andere te wijten aan de onbalans die op internet is ontstaan tussen individuen en grote organisaties. Dat is de reden dat Qiy al in 2007 begon na te denken over een manier om mensen meer controle te geven over hun eigen gegevens online. Qiy en Motiv Samen met ‘respectvolle’ organisaties werkt Motiv aan hulpmiddelen die mensen en organisaties verder helpen met de bescherming van hun gegevens, zowel op internet als in de echte wereld. Een goed voorbeeld daarvan is het Respect Privacy Programma, een initiatief van de Qiy Foundation. Motiv ondersteunt het Respect Privacy Programma van harte, omdat wij ervan overtuigd zijn dat alleen het respecteren van elkaars privacy en een zorgvuldige omgang met gegevens leidt tot vertrouwen. Als Security- en Technologypartner van Qiy zet Motiv het onafhankelijke Qiy Trust Framework in als onderdeel van het totale portfolio richting klanten. Met Qiy wil Motiv de digitale identiteit van relaties kunnen waarborgen. Kijk voor meer informatie op: www.motiv.nl/qiy.

MM 01 | voorjaar 2014

“Het internet is ooit bedacht om een ‘operating field’ te creëren waar iedereen gelijk is en iedereen dezelfde mogelijkheden heeft”, schetst Louman. “Maar het zijn nu vooral de bedrijven en grote organisaties die profiteren van de schaalvoordelen van het world wide web. Het is heel erg doorgeslagen.” Als voorbeeld geeft hij de slimme apparaten die steeds vaker ongemerkt informatie doorsluizen. Zo sturen slimme energiemeters gebruiksgegevens door naar de energiemaatschappij en staan de nieuwste elektrische auto’s voortdurend in contact met de fabrikant om de automobilist zo goed mogelijk van dienst te kunnen zijn. “Maar niet alle data worden alleen voor mij gebruikt”, stelt Louman, “terwijl ík die auto heb gekocht en ík in die auto rij. Mag ik dan op z’n minst zien welke data worden verzameld en wat ermee gebeurt?”

controle kwijt Volgens de mede-oprichter van Qiy en de Qiy Foundation zijn we gaandeweg de controle over onze eigen data kwijtgeraakt. “Waar vroeger alle correspondentie via één brievenbus binnenkwam,

staan nu op allerlei websites en portals brieven zonder envelop op je te wachten zonder dat je daar zelf voor gekozen hebt. Ondertussen heb je wel een verplichting om naar bijvoorbeeld ‘MijnKPN’ te gaan en krijg je een herinnering als je te laat betaalt. Een term als ‘MijnKPN’ is overigens ook raar, want die omgeving is helemaal niet van mij, maar van KPN.” Het resultaat is dat steeds meer partijen privacygevoelige gegevens verzamelen terwijl je als individueel persoon nauwelijks kunt controleren of die gegevens op een veilige manier worden opgeslagen. Volgens Louman wordt identiteitsdiefstal dan ook een steeds groter probleem. Voor bedrijven is het heel belangrijk een nauwkeurig profiel op te stellen van een (potentiële) klant. Daarmee kunnen ‘aanbiedingen’ steeds persoonlijker worden. Data zijn dus waardevol. Voor bedrijven, maar ook voor klanten. “Wij produceren met z’n allen data, ook wel aangeduid als het ‘nieuwe goud’, maar de voordelen vallen vooral aan de kant van de bedrijven”, aldus Louman.

Fotografie: Ruud Jonkers

I D E N T I T E I T S F R A U D E | R E S P E C T P R I VAC Y | I D - C O V E R | Q I Y F O U N DAT I O N

ID-cover in campagnetijd Rozen, pennen en ballonnen zijn ook zo afgezaagd, moeten ze bij Groen Liberaal in Almere hebben gedacht. Deze ‘landelijke lokale partij’ ging tijdens de campagne voor de gemeenteraadsverkiezingen 2014 met stapels ‘ID-covers’ de straat op en vestigde zo de aandacht op de risico’s van identiteitsdiefstal.

Gertjan Kloek (rechts) overhandigt namens Groen Liberaal een ID-cover.

ID-covers

persoonlijk domein Volgens Louman wordt het tijd om de controle over de data te heroveren zodat ieder voor zich de waarde van zijn data kan bepalen en ook kan bepalen wat daarmee gebeurt. “We moeten het vertrouwen herstellen.” Qiy doet dat met een ‘Trust Framework’ waarbinnen een individuele gebruiker een persoonlijk domein heeft, oftewel ‘een eigen veilige plek op het internet. Vanuit die plek kan de gebruiker een veilige verbinding leggen met gegevens die over hem of haar gaan. “Binnen dit domein bepaal je zelf welke organisaties je vertrouwt en deel je alleen de informatie die een andere organisatie ook echt nodig heeft. Het is helemaal opgebouwd vanuit de gedachte ‘privacy by design’.” De Qiy Foundation ziet er als onafhankelijke stichting op toe dat de ‘spelregels met betrekking tot respect mensen en privacy’ worden nageleefd.

Het persoonlijke domein heeft een grote gelijkenis met een andere oplossing van de Qiy Foundation: de ID-cover. Met dit hoesje kan de privacygevoelige informatie op een identiteitsbewijs worden afgeschermd (zie ook het kader). “Iedereen mag een identiteitsbewijs zien, maar slechts weinig instanties hebben het recht om een volledige kopie te maken”, aldus Louman. De ID-cover zorgt ervoor dat bijvoorbeeld de foto, het Burgerservicenummer en het documentnummer onzichtbaar zijn. Dit zijn wel de gegevens die een fraudeur nodig heeft om een identiteitsbewijs te vervalsen en op naam van iemand anders huizen te kopen, bankrekeningen te openen of auto’s te huren. De covers worden onder andere verstrekt door de ANWB en een groot aantal gemeenten. “De Nederlandse Vereniging voor Burgerzaken (NVVB) doet de verkoop richting de gemeenten”, vertelt Louman. “Maar ook commerciële bedrijven die het belangrijk vinden om de privacy van hun klanten te beschermen, kunnen de ID-covers uitreiken. Met een eigen logo erop is het nog een mooi pr-middel ook.”

“Het aantal identiteitsfraudes neemt sterk toe en de schade is enorm”, zo stelde Gertjan Kloek, die namens Groen Liberaal in de race was voor een zetel in de Almeerse gemeenteraad. “Criminelen worden zich steeds bewuster van wat ze met een gestolen en vervalste identiteit kunnen doen.” Fraudeurs kunnen met een gestolen identiteit bijvoorbeeld bankrekeningen openen of betalingen verrichten. “Daar komt bij dat het risico om te worden gepakt gering is.” “Let goed op je eigen gegevens, daar ben je zelf verantwoordelijk voor”, zo luidde dan ook het advies in campagnetijd. Volgens Kloek heeft de overheid wel een taak om de burgers te helpen bij het beschermen van de privacy en bewust te maken van de risico’s. “Iedereen begrijpt waar een slot op de deur voor dient, maar dat gaat nog niet op voor de bescherming van de privacy. Heel veel mensen weten bijvoorbeeld niet dat alleen overheidsinstellingen een volledige kopie van een identiteitsbewijs mogen maken. Laat je dus niet ompraten door bedrijven die een kopie willen maken, want die mogen het identiteitsbewijs alleen zien waarna je bijvoorbeeld de foto mag afdekken. Met een ID-cover om het identiteitsbewijs is alleen de noodzakelijke informatie zichtbaar.”

H E A D L I N E ‘ W e z i j n va n e e n F i at Pa n d a n a a r e e n J a g u a r g e g a a n ’

N E X T G E N E R AT I O N S E C U R I T Y | N E X T G E N E R AT I O N F I R E WA L L | D I N KG R E V E S O LU T I O N S

I n t ervie w R am o n D rie s s en en R en z o Zi t man van D in k g reve S o l u t i o n s

Ramon Driessen en Renzo Zitman van Dinkgreve Solutions

' We zijn van een Fiat Panda naar een Jaguar gegaan' “Bij ons is alles groot. Dat geldt niet alleen voor het pand waar we in zitten, maar ook voor de uitdagingen waar we mee te maken hebben en de stappen die we zetten”, zegt Renzo Zitman, Managing Director van Dinkgreve Solutions. Om grote stappen te kunnen zetten, moest er bij Dinkgreve Solutions wel eerst rust komen in de netwerkinfrastructuur. Die rust kwam er met nieuwe core-switches van Juniper Networks en een Next-Generation Firewall van Check Point Software Technologies.

Per dag twee miljoen unieke bezoekers die samen dagelijks tweehonderd miljoen unieke hits en een traffic van tussen de 1,5 en 4 Gigabit per seconde genereren. “De meeste bedrijven in Nederland hebben nog nooit een dergelijke traffic en load gezien of ervan gehoord”, zo weet Managing Director Renzo Zitman van Dinkgreve Solutions. De genoemde statistieken zijn afkomstig van Funix, een contentplatform dat in 1998 is gestart door de huidige eigenaar van Dinkgreve Solutions. Naast ‘erotisch entertainment’ bestaat veel van de content die door externe leveranciers op het platform wordt aangeboden uit foto’s en video’s van modellen en andere beroemdheden. Voor de vaste klantenkring is er een ‘bulletin board’ waar bezoekers bijvoorbeeld informatie over modellen met elkaar kunnen uitwisselen. 40

MM 01 | voorjaar 2014

Gouden ei Funix wordt gehost, beheerd en technisch verder ontwikkeld door Dinkgreve Solutions dat deel uitmaakt van dezelfde holding. “Funix is het gouden ei dat moet worden bewaakt, maar het is wel een ei van vijftien jaar oud”, stelt Zitman. Om een verdere groei te faciliteren en nieuwe functionaliteiten te kunnen toevoegen, staat nieuwbouw van het platform hoog op de agenda. “Dat is een mooie prikkel om aan de slag te gaan met de nieuwste technologie die nog net niet in gebruik is.” “Onze uitdaging is om met het ijzer dat we tot onze beschikking hebben de meest stabiele, betrouwbare en snelle omgeving te creëren”, zo schetst Ramon Driessen, Manager Operations van Dinkgreve Solutions. “En daar zijn wij erg goed in. Die tweehonderd miljoen unieke hits per dag

verwerken we nu met 180 servers. Vergelijkbare sites hebben een serverpark dat minimaal vier keer zo groot is.”

Infrastructuur in code “Wij hebben de kennis en kunde om er tot diep in de techniek voor te zorgen dat een website of platform soepel draait”, stelt Zitman. De Managing Director haalt in dat verband onder andere de methodes DevOps en Continuous Integration aan die ‘het verschil maken’. Bij Continuous Integration worden wijzigingen direct door de ontwikkelstraat ‘deployed’ waardoor sneller kan worden gestuurd op de kwaliteit. “DevOps zorgt ervoor dat beheer en ontwikkeling deel uitmaken van hetzelfde team waardoor infrastructuur en softwarecode optimaal op elkaar zijn afgestemd. Technisch ga je de infrastructuur dan als code behandelen.”

Fotografie: Ruud Jonkers

N E X T G E N E R AT I O N S E C U R I T Y | N E X T G E N E R AT I O N F I R E WA L L | D I N KG R E V E S O LU T I O N S

Renzo Zitman (links) en Ramon Driessen

“Als je de infrastructuur in code hebt, kun je een ‘receptuur’ schrijven voor het uitrollen van servers waardoor je een platform heel snel kunt opschalen”, legt Driessen uit. “De volgende stap is dat je de infrastructuur automatiseert aan de hand van de performance. Op het moment dat de performance daalt, worden er automatisch servers uitgerold op het platform. Dat kan op eigen hardware zijn, of in de cloud.”

' Onze kracht ligt in het ontwikkelen van 'high-traffic, high-performance en high- secure' applicaties' Ramon Driessen, Manager Operations van Dinkgreve Solutions

Nieuwe propositie De ‘kennis en kunde’ waar Zitman en Driessen het over hebben, wordt sinds kort ook aangeboden aan externe klanten buiten de holding. “Wij bieden consultancy op infrastructuur en code, de twee takken binnen DevOps en Continuous Integration”, aldus Zitman. Driessen: “Het ontwikkelen van ‘high-traffic en high-performance’ applicaties, daar

ligt onze kracht. Maar ook ‘high-secure’. Met de opkomst van internet is beveiliging opgeschoven van de netwerklaag naar de applicatielaag. Dat betekent dat de security staat of valt met de manier waarop applicaties zijn ontwikkeld. Je bent minder kwetsbaar als ‘security driven development’

deel uitmaakt van je applicatieontwikkeling.” De nieuwe propositie gericht op externe klanten is echter nog maar een deel van de herpositionering waarin Dinkgreve Solutions zich momenteel nog bevindt. >

H E A D L I N E ‘ w e z i j n va n e e n f i at pa n d a n a a R e e n j a g u a R g e g a a n ’

N E X T G E N E R AT I O N S E C U R I T Y | N E X T G E N E R AT I O N F I R E WA L L | D I N KG R E V E S O LU T I O N S

I N t E R V I E w R A M o N D R I E s s E N E N R E N z o z I t M A N VA N D I N k g R E V E s o L u t I o N s

> Sinds enkele jaren is Dinkgreve Solutions ook belast met de ICT-ondersteuning van de andere bewoners van het monumentale pand in Zeist, waar de holding met al zijn dochters resideert en waar ook andere bedrijven als huurder welkom zijn. “Onze dienstverlening is met kantoorautomatisering, development en hosting heel divers”, vat Zitman samen. “En vaak willen we veel sneller dan in werkelijkheid mogelijk is. Iedereen die nieuw binnenkomt bij Dinkgreve Solutions denkt: ‘wow, wat gebeurt hier allemaal?’ En dat denken ze drie maanden later nog steeds.”

Rust De herpositionering binnen de holding die enige tijd geleden in gang is gezet, en de nieuwe propositie die is neergezet, hebben ertoe geleid dat Dinkgreve Solutions in korte tijd ruimschoots is verdubbeld in omvang. Om een snelle ontwikkeling van het bedrijf mogelijk te maken, was het volgens Driessen wel noodzakelijk dat er op netwerkniveau ‘rust en stabiliteit’ kwam. “Toen ik ruim twee jaar geleden in dienst kwam, trof ik een kantoorautomatisering en facilitaire systemen aan die niet bepaald stabiel waren ingeregeld. We lagen er iedere week wel twee tot vier uur uit door een netwerkstoring. Een van mijn eerste doelstellingen hier was dan ook het onder controle krijgen van de systemen en dus ook de hardware.” Motiv kreeg van Driessen de opdracht om de oude core-switches te vervangen door nieuwe apparaten van Juniper, een vervanging waarvoor de complete netwerkinfrastructuur ‘op de schop’ moest.

' wij zijn een eigenwijs bedrijf waar de eisen heel hoog liggen' Renzo zitman, managing director van dinkgreve solutions “Dat heeft Motiv uiterst kundig gedaan. We zijn van een Fiat Panda naar een Jaguar gegaan. Daardoor zijn we nu storingsvrij wat voor veel rust en stabiliteit zorgt. In plaats van een reactieve organisatie die vooral druk is met het blussen van brandjes zijn we nu een proactieve organisatie die met vertrouwen nieuwe dingen oppakt.” Een volgende stap in het creëren van rust was het vervangen van de firewalls – die waren gebaseerd op een open source Linux-distributie – door een Next-Generation Firewall van Check Point. “We wilden een uitgebreidere bescherming hebben tegen aanvallen van buitenaf en ook van op afstand veilig kunnen werken. Daarnaast hadden we behoefte aan uitgebreidere rapportages”, aldus Driessen. “We hebben een aantal mogelijke oplossingen tegen het licht gehouden, maar Check Point kwam als een van de weinigen op alle punten als sterkste uit de bus. Deze leverancier biedt niet alleen een gecombineerd product voor een uitgebreide bescherming, maar ook uitgebreide rapportages.”

Renzo Zitman

Ramon Driess

MM 01 | voorjaar 2014

Dinkgreve Solutions gebruikt in totaal zeven ‘software-blades’ om de standaard firewallfunctionaliteit uit te breiden met zaken als applicatiecontrole, inbraakpreventie en een veilige remote acces. “Het mooiste is misschien wel dat de Next Generation Firewall je actief beschermt tegen de nieuwste dreigingen. Check Point biedt binnen ‘no time’ bescherming tegen 0-day exploits. Die bescherming zetten we dan direct in.”

pico bello op orde Driessen en Zitman denken inmiddels na over de volgende stappen die nodig zijn om de infrastructuur nog verder op orde te brengen. “We kijken nu naar de mogelijkheden voor mobile security, want mobiele devices die toegang hebben tot bijvoorbeeld de Exchange-server vind ik toch wel eng”, aldus Driessen. Ook een vernieuwing van het draadloze netwerk is in overweging. “Wij zijn een eigenwijs bedrijf”, concludeert Zitman, “waar de eisen heel hoog liggen om de zaken ‘pico bello’ op orde te brengen.”

HEADLINE kan ik mijn cloudpRovideR veRtRouwen?

C LO U D C O M P U T I N G | C LO U D C O N T R O L S M AT R I X | O P I N I E | M OT I V

coLuMN DooR BAstIAAN scHooNHoVEN, MARkEtINg MANAgER BIj MotIV

door Bastiaan Schoonhoven, marketing manager bij Motiv

KAN IK MIJN CLOUD PROVIDER VERTROUWEN? Discussies over de risico’s van cloudcomputing blijven vaak steken bij vragen als ‘waar staan mijn data?’ en ‘geeft de patriot Act de Amerikaanse overheid het recht om in mijn data te kijken?’. Er is echter een veel fundamentelere vraag die moet worden beantwoord als een bepaalde cloudprovider wordt overwogen: ‘Durf ik het beheer en de beveiliging van mijn data toe te vertrouwen aan deze provider?’ om die vraag te kunnen beantwoorden, moet naar veel meer worden gekeken dan alleen de locatie van de data. Clouddiensten zijn complexe systemen die zijn opgebouwd uit verschillende ICT-componenten. Om de betrouwbaarheid en veiligheid van zo’n clouddienst te kunnen beoordelen, moet dus niet alleen worden gekeken naar de locatie van de data. Ook moet worden gekeken naar de maatregelen die een provider treft om data te beschermen en te voorkomen dat een besmetting zich verder verspreidt naar de andere gebruikers van de gedeelde cloudomgeving, naar de procedures die worden gevolgd bij het wissen van data (zijn gewiste data gegarandeerd weg?) en de beveiliging van de interface tussen de klant en de gebruiker. De lijst met aandachtspunten is echter nog veel langer. Zo komt de European Union Agency for Network and Information Security (ENISA) in zijn document Cloud Computing – Benefits, risks and recommendations for information security1 al tot een opsomming van ruim twintig risico’s, en geeft daarbij aan dat de ‘uitgebreide juridische overwegingen’ in een apart document worden behandeld. Tot de ‘top security risks’ behoren volgens ENISA onder andere de risico’s op het verlies van controle en het risico op een vendor lock-in.

Voor een individuele klant is het onmogelijk om de cloudprovider op al deze punten te beoordelen. Gelukkig zijn er ‘checklists’ beschikbaar die kunnen helpen bij het in kaart brengen van de risico’s die de keuze voor een bepaalde cloudprovider met zich meebrengt. Zo biedt de Cloud Security Alliance de ‘Cloud Controls Matrix’ waarvan in september 2013 versie 3.0 verscheen2. In deze lange lijst met beveiligingsmaatregelen die de provider – en soms de klant – moet nemen, staat onder andere dat het ontwerpen, bouwen en uitrollen van applicaties en interfaces de ‘door de industrie geaccepteerde standaarden’ moet volgen, dat ‘data en objecten die data bevatten geclassificeerd moeten zijn’ en ‘risk assessments minimaal één keer per jaar moeten plaatsvinden’. Deze Cloud Controls Matrix is weer gebaseerd op andere industriestandaarden en raamwerken zoals ISO 27001/2 voor Informatiebeveiliging, de principes van de Payment Card Industry Data Security Standard (PCI DSS) en het Information Assurance Framework van ENISA. Rest wel de vraag wie toeziet op de betrouwbaarheid en volledigheid van de beschikbare checklists en welke ‘meetlatten’ geschikt zijn om een provider langs te leggen? Gelukkig heeft ENISA ook een antwoord op deze vraag in de vorm van de Cloud Computing Certification Schemes List, CCSL3. Met deze lijst biedt ENISA een overzicht van ‘schema’s’ die geschikt zijn voor het beoordelen van de betrouwbaarheid en beveiliging van clouddiensten.

1 | https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloudcomputing-benefits-risks-and-recommendations-for-information-security 2 | https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3/ 3 | https://resilience.enisa.europa.eu/cloud-computing-certification

E N T E R P R I S E S E C U R I T Y | S T R AT E G I E | I N F R A S T R U C T U U R | H P E N T E R P R I S E S E C U R I T Y

SVP Art Gilliland van HP Enterprise Security

'Bescherm alleen de belangrijkste zaken' Het ziet er naar uit dat 2014 een uitdagend jaar gaat worden voor enterprise beveiliging. Het aantal aanvallen nam in 2013 toe, en de verdedigingskosten stegen. Criminelen zijn goed georganiseerd en opgeleid. Onze verdedigingslinie is minder succesvol. Met Art Gilliland, senior vice president en general manager van HP Enterprise Security, bespraken we hoe we onze data kunnen beschermen – en welke data het echt waard zijn om te beschermen… Bedrijven hebben de laatste tijd veel geïnvesteerd in het in stand houden van een sterke perimeter. Dit lijkt echter een afnemende meeropbrengst op te leveren. Is het nog wel correct om te investeren in netwerkbeveiliging? Art Gilliland: “Vooral voor netwerkbeveiliging geldt dat het niet zozeer minder relevant is geworden; wat je binnen het netwerk doet en wat je beschermt is wel veranderd. Vanwege het gebruik van mobiele apparaten zeggen veel mensen bijvoorbeeld dat de gebruiker de nieuwe perimeter is. Maar al die individuele gebruikers maken nog steeds verbinding met een netwerksuperstructuur en met services die het bedrijf levert. In plaats van de traditionele firewall-aanpak, moet er van worden uitgegaan dat men binnenkomt. Maar

MM 01 | voorjaar 2014

houd dan wel toezicht op wat er gebeurt qua netwerkverkeer, begrijp welke applicaties worden beïnvloed en tot welke informatie toegang wordt gezocht. Onze veiligheid dient zich veel meer te focussen op identiteiten, en het netwerk is een van de plaatsen om identiteiten te handhaven.” Moeten we ons vooral richten op individuele aanvallers in plaats van meer generieke beveiligingsstrategieën? “De realiteit is dat er altijd nieuwe dreigingen zullen zijn, omdat tegenstanders zich blijven ontwikkelen. Ze volgen niet een enkele methode. Ze hebben wellicht gedragsnormen, maar zodra die normen niet werken, zullen ze het proces dat wel werkt creëren, lenen of van iemand anders kopen.

Dus we zullen hier slim mee moeten blijven omgaan en moeten bestuderen wie de slechterik in zijn algemeenheid is. We moeten het ecosysteem van de tegenstander beter begrijpen.” De slechteriken profiteren van het gebruik van een ecosysteem of markt. Welke tegenmaatregel kunnen de goeden treffen? “Onze industrie is vreselijk slecht in informatieuitwisseling: we helpen elkaar niet. Als we niet van elkaar leren, delven we het onderspit, omdat de tegenstanders beslist wel van elkaar leren en kennis van elkaar kopen. Wanneer we informatie delen, kunnen we sneller actie ondernemen. Informatieuitwisseling is essentieel om ons beter te wapenen tegen wat er gebeurt.”

En de tweede maatregel? “Het tweede gebied betreft de aanpak van inbreuken die op een bepaalde manier misbruik maken van de gebruiker. Dit betreft ook sociaal gemanipuleerde aanvallen, en aanvallen waarbij de beveiliging van gebruikers in het gedrang komt omdat ze op iets klikten. Gebruikers tegen zichzelf

E N T E R P R I S E S E C U R I T Y | S T R AT E G I E | I N F R A S T R U C T U U R | H P E N T E R P R I S E S E C U R I T Y

Zijn er nog andere soorten beveiligingsmaatregelen die momenteel onvoldoende worden benut? “Een aantal. De eerste betreft applicatiebeveiliging. Historisch gezien maakt ongeveer 84 procent van de inbrekers misbruik van kwetsbaarheden in een applicatie. Dit is al heel lang een vaststaand feit voor de sector. Nu, met de explosieve toename van mobiele apps, vanuit de cloud geleverde apps en zelfs de migratie van bestaande legacy applicaties naar levering vanuit de cloud binnen enterprises, krijgen we een nieuwe kans. We herschrijven de toegang tot back-end toepassingen in mobiele apps. We herschrijven applicaties zodat ze te hosten en te leveren zijn vanuit de cloud. Tijdens dat proces van herschrijven hebben we de kans om een groot deel van de kwetsbaarheden die we in de oorspronkelijke apps hadden gebouwd te evalueren en op te heffen. We hebben dat de eerste keer verknald, maar krijgen nu een tweede kans: we zouden deze nieuwe toepassingen veiliger kunnen bouwen, en toch doen we dat niet. In een recent door ons uitgevoerde studie naar mobiele toepassingen bevatte 9 op de 10 apps tekortkomingen op het gebied van beveiliging. We moeten voor de volgende generatie applicaties betere code schrijven dan voorheen. We hebben er de tools voor. We moeten er alleen in gaan geloven dat het belangrijk genoeg is, en vervolgens ons gedrag aanpassen.”

'Over vijf jaar zal onze infrastructuur radicaal anders zijn.' SVP Art Gilliland van HP Enterprise Security helpen beschermen is iets wat we kunnen doen met behulp van technologie. Een van de manieren waarop we dat doen, is door middel van tweefactor authenticatie waarbij niet alleen gebruikersnaam en wachtwoord worden gebruikt maar ook iets dat gebruikers hebben of iets dat ze zijn, zoals vingerafdrukken, handen of een token.” De kosten van enterprise beveiliging nemen gestaag toe. Hoe denken CISO’s over de toewijzing van beveiligingsbegrotingen voor 2014 en verder? “De truc met beveiliging is het vinden van en heroriënteren op waar we ons geld aan uitgeven, zodat we alleen de belangrijkste zaken beschermen. Zeventig tot negentig procent van de gegevens binnen een bedrijf is, als iemand het zou stelen, niet van belang. Maar bij vijf tot tien procent van die data zou diefstal wel een probleem zijn. Wie uitsluitend budget besteedt aan het beschermen van de cruciale data – in plaats van alles te beveiligen – heeft veel minder budget nodig of kan de kroonjuwelen veel effectiever beschermen voor hetzelfde bedrag.” U pleit dus voor het verwijderen van beveiliging op niet-essentiële plaatsen. Zal het bedrijfsleven geen ongemakkelijk gevoel krijgen bij de,

over het geheel genomen, afgenomen bescherming? “Dat is inderdaad het vraagstuk waar we voor staan. Die overgang moét echter plaatsvinden, en we moeten mensen helpen begrijpen waarom het veiliger is dan wat we in het verleden hadden. We moeten kunnen aantonen dat het beter is, en dat de gegevens en activa die van belang zijn op deze manier veiliger zijn.” In hoeverre zal enterprise beveiliging over vijf jaar zijn veranderd? “Over vijf jaar zal onze infrastructuur radicaal anders zijn. Kijk hoe snel alles de laatste vijf jaar is veranderd: we gingen van nergens mobiele apparaten naar overal mobiele apparaten, en de veranderingen gaan steeds sneller. Waar en wat we moeten beschermen gaat drastisch veranderen. Er is nu, en dat zal alleen maar toenemen, een verwachting dat we overal gemakkelijke toegang kunnen krijgen tot bedrijfsinformatie. In een dergelijke wereld zullen we gerichter en flexibeler moeten omgaan met de manier waarop we onze ondernemingen beschermen.” Meer over dit onderwerp leest u op: www.hp.com/go/discoverperformance

ga voor meer informatie over het ondernemen van de juiste strategische acties in het beveiligingslandschap van 2014 naar Hp Enterprise security voor onze gratis Hp / IDg It beveiligingsbeoordeling.

H E A D L I N E ' B e s c h o u w s e c u r i t y a l s e e n k wa l i t e i t s at t r i b u u t va n s o f t wa r e '

SECURE SOFT WARE DE VELOPMENT | BE VEILIGINGSEISEN | VISIE | MOTIV

vi s ie

'Beschouw security als een kwaliteitsattribuut van software' Applicaties vormen de onmisbare intermediair tussen gebruikers en data, maar juist op deze cruciale schakel gaat het vaak mis. “Het ontwerpen en bouwen van kwalitatief goede software verlangt dat je goed nadenkt over de robuustheid, beschikbaarheid, integriteit en vertrouwelijkheid van de software.” Het Centrum Informatiebeveiliging en Privacybescherming (CIP) becijferde onlangs dat 75 procent van de beveiligingsincidenten is te wijten aan softwarefouten. Volgens dit samenwerkingsplatform voor security binnen de overheid stellen opdrachtgevers te weinig eisen aan de door de software geboden informatiebeveiliging en privacybescherming. En door het ontbreken van eisen schenken de leveranciers van de software vervolgens ‘geen of onvoldoende aandacht’ aan deze aspecten, zo schrijft het CIP in het begin dit jaar gepresenteerde document ‘Grip op Secure Software Development’1 dat als ‘handreiking’ moet dienen voor het ontwikkelen van veilige en gebruiksvriendelijke applicaties.

Security als kwaliteitsattribuut “Ook wij merken in de praktijk dat de aandacht voor de ontwikkeling van veilige applicaties zeer gering is, ook bij de leveranciers”, zo oordeelt

' Het opstellen van beveiligings maatregelen is een continu proces' Rohald Boer, bij Motiv Business Line Manager Applicatie Ontwikkeling. “En organisaties – die zich richten op hun eigen business en de kansen die ICT kan leveren – moeten hierin begeleid worden door specialisten”, stelt Koen Herms, Software Architect bij Motiv. “Vragen als ‘welke eisen moet je stellen?’, ‘wat zijn de risico’s?’ en ‘hoe ga ik de risico’s classificeren?’ zijn lastig te beantwoorden.”

“Het ontwerpen en bouwen van kwalitatief goede software verlangt dat je goed nadenkt over de robuustheid, beschikbaarheid, integriteit en vertrouwelijkheid van de software”, vervolgt Boer. “Je moet de security van software als een kwaliteitsattribuut beschouwen. Dan pak je informatiebeveiliging binnen software-ontwikkeling aan over de ‘as van kwaliteit’. Daarbij is het belangrijk dat beveiliging op elk niveau van de applicatieontwikkeling terugkomt; van het functioneel, technisch ontwerp en ontwikkeling tot en met het testen, accepteren en uitrollen.”

Opstellen beveiligingseisen Een mogelijk startpunt voor de ontwikkeling van veilige software – zoals dat ook wordt geschetst in het document ‘Grip op Secure Software Development’ van het CIP – is het opstellen van standaard beveiligingseisen door de opdrachtgever. Deze basis beveiligingseisen gelden dan voor alle typen

1 | http://www.cip-overheid.nl/wp-content/uploads/2014/03/20140312_Grip-op-SSD-Het-proces-v1-02.pdf

MM 01 | voorjaar 2014

V O L G E N D E P A G I N A impr e s s i e o p e n i n g m o ti v › P . 4 8

Bovenop deze standaard beveiligingseisen moeten vervolgens de specifieke beveiligingseisen worden gedefinieerd die gelden voor een bepaalde applicatie of een bepaald project. Risicoanalyse vormt in deze fase een cruciale rol. “Door het uitvoeren van een risico-analyse weet je hoe groot de kans is op verstoring van een bepaald proces”, vult Boer aan. “Als je de risico-analyse combineert met een Business Impact Analyse weet je ook hoe hoog de kosten van een incident zijn. Dan heb je de risico’s meetbaar gemaakt.” In enkele gevallen kan een risico-analyse ook worden gecombineerd met een Privacy Impact Analyse (PIA) in het kader van bijvoorbeeld de Wet bescherming persoonsgegevens (Wbp).

Selecteren beveiligingsmaatregelen Aan de hand van de specifieke beveiligingseisen kunnen vervolgens de maatregelen worden ingevuld. “Maar webapplicaties vergen weer andere

maatregelen dan on-premise en mobiele applicaties”, aldus Boer. “Waar wij voor pleiten, is dat je per type applicatie een basis aan beveiligingsmaatregelen definieert.” Om ervoor te zorgen dat de maatregelen in lijn zijn met de risico’s, maakt Motiv een onderscheid in: • Publieke applicaties. In dit geval zijn de risico’s laag en kan worden volstaan met ‘minimale’ beveiligingsmaatregelen. Versleuteling van het verkeer is zo’n minimale maatregel die altijd aanwezig moet zijn.

SECURE SOFT WARE DE VELOPMENT | BE VEILIGINGSEISEN | VISIE | MOTIV

projecten, zodat de leverancier ook weet welke beveiligingseisen hij kan verwachten. De standaard beveiligingseisen kunnen onder andere zijn ingegeven door de beveiligingsmaatregelen die al zijn geïmplementeerd binnen de organisatie. Een voorbeeld hiervan is een BIV (Beschikbaarheid, Integriteit en Vertrouwelijkheid)-classificatie. De BIV-classificatie resulteert per klasse in een minimale basis die kan worden gesteld aan de beveiligingseis en de te nemen beveiligingsmaatregelen. Verder vormen normeringen als NEN 7510 en ISO-standaarden als 27001/27002 al een goed uitgangspunt voor de eisen.

beelden van aanvullende maatregelen zijn auditlogging, database-encryptie, een Web Application Firewall en het valideren van de applicatie voorafgaand aan iedere sessie. • High secure applicaties. Op dit niveau kan er in het geval van bijvoorbeeld mobiele applica ties voor worden gekozen om data-encryptie op het toestel verplicht te stellen voor alle lokaal opgeslagen gegevens, zo min mogelijk data lokaal op te slaan, updates van de mobiele applicatie te forceren en een applicatie controleerbaar te maken vanuit een MDM-oplossing.

' Motiv heeft zowel het ontwikkelproces als het toegepaste niveau van informatiebeveiliging aantoonbaar onder controle’ Rohald Boer, Business Line Manager Applicatie Ontwikkeling bij Motiv Ook moet worden nagedacht over het identi ficatie- en verificatieproces en op regelmatige basis moet worden gecontroleerd of de applicatie nog correct functioneert. • Confidentiële applicaties. Als een applicatie bijvoorbeeld wordt gebruikt om transactiesys temen te raadplegen, zijn aanvullende bevei ligingsmaatregelen noodzakelijk om de confidentiële informatie te beschermen. Voor-

Continu verbeteren “Maar het vaststellen van de beveiligingsmaatregelen is wel een continu proces”, zo benadrukt Boer. “De wereld verandert. Maatregelen die in het verleden zijn genomen, zijn misschien niet meer afdoende voor de realiteit van nu.” Om ervoor te zorgen dat de beveiliging van een applicatie in de pas blijft lopen, behoort een proces voor veilige applicaties te voorzien in zaken zoals periodieke penetratietesten, codereviews en risicoacceptatie als is gebleken dat aan één of meer beveiligingseisen niet meer kan worden voldaan. “Dat zijn verantwoordelijkheden die je misschien liever overlaat aan een specialist. Als je softwareontwikkeling als een SaaS-dienst afneemt, is de uitvoerder verantwoordelijk voor de continue verbetering van de applicatie .” “Motiv is zowel ISO 20000, ISO 9001 als ISO 27001 gecertificeerd”, besluit Boer. “Daarmee bewijst Motiv zowel het ontwikkelproces als het toegepaste niveau van informatiebeveiliging aantoonbaar onder controle te hebben. Onze ontwikkelaars hebben security dan ook als specialisatie en kijken naar zowel de functionaliteit als de veiligheid van de applicatie.”

H E A D L I N E e en s Pe c Tac u L a I R e oPen I ng

MM 01 | voorjaar 2014

Een spectaculaire opening

uccF

vorig jaar namen de motivaren hun intrek in een nieuw gebouw, op steenworp afstand van de Poortdijk in ijsselstein waar het allemaal begonnen is. op 11 oktober 2013 werd met een spectaculaire show het nieuwe pand oﬃcieel geopend: het was fantastisch! Ict security De feestelijke opening van het nieuwe pand – die geheel in het teken stond van het thema ‘ICT Security’ – viel samen met het 15-jarige jubileum van Motiv. Ton Mooren, algemeen directeur van Motiv: “In vijftien jaar tijd is Motiv uitgegroeid tot een bedrijf met 90 medewer-

kers dat ondanks de snel veranderende digitale wereld altijd vooraan is blijven lopen op het gebied van informatievoorziening en informatiebeveiliging. Het nieuwe pand zorgt voor nieuwe mogelijkheden. De uitbreiding van de dienstverlening met een eigen Security Operations Center is daar een goed voorbeeld van.”

Namens UCCF wil Motiv graag iedereen bedanken die door een gift aan de Uganda Child Care Foundation (UCCF) kinderen en leerkrachten in Kakuuto ondersteunen. Motiv is trots dat tijdens de opening van ons nieuwe pand 4825 euro is opgehaald, een fantastisch bedrag! Het geld is direct ingezet voor de bouw van een slaapzaal. UCCF blijft op zoek naar donateurs die kinderen gedurende hun gehele schooltijd willen bijstaan met een relatief kleine financiële donatie. Meer informatie is ook te vinden op de website: www.uccf.nl.

H E A D L I N E mo t i v v e R g R o o t g e BRu i k sg e mak ' st e R k e au t H en t i c at i e ' me t n i euw e p oR ta l s

MOTIV NIEUWS

Motiv vergroot gebruiksgemak 'Sterke Authenticatie' met nieuwe portals Motiv breidt de dienst ‘sterke Authenticatie’ uit met nieuwe portals voor eindgebruikers en helpdesks. Via de ‘self service portal’ kan een eindgebruiker zelf aangeven of hij gebruik wenst te maken van sms-authenticatie of van authenticatie met behulp van een app op de smartphone. Via de ‘Helpdesk portal’ kan de helpdesk van een bedrijf zelf het gebruikersbeheer verzorgen en ondersteuning bieden bij hulpverzoeken die betrekking hebben op de dienst. Motiv ‘Sterke Authenticatie’ is een cloudgebaseerde dienst voor het inloggen op een telewerkvoorziening of (web-) applicatie. Voor het inloggen moet de gebruiker niet alleen een gebruikersnaam en wachtwoord invoeren, maar ook een code die per sms naar de gebruiker wordt gestuurd of wordt gegenereerd door een app (het ‘soft token’) op de mobiele telefoon. In de nu toegevoegde ‘Self Service Portal’ kunnen gebruikers zelf – en op ieder gewenst moment – aangeven of de voorkeur uitgaat naar sms-authenticatie of naar authenticatie met behulp het ‘soft token’. Zo kan de gebruiker ervoor kiezen om in Nederland gebruik te maken van sms-authenticatie, terwijl tijdens een verblijf in het buitenland wordt overgeschakeld op het soft token. Dit token werkt ook offline waardoor inlogcodes gegarandeerd direct beschikbaar zijn. Voor de ondersteuning van gebruikers zonder smartphone is het bovendien niet meer noodzakelijk om sms-authenticatie voor alle gebruikers binnen de organisatie af te dwingen. De gebruikers die wel over een smartphone beschikken, kunnen op individuele basis zelf kiezen voor authenticatie via de app. Een andere vernieuwing is de ‘Password Reset Portal’ die tegen meerprijs beschikbaar is. Hiermee kunnen gebruikers die hun Windows-wachtwoord kwijt zijn zelf via sterke authenticatie online hun Windows-wachtwoord opnieuw instellen. Inlogproblemen behoren daarmee tot het verleden.

gemak voor de helpdesk Voor de helpdesk van de klant heeft Motiv de ‘Helpdesk Portal’ ontwikkeld. De helpdesk-medewerkers kunnen zelf het gebruik van een afdeling of gebruiker inzien en zij kunnen de eindgebruikers 50

MM 01 | voorjaar 2014

Motiv biedt helpdesks flexibiliteit en gebruiksgemak rondom het afhandelen van calls zelf ondersteunen bij problemen rondom inloggen. Bij een verzoek om hulp van een eindgebruiker kan de helpdesk-medewerker zelf inzien waarom de eindgebruiker niet correct inlogt. Op deze manier biedt Motiv de helpdesk – zonder tussenkomst van Motiv – flexibiliteit en gebruiksgemak rondom het afhandelen van calls. “Op het moment dat bijvoorbeeld een gebruiker niet kon inloggen, moest een helpdesk voorheen Motiv bellen om de oorzaak uit te laten zoeken”, zegt Bastiaan Schoonhoven, marketing manager bij Motiv. “Nu kan een helpdeskmedewerker met behulp van een gebruikersnaam, wachtwoord en code zelf inloggen op de helpdeskinterface waar direct is te zien waarom een gebruiker niet kan inloggen.”

Via de Motiv cloud “Sterke Authenticatie is geplaatst in een hoog-beschikbare cloudoplossing van Motiv, de ‘Motiv Cloud’. Daardoor wordt de oplossing standaard beschermd door een geavanceerde web application firewall en continu bewaakt door de security-experts van Motiv”, aldus Schoonhoven. “Sterke Authenticatie is een integraal onderdeel van

het portfolio ‘Cloud- en datacenter-securitydiensten’ waarmee Motiv een volledig pakket aan innovatieve beveiligingsmaatregelen biedt om de bestaande netwerken hostingdiensten te beschermen tegen de alsmaar toenemende risico’s op het gebied van hacking en misbruik op internet.” De dienst Sterke Authenticatie maakt gebruik van standaard protocollen zoals LDAP en Radius waardoor de authenticatiedienst geschikt is voor vrijwel alle telewerkoplossingen (Juniper Networks, Cisco, Citrix, Microsoft) en webapplicaties zoals intranet. De administratie van gebruikersgegevens (mobiel telefoonnummer, gebruikersnaam, wachtwoord en groepenbeheer) vindt plaats in de bestaande Active Directory van de klant. Dit betekent voor de klant geen dubbele administratie waardoor de oplossing zeer snel inzetbaar is en geen extra beheerlast oplevert.

H E A D L I N E s m o t i vat o R o p t i m a a l v o o R u • m o t i v c a f É • i m o t i vat o R B e at t H e cy B e Rc R i m i n a l at t op s H e l f open 2 0 14

Colofon Motivator Magazine, voor professionals in informatievoorziening en -beveiliging

OPTIMAAL VOOR U! Motivator is voor mensen met een professionele interesse in IT ook als online magazine te downloaden via www.motiv.nl. Wij hopen dat wij u met Motivator van vakinhoudelijke en functionele informatie voorzien.

U kunt online Motivator downloaden via www.motiv.nl en uw profielgegevens e-mailen. Vermeld in de e-mail de volgende gegevens:

Wilt u dat ons informatieaanbod nog relevanter wordt voor u? Update dan nu uw profielgegevens en geef aan wat uw interessegebieden zijn. De juiste profiel- en interessegegevens stellen ons namelijk in staat u nog beter van de juiste informatie te kunnen voorzien.

Naam: Functie: Bedrijf: Bedrijfsgrootte: aantal geautomatiseerde werkplekken:

MOtiv CaFÉ De Motiv-borrels in de uitspanning op poortdijk 13 in Ijsselstein zijn inmiddels een begrip in Ict-securityland. tijdens deze informele netwerkbijeenkomsten ontmoeten medewerkers, klanten en fabrikanten elkaar onder het genot van een drankje en een hapje. De komende borrels staan gepland voor vrijdag 13 juni en vrijdag 11 juli.

ME E R I N FoR MAt I E ?

iMotivator

Motiv publiceert naast Mo tivator de tweemaandelijkse iMotivator. Deze digitale nie uwsbrief verzorgt updates ove r de laatste ontwikkelingen op het gebied van informatiebeveiliging en informatievoor ziening, het laatste nieuws en informatie over Motiv, klantcases en evenementen. Daarnaast besteden we aandac ht aan securitytips en maatwerkoplossingen. schrijf u nu in op: www.motiv.nl/nieuwsbri ef/inschrijving-imotivat or en ontvang de nieuwe iMo tivator!

W W W. MO T I V. N L / MO T I V/ E V EN E MEN T EN

BEAT THE CYBERCRIMINAL AT TOPSHELF OPEN 2014 DATUM: 21 JUNI, 11.00 UUR

In samenwerking met Websense organiseert Motiv een boeiende en inspirerende dag met een sportieve inslag: Treed binnen in 'the office of the CSO' tijdens de 25ste editie van het Topshelf Open grastennistoernooi in Rosmalen. Maak kennis met de zeven-stappen ‘kill chain’ van geavanceerde bedreigingen en hoe cybercriminelen deze gebruiken in hun aanvallen.

Het buiten houden van geavanceerde APT’s, gerichte Zero-Day- en hardnekkige webdreigingen is een tijdrovende en zeer gespecialiseerde tak van sport geworden. Beat the Cybercriminal en discussieer over effectieve strategieën om uw organisatie optimaal te beschermen.

jaargang 4, nummer 1, voorjaar 2014. Contactgegevens Motiv Utrechtseweg 34E, 3402 PL IJsselstein T +31 (0)30 - 68 77 007 F +31 (0)30 - 68 77 006 www.motiv.nl info@motiv.nl redactie Bastiaan Bakker (Motiv) Bastiaan Schoonhoven (Motiv) Julia P.C. van Brink (Motiv) Ferry Waterkamp Concept & vormgeving Studio Incognito buro voor de vorm, IJsselstein Fotografie Ruud Jonkers (Ruud Jonkers Fotograﬁe) iStockphoto Druk Drukkerij van Midden, Benschop advertentie-index 2 Juniper Networks 15 Websense 23 Check Point 29 F5 52 RSA Marketing marketing@motiv.nl T +31 (0)30 - 68 77 007 Motivator Magazine is een uitgave van Motiv ICT Security, IJsselstein en verschijnt twee keer per jaar, in een oplage van 3200 exemplaren. © 2014 Motiv.