MAGAZINE EN VERDER. Security moet onderdeel zijn van je denken. Motiv Services Team spin in het web

VOOR PROFESSIONALS IN INFORMATIEVOORZIENING EN -BEVEILIGING

H E A D L I N E X X X xxxxx V O L G E N D E P A G I N A xxxxxxxxxxxxxxxxxxxxx › P . 1 2

MAGAZINE

Nr. 02 — najaar 2011

LEVERANCIER IN DE SCHIJNWERPERS

Wie bent u? > P. 28

Interview Anne Karine Hafkamp

Motiv Services Team spin in het web > P. 40

Interview Frank van der Spek van Robeco 'Wij stellen de data centraal’ > P. 46

EN VERDER Bestaande diensten in een nieuw jasje HP ArcSight geeft cybercriminelen geen kans

Gesprek met René van Es Manager Delivery bij de NS

> P. 6

Security moet onderdeel zijn van je denken

MAGAZINE Nr. 02 — najaar 2011 Coverbeeld: René van Es, Nederlandse Spoorwegen, geportretteerd door Ruud Jonkers Fotografie

Motivator Magazine is een uitgave van Motiv IT Masters BV

VOORWOORD

IN DIT NUMMER

6 R ené van Es van de

Nederlandse Spoorwegen: ‘Security moet onderdeel zijn van je denken’

12 Visie Motiv:

‘De kracht van informatie op maat’

16 Alles over

Infosecurity.nl 2011!

30 Paul van de Berg zoekt met VvAA de balans

46 Frank van der Spek

van Robeco: ‘Wij stellen de data centraal’

EN VERDER 4 Nieuws van Motiv 11 Qiy biedt een gewaarborgde digitale identiteit 14 F5 zet BIG-IP v11 in tegen meerlaagse cyberaanvallen 15 Bestaande diensten in een nieuw jasje 28 Wie bent u? 34 Passie voor zeilen 36 Applicaties onder controle met next-generation firewalls van Check Point 38 ETRM voor beveiliging complexe ondernemingen 40 Services Team spin in het web 42 ArcSight geeft cybercriminelen geen kans

44 Opinie: Kat-en-muisspel 50 ‘In control’ centrale thema tijdens rondetafels Motiv 51 Servicepagina

Cybercriminaliteit in de belangstelling Het maken van de tweede editie van Motivator Magazine was een enorme uitdaging. In de periode dat we interviews hadden gepland was er het security-incident met DigiNotar. Als gevolg van dit incident kregen we binnen Motiv veel vragen over de beveiliging. Maar ook voor de personen die wij voor dit magazine hebben geïnterviewd, was het een hectische periode. Interviews waren verschoven en artikelen werden op een later tijdstip aangeleverd. Maar het is gelukt en voor u ligt de tweede editie van Motivator Magazine. Deze editie is een themanummer over de financiële sector geworden. Interviews met Frank van der Spek, Group Security & Continuity Manager bij Robeco en Paul van de Berg, Security Officer bij de VvAA Groep zijn zeer interessant om te lezen. Frank van de Spek vertelt over Business Continuity Management en Paul van den Berg spreekt met Motivator over de ‘drie-eenheid gedrag, techniek en monitoring’. Naast businesscases in de financiële sector hebben we ook een speciaal interview met René van Es, Manager Delivery bij de Nederlandse Spoorwegen. Hij vertelt over het opzetten van een shared service center en het uitbesteden van ICT-trajecten. Er is ook veel nieuws over nieuwe softwareoplossingen op het gebied van informatiebeveiliging. De toegevoegde waarde van HP ArcSight, Check Point Software Technologies en SecurEnvoy staat in deze editie in de schijnwerpers. En dan is het weer bijna zover. Op 2 en 3 november is de beurs Infosecurity.nl in de Jaarbeurs Utrecht. Motiv presenteert een groot aantal noviteiten in de aanpak van cybercriminaliteit. Zo komen we met een Cyber Security Scan waarbij u in een korte doorlooptijd kunt vaststellen in hoeverre uw systemen kwetsbaar zijn voor datadiefstal via internet. In de special midden in dit blad vindt u alvast alle informatie over de beurs. Wij hopen dat u met deze Motivator inspiratie opdoet voor de aanpak van uw beveiligingsvraagstukken. En mocht u nog vragen hebben dan hopen wij u zeker te spreken op Infosecurity.nl. Via de bijgevoegde flyer kunt u zich registreren voor een gratis toegangskaart. Veel leesplezier en hopelijk tot 2 -3 november. Bastiaan Bakker, Directeur Business Development

3

H E A D L I N e Q R - code , s tr a te g ie en g a d g et !

H E A D L I N E E er s te G R C - p ro j ecten met R SA Arc h er n a deren vo l tooiin g V O L G E N D E P A G I N A I nterview R en é v a n E s , M a n a g er D e l iver y b i j de N S › P . 6

motiv nieuws

motiv nieuws door Gerwin Foppen, Information Security Consultant bij Motiv

QR-code, strategie en gadget! Misbruik QR-codes QR-codes kwamen recent negatief in de publiciteit. De codes zouden worden misbruikt om smartphones te injecteren met malware door de gebruiker naar een kwaadaardige site te leiden. “Motiv is overtuigd van de toegevoegde waarde van QR-codes. Aan de andere kant realiseren wij ons dat QR-codes risico’s met zich meebrengen”, zegt ook Corné de Keizer, Information Security Consultant bij Motiv. “Een QR-code die verwijst naar een besmette site is snel gemaakt. Motiv adviseert daarom gebruik te maken van een QR-applicatie die eerst laat zien naar welke URL de code verwijst, alvorens de betreffende site wordt bezocht. Daarnaast adviseren wij op te passen met de zogenaamde URL-verkorters. De link http://bit.ly/cekXpv verwijst naar http://www.motiv.nl. Dit is voor een gebruiker echter niet te verifiëren.”

Met de doorbraak van mobiel internet was de tijd rijp voor QRcodes. De klant is tegenwoordig beter te bereiken op de mobiele telefoon door een pull in plaats van een push strategie. En zo ontstond het idee de QR-code te gebruiken voor het aanbieden van een specifieke URL.

QR staat voor Quick Response (‘snelle reactie’) en is ontwikkeld om snel decodeerbaar te zijn. Denso-Wave, het bedrijf dat de QR-code in 1994 uitvond, besloot zijn patentrecht niet uit te oefenen. Een belangrijke succesfactor is dan ook dat het ontwikkelen van de QR-code en de readers vrij is van rechten. Bovendien is het gemakkelijk in het gebruik. Want hoe werkt het? Je richt je smartphone op de QR-code, en neemt hiervan een foto. De code wordt door een QR-lezer in de telefoon omgezet in een URL, waarna in de webbrowser van de telefoon de bijbehorende website wordt getoond. Op een vergelijkbare manier kunnen e-mailadressen, contactinformatie (vCards), agenda-afspraken, GEO-locaties, sms-berichten,

telefoonnummers en teksten (maximaal 7089 tekens) worden aangeboden. In deze nieuwe Motivator is een aantal QR-codes opgenomen en ook tijdens Infosecurity.nl 2011 zullen wij meer werken met QR-codes. Niet als gadget, maar met name in combinatie met sterke authenticatie. Ons thema op Infosecurity.nl 2011 is ‘Informatie en Security op maat’. Een code op maat mag dan zeker niet ontbreken. Diverse noviteiten op onze stand maken gebruik van de QR-code. Neem uw smartphone mee, dan demonstreren wij het graag. ME E R I N FOR MAT I E ?

Eerste GRC-projecten met RSA Archer naderen voltooiing De eerste editie van Motivator Magazine, voorjaar 2011, stond in het kader van Governance, Risk Management en Compliancy (GRC). Motiv heeft geconstateerd dat dit een veelbesproken

Motiv als Solution Partner van RSA Security het RSA Archerconcept volledig in het portfolio opgenomen en zijn we druk bezig om de eerste trajecten met RSA Archer af te ronden! Vanuit verschillende invalshoeken krijgt Motiv feedback over hoe processen rondom informatiebeveiliging nu worden opgelost. Veelal wordt dit gedaan met lijstjes als XLS-bestanden en worden gegevens uit verschillende bronnen opgehaald om een rapportage te genereren. Dit zijn processen die veel kostbare tijd vragen en vaak per standaard (kwaliteitshandboek) moeten worden uitgevoerd. Met de oplossing van Motiv op basis van RSA Archer kan dit vele malen efficiënter, effectiever en transparanter doordat de opzet, bestaan en werking van de verschillende standaarden worden getoetst en verwerkt in RSA Archer. Overlappingen van de verschillende standaarden zijn er niet doordat deze zijn samengevoegd. Een duidelijke businesscase met terugverdienmodel is zodoende eenvoudig te verwezenlijken!

Framework

4

MM 02 | najaar 2011

Compliance Management

Enterprise Management

Threat Management

Policy Management

Vendor Management

Incident Management

BC Management

Audit Management

onderwerp is binnen diversen branches. Inmiddels heeft

W W W. mo t i v. N L

Een QR- of barcodereader is gratis te downloaden via www.qrcode.nu

Risk Management

RSA Archer is een GRC-framework met daarop negen verschillende solutions die afzonderlijk, als ook volledig geïntegreerd, met elkaar kunnen functioneren.

RSA Archer eGRC Framework Het framework wordt als een webapplicatie gepresenteerd aan de gebruiker. Deze negen solutions brengen elk afzonderlijk van elkaar de meest kritische processen binnen een organisatie aantoonbaar onder controle. Bovendien maken de belangrijkste standaarden zoals ISO2700x, PCI en COBIT standaard deel uit van de RSA Archer-oplossing. Dit is inclusief de daarbij behorende controls en daarbij behorende best practices in deze applicatie. Ook bevat RSA Archer out-of-the-box meer dan negenduizend questionnaires voor gebruik binnen assessments. Dankzij deze goed gedefinieerde vragenlijsten kan er een zeer snelle start met RSA Archer worden gemaakt. Houdt u ook de Motiv evenementenkalender in de gaten? Eind november organiseren wij een Motiv RSA Archer-bijeenkomst. Op www.motiv.nl vindt u hier binnenkort meer over.

Think big, start small and grow fast 5

H E A D L I N E Securit y moet onderdee l z i j n v a n j e den k en

V O L G E N D E P A G I N A ‘ Ge b rui k er s verw a c h ten g een b l o k k a de s ’ › P . 9

I nterview R en é van E s , M anager D eliver y bi j de N ederlandse S poorwegen

Security moet onderdeel zijn van je denken

' Security is geïntegreerd in het totaal van ons doen en laten’

Motiv is op het gebied van informatiebeveiliging al enkele

om hulp vragen”, vervolgt René. “Dat spel gaan we nu heel strak spelen. Het doe-werk, daar zijn we niet meer van. Er zijn veel partijen die dat voor ons kunnen doen.”

jaren de sparringpartner van de Nederlandse Spoorwegen en in die rol ook medeverantwoordelijk voor de dagelijkse uit-

Volgens René wordt een belangrijke rol van het shared service center het ‘onboarden van XaaSachtige diensten’, zoals Infrastructure-as-a-Service en Software-as-a-Service. “Dan heb ik het nadrukkelijk over het inkopen van functionaliteit via de cloud, want dat is toch waar wij naar op zoek zijn. Echter, daarmee creëer je twee gescheiden werelden die wel met elkaar verbonden moeten worden. Vanuit een security-optiek wil ik vanuit één wereld kunnen redeneren. Als een externe partij komt met een stuk dienstverlening dat ons helpt, zullen we het zeker goed bekijken. Het shared service center moet dan in staat zijn om dat soort dienstverlening te incorporeren in onze bedrijfsprocessen.”

voering van het securitybeleid van de NS. “Wij zijn zelf niet meer van het doe-werk”, zegt René van Es, bij de NS Manager Delivery van de afdeling InformatieManagement & Technologie. Motivator sprak met René over het uitbesteden van security en de relatie met Motiv. een shared service center. “Zeker vanuit een infrastructureel oogpunt is het aantrekkelijk om je IT-inkoop vanuit één centraal punt te regelen”, zo verklaart René deze organisatorische wijziging. “Met de opzet van een shared service center tillen we zowel de regiefunctie als de daarbij behorende outsourcing naar een hoger plan. Het wordt daarmee vanzelfsprekender dat men onze infrastructuur gebruikt. Voorheen moesten we met de schoenen gepoetst netjes op de deur kloppen met het verzoek ‘gebruik alsjeblieft onze infrastructuur’. We zijn dus gestegen in de waardeketen, maar bij die stijging horen ook de verantwoordelijkheden.”

Shared service center Met ingang van 1 november 2011 wordt de dienstverlening van IM&T gecoördineerd vanuit

“Daarbij zien we duidelijk de beweging dat we voor operationele activiteiten externe partijen

“Security moet niet worden opgevat als ‘oh, daar heb je hem van het securitybureau’ maar moet een integraal onderdeel zijn van je denken”, vervolgt René. “Daarbij realiseer ik me dat het gebied van security steeds specialistischer wordt >

Balans

Fotografie: Ruud Jonkers

De afdeling InformatieManagement & Technologie (IM&T) levert als het ‘centrale ICT-bedrijf’ van de Nederlandse Spoorwegen infrastructurele diensten aan bedrijfsonderdelen zoals NS Reizigers, NedTrain en Servex. Dan kan worden gedacht aan het verzorgen van de connectivity, de werkplekken en de beveiliging. “Wij leveren de toverdozen, de connectiviteit naar die toverdozen en de security”, zo vat René van Es de activiteiten van IM&T bondig samen. “Waarbij we security nadrukkelijk zien als een integraal onderdeel van het geheel; het is geïntegreerd in het totaal van ons doen en laten.”

Ik ben zelf van mening dat je die discussies niet moet benaderen vanuit een beveiligingsoptiek maar vanuit een totale managementoptiek. Security moet je daar integraal in meenemen en ook vanuit die optiek beoordelen.”

Commercieel Directeur Gerard de Weerd van Motiv (links) en

Tijdens het gesprek met René komt security naar voren als een onderwerp waar binnen de Nederlandse Spoorwegen in balans over wordt gedacht. “De grote uitdaging voor ons is om onze netwerken open te stellen voor onze gebruikers en tegelijk voorkomen dat je de krant haalt met beveiligingsincidenten. Dan gaat het om het vinden van de juiste balans tussen risico’s, kosten en gebruiksgemak, en het vinden van een balans in de securitybeleving. Hoever willen we gaan in informatiebeveiliging? Die discussies hebben een behoorlijk complex karakter.

René van Es, Manager Delivery bij de Nederlandse Spoorwegen. 6

MM 02 | najaar 2011

7

H E A D L I N E Securit y moet onderdee l z i j n v a n j e den k en

H E A D L I N E ‘ Ge b rui k er s verw a c h ten g een b l o k k a de s ’ V O L G E N D E P A G I N A Q i y b iedt een g ew a a r b or g de di g it a l e identiteit › P . 1 1

I nterview R en é van E s , M anager D eliver y bi j de N S

> en dat het lastig is om dat als transportbedrijf allemaal bij te houden. Dat is dan ook precies de reden dat je de hulp van een externe partij nodig hebt. Je hebt een partij zoals Motiv nodig die security ziet als een ‘7x24-aangelegenheid’ en daar ook op is toegerust, want wat overdag veilig is moet ook ’s nachts veilig zijn. En die partij moet het kennisniveau op een hoger peil brengen dan je zelf zou kunnen. En als je ‘partners in crime’ bent moet de leverancier ook precies weten wat wij willen. Je moet je wensen en verlangens kenbaar maken. Doe je dat niet, dan krijg je een schimmig spel. Ook is het belangrijk dat je security uitbesteedt in termen van operationele handelingen. Verantwoordelijkheid kun je nooit uitbesteden; als de NS moeten wij security voelen

en invullen en onszelf er altijd van overtuigen dat onze partner zijn zaken op orde heeft. De mogelijkheden die zo’n partij biedt, moeten wij tunen op onze eigen bedrijfsprocessen.”

Frisse wind Motiv is één van de externe partijen waar de NS al een jarenlange relatie mee heeft. Motiv levert onder andere beveiligingsproducten, verzorgt het beheer en de monitoring op die systemen en adviseert als sparringpartner de NS over verbeteringen in de beveiliging en voert die verbeteringen ook door. “Voor ons is het heel belangrijk dat een externe partij niet alleen kennis inbrengt en adviseert, maar de adviezen ook uitvoert”, aldus René.

N igel H awthorn , V P E M E A M ar k eting bi j B l u e C oat S y stems

De relatie tussen de NS en Motiv is ontstaan vanuit het netwerken informatiebeveiligingsdeel, maar omvat inmiddels veel meer dan alleen security, zo benadrukt René. “Zo hebben wij een complexe netwerkstructuur met een documentatie die niet altijd helemaal op orde is. Maar je wilt wel een voorspelbaarheid hebben in het doorvoeren van changes zodat je veranderingen sneller en goedkoper kunt doorvoeren. We zijn nu bezig om een kennisdatabase te creëren waarin we de infrastructuur hebben vastgelegd om changes snel te kunnen doorvoeren. Motiv helpt ons enorm om dat te faciliteren. Motiv werkt zeer flexibel en servicegericht en is een frisse wind in het bestaande palet van aanbieders; het bewijs dat het ook anders kan!”

‘ Gebruikers verwachten geen blokkades’ “Het belangrijkste is dat de gebruiker veilig is”, stelt Nigel Hawthorn, VP EMEA Marketing bij Blue Coat Systems. “Klanten rekenen op ons.” Motivator sprak met de vicepresident over de dreigingen waar gebruikers mee worden geconfronteerd en hoe daar mee om te gaan. Tijdens ons gesprek formuleert Hawthorn drie ‘hoofdprobleemgebieden’. “De eerste heeft te maken met de aanwezigheid van geld op een aantal niveaus. Aanvallers hebben kapitaal om te investeren in cyberaanvallen, en online informatie is vandaag de dag erg waardevol. Ze zijn niet alleen uit op het leeghalen van je bankrekening, maar hebben ook langetermijndoelstellingen voor ogen met het verkrijgen van belangrijke privé- of zakelijke informatie.”

alleen al het gebruik van Facebook, LinkedIn, Twitter en Hyves. Allemaal social networking sites maar met verschillende typen informatie, zowel voor privé als zakelijk gebruik. Gebruikers daarvan hebben allemaal een speciale toegang nodig, met behoefte aan specifieke informatie. Dat betekent niet dat je zomaar alles moet openstellen. Want als je dat doet, dan werk je in de hand dat het voor iedereen een speelveld wordt en iedereen MafiaWars kan spelen.” “ICT-afdelingen dienen de beveiliging up-to-date te houden en eenop-een te laten meelopen met de meest recente bedreigingen. Je moet eerder dan de vijand mogelijke dreigingen vinden. Onze cloudservice WebPulse, waar 75 miljoen mensen gebruik van maken, voorziet daarin. De systemen van Blue Coat doen binnen deze cloudservice een check op mogelijke security threats. Recentelijk zijn wij in staat geweest een aantal dagen voor de verschijning de dreiging op de MySQL-site te vinden. Klanten rekenen dus op ons.”

‘ De ICT afdeling moet flexibel en begripvol zijn en geen strikte weten regelgeving willen opleggen’ “Een ander probleemgebied is de ontwikkeling op het gebied van ‘consumerization’. Het belangrijkste probleem op dit gebied is dat de ICT-afdeling van een organisatie ook daarwerkelijk voorschriften moet schrijven voor het gebruik van de devices, welke devices en wanneer. Medewerkers dwingen geen device te gebruiken, is niet de oplossing. Organisaties proberen het wel, maar dan kan het worden gezien als het opwerpen van onrechtmatige blokkades.”

‘Motiv is een frisse wind in het bestaande palet van aanbieders’

“Een laatste probleemgebied zijn de sociale netwerken op internet. Neem nu eens het voorbeeld van de zakkenrollers. Ze zijn aanwezig waar grote groepen mensen samenkomen, omdat daar de meeste slachtoffers te vinden zijn en verbergen eenvoudig is. Kopieer dit naar de digitale wereld. De aanvallers zijn aanwezig op sociale netwerksites en posten graag ‘linking’ informatie. Blue Coat heeft de taak om deze ‘gevaarlijke’ links te categoriseren voordat deze de gebruiker bereiken. Een moeilijke taak, maar dat is wat we doen.” Verdedigingsstrategieën “De probleemgebieden die nu ontstaan dwingen de ICT-afdelingen nieuwe verdedigingsstrategieën op te stellen die flexibele voorschriften voorschrijven en coöperatie met medewerkers aanmoedigen”, vervolgt Hawthorn. “Dat is veel werk, maar wel een must. Neem

Snel reageren Een andere verdedigingsstrategie wordt door Hawthorn gezien als het hebben van een ‘on the fly’-check op alle mogelijke nieuwe websites in de cloudserviceomgeving. Hawthorn: “De 75 miljoen gebruikers van de cloudservice van Blue Coat rekenen allemaal op de verdedigingssets van Blue Coat. Het verdedigingssysteem van Blue Coat kan in een derde van een seconde ontdekken of de nieuwe website een phishingsite is, een malwaresite of een andersoortige bedreiging.” Het vermogen om snel te reageren wordt volgens Hawthorn alleen maar belangrijker. “Wanneer dit artikel wordt gepubliceerd, is de iPhone 4S reeds uitgegeven. De nieuwe features geven mensen nieuwe mogelijkheden om toegang te krijgen tot meer informatie. De vraag naar informatie en toegangspoorten zal nog groter worden. En het probleem is dat gebruikers niet verwachten dat nieuwe beveiligingslagen een drempel vormen in het gebruik van de mogelijkheden. Het belangrijkste is dat de gebruiker veilig is. De voordelen van cloudcomputing zijn dat 1,2 biljoen internetgebruikers ideeën inbrengen en kunnen adviseren in betere oplossingen. En hopelijk vermindert het aantal bedreigingen daardoor.” 9

H E A D L I N E Q i y b iedt een g ew a a r b or g de di g it a l e identiteit V O L G E N D E P A G I N A V i s ie v a n M otiv o p inform a tie o p m a a t › P . 1 2

Branchenieuws L E UK O M T E W E T E N

Qiy biedt een gewaarborgde digitale identiteit Kun je al je persoonlijke, zakelijke, medische en financiële gegevens op internet achterlaten? Jazeker, dat kan. Zijn deze gegevens dan gewaarborgd en niet voor iedereen inzichtelijk? Nee, dat zeker niet. Kun je zelf bepalen wie je gegevens mag bekijken, en welke? Nee, ook dat is niet standaard in de digitale wereld. Het grote probleem is dat slechts weinig mensen controle hebben over die gegevens. Maar als er een plek is waar je wel controle kunt hebben over je eigen gegevens? Een plek in de digitale wereld die te vergelijken is met de veiligheid van je eigen huis, waar je waardevolle bezittingen en papieren veilig zijn? Jij hebt de sleutel en jij bepaalt wie deze waardevolle bezittingen mag inzien en gebruiken. De sleutel tot succes in de digitale wereld is Qiy (spreek uit: key), jouw eigen veilige en slimme huis in de digitale wereld. Alleen na toestemming van jou kunnen bedrijven en organisaties de informatie inzien. Met Qiy heb je de beschikking over één gewaarborgde digitale identiteit. Qiy is persoonsgebonden en vanaf iedere plek met toegang tot internet te gebruiken, zowel voor zakelijke als voor privédoeleinden. Qiy verschaft een gebruiker gemak en overzicht en verzekert je van een betrouwbare digitale identiteit.

Kennis en macht Momenteel zit al de kennis aan de kant van bedrijven en organisaties. Als jij van die kennis gebruik wilt maken, moet je ze eerst alle informatie geven om jou te kunnen helpen. Qiy draait het om. Met Qiy blijft de informatie van jou en jij bent degene die bepaalt aan wie je informatie verstrekt. Je bent de baas over je eigen gegevens. Daarmee wordt privacy een instelling: wil je al je informatie openstellen, dan kan dat. Heb je dat liever niet, dan hou je al je gegevens voor jezelf. Hoe werkt Qiy? Als gebruiker kan je persoonlijke gegevens opslaan of informatie verzamelen van partijen die jij relevant vindt. Bedrijven, zoals banken of verzekeraars, kunnen Qiy-apps ontwikkelen. Daar stoppen zij dan weer informatie in. Zo kan je dan Qiy-apps van bijvoorbeeld verzekeraars downloaden om berekeningen te doen, maar wel volledig anoniem. En voor bedrijven biedt Qiy een welkom alternatief op andere manieren van informatievoorziening. Want ze willen van het papier af, maar een e-mail is verre van ideaal voor gevoelige informatie. Met Qiy is de uitwisseling van gevoelige informatie wel veilig. Veilig Qiy werkt samen met aansprekende partners. Opgezet als onafhankelijke stichting werkt Qiy samen met Europese en Amerikaanse bedrijven. Qiy heeft inmiddels de hoogste certificatie op het gebied van security en privacy gekregen. Ze wonnen in mei de European Identity Award in de privacycategorie. Marcel van Galen, initiatiefnemer van Qiy: “Bij Qiy zetten wij veiligheid en privacy voorop. Het winnen van deze award was dus een mooie mijlpaal in onze korte geschiedenis.” Dat Qiy security en privacy serieus neemt, mag blijken uit het feit dat ook de medewerkers van Qiy niet bij de informatie in de persoonlijke Qiydomeinen kunnen. Alle persoonlijke data zijn versleuteld binnen de infrastructuur van Qiy, van het moment dat data worden toegevoegd tot het moment dat je de data zelf ophaalt op je computer of je mobiel. Jij bepaalt welke gegevens worden opgeslagen en ter beschikking mogen komen van de partijen die jij vertrouwt. ME E R I N FOR MAT I E ? www . q i y . nl

11

H E A D L I N E ' we s te l l en de p er s oon die met inform a tie wer k t centr a a l ' V O L G E N D E P A G I N A F 5 z et B I G - I P v 1 1 in te g en meer l a a g s e c y b er a a nv a l l en › P . 1 4

V isie van M otiv op informatie op maat

die vraag en kunnen dat vertalen naar praktische oplossingen die wij voor ze ontwikkelen.” Volgens de leden van het managementteam van Motiv is een duidelijke positionering van de activiteiten op het gebied van applicatieontwikkeling hard nodig. Algemeen directeur Ton Mooren: “Applicatieontwikkeling is bij Motiv misschien een beetje vreemde eend in de bijt maar maakt wel al dertien jaar deel uit van ons portfolio en is goed voor zo’n 25 procent van de omzet. Toch zijn wij vooral bekend als leverancier van netwerken beveiligingsoplossingen. Dat wij ook totale applicaties bouwen, is bij veel klanten onbekend.”


' We stellen de persoon die met informatie werkt centraal' Van links naar rechts op de foto: Vincent Kalkhoven, Ton Mooren, Gerard de Weerd en Bastiaan Bakker.

Informatie bevindt zich vaak verspreid over verschillende systemen met een gebrek aan overzicht en inefficiëntie tot gevolg. Onder het motto ‘Informatie op maat’ koppelt Motiv alle informatiebronnen aan elkaar waardoor de benodigde informatie op een eenduidige manier wordt ontsloten voor de gebruiker. Een belangrijke rol is daarbij weggelegd voor de ontwikkeling van maatwerkapplicaties, één van de kernactiviteiten van Motiv. Motivator sprak erover met Gerard de Weerd, Bastiaan Bakker, Ton Mooren en Vincent Kalkhoven die samen het managementteam van Motiv vormen. 12

MM 02 | najaar 2011

“B

innen bedrijven en overheidsinstanties zijn zoveel verschillende informatiebronnen in gebruik dat het voor de persoon die de informatie verwerkt lastig is om daar effectief mee om te gaan”, stelt Bastiaan Bakker, Directeur Business Development bij Motiv. Onder het motto ‘Informatie op maat’ helpt Motiv haar klanten om de informatievoorziening te optimaliseren en onder controle te krijgen. “Met ‘Informatie op maat’ stellen we de persoon die met informatie werkt centraal en niet zozeer de applicatie die we bouwen”, vervolgt Bakker. “Door als het ware een schil te plaatsen voor de bestaande applicaties en de databases van Microsoft en Oracle kunnen we de informatie consolideren en op één manier presenteren richting de klant. Bestaande informatiebronnen worden zodanig geoptimaliseerd dat de gebruiker daar

efficiënt mee kan werken, zowel op kantoor, thuis als onderweg. Daar zit ook de link met security; security is de enabler om via internet werken onderweg mogelijk te maken.”

Positionering applicatieontwikkeling Met ‘Informatie op maat’ laat Motiv duidelijk zien waar het toe in staat is op het gebied van applicatieontwikkeling. “Deze visie helpt ons om applicatieontwikkeling helder te positioneren”, zegt Commercieel Directeur Gerard de Weerd. “Applicatieontwikkeling is een heel breed vakterrein. Hoe kunnen we nu de vertaalslag maken naar wat Motiv op dit gebied kan doen?” De Weerd beantwoordt deze vraag met een voorbeeld uit de zorg. “Artsen willen aan het bed van een patiënt gegevens kunnen opvragen op hun iPad. Er komt echter nog heel wat bij kijken om informatie veilig te ontsluiten. Maar dat is ons specialisme en wij begrijpen

Volgens Mooren is de combinatie van security met eigen applicatieontwikkeling juist het onderscheidend vermogen van Motiv. “Wij bouwen applicaties met de visie dat ze veilig moeten zijn. Je ziet dan ook dat we veelal applicaties bouwen voor omgevingen waarin gegevens moeten worden beveiligd. Met ‘Informatie op maat’ willen we nog eens extra uitdragen dat we niet alleen beveiligingsoplossingen leveren, maar de klant ook kunnen ontzorgen met veilige of beveiligde applicaties.”

Motiv Secure Information Services Het motto ‘Informatie op maat’ komt concreet tot uiting in de activiteiten rondom Motiv Secure Information Services (MSIS) waarin informatievoorziening en informatiebeveiliging samenkomen. De consolidatie die nodig is om de gegevens uit de diverse systemen op één manier richting pc, laptop, smartphone of tablet te presenteren, is het stukje maatwerk dat Motiv toevoegt. Bakker: “Onze informatieanalisten zoeken uit welke informatie de gebruiker zelf voor zijn werk verwerkt. Daarna kijkt de analist aan de hand van de vele databronnen hoe deze informatie op maat kan worden gepresenteerd. En ten slotte werken onze softwareontwikkelaars met standaard bouwblokken zoals Microsoft SharePoint om deze informatie op maat aan de gebruiker te presenteren.” “Je gaat de business van die klant ‘enablen’”, vult Operationeel Directeur Vincent Kalkhoven aan. “Om de problematiek van een klantgroep beter te kennen, moet je ook meer kennis hebben van de betreffende markt. In Finance en de Zorg hebben we expertise opgedaan met branche-specifieke issues. Zo hebben we voor

de geestelijke gezondheidszorg een compleet systeem inclusief patiëntdossier gebouwd. Bijkomend voordeel bij dit soort projecten is dat wij vanuit onze security-expertise ook kennis hebben van de branche-specifieke normen en de regels, zoals NEN 7513 binnen de zorg.”

Cloud Integrator MSIS is volledig gestoeld op de cloudgedachte. De informatiesystemen waaruit de informatie wordt verzameld, kunnen zich lokaal of in de cloud bevinden. De oplossing zelf kan lokaal bij de klant in een private cloud draaien of als veilige clouddienst worden afgenomen van Motiv. Daarmee past MSIS naadloos in de visie van Motiv om in 2015 de ‘Cloud Integrator’ van Nederland te zijn. “Dat is wel een voorlopige werktitel hoor”, zegt Kalkhoven met een lach. Door de opkomst van cloudcomputing is er volgens Kalkhoven een duidelijke trend waarneembaar dat bedrijven steeds meer functionaliteit inhuren bij derde partijen. “In plaats van alles zelf te doen, wordt de functionaliteit nu belegd bij misschien wel dertig verschillende partijen. Dat heeft gevolgen voor bijvoorbeeld je Single Sign-on; hebben we net twintig jaar besteed aan het maar één keer hoeven inloggen, gaan we weer twintig jaar terug in de tijd. En als een klant dertig contracten heeft getekend, hoe ga je dat allemaal beheren?” “Het is ons streven om op te gaan treden als een soort makelaar voor clouddiensten”, vervolgt Kalkhoven. “De klant kan bijvoorbeeld een boekhoudpakket en een e-maildienst uit de cloud afnemen. Wij zorgen er vervolgens voor dat de infrastructuur aan elkaar wordt geknoopt en we beheren het geheel, inclusief de contractuele zaken. Met voor de klant de zekerheid dat alles veilig functioneert.” “Daarin komt de kracht van ‘Informatie op maat’ mooi tot uitdrukking”, concludeert Bakker. “Stel dat een klant een gedeelte van de informatie in de cloud heeft staan, een gedeelte lokaal en een deel bij Motiv. Hoe zorg je er dan voor dat de gebruiker er op één handige manier mee om kan gaan? Dat doe je deels met webportal-achtige technologie en deels met security zodat je inderdaad maar één keer hoeft in te loggen. Daar komt twee keer de toegevoegde waarde van Motiv terug.” 13

H E A D L I N E F 5 z et B I G - I P v 1 1 in te g en meer l a a g s e c y b er a a nv a l l en

H E A D L I N E B E S T AA N D E D I E N S T E N I N E E N N I E U W JASJ E V O L G E N D E P A G I N A s p eci a l I nfo s ecurit y 2 0 1 1 › P . 1 6

Branchenieuws

I nterview P im van den H off en C orn é de Kei z er , I nformation S ec u rit y C ons u ltants bi j M otiv

L E UK O M T E W E T E N

zet BIG-IP v11 in tegen meerlaagse cyberaanvallen Nu cyberaanvallen veranderen en de frequentie ervan blijft toenemen, hebben IT-afdelingen steeds meer moeite om beveiliging effectief aan te pakken. Traditionele losse oplossingen als netwerkfirewalls, antivirussoftware en intrusion detection/prevention-systemen richten zich op specifieke beveiligingsissues en zijn vaak geïnstalleerd op individuele

Motiv heeft een nieuw thema, Motiv Information Risk Management. We spraken met Pim van den Hoff (l.) en Corné de Keizer (r.), beiden Information Security Consultant bij Motiv en initiatiefnemers van het thema.

devices. F5 introduceert met versie 11 van het BIG-IPplatform een allesomvattend wapen in de toene-

Bestaande diensten in een nieuw jasje

mende strijd tegen ‘Multi-Layer Cyber Attacks’. Moderne cyberaanvallen zijn vaak geavanceerd en op meerdere lagen gericht. Ze richten zich op het netwerk en op de onderliggende applicaties en data. Een bedreiging kan op de netwerklaag beginnen met een Denial of Service-aanval (DoS) en vervolgens een applicatie aanvallen via een kwetsbaarheid in een browser. Losse oplossingen, zoals netwerkfirewalls, zijn niet in staat om dit type meerlaagse aanvallen af te weren, omdat zij geen bescherming bieden over de verschillende lagen heen. Hoewel de aanvallen zelf niet te voorkomen zijn, zijn de meeste beveiligingsinbreuken zonder meer te blokkeren. Bescherming tegen deze meerlaagse aanvallen vereist een geïntegreerde benadering die netwerkbeveiliging, applicatiebeveiliging en toegangscontrole omvat. Deze allesomvattende aanpak is steeds belangrijker nu organisaties hun applicaties en data naar de cloud brengen.

BIG-IP v11 F5’s BIG-IP v11 stelt organisaties in staat om een dynamische datacenteromgeving te creëren voor het beheren van netwerken, data en applicaties. Daarbij maakt het niet uit of deze toegepast worden in een fysieke of gevirtualiseerde omgeving, of in de cloud. 14

MM 02 | najaar 2011

ME E R I N FOR MAT I E ? www . f 5 ne t w o rks . nl

Versie 11 van BIG-IP biedt de volgende nieuwe beveiligingsservices:

•

Bescherming van interactieve Web 2.0-applicaties. Met de applicatiefirewall BIG-IP Application Security Manager (ASM) beschermt een organisatie haar interactieve Web 2.0-applicaties. Gemeenschappelijke en dynamische toegangscontrole. Nu steeds meer eindgebruikers het bedrijfsnetwerk benaderen vanaf een smartphone, tablet of laptop, is de IT-afdeling gedwongen de toegangscontrole te beheren voor tal van toestellen, locaties en applicaties. BIG-IP Access Policy Manager (APM) en versie 11 geven de IT-afdeling de controle terug door ondersteuning van eind puntinspectie, verschillende authenticatie methodes, single sign-on en externe toegangs controlelijsten. Uitgebreide beheer- en rapportagemogelijkheden. Om beveiliging op applicatieniveau en de juiste responstijden voor gebruikers te bieden, is optimaal inzicht nodig, evenals heldere rapportages.

BIG-IP APM voorziet in beide en biedt ingebouwde en aanpasbare rapportagemogelijkheden. Schaalbare DNS-infrastructuur met bescherming tegen DDoS. Bij DoS- of DDoS-aanvallen is DNS net zo kwetsbaar als de webapplicatie of de service die wordt aangevallen. Nieuwe features in BIG-IP Global Traffic Manager (GTM) bieden beide mogelijkheden aan. DNS Express is een snelle en krachtige DNS delivery-oplossing die de prestaties van DNS-queries tot wel tien keer verbetert. DNS Express ontlast bestaande DNS-servers en absorbeert de toestroom van onrechtmatige requests tijdens een aanval. Flexibele applicatiebeveiliging in alle ITomgevingen. Met de introductie van versie 11 zal BIG-IP ASM beschikbaar zijn als een Virtual Edition (VE) die organisaties flexibiliteit biedt voor wat betreft inzetbaarheid. Klanten kunnen met BIG-IP ASM VE applicaties in gevirtualiseerde en in cloudomgevingen testen voordat ze in productie gaan.

•

•

•

•

“We zien dat klanten meer en meer worstelen met securitybudgetten, terwijl de noodzaak voor het aantoonbaar ‘in control’ zijn enorm toeneemt”, begint Van den Hoff. “Door groeiende regelgeving in nagenoeg alle branches worstelen CIO’s en security-officers met dezelfde problematiek. Daarnaast wordt de te beschermen omgeving steeds complexer. Het is steeds lastiger om vast te stellen welke maatregelen de meeste toegevoegde waarde hebben, zodat de juiste keuzes worden gemaakt. Men wil dus slimmer omgaan met het securitybudget, zonder het gevoel van ‘in control’ zijn te verliezen.” De Keizer vult aan: “Het komt daarmee neer op proportioneel beveiligen. Maatregelen wil je uiteindelijk alleen nemen op die plaats waar ze relevant zijn en gerelateerd aan data die er werkelijk toe doen binnen de organisatie. Dat betekent dat je eerst wilt vaststellen wat er daadwerkelijk aan de hand is binnen de organisatie, voordat er zomaar tools worden aangeschaft of diensten worden ingekocht. We maken vaak mee dat de probleembeschrijving van onze klant in feite een symptoombeschrijving is. Als je dan het symptoom wegneemt, wil dat niet zeggen dat het probleem ook verholpen is. Motiv helpt met het vaststellen van de daadwerkelijke businesscase en het definiëren van de daadwerkelijke problematiek. Zodat niet aan symptoombestrijding wordt gedaan, maar dat de daadwerkelijke oorzaak wordt weggenomen.” Van den Hoff: “We merken dan ook dat onze klanten een partner zoeken die samen met hen (op basis van de belangen van hun organisatie) de beveiligingsorganisatie vormgeeft en helpt de maatregelen te nemen die voor hen relevant zijn. Motiv is zo’n vertrouwde partner die het belang van de business begrijpt. Motiv geeft waardevolle adviezen over beveiligingsvraagstukken, waardoor onze klanten risicobewust kunnen ondernemen.”

Praktische invulling Zijn deze vraagstukken nieuw voor Motiv? “Nee, zeker niet”, stelt De Keizer. “Wel zijn we tot de conclusie gekomen dat het niet voor alle klanten duidelijk is dat Motiv kwalitatief hoogstaande businessconsultancy op het gebied van informatiebeveiliging in het portfolio heeft. Daarom hebben we besloten bestaande diensten te bundelen in dit thema, zodat onze propositie logischer is. Daarnaast blijven we natuurlijk ontwikkelen en innoveren. Onze diensten kenmerken zich door een pragmatische insteek en tastbare ‘deliverables’. Het is verleidelijk om te verzanden in hoogdravende rapporten en abstracte maatregelen. We waken daarvoor en sturen aan op een tastbare en praktische invulling.” “Als vertrouwde partner helpen we bij het opstellen van het strategisch en tactisch informatiebeveiligingsbeleid”, vervolgt De Keizer. “Dit is honderd procent afgestemd op de organisatie. We sturen aan op het structureel en proportioneel toepassen van informatiebeveiliging binnen de organisatie. Dit verhoogt het volwassenheidsniveau en onze klanten nemen nu alleen maatregelen die zij echt moeten nemen. Alles wat feitelijk niet strikt noodzakelijk is om in control te zijn, doen we ook niet.”

Juiste balans van maatregelen Van den Hoff sluit af: “Je kan te veel aan informatiebeveiliging doen, waardoor je onnodig veel geld uitgeeft. Je kan ook te weinig doen, waardoor je te veel risico loopt. Maar nog veel vaker worden de verkeerde maatregelen genomen, waardoor de voordeur wellicht prima is beveiligd, terwijl de achterdeur wagenwijd openstaat. Het gaat om de juiste balans van maatregelen, passend bij de organisatie. Motiv helpt bij het vinden en het realiseren van deze balans.”

‘ Motiv heeft onze organisatie geholpen met het optimaliseren van onze beleidskaders en het inbedden van informatie beveiliging binnen onze organisatie. Motiv onderscheidt zich door een pragmatische aanpak en focus op direct resultaat, waardoor de materie begrijpelijk wordt voor alle stakeholders in onze organisatie.’ Sytze Koopmans, CIO van DHV

15

H E A D L I N E M otiv Secure I nform a tion Service s - I nform a tie o p M a a t

Motiv Secure Information Services -

Informatie op maat Informatie op maat. Voor veel organisaties een grote wens, maar voor velen lijkt het een utopie. Iedereen weet dat organisaties worstelen met informatievoorziening aan medewerkers op een gestructureerde manier. Informatie die mensen nodig hebben bevindt zich in veel verschillende systemen, waardoor werkprocessen soms omslachtig verlopen en onnodig lang duren. Motiv Secure Information Services brengt hier verandering in.

Hoe werkt het? Motiv analyseert de informatiestromen binnen de belangrijkste bedrijfsprocessen. Op basis hiervan wordt vastgesteld op welke momenten in

het bedrijfsproces het informatiegebruik het meest knelt. Met andere woorden: op welke momenten heeft een medewerker meerdere informatiesystemen tegelijk nodig om een taak uit te voeren?

Doordat gebruik wordt gemaakt van webtechnologie kan de applicatie zonder meer geschikt worden gemaakt voor het gebruik op smartphones en tablets. Standaard worden alle apparaten met een webbrowser ondersteund. Maar voor specifieke apparaten, zoals smartphones, wordt voor specifieke bedrijfsprocessen een app ontwikkeld waarmee gebruikers volledig draadloos en beveiligd informatie kunnen inzien en verwerken. De oplossing is volledig gestoeld op de cloudgedachte. De informatiesystemen kunnen bij u lokaal staan of in (verschillende) clouds. Afhankelijk van de eisen en wensen wordt de oplossing als private cloud bij onze klanten geplaatst of afgenomen als secure clouddienst van Motiv. Beveiliging van informatie is een kernactiviteit binnen de dienst. Motiv ontwikkelt inherent veilige applicaties, aangevuld met specifieke maatregelen voor bijvoorbeeld het beveiligen van smartphones.

Motiv Secure Information Ser vices sch ematisch weergegeven

16

MM 02 | najaar 2011

Informatie op maat. Een eenvoudig begrip, een vak op zich. Uw bedrijfsproces onder controle brengen en uw resultaten verbeteren. Dat is waar ‘Informatie op maat’ voor staat. Met ervaring in diverse branches voelt Motiv zich als een vis in het water in complexe omgevingen. Motiv helpt met het verbeteren van uw bedrijfsprocessen en daarmee met het halen van uw doelstellingen. Met Informatie op maat wordt complexiteit bij de gebruiker weggehaald, zodat training minimaal is en de kans op fouten enorm terugloopt. Dit heeft een positief effect op de kwaliteit van uw bedrijfsprocessen, zodat uw medewerkers zich optimaal kunnen concentreren op hun taak.

Stap 0: de huidige situatie

Motiv koppelt deze informatiesystemen en realiseert een geheel nieuwe webinterface, specifiek afgestemd op het proces en de gebruikers. Alle bewerkingen worden uitgevoerd in de Motiv-webinterface waardoor alle informatie in één oogopslag beschikbaar is en kan worden bewerkt. Hiermee wordt voorkomen dat een gebruiker meerdere applicaties tegelijk moet hebben geopend en zaken moet overtypen. Hierdoor worden bedrijfsprocessen geoptimaliseerd en wordt optimaal omgegaan met de informatiesystemen.

Stap 1: de eerste consolidatie door h et sam envoegen van de back-endsystem en

Aanmelden Infosecurity 2011

Dit resulteert in een optimaal veilige werking van de dienst en geeft uw organisatie een kwalitatief hoogstaande informatievoorziening. Functioneel en veilig.

infosecurity special 2011


Stelt u zich eens voor… een situatie waarin uw medewerkers maar één ‘applicatie’ nodig hebben om al het werk te doen en alle informatie te verwerken, ongeacht de apparatuur die zij gebruiken. Dat is misschien niet voor te stellen, maar Motiv Secure Information Services biedt hier de oplossing. Motiv koppelt alle relevante informatiebronnen binnen uw organisatie en uit de cloud, en ontsluit de benodigde informatie op een eenduidige manier voor de gebruiker. Of dat nu een pc, laptop, iPad of smartphone is.

Infosecurity.nl 2011 Ook dit jaar vindt u Motiv weer op de beurs Infosecurity.nl in Jaarbeurs Utrecht. Op 2 en 3 november zijn wij te vinden op stand B112. Op deze beurs bieden Motiv en andere bedrijven een compleet overzicht van de belangrijkste zaken rondom ITbeveiliging en Information Security Management. Het thema van Motiv dit jaar op Infosecurity.nl is ‘Informatie en Security op maat’. Corné de Keizer, Information Security Consultant van Motiv, geeft graag een extra toelichting op de visie van Motiv over Informatie op maat, een onderdeel van onze boodschap.

M otiv secure i n f ormatio n services

M otiv secure i n f ormatio n services

door Corné de Keizer, Information Security Consultant bij Motiv

V O L G E N D E P A G I N A Pro g r a mm a I nfo s ecurit y . n l & Stor a g e E x p o › P . 1 8

Stap 2: de tweede consolidatie waarbij toegang via alle devices wordt geregeld

Bezoek de Motiv-stand op Infosecurity.nl 2011 en laat u verder informeren over Informatie en Security op maat. 17

H E A D L I N E Pro g r a mm a I nfo s ecurit y . n l & Stor a g e E x p o

V O L G E N D E P A G I N A M otiv ti j den s I nfo s ecurit y . n l 2 0 1 1 ! › P . 2 1

Programma Infosecurity.nl & Storage Expo Infosecurity.nl 2011 Datum: 2 en 3 november 2011 Locatie: Jaarbeurs Utrecht - Hal 1 Openingstijden: Op beide dagen van 09.30 uur tot en met 17.00 uur Co-locaties: Met uw badge voor Infosecurity.nl kunt u ook Storage Expo en het Tooling Event bezoeken, die gelijktijdig in Hal 1 van Jaarbeurs Utrecht worden gehouden. Toegang: Toegang is gratis na voorregistratie Website: www.infosecurity.nl

Seminarprogramma Infosecurity.nl 2011

MM 02 | najaar 2011

Storage Expo 2011

Casestudies & Solution Sessions

Donderdag 3 november

Woensdag 2 november

2 & 3 november

Titel: Maximale informatiebevei ligingseis en 600 freelancers, hoe los je dit op? (keynote sessie) Sprekers: Bas de Koning – voorlichter Nederlands Instituut voor Foren sische Psychiatrie en Psychologie & oprichter van kennisnet NIFP – samen met Ruud Bergstrom, Informatiebeveiliger NIFP Tijd: 13.00 - 13.45 uur Zaal: Irene Congreszaal Insteek: Managementsessie

Titel: IPv6: Beveiligingsover wegingen (Engelstalige presentatie) Spreker: Tunde Balint - Consultant KPMG Tijd: 11.00 - 11.45 uur Zaal: Prins Claus Zaal Insteek: Technische sessie

Titel: Big Data Spreker: Universiteit Groningen/ LOFAR Tijd: 10.00 - 10.45 uur Zaal: Prins Clous Foyer Insteek: Technische sessie

Titel: Bedrijf: Spreker: Tijd: Zaal:

Titel: Spreker: Tijd: Zaal: Insteek:

De privacygrenzen van Het Nieuwe Werken Jeroen Terstegge – Directeur privacy-adviesbureau PrivaSense 14.00 - 14.45 uur Irene Congreszaal Managementsessie


Bring Your Own Device: iDevice Security Pieter Ceelen - KPMG 14.00 - 14.45 uur Prins Claus Zaal Technische sessie

Titel: Paneldiscussie: Security op je werkplek versus Security thuis Panelleden: Jaap van Ekris (Microsoft Valued Professional) en Rick Mans (Capgemini) Tijd: 12.00 - 12.45 uur Zaal: Irene Congreszaal Insteek: Managementsessie Titel: Social Media: Welcome to the Dark Side Spreker: Rick Mans – Social Media Lead Capgemini Tijd: 14.00 - 14.45 uur Zaal: Irene Congreszaal Insteek: Managementsessie

Titel: Sprekers: Tijd: Zaal: Insteek:

Codenaam Cyber-TEC: publiek-private samenwerking rond cybersecurity in vitale infrastructuren Maarten Oosterink (Consultant CPNi) en Bram Reinders (Alliance Manager Alliander) 15.00 - 15.45 uur Prins Claus Zaal Technische sessie


Understanding your storage implications and what decisions you need to make Richard Curran – Director Product Marketing Intel EMEA 13.00 - 13.45 uur Irene Foyer Managementsessie

Donderdag 3 november Titel: Storage-infrastructuur en de integratie met VMware en/of Oracle, SAP en Microsoft Spreker: Chief Information Officer Meyn Tijd: 10.00 - 10.45 uur Zaal: Irene Foyer Insteek: Managementsessie Titel: Spreker: Tijd: Zaal: Insteek:

De werking en voordelen van Thin Provisioning Jurjen Oskam – Storage- specialist Rabobank 10.00 - 10.45 uur Prins Claus Foyer Technische sessie

Smartphones meer kwetsbaar dan ooit Sectra Communications Dominick Bertens – Accountmanager NL-NATO 11.00 - 11.30 uur (beide dagen) 5

Titel: End-point AV is dead, long live End-point! Bedrijf: Webroot Spreker: Ian Moyse – EMEA Channel Director Tijd: 11.45 - 12.15 uur (beide dagen) Zaal: 5 Titel: Bedrijf: Spreker: Tijd: Zaal:

Become the most incredible IT man of the world! Softline Solutions Sjoerd de Boer Senior Technisch Consultant 14.45 - 15.15 uur (beide dagen) 6


infosecurity special 2011 18

Seminarprogramma

Woensdag 2 november

Titel: Assuring Trust and a Productive Online Economy Spreker: Flemming Fabor – Head of IT security division of the Danish Government & Board of Directors (ISC)2 Tijd: 15.00 - 15.45 uur Zaal: Irene Congreszaal Insteek: Managementsessie

Infosecurity 2011

Hig hl ig h ts

P rogramma I n f osecurit y . n l & S torage E xpo

P rogramma I n f osecurit y . n l & S torage E xpo

de highlights !

Titel: Dell Fluid Data Storage Solutions efficiency and agility through Intelli gent Data Management Bedrijf: Dell Spreker: Herbert Smals - Storage Solution Marketing Manager Tijd: 13.00 - 13.30 uur (beide dagen) Zaal: 1

Titel: Security Operations Center Version 2.0 Spreker: Dereck L Haye - Managing Director Custodian Network Security Tijd: 15.00 - 15.45 uur Zaal: Prins Claus Zaal Insteek: Technische sessie 19

H E A D L I N E M otiv ti j den s I nfo s ecurit y . n l 2 0 1 1 ! V O L G E N D E P A G I N A M otiv b reidt p ortfo l io uit met nieuwe o p l o s s in g en v a n C h ec k Point M otiv introduceert nieuwe C y b er Securit y Sc a n › P . 2 2

M O T I V T I J D E N S D E I NF O S E C U R I T Y 2 0 1 1

Motiv tijdens Infosecurity.nl 2011! Bezoek de Motiv-stand tijdens Infosecurity.nl 2011! Onze noviteiten en specialismen staan weer centraal, met als thema Informatie en Security op maat. Op 2 en 3 november kunt u ons in hal 1 vinden op stand B112. IT-security blijft de gemoederen bezighouden. Spam, phishing, hackers en steeds geavanceerdere vormen van cybercrime vormen reële bedreigingen voor het bedrijfsleven. De recente ontwikkelingen en toekomstperspectief leren ons dat informatiebeveiliging alleen niet meer voldoende is. Vraagstukken waar Motiv tijdens de vakbeurs Infosecurity.nl graag op inhaakt en u van advies voorziet.

Information Security Management, daar vertellen wij u graag meer over.

Sterke authenticatie nu ook geïntegreerd met de Google Authenticator App; Motiv Cyber Security Scan om uw kwetsbaarheid voor cyber criminaliteit te toetsen; Advanced persistent threats geven u een reden tot nadenken; Cybersecurity vraagt om extra bescherming van uw applicatie en database; De Application Aware Firewall als dienst is een nieuwe trend; Testmogelijkheid van het nieuwste DLP-platform voor uw organisatie; De vendorroute met onder andere Check Point, SecurEnvoy en Imperva geeft u meer techno logisch inzicht; Motiv Academy, voor startende IT-talenten.


De recente marktontwikkelingen op het gebied van informatiebeveiliging, informatievoorziening en informatie-integratie nemen wij mee in ons verhaal naar u toe. Change the business en run the business, onder het thema Informatie en Security op maat koppelt Motiv alle informatiebronnen aan elkaar waardoor de benodigde informatie veilig en op een eenduidige manier wordt ontsloten voor de gebruiker. En op maat interactief en innovatief gepresenteerd!

Wat kunt u nog meer verwachten tijdens Infosecurity 2011?

Onze medewerkers vertellen u graag meer over onze oplossingen op de beurs Infosecurity.nl 2011. U bent van harte welkom om middels dynamische presentaties het Informatie en Security op maat concept van Motiv te beleven. We zien u 2 en 3 november graag tijdens Infosecurity.nl 2011 in Jaarbeurs Utrecht! Motiv Academy

21

H E A D L I N E s C y b er s ecurit y vr a a g t om extr a b e s c h ermin g v a n a p p l ic a tie en d a t a b a s e Ster k e a ut h entic a tie voor s m a rt p h one s

H E A D L I N E S M otiv b reidt p ortfo l io uit met nieuwe o p l o s s in g en v a n C h ec k Point M otiv introduceert nieuwe C y b er Securit y Sc a n

highlights va n o n ze part n ers

highlights va n o n ze part n ers

highlights van on z e partners op I nfosec u rit y . nl

Motiv breidt portfolio uit met nieuwe oplossingen van Check Point Unieke Application Aware Firewall van Check Point Software Technologies als dienst tegen een vaste vergoeding

Netwerkfirewalls zijn niet meer weg te denken in de hedendaagse beveiliging van vertrouwde netwerken. De technische ontwikkelingen van firewalls gaan razendsnel. Motiv introduceert op de beurs Infosecurity.nl twee nieuwe firewalldiensten gebaseerd op de betrouwbare oplossingen van Check Point Software Technologies. Motiv heeft op basis van deze twee trends twee nieuwe diensten toegevoegd aan zijn bestaande firewalldiensten. De application aware firewall en de alles-in-één firewall. De eerste dienst is zeer geschikt voor organisaties die meer grip willen houden op risico’s op het gebied van social media. Denk aan ziekenhuizen en scholengemeenschappen waar naast medewerkers ook leerlingen respectievelijk patiënten gebruikmaken van dezelfde internetvoorziening. De allesin-één firewall is een complete dienst voor kleinere organisaties of voor ondernemingen met veel (internationale) vestigingen. De diensten zijn leverbaar tegen een vaste vergoeding per jaar.

Onze experts kunnen kijken in hoeverre u kwetsbaar bent voor datadiefstal als gevolg van cybercriminaliteit Hackerscollectieven zoals Anonymous hebben veel tijd en geld om aanvalstechnieken te ontwikkelen en toe te passen. Cybersecurity is een bedrijfsmaatschappelijk probleem geworden dat we niet meer naast ons neer kunnen leggen. Indien u zich wel eens afvraagt in hoeverre uw informatiesystemen kwetsbaar zijn voor cyberaanvallen, kunt u nu gebruikmaken van onze nieuwe Cyber Security Scan.

22

MM 02 | najaar 2011

Unieke firewalls van Imperva bieden essentiële bescherming voor uw internetapplicaties tegen cybercriminaliteit De aanpak van cybersecurity is het beveiligingsvraagstuk in 2011. In 2011 hebben er veel serieuze beveiligingsincidenten met grote schade als gevolg van cybercriminaliteit plaatsgevonden. Denk aan incidenten bij Sony PlayStation, RSA Security, Lockheed Martin en vrij recent DigiNotar. Mede om die reden kwam Minister Opstelten van Veiligheid en Justitie al begin dit jaar

Het Israëlische softwarebedrijf Imperva biedt uiterst geavanceerde oplossingen voor de bescherming tegen cybercriminaliteit. Motiv heeft deze toepassingen binnen de overheid reeds ingezet voor de bescherming van systemen met uiterst gevoelige informatie. De toepassingen worden sinds de toegenomen risico’s met betrekking tot cybercriminaliteit nu meer gemeengoed. Motiv biedt drie oplossingen gebaseerd op de beveiligingsproducten van Imperva: • de Web Application Firewall (WAF) voor bescherming van uw webapplicatie op internet; • de Database Security Gateway (DSG) voor maximale bescherming en het voorkomen van datadiefstal uit centrale databases en • de SharePoint en File Firewall voor maximale bescherming van data binnen SharePoint of een fileserver. De oplossingen kunnen afzonderlijk of in combinatie worden ingezet. Zo wordt een WAF en DSG ingezet voor bescherming van bijvoorbeeld webwinkels en complete informatiesystemen die aan internet zijn gekoppeld.

met de Nationale Cyber Security Strategie. Motiv komt Een veelvuldig voorkomende aanvalstechniek binnen cybercriminaliteit wordt binnen de securitysector een advanced persistent threat (APT) genoemd. Bij dergelijke geavanceerde aanvalstechnieken wordt vaak eerst gezocht naar de zwakke schakel om binnen het vitale netwerk in te breken. Chantage, phishing en social engineering zijn voorbeelden van toegepaste technieken om op deze manier in te breken. En bij binnenkomst gaat de crimineel op zoek naar vertrouwelijke data of naar mogelijkheden voor manipulatie. De Cyber Security Scan kijkt niet in hoeverre u een binnendringer buiten kunt houden maar des te meer naar potentiële kwetsbaarheden die datadiefstal mogelijk maken. Onze experts analyseren tot in het kleinste detail de beveiliging rondom uw databronnen in Oracle. Naast de bevindingen komen we vervolgens direct met concrete aanbevelingen om uw systemen weerbaarder te maken tegen de dreigingen van cybercriminelen.

DLP Trial Motiv biedt u tijdens Infosecurity.nl 2011 graag de mogelijkheid om zelf het nieuwe DLP-platform van Check Point Software Technologies te testen in uw eigen omgeving. Wij verzorgen daarvoor een licentie die u zeven dagen lang de mogelijkheid biedt kennis te maken met de DLP-oplossing van Check Point.

Cybersecurity vraagt om extra bescherming van applicatie en database

Cyber Security Scan voor Oracle-omgevingen

Heeft u uw vertrouwelijke gegevens binnen een Oracleomgeving opgeborgen? De Cyber Security Scan geeft in een korte doorlooptijd aan of uw data op passende wijze zijn beschermd tegen de hedendaagse goedgeorganiseerde cybercriminelen. Informeer tijdens Infosecurity.nl naar de mogelijkheden.

met nieuwe oplossingen voor maximaal haalbare bescherming van uw webapplicaties en databases tegen cybercriminaliteit.

Imperva Trial

Motiv biedt u tijdens Infosecurity 2011 graag de mogelijkheid om kennis te maken met de oplossingen van Imperva. We kunnen u laten zien hoe Imperva bescherming biedt tegen hacking via internet.



De security-experts van Motiv constateren twee nieuwe securitytrends. Op de eerste plaats is dat de toenemende vraag naar alles-in-één firewalls voor de bescherming tegen cybercriminaliteit. Ten tweede signaleert Motiv een toenemende vraag naar ‘application aware firewalls’ waarbij één firewall-securitypolicy bepaalt welke gebruikersgroepen gebruik kunnen maken van specifieke applicaties op internet. Dit type firewalls biedt meer mogelijkheden voor het volledig of deels filteren van bijvoorbeeld social media-applicaties zoals Facebook of YouTube.

Motiv introduceert nieuwe Cyber Security Scan

Sterke authenticatie voor smartphones Nieuwe dienst nu ook geïntegreerd met de populaire Google Authenticator App Motiv biedt sinds 2010 naast sterke authenticatie op basis van hardwaretokens ook sterke authenticatie op basis van uw eigen mobiele telefoon. Na het invoeren van uw gebruikersnaam en wachtwoord krijgt u direct een sms-bericht met daarin een eenmalige unieke code om in te loggen. Net voorafgaand aan Infosecurity.nl is deze dienst uitgebreid met ondersteuning van de Google Authenticator App voor de iPhone, BlackBerry en Android-telefoons. Met deze nieuwe App is het sms-bericht niet meer nodig. Dit betekent dat de authenticatiedienst nog aantrekkelijker wordt doordat er geen variabele kosten voor het afleveren van sms-berichten meer zijn. De sms-tokens kunnen worden gebruikt voor toegang tot webapplicaties zoals bijvoorbeeld Outlook Web Access, Microsoft IIS, Citrix en Lotus. Ook werken de sms-tokens met telewerkvoorzieningen (SSLVPN) en standaard VPN-software. De basis van deze oplossing is volledig gebaseerd op open protocolstandaarden (Radius en LDAP) waardoor dit zonder programmeerwerkzaamheden direct werkt.

Met de allernieuwste versie van de SecurEnvoy-software is het nu ook mogelijk gebruik te maken van softtokens en de populaire Google Authenticator App voor smartphones. Door met deze App te werken, kunnen authenticatietokens nog sneller worden uitgerold. Een gebruiker logt voor de registratie van de gegevens in met zijn persoonlijke gebruikersnaam en wachtwoord op onze dienst. Direct daarna krijgt de gebruiker een QR-code met daarin het gecodeerde softtoken op het beeldscherm. Door deze met Google Authenticator App te fotograferen wordt het softtoken automatisch in Google Authenticator App geïnstalleerd. Vanaf dat moment kan de gebruiker direct met het nieuwe softtoken aan slag.

SecurEnvoy Trial Motiv biedt u tijdens Infosecurity.nl 2011 graag de mogelijkheid om de oplossing zelf te testen in uw eigen omgeving. Wij verzorgen daarvoor een licentie die u dertig dagen lang de mogelijkheid biedt de volledige functionaliteit van deze authenticatieoplossing te testen. Dit inclusief de nieuwe Google Authenticator App. 23

headline p l a tte g rond

Deelnemers Infosecurity.nl 2011 F130 F132 F136 F138 F124

HAL 1 ZAAL 5 Case studies Infosecurity.nl


B152 A136 E124 E124 D120 B105 A131 A132 D124 A104 D088 B117 D138 A135 A099 C150 E130 A129 D102 E135 D145 B171 B109 F120 A170 B171 D134 B120


D094 SecureLink Nederland B.V. D155 Exclusive Networks Adyton Systems AG F120 F145 C125 Secury Products D150 Allied Telesis International B.V. Fox-IT LOUNGE VIP F126 A145TERRAS Lounge G DATA Software AG Array Publications Softline Solutions Netherlands B.V. E130 E120 E124 A107 SolarWinds B125 Greenbone Networks GmbH ArcSight, an HP company ZAAL 6 D137 Sophos B.V. C138 (ISC)2 Astaro GmbH & Co. KG Case studies Infosecurity.nl E139 / SMT F124 E135 Splunk C145 Infoblox Avensus Nederland B.V. E145 D088 D094 D102 D112 D120 D124 D130 B131 SRCE140 C118 Information Security Forum Limited Avnet Technology Solutions Secure Solutions bv D144 B131 A118 InfoSecure B.V. Barracuda Networks AG D154 D134 Techaccess D138 D150 A107 Terach BV A170 ISSX Bio XS International BV D155 E126 TITUS A125 It-Recycling Blancco Oy Ltd E145 F132 ITSX Information TechnologyD117 BPM Partner TREND D129 D137 MICRO D145Benelux D149 C157 B100 Tripwire Emea F138 Juniper Networks Brainforce B.V. C108 TERRAS C108 B093 Kaspersky Lab Nederland BVC118 Centric IT Solutions TSTC C130 C138 B.V. C156 C144 A089 UBM Nederland BV D154 Kroll Ontrack Certified Secure A088 VADition Benelux B.V. E140 Lantech BV CHB - Celadon Hailstone Biometrics E145 Vasco Data Security B171 Madison Gurkha Check Point Software Technologies C125 C145 C150 C153 A138 Vest Cisco Systems International B.V. McAfee BV B120 B088B088 B100 International B112 B138 Informatiebeveiliging B152 F120 Medusoft CM B124 B138 ViaSat Inc. B144 A117 Vosko Networking B.V. D117 Mindtime Backup Compumatica secure networks B.V. B112 Wallix Lounge Motiv Computable B131 Webroot BeNeLux B117 B.V. B125 D130 B101 NormanB105 Computerlinks Nederland BV Data B109 Defense Systems B087 B093 A138 B101 A144 A092 Websense BV C144 Palo Alto Networks Contec iSC B.V. A118 TERRAS D129 Westcon Academy B124 Pinewood Automatisering Crypsys Data Security B.V. B.V. A110 A088 A092 A100 A136 A132 A104 F130 Westcon Security B087 Qualys technologies Cyber-Ark Software Ltd. B144 Zscaler A121 RoutIT B.V. Cyso Managed Hosting A110 Dimension Data Nederland B.V. Safenet Technologies BV A117 A121 A125 A129 Zyxel A089A144 A093 A097 A099 A101 A107 A131 A135 A145 C130 A101 Sectra Communications BV Egemin Automation A093 D112 Secunia ApS ESET NOD32 Nederland

INFOSECURITY.NL

D E E L N E M E R S i n f osecurit y . n l

plattegro n d i n f osecurit y . n l

Plattegrond

V O L G E N D E P A G I N A W e s tcon Securit y en C h ec k Point Softw a re T ec h no l o g ie s b unde l en k r a c h ten ti j den s info s ecurit y 2 0 1 1 › P . 2 6

ENTREE INFOSECURITY.NL HOOFDMEDIAPARTNERS

SPONSOREN

MEDIAPARTNERS

PARTNERS

24

MM 02 | najaar 2011

25

H E A D L I N E W e s tcon Securit y en C h ec k Point Softw a re T ec h no l o g ie s b unde l en k r a c h ten ti j den s info s ecurit y 2 0 1 1 V O L G E N D E P A G I N A Lever a ncier in de s c h i j nwer p er s : Secur E nvo y › P . 2 8

Westcon Academy


Hal 1, stand F120

Westcon Security en Check Point Software Technologies

bundelen krachten tijdens Infosecurity 2011 Westcon Security is sinds jaar en dag de meest toonaangevende securitydistributeur in Nederland. Van meet af aan vertegenwoordigt zij de producten van Check Point Software Technologies, waarbij de distributeur zich onderscheidt op het gebied van advisering, levering en ondersteuning op alle onderdelen van de Check Point-propositie. Vanuit Check Point Software Technologies is Westcon Security niet alleen een bijzonder belangrijke handelspartner, maar ook een partner die resellers daadwerkelijk helpt in hun ontwikkeling door het aanbieden van gezamenlijke marketingprogramma’s en actieve salessupport. Het is dan ook niet verwonderlijk dat Check Point Software Technologies zich zo nadrukkelijk met Westcon Security wil profileren tijdens de meest toonaangevende securitybeurs in Nederland. De sterke relatie tussen Check Point Software Technologies en Westcon Security wordt vervolgens gecomplementeerd met Motiv IT Masters. Het accent tijdens Infosecurity.nl zal dit jaar liggen op de 3D-filosofie van de leverancier, waarin niet de technologische infrastructuur centraal staat, maar de gebruiker. In een sterk veranderde wereld, met een enorme diversiteit aan devices en gebruikers, levert Check Point Software Technologies de juiste beveiliging. Of het nu gaat om netwerken, desktops, laptops, smartphones of tablets, de oplossingen van deze leverancier en het centrale beheerplatform staan garant voor een optimale bescherming.

26

MM 02 | najaar 2011

De samenwerking tussen Westcon Security en haar leveranciers komt verder tot uiting op de stand van Westcon Academy (Hal 1, stand E120), het officiële opleidingsinstituut van Westcon Security. Daar wordt niet alleen aandacht besteed aan de officiële trainingen van Check Point, maar ook aan die van Trend Micro, Blue Coat, F5, Juniper en Infoblox. Daarnaast biedt de distributeur een scala aan maatwerktrainingen op het gebied van infrastructuur, security en mobility.

Infosecurity 2011 Hal 1, stand B171

Motiv IT Masters en Westcon Security werken in dit verband nauw samen, waarbij een belangrijk deel van de door Motiv aangeboden trainingen worden gefaciliteerd door de Westconorganisatie. Westcon Group Westcon Security is onderdeel van de Westcon Group. Deze wereldwijd opererende groep vertegenwoordigt vele toonaangevende leveranciers. In Nederland vertegenwoordigt Westcon Security onder andere Blue Coat, Juniper, RSA, F5, Websense, Aruba, Trend Micro, Skybox Security, Check Point Software Technologies, SonicWALL en Infoblox. Voor meer informatie over Westcon Security: www.westconsecurity.nl Tel. 030-602 54 73 Voor het totale Westcon Academy aanbod, ga naar: www.westconsecurity.nl/content/academy

27

H E A D L I N E W ie b ent u ?

V O L G E N D E P A G I N A V vAA vindt de b a l a n s › P . 3 0

L everancier in de schi j nwerpers : S ec u r E nvo y

“ The stark reality is that many organisations make the decision that the security offered by two factor authentication isn’t justified against the level of investment required. Tokenless provide the answer allowing you to make the sale – our subscription sales model has proved a viable, and very popular, alternative.” Stephen Watts, Sales Director SecurEnvoy

SecurEnvoy App.

‘Het Nieuwe Werken’ en ‘papierloos

sms-authenticatie geboren. Nu, ruim acht jaar later, heeft SecurEnvoy een ruim scala aan klanten verdeeld over vijf continenten en blijft de markt voor SecurEnvoy flink groeien.

of telewerkvoorziening. Dit betekent dat SecurEnvoy erg interessant is voor ondernemingen die het concept ‘Bring Your Own Device’ (BYOD) willen stimuleren.

De sms-authenticatie van SecurEnvoy wordt aangeboden in twee varianten. De eerste variant is in de vorm van een One Time Password (OTP) zoals we al kennen van de hardwaretokens. Dit wachtwoord is één keer te gebruiken. Daarnaast is het mogelijk om codes te sturen die een bepaalde periode geldig zijn. Bijvoorbeeld een dag of een week. SecurEnvoy-serversoftware is geschikt gemaakt voor Windows- en Linux-servers en leent zich uitermate goed voor installatie op een virtuele server. De software is zeer gebruiksvriendelijk en makkelijk in beheer. Doordat de SecurEnvoy-oplossing handig gebruikmaakt van de bestaande user-directory (zoals Active Directory) is een aparte gebruikersadministratie niet nodig. En dankzij het gebruik van open protocollen als Radius en LDAP, past de oplossing zonder moeite in ieder portaal of authenticatieclient. Zo kunnen sms-tokens worden gebruikt voor toegang tot webapplicaties zoals bijvoorbeeld Outlook Web Access, Microsoft IIS, Citrix en Lotus en alle typen telewerkvoorzieningen (SSL VPN, VPN).

Google Authenticator App De allernieuwste SecurEnvoy-software werkt nu ook met de populaire Google Authenticator App*. In plaats van een sms-bericht met de tokencode wordt deze code binnen de App getoond. Het voordeel is dat er dan geen kosten voor de sms-berichten zijn. De Google Authenticator App is een klein stukje software waar je meerdere tokens tegelijkertijd kunt opslaan. Zo kan de Google Authenticator App zakelijk worden gebruikt voor ‘Het Nieuwe Werken’ en tegelijkertijd

* 1. Kennis. Iets wat je weet is bijvoorbeeld een wachtwoord, een pincode of een geheime zin. Om diefstal van de identiteit tegen te gaan, is het de bedoeling dat dit bewijs geheim is en niet uitlekt. Een hacker zal proberen de identiteit van iemand over te nemen door een wachtwoord te raden of te kraken. Om die reden wordt in professionele omgevingen dan ook het gebruik van complexe wachtwoorden afgedwongen, die periodiek moeten worden gewijzigd.

Deze QR-code leidt u naar de ‘Trial Download’ waarmee u SecurEnvoy dertig dagen lang kunt uitproberen.

* 2. Bezit. Dit betekent dat het bewijs van de identiteit wordt geleverd door het gebruikmaken van een fysiek herkenningsteken, dat door of namens het autoriserende systeem werd uitgereikt. Te denken valt aan een ‘token’ zoals een chipkaart (de smartcard), een usb-sleutel of een zogenoemd sms-token. In dit laatste geval wordt voor controle eenmalig een unieke code per sms verstuurd naar een bekend mobiel telefoonnummer van de gebruiker. Deze code moet de gebruiker – ter controle dat hij de telefoon in bezig heeft – invoeren.

4 4

onderuit. Sterke authenticatie!

1

3

Met SecurEnvoy SecurAccess biedt Motiv een krachtige oplossing in de vorm van sms-authenticatie.

H

et gebruik van alleen een gebruikersnaam en wachtwoord is te kwetsbaar en daardoor niet geschikt voor telewerken en Het Nieuwe Werken. Tot een paar jaar geleden losten we dit vraagstuk eigenlijk standaard op door gebruik te maken van hardwaretokens. Dit is in de praktijk vaak een prijzige maatregel, zeker als een gebruiker het token maar af en toe gebruikt. Met de komst van SecurEnvoy is het authenticatievraagstuk een stuk gemakkelijker, gebruiksvriendelijker en eenvoudiger geworden. Door gebruik te maken van de mobiele telefoon vervalt de aanschaf, uitrol en vervanging van ‘dure’ hardwaretokens. Daarnaast is het voor de gebruiker ook nog een stuk handiger, want met je eigen mobiele telefoon heb je direct je token bij je.

SecurEnvoy – zekerheid en eenvoud SecurEnvoy, de uitvinder van sms-authenticatie, is gevestigd vlakbij Londen en werd in 2003 opgericht door Andrew Kemshall en Stephen Watts. Twee heren die, nadat ze hun sporen in de authenticatiemarkt ruimschoots hadden verdiend, vonden dat het tijd was voor een andere benadering van authenticatie. Hierdoor werd, na een intensieve periode van coderen en testen,

Wat is sterke authenticatie? Voordat een gebruiker toegang tot informatiesystemen krijgt, zal hij zich moeten identificeren. Normaal gesproken doet een gebruiker dit door het invoeren van een gebruikersnaam en bijbehorend wachtwoord. Wachtwoorden kunnen relatief eenvoudig worden geraden of gekraakt. Om die reden wordt dit controlemechanisme ook wel zwakke authenticatie genoemd. Door meerdere controlemechanismen te combineren, is er sprake van sterke authenticatie. Hierbij zijn drie vormen van bewijs bruikbaar:

werken’ kunt u er eigenlijk niet meer

Sms-authenticatie leent zich perfect om een klantenportaal te voorzien van sterke authenticatie. Door het telefoonnummer van de klant op te nemen in een sms-authenticatieoplossing is de gebruiker direct voorzien van een sterk authenticatiemiddel om in te loggen op uw portaal. Dit biedt zekerheid voor u en veiligheid voor de klant.

SecurEnvoy Trial

h eeft ook een eigen

maar met de komst van zaken als

7

tokenless, that's all there is!

Waarschijnlijk gebruikt u het al,

2

WIE BENT u?

*SecurEnvoy

Bring Your Own Device De gebruiker gebruikt zijn eigen mobiele telefoon als tokendevice. Doordat er geen extra hardwaretokens voor deze oplossing nodig zijn, is dit beter voor het milieu en bespaart u enorm in de kosten voor sterke authenticatie. Een ander voordeel is de beschikbaarheid: je wilt telefonisch goed bereikbaar zijn, en daarom heb je je eigen mobiele telefoon altijd bij je. Er is geen extra software voor de telefoon nodig, waardoor de oplossing zeer gebruiksvriendelijk is en gegarandeerd met alle soorten telefoons werkt. De gebruiker kan dankzij zijn eigen mobiele telefoon op een beveiligde manier aanloggen op het bedrijfsnetwerk, portal

privé worden gebruikt voor toegang tot Google Gmail. De App is beschikbaar voor de iPhone, BlackBerry en Android. Het principe werkt snel en eenvoudig: een nieuwe gebruiker registreert zich door middel van sms-authenticatie bij de zakelijke telewerkvoorziening van kantoor. Direct na de registratie wordt een zogenoemde QR-code – met daarin een OTP-codegenerator – op het scherm getoond. Deze kun je met de Google Authenticator App scannen en daarmee is het token in de Google Authenticator App opgeslagen. Vanaf dat moment kun je direct telewerken.

* 3. Persoonlijke eigenschap. Een uniek identificerend kenmerk van een persoon wordt opgeslagen in een authenticatiedatabase. Voorbeelden zijn een vingerafdruk of irisherkenning. Sms-authenticatie met SecurEnvoy is een combinatie van iets wat iemand weet (wachtwoord/pincode) plus iets wat een gebruiker heeft (mobiele telefoon). Daarmee biedt de oplossing een gedegen vorm van sterke authenticatie. Deze vorm is uitstekend en toepasbaar voor telewerken via internet en toegang tot webapplicaties met persoonlijke of gevoelige informatie.

29

H E A D L I N E V vAA vindt de b a l a n s

V O L G E N D E P A G I N A p a s s ie voor z ei l en › P . 3 4

I nterview P a u l van de B erg , S ec u rit y officer bi j V v A A

VvAA vindt de balans Bij VvAA, de ledenorganisatie en dienstverlener voor professionals in de gezondheidszorg, zoekt Security officer Paul van de Berg steeds naar de balans. “Informatiebeveiliging is niet alleen een kwestie van techniek, maar ook van menselijk gedrag. Eigenlijk gaat het om de drie-eenheid techniek, gedrag en monitoring. Die drie-eenheid moet ervoor zorgen dat vertrouwelijke gegevens van onze leden optimaal beveiligd zijn.” Motivator sprak met Van de Berg over de invulling van deze drie speerpunten.

Paul van de Berg, Security officer bij VvAA 30

MM 02 | najaar 2011


‘ Visie op informatie beveiliging moet geen papieren tijger zijn’

De geschiedenis van VvAA staat in het teken ‘van en voor’ zorgprofessionals. Als medicus werd je lid van de club en leden kregen de mogelijkheid om producten af te nemen van VvAA. Tegenwoordig kunnen professionals in de gezondheidszorg voor elke verzekering, maar ook voor bijvoorbeeld financieel advies, praktijkvestiging, het opstellen van de jaarrekening, het regelen van een reis en juridische bijstand terecht bij VvAA. Bovendien levert VvAA ook producten en diensten aan medische instellingen. Met als insteek het regelen van een totaalpakket voor de professional in de gezondheidszorg staat VvAA nu zeer bekend in de markt voor professionals binnen de zorg. “Door de aard van onze dienstverlening spreekt het voor zich dat wij beschikken over veel vertrouwelijke informatie van onze leden”, zegt Paul van de Berg, Security officer bij VvAA. “Daar moeten en willen wij zeer zorgvuldig mee omgaan. Het belang van de leden is voor ons altijd het uitgangspunt. We willen en kunnen geen imagoschade oplopen doordat vertrouwelijke gegevens van onze leden op straat komen te liggen.”

‘Het gaat om de drie-eenheid techniek, gedrag en monitoring, daar moet de juiste balans zijn’ Strategisch niveau Door de hoge eisen die VvAA stelt aan een veilige verwerking van vertrouwelijke gegevens, neemt informatiebeveiliging een strategische positie in binnen de organisatie. Om het hoge niveau van informatiebeveiliging binnen VvAA te waarborgen, is ervoor gekozen om security te positioneren in de afdeling Risk Management die opereert naast de ICT-afdeling. Binnen Risk Management opereert de Security officer als voornaamste aanspreekpartner voor ICT, het ‘één-loket-principe’. Zowel voor interne als externe beveiligingszaken is de Security officer binnen zijn vakgebied verantwoordelijk. Vanwege de strategische positie van informatiebeveiliging rapporteert de Security officer rechtstreeks aan de hoofddirectie van VvAA.

Projecten bij VvAA worden uitgevoerd volgens de PRINCE2-methodiek. Bij de totstandkoming van elk Project Initiatie Document is standaard een securityparagraaf opgenomen met daarin specifieke zaken aangaande informatiebeveiliging voor dat project. “Van groot belang is dat je bij ieder project meedoet aan het begintraject, zodat aan het eind niet nog allerlei security-issues moeten worden opgelost”, legt Van de Berg uit. “Dan staan efficiencybelangen en beveiliging soms haaks op elkaar!” De grote uitdaging voor Van de Berg is ervoor te zorgen dat informatiebeveiliging als strategisch onderwerp ‘geen papieren tijger’ is. Van de Berg doet dat door aan het securitybeleid een > 31


H E A D L I N E V vAA vindt de b a l a n s

I nterview P a u l van de B erg , S ec u rit y officer bi j V v A A

praktische invulling te geven aan de hand van de drie-eenheid techniek, gedrag en monitoring. “Beveiliging loopt over meerdere sporen”, licht Van de Berg toe. “Het is niet alleen een kwestie van techniek, maar ook (en misschien wel vooral) een kwestie van menselijk gedrag. De drieeenheid techniek, gedrag en monitoring moet ervoor zorgen dat vertrouwelijke gegevens van onze leden optimaal beveiligd zijn.”

Techniek De praktische invulling van het beveiligingsbeleid is voor VvAA een balans tussen zelf doen en uitbesteden aan derden. Van de Berg: “Wij werken al jaren samen met Motiv. Motiv is onze ‘partner in crime’ op het gebied van security. Zij zijn experts in informatiebeveiliging en beheren niet alleen de firewalls, maar zijn ook verantwoordelijk geweest voor de implementatie van een SIEMoplossing. Login-files, loganalyses, het is zeer specialistisch werk dat je beter aan de deskundigen kunt overlaten. Bovendien beschikken zij over een 24x7 monitoringcapaciteit. Dat hebben wij niet met onze ICT-afdeling.”

managed services-diensten? Wij kiezen de beste oplossing voor onze leden en onze medewerkers.” Overigens, zo voegt hij eraan toe, werkt de organisatie ook wel samen met andere securityexperts. “Je wilt jezelf niet afhankelijk maken van één partij.”

jaar geleden. “Het onderwerp is tegenwoordig zo vaak als incident in verschillende nieuwsmedia terug te vinden dat onze medewerkers het belang van een goede informatiebeveiliging sneller inzien. Naast de media zijn het overigens tegenwoordig ook de leden die ons opbellen met de vraag of hun gegevens wel in goede handen zijn. Je merkt overal aan dat het onderwerp leeft.”

Gedrag Om het gedrag te beïnvloeden, maakt VvAA gebruik van twee soorten campagnes: een generieke awareness-campagne met als titel ‘Informatiebeveiliging heb je zelf in de hand’, waarbij iedere maand een ander thema wordt behandeld, en een campagne die specifiek is gericht op een afdeling. Van de Berg: “Elk kwartaal heb ik overleg met de lijnmanager van een afdeling om de specifieke zaken aangaande informatiebeveiliging te bespreken. Je kunt je voorstellen dat die voor een postkamer anders zijn dan voor

Monitoring Monitoring is een derde punt van belang in Van de Bergs visie. “Onze organisatie moet voldoen aan de richtlijnen van De Nederlandse Bank. Deze beoordeelt regelmatig ons handelen. Dat doet, in onze opdracht, ook Ernst&Young. We nemen technische maatregelen, stellen gedragsregels op en zorgen ervoor dat beide gemonitord worden, zodat we aantoonbaarheid kunnen laten zien. Als het om monitoring van de firewall gaat, dan houdt Motiv dat voor ons bij. In het geval van incidenten nemen ze direct contact met ons op om dat te bespreken.”

‘Eigenlijk zijn we een soort predikant; wij brengen een boodschap over die niet meteen in klinkende munt is om te zetten’

“Ik gebruik de consultants van Motiv ook om mijn gedachten te scherpen”, vervolgt Van de Berg. “Als er ontwikkelingen zijn, dan bespreek ik met hen wat de gevolgen daarvan kunnen zijn voor VvAA. De experts van Motiv zijn immers goed op de hoogte van de technische ontwikkelingen en van onze manier van werken. Er is regelmatig overleg, waarbij Motiv op het gebied van informatiebeveiliging ook een sparringpartner is voor de toekomst. Wij nemen Motiv mee in bijvoorbeeld het advies omtrent de vraagstukken: wel of geen

een afdeling rechtsbijstand. We bespreken ook wat de gevolgen kunnen zijn van actuele ontwikkelingen voor het werken bij VvAA. Denk aan de omgang met social media. Maar ik heb het ook over het ophalen van gasten bij de receptie; dat je niemand door het pand laat dwalen. We spreken mensen aan op hun eigen verantwoordelijkheid. Eigenlijk zijn we een soort predikant; wij brengen een boodschap over die niet meteen in klinkende munt is om te zetten.” Van de Berg vertelt dat het ‘missiewerk’ de laatste jaren wel makkelijker gaat dan pakweg vier, vijf

Zijn uitgangspunt als Security officer is wel dat ‘iedere medewerker toegang moet hebben tot de informatie die hij of zij nodig heeft om zijn werk te kunnen uitoefenen’. Tegenwoordig komt daar bij: any time, anywhere en any device. “Dat stelt behoorlijk wat eisen aan onze beveiliging.”

Does your network security go everywhere your people go? Now, you can deliver secure network access to anyone—on any device— anywhere. And Cisco® Secure Borderless Networks makes it easy. This innovative approach to security integrates protection right into the network— so you can deliver secure user experiences seamlessly. It also uses the unrivaled protection of Cisco Security Intelligence Operations—giving you world-class threat defense. Whether you prefer on-site infrastructure, cloud security solutions, or a combination of both, our portfolio provides outstanding security for today’s mobile workforce. It also has the flexibility to adapt to trends—like IT consumerization and SaaS—without sacrificing security or causing downtime.

Provide any employee with access to any resource from anywhere— and do it securely. Visit cisco.com/go/security today to see what Secure Borderless Networks can do for your company.

“Het moet veilig zijn, maar ook werkbaar”, besluit Van de Berg. “Je kunt niet van iemand verlangen dat hij bijvoorbeeld vier of vijf keer extra moet klikken om iets heel veilig te kunnen uitvoeren. Dan vraag je erom dat mensen een omleidingsroute bedenken. Je moet daar een evenwicht in zien te vinden. Daar moet de balans zijn.”

Voor professionals in gezondheidszorg VvAA is een dienstverlener en ledenorganisatie die haar producten en diensten aanbiedt aan meer dan 100.000 medici, paramedici, studenten en zorginstellingen in Nederland. Sinds haar oprichting in 1924, is VvAA uitgegroeid tot een organisatie die opereert in het hart van de gezondheidszorg. De producten en diensten van VvAA zijn afgestemd op de hedendaagse (para)medische wereld en de wensen en behoeften van zorgprofessionals. Teams van specialisten, praktijkadviseurs en consultants staan hen dagelijks met kennis en kunde bij in hun zakelijke aangelegenheden. Van verzekeringsproducten, fiscale en juridische vraagstukken,

32

MM 02 | najaar 2011

praktijkadvies, en bancaire diensten, tot het opstellen van de jaarrekening. Daarnaast biedt VvAA dienstverlening met een meer persoonlijk karakter zoals het kopen van een huis, vermogensbeheer, het oplossen van arbeidsgeschillen en aansprakelijkheids- en tuchtrechtkwesties en mediation. Maar ook de organisatie van evenementen, opleidingen en workshops specifiek voor leden en het maandelijkse magazine Arts & Auto behoren tot de dienstverlening. Bij VvAA werken ruim 800 mensen, verdeeld over de hoofdvestiging in Utrecht, regiokantoren door het land en praktijkadviseurs in het veld.

welcome to the human network.

H E A D L I N E p a s s ie voor z ei l en

V O L G E N D E P A G I N A Lever a ncier in de s c h i j nwer p er s : C h ec k Point Softw a re T ec h no l o g ie s › P . 3 6

interview bart verhaar , motiv

Bart Verhaar (31), Security Consultant bij Motiv “Vraag mij wat ik het liefst doe en ik antwoord zeilen. Vraagt mijn vriendin het, dan zeg ik natuurlijk zeilen met mijn vriendin. Eigenlijk zeil ik al mijn hele leven. Een jaar voordat ik geboren werd, ging mijn vader zijn zelfgebouwde 16 m² boot voor het eerst te water. In deze zeilboot, in de volksmond beter bekend als BM (Bergumermeer), zeil ik nog steeds op woensdagavond wedstrijdjes op de Vinkeveense Plassen. Daarnaast ben ik na heel wat dwalingen, Optimistjes, Zeeverkennersvletten en de nationale Valkenklasse op een scherp jacht terechtgekomen. In 2001 werd ik door mijn toenmalige werkgever en nu goede vriend gevraagd om samen met hem een zeilteam samen te stellen om met zijn jacht wedstrijden te gaan varen. Al snel volgde de eerste wedstrijd op de Blue Eyes, een Beneteau First 47.7. Dat was wel even wennen. Van een open boot van 6,5 meter, naar voordekker op een schip van ruim 14,5 meter. Door veel te trainen, wedstrijden te varen en veel fouten te maken ontstond een hecht succesvol team van acht man. Mijn taak is ondertussen gewijzigd: van voordekker werd ik pitman en sinds 2009 ben ik tacticus aan boord.”

Op andere dagen dan werkdagen 34

MM 02 | najaar 2011

Techniek en tactiek gaan zeker samen “Als tacticus krijg je de kans om het team aan te sturen en daarmee

volgende stap. De Skarp is een ruim 13 meter lang schip van het

de koers van het schip in de wedstrijd te bepalen. Het grappige is

type Landmark 43 dat is gebouwd voor grote prestaties. De ver-

dat voor mij de sport ineens verandert. Waar je eerst veel lichame-

wachtingen zijn dus hooggespannen!

lijke inspanning moest leveren, ben je nu vooral in je hoofd bezig met voorrangsregels, wind, stroming en het team. Het is belang-

Sinds september van dit jaar zijn we iedere week aan het trainen

rijk om het vertrouwen van je team te winnen en dat gaat niet

en de nieuwe boot aan het verkennen. Het is net of je opnieuw

altijd even makkelijk. Vooral als beginnend tacticus was ik erg aan

moet leren zeilen. Alles zit op andere plekken en werkt net even

het twijfelen bij iedere belangrijke beslissing en werd ik dikwijls

anders. Gelukkig hebben we de hele winter de tijd. Om de zondag

beïnvloed door de aanwijzingen van teamleden. En een leider die

zullen we aan de startlijn voor de kust van Scheveningen verschij-

twijfelt, dat werkt niet. Door met je team veel uren op het water te

nen om deel te nemen aan de IJspegelCup. Brrr!

maken, groei je natuurlijk steeds beter in je rol.” We zien de IJspegelCup-wedstrijden als trainingsprogramma om Nieuw elan

volgend seizoen goed voorbereid te starten aan de diverse grote

“Na een tijdje zonder schip ligt sinds deze zomer een prachtig

zeilevenementen. We zullen aan de start verschijnen van onder

nieuw schip, de Skarp, te wachten om door ons te worden gevaren.

andere de Flevo Race en de North Sea Regatta. Uiteraard met maar

De schipper en tevens eigenaar vond dat het tijd werd voor een

één doel. Met het team WINNEN!”

Wil je ons volgen, kijk dan op www.de-jongh.org/blue-eyes

35

H E A D L I N E A p p l ic a tie s onder contro l e met next - g ener a tion firew a l l s v a n C h ec k Point

V O L G E N D E P A G I N A E T R M voor b evei l i g in g com p l exe ondernemin g en › P . 3 8

L everancier in de schi j nwerpers : C hec k P oint S oftware T echnologies

Applicaties onder controle met next-generation firewalls van Check Point Het ‘Bring Your Own Device’-principe heeft de ‘consumerization of IT’ een extra duwtje in de rug gegeven. Persoonlijke devices zoals iPads

Application Control

Data in de cloud

Met Application Control is het perfect mogelijk om te differentiëren op welke internetapplicaties de firewall actief is. Bijvoorbeeld Skype heeft een telefonie-applicatie, een chatapplicatie en een filesharingapplicatie. Met een next-generation firewall kun je instellen welke applicatie wel of niet is toegestaan.

Het opslaan en openen van data in de cloud houdt een groot risico in. Check Point ontwikkelt momenteel volop oplossingen voor cloudbased services. In de softwareblade wordt de ‘user identity’ dan gekoppeld aan cloud-based services. Een firewall op clouddiensten zal echter niet alleen checken op login en password, maar zal de volledige verbinding naar de cloud monitoren. Op termijn ziet Check Point dit evolueren tot versleutelde datastromen naar de cloud.

Het is evengoed mogelijk om met Application Control te differentiëren op het niveau van gebruikersgroepen binnen een organisatie. Je kunt bijvoorbeeld bepalen dat alleen supportgroepen Skype mogen gebruiken en dan alleen de telefonie-applicatie en de rest niet.

en smartphones met daarop applicaties als Twitter, Facebook en Skype worden zonder medeweten van IT geïntroduceerd binnen de grenzen

Check Point ziet de next generation firewalls in de komende jaren nog verder evolueren en voorspelt nog meer consolidatie: naast IPS, Application Control zullen er steeds meer en meer features in de firewalls worden opgenomen.

van het bedrijfsnetwerk. Traditionele firewalls schieten in deze nieuwe werkelijkheid tekort. Met zijn ‘next-generation firewalls’ brengt Check Point Software Technologies ook alle internetapplicaties weer onder controle.

Beveiligingsmaatregelen zijn meestal technische oplossingen. De aankoop van beveiligingsoplossingen is daarom gebaseerd op technische eisen, waarbij prijs en features tegen elkaar worden afgewogen. Al te vaak blijkt achteraf echter een kloof te ontstaan tussen de business en de techniek, omdat bepalen of iets kan of mag alleen wordt getoetst aan de technische haalbaarheid. Tot voor kort was dit vaak niet zo’n groot probleem, maar door nieuwe initiatieven en ontwikkelingen binnen het bedrijfsleven – zoals Bring Your Own Device en de opmars van social media – wordt het organiseren van security op een dergelijke manier steeds lastiger. Zo komen steeds meer bedrijven in

aanraking met social media, Het Nieuwe Werken, cloudcomputing, smartphones, tablets, etcetera. Om in deze nieuwe situatie de controle te houden over bijvoorbeeld de internetapplicaties, zijn firewalls van een nieuwe generatie nodig. In de visie van Check Point zijn ‘next-generation firewalls’ geen trend meer, maar een absolute voorwaarde voor een afdoende beveiliging. Alle Check Pointfirewallproducten en volgende releases zijn dan ook volledig ‘next-generation’-proof.

Second generation firewalls Eigenlijk werd de term ‘next-generation firewall’ al in 2002 door Gartner genoemd, maar het heeft

Arthur van Uden, Country Manager Benelux bij Check Point Software Technologies

tot 2007-2008 geduurd voordat de eerste implementaties op de markt verschenen. Een next-generation firewall bouwt voort op de firewalls van de tweede generatie die in de jaren negentig zijn ontwikkeld. Het was Check Point dat begin jaren negentig met ‘stateful inspection’ het basisprincipe van deze generatie firewalls uitvond. Stateful inspection is een firewallarchitectuur die werkt op het netwerkniveau. In tegenstelling tot statische pakketfiltering – waarbij de headers worden gecontroleerd van de pakketjes die heen en weer stromen tussen het vertrouwde netwerk en het internet – checkt stateful inspection of pakketjes deel uitmaken van een doorlopende dialoog tussen een zender en ontvanger. Pakketjes worden

uitsluitend goedgekeurd als ze deel uitmaken van een goedgekeurd gesprek of proberen een toegelaten verbinding tot stand te brengen. Een andere belangrijke technologie die deel uitmaakt van deze second generation firewalls is IPS: Intrusion Prevention System. Dit is een netwerkbeveiligingstechnologie die het netwerk constant monitort en vijandige aanvallen blokkeert en voorkomt. Het grote verschil met Intrusion Detection Systemen is dat IPS’en inline actief zijn en daadwerkelijk vijandige aanvallen kunnen blokkeren en voorkomen. Check Point heeft op zijn softwareblade de firewall en IPS gecombineerd in één systeem.

Next-generation firewalls

In de visie van Check Point zijn ‘next-generation firewalls’ geen trend meer, maar een absolute voorwaarde voor een afdoende beveiliging 36

MM 02 | najaar 2011

Next-generation firewalls voegen aan bovenstaande nog een extra technologie toe, namelijk ‘Application Control’. Voor Check Point is dit het belangrijkste onderdeel van een next-generation firewall. Check Point ziet deze next generation

firewalls in de komende jaren nog verder evolueren en voorspelt nog meer consolidatie: steeds meer features zullen in de firewalls worden opgenomen. De uitbreiding van de featureset zal worden ingegeven door nieuwe ontwikkelingen op het vlak van bijvoorbeeld social media en de cloud.

3D Security Om als organisatie op deze trends te kunnen inspelen en ze zelfs in je voordeel te benutten, heeft Check Point 3D Security geïntroduceerd. Bij 3D Security staat de gebruiker centraal. Dit betekent dat je als bedrijf heel eenvoudig het bedrijfsbeleid kan vertalen naar een technisch beleid op basis van de gebruiker of gebruikersgroep. Daarbij wordt niet alleen bepaald wie wat kan en mag op technisch vlak, maar wordt de gebruiker ook actief betrokken bij het beleid. Zo wordt hij geïnformeerd wanneer bepaalde acties niet meer mogelijk zijn en kan hij soms alsnog zelf beslissen om er al dan niet mee door te gaan.

Deze ‘User Check’-optie is onder andere beschikbaar bij Application Control en Data Loss Prevention. Gebruikers worden gewaarschuwd als ze naar bepaalde sites surfen of als ze bepaalde documenten of gegevens versturen. Hen informeren dat ze een handeling uitvoeren die tegen het bedrijfsbeleid is of hen zelfs de mogelijkheid te geven te beslissen of de handeling mag of niet, maakt hen veel bewuster van het beveiligingsbeleid. En het heeft tevens een educatief aspect. Naast de grotere betrokkenheid van de gebruiker, kun je met 3D Security ook het beveiligingsbeleid van de gebruiker laten volgen. Ongeacht de locatie van de gebruiker (thuis, onderweg, bij de klant of op kantoor) en het toestel dat hij gebruikt (mobiel, laptop of desktop) is het atijd duidelijk wat hij mag en kan. Uiteraard kun je hierin als bedrijf differentiëren. 3D Security stelt je in staat een flexibel en daadkrachtig beveiligingsbeleid uit te tekenen waarbij de gebruiker centraal staat.

37


H E A D L I N E E T R M voor b evei l i g in g com p l exe ondernemin g en V O L G E N D E P A G I N A s ervice s te a m s p in in h et we b › P . 4 0


ETRM voor beveiliging complexe ondernemingen ‘ It is no secret today that the enterprise – almost any significant enterprise – is under attack in its information and IT domains’ Jay Huff, EMEA Marketing Director van ArcSight, onderdeel van HP

Moderne ondernemingen zijn complex. We hebben te maken met: de vraag naar het delen van informatie met klanten en partners, de vereisten voor snelheid, flexibiliteit en efficiëntie en de mogelijkheid voor veranderingen binnen al deze factoren. Het beveiligen van een onderneming lijkt dan ook een grote uitdaging. HP-dochter ArcSight biedt de helpende hand met ‘Enterprise Threat and Risk Management’. Om uw meest waardevolle gegevens en IT te beschermen, is kennis van de diverse onderdelen van het probleem noodzakelijk. We onderscheiden hier vier ‘deelproblemen’: 1. Voor de vijand zijn er vele aanvalspaden om te gebruiken. Dit is onder andere toe te schrij ven aan (veelal onontdekte) erfelijke kwets baarheden, social engineering-aanvallen die steeds slimmer worden, de mogelijkheid dat bekende problemen niet correct of niet volledig worden gepatcht, en het gebrek 38

MM 02 | najaar 2011

2.

aan detailkennis van de systemen of configuraties binnen het grote netwerk. Vooraanstaande organisaties (publiek of privaat) bezitten informatie die van strategisch belang is voor een aantal vijanden of concurrenten. Hoe belangrijker de informatie, hoe meer het voor de hand ligt dat bepaalde vijanden proberen in te spelen op elke zwakte om zodoende in het cyberdomein te stelen wat niet via open en makkelijke methodes verkrijgbaar is.

3. Mensen gebruiken systemen om toegang tot informatie te verkrijgen, maar kunnen door eenvoudige fouten en kwaadaardige acties de integriteit van de systemen in gevaar brengen. 4. Een aanvaller heeft maar één pad nodig om binnen te komen, terwijl beveiligers álle mogelijke toegangspaden in kaart moeten brengen en moeten bewaken. Het enige haalbare en duurzame antwoord op de hierboven omschreven probleemgebieden is een goed geïnformeerde aanpak van Information Risk Management. Deze aanpak noemen we ‘Enterprise Threat and Risk Management’. ETRM is een holistische benadering die voortborduurt op bestaande beveiligingsimplementaties. Om meer te lezen en te weten te komen, over de belangrijkste elementen, bezoek www.motiv.nl en download het hele (Engelstalige) artikel. 39

H E A D L I N E Service s T e a m s p in in h et we b

V O L G E N D E P A G I N A ArcSi g h t g eeft c y b ercrimine l en g een k a n s › P . 4 2

I nterview A nne Karine H af k amp , C o ö rdinator S ervices T eam bi j M otiv

In april van dit jaar werd de kwaliteit van de service-organisatie van Motiv door DEKRA (voorheen KEMA Quality) beloond met het behalen van het felbegeerde ISO/IEC 20000-1:2005-certificaat. “Daarmee laten we zien dat we een professionele ‘service business line’ zijn”, reageert Anne Karine Hafkamp, bij Motiv coördinator van het Services Team. Voor Motivator aanleiding om eens te kijken hoe Motiv zijn ‘Services’ heeft ingericht.

D

e afdeling Services binnen Motiv bestaat uit de Motiv Service Organisatie (MSO) en het Services Team. Het Services Team – waar Anne Karine Hafkamp leiding aan geeft – is ongeveer een jaar geleden opgezet. “We constateerden dat als gevolg van de sterk toegenomen vraag naar services er meer structuur noodzakelijk was. Naast de focus op operationele zaken zoals incidenten en problemen oplossen, is er behoefte aan een gedegen servicestrategie. Onze klanten willen dat we onze diensten continu innoveren en tegelijkertijd zekerheid en continuïteit bieden”, vertelt Hafkamp. “Als bijvoorbeeld een firewall down is, is het niet alleen belangrijk om het probleem zo snel mogelijk te verhelpen, maar ook om in te kunnen schatten wat voor de klant de impact van die storing is en hoe we dit in toekomst kunnen voorkomen.”

Planmatige aanpak “Waar MSO alle operationele services verzorgt, pakt het Services Team alles op wat planmatig is”, legt Hafkamp uit. “Dan moet je denken aan zaken als contractbeheer en het bewaken van de overeengekomen service levels. Maar als Services Team kijken we ook of de beveiliging van de klant nog optimaal is, of er misschien innovaties mogelijk zijn en of de beveiliging nog aansluit op de business van de klant. Het Services Team is er dus ook voor de klant als er geen problemen zijn.”

Volgens Hafkamp is de professionaliteit met het Services Team naar een hoger niveau getild. “De mensen binnen het Services Team hebben de kennis van ITILv3 en alles is ingericht conform ISO 20.000 waarvoor we nu ook het certificaat hebben behaald.” Een voorbeeld van de ITIL-gedreven aanpak van het Services Team is de manier waarop het contact met de klant is ingericht. Een centrale rol is daarbij weggelegd voor de Motiv Security Portal (MSP). Hafkamp: “Dit is de communicatieportal waarin alle servicerequests worden vastgelegd. Hierin komen de meldingen van incidenten, requests for information en additionele werkzaamheden, maar ook alle rapportages die we met de klanten hebben afgesproken worden hier beschikbaar gesteld.” “Een duidelijke trend is dat we steeds meer managementinformatie verschaffen aan de klant waardoor die klant zich kan concentreren op zijn kernactiviteiten”, concludeert Hafkamp. “We hebben diverse tooling om te

‘ Een duidelijke trend is dat we steeds meer managementinformatie verschaffen aan de klant’

Services Team spin in het web

Het Services Team bedient als ‘spin in het web’ ook de afdelingen binnen Motiv zelf, zo benadrukt Hafkamp. “Zo is er voor servicestrategie en servicedesign bij onze klanten een hechte samenwerking met Business Development. Business Development kijkt vooral wat de marktontwikkelingen zijn, en wij waar onze klanten behoefte aan hebben. Dat komt op een bepaald punt samen. Op die manier kunnen we voor onze klanten continu innoveren en tegelijkertijd zekerheid bieden.”

Professioneler De opsplitsing van Services in een Service Organisatie en een Services Team heeft volgens Hafkamp als voordeel dat ‘problemen ook echt worden onderzocht’. “Incidenten worden direct verholpen en daarna gaan we kijken naar de uiteindelijke oplossing. Een probleem dat vijf keer per maand optreedt kan ook vijf keer per maand worden verholpen, maar dan ben je als klant nog steeds niet gelukkig. Met het bouwen van een knowledge base zijn wij een serieuze sparringpartner.”

laten zien hoe wij het beheer doen. Dat is ook nodig om klanten met eigen weten regelgeving te bedienen. Doordat onze Service Organisatie heel ‘smooth’ is ingericht, kunnen we heel makkelijk nieuwe klanten opschakelen en het beheer voor ze doen.”

ITILv3 Information Technology Infrastructure Library, meestal afgekort tot ITIL, is ontwikkeld als een referentiekader voor het inrichten van de beheerprocessen binnen een ICT-organisatie. Het doel van het toepassen van ITIL is de continue verbetering van de dienstverlening en daarmee de klanttevredenheid. Naast de operationele processen zijn er bij ITILv3 ook vastomlijnde processen voor het ontwikkelen van een servicestrategie voor de innovatie en doorontwikkeling van bestaande diensten. ITILv3 is een standaard die zich richt op de complete levenscyclus van services. Daarbij kent ITILv3 – in vergelijk met ITILv2 – een duidelijk klantgerichte benadering.


40

MM 02 | najaar 2011

41

H E A D L I N E HP ArcSi g h t g eeft c y b ercrimine l en g een k a n s

L everancier in de schi j nwerpers : H p A rc S ight

APT-aanvalstechnieken kennen in het algemeen drie fasen:

HP ArcSight

geeft cybercriminelen geen kans

1. Binnendringen in de netwerkinfra structuur van het doelwit, bijvoorbeeld door phishing of het via downloadsites aanbieden van malafide software of besmette documenten. Het doel is om, ondanks de restricties van de internet- firewall, binnen te dringen via een kwetsbare pc of server. 2. Aanval op de systemen of databases. Eenmaal binnen kan de hacker zich voordoen als geautoriseerde gebruiker of systeem. Via het besmette systeem gaat de hacker op zoek naar data of naar mogelijkheden om meet- en regelsystemen te manipuleren. 3. Data lekken of systemen manipuleren. Zodra de aanval op het systeem of database is gelukt, komt de meest schadelijke stap. De data worden gestolen en via standaard toegestaan netwerkverkeer (e-mail) op versleutelde wijze gelekt naar de aanvaller. Bij aanvallen op meet- en regelsystemen worden op afstand commando’s verstuurd om het systeem te manipuleren.

Cyberaanvallen hebben in 2010 en 2011 veel aandacht in de media gekregen. En dat is niet voorniets: de potentiële schade van cyberaanvallen kan enorm oplopen. Een veelvoorkomende techniek bij deze cyberaanvallen zijn zogenoemde advanced persistent threats (APT’s). APT’s zijn zeer moeilijk te signaleren en nog moeilijker met traditionele beschermingsmaatregelen te voorkomen. ArcSight biedt oplossingen om complexe cyberaanvallen zoals APT’s te signaleren en daarmee schade te voorkomen of te beperken.

Hacking in het nieuws Medio juni 2010 ontdekte een antivirusfabrikant uit Wit-Rusland nieuwe kwaadaardige malware, genaamd ‘Stuxnet’. Stuxnet had twee opvallende eigenschappen: het maakte gebruik van een op dat moment nog onbekende softwarelek in Windows en het was specifiek gericht op industriële controlesystemen die in fabrieken en installaties worden gebruikt. Stuxnet heeft daarmee op confronterende wijze aangetoond dat hackers duidelijk enorme schade kunnen aanrichten aan de vitale sector zoals netbeheerders en energiemaatschappijen. RSA Security maakte op 17 maart van dit jaar bekend slachtoffer te zijn geworden van een gerichte hackersaanval. Daarbij hebben hackers toegang gekregen tot interne systemen, inclusief systemen gerelateerd aan de SecureID-beveiligingsproducten van RSA Security. Begin juni heeft RSA bekendgemaakt dat de verkregen informatie tijdens de hackersaanval van begin maart is gebruikt om een gerichte aanval uit te voeren op defensieleverancier Lockheed Martin.

certificaten in omloop gekomen. De DigiNotar certificaten zijn sindsdien niet meer als veilig geaccepteerd. Het frauduleuze DigiNotar-certificaat voor google.com is volgens Govcert.nl, het Cyber Security en Incident Response Team van de overheid, daadwerkelijk voor hackingactiviteiten gebruikt. Hiermee wordt op pijnlijke wijze duidelijk dat hackers kwaadwillenden in de gelegenheid hebben gesteld om in Nederland het netwerkverkeer van buitenlandse burgers af te luisteren. Maar evenzo had deze aanval voor de Nederlandse overheid veel schadelijker kunnen zijn.

motiveerd, goed georganiseerd en gefinancierd zijn. De zeer schadelijke aanvalsmethode die daarbij wordt toegepast, is vaak een zogenoemde advanced persitent threat. Criminelen maken lang niet meer alleen gebruik van automatische securityscanningsoftware en welbekende beveiligingslekken van softwareleveranciers. Er is bij APT’s duidelijk sprake van een goed gecoördineerde menselijke betrokkenheid bij de aanval. Het doel is datadiefstal of manipulatie van bijvoorbeeld meet- en regelsystemen zoals bij ‘Stuxnet’ het geval was.

Proactieve beschermen Uit deze nieuwsfeiten blijkt dat hacking een enorm risico is voor het bedrijfsleven en de (rijks)overheid. Op 22 februari van dit jaar heeft minister Opstelten de Nationale Cyber Security Strategie gepresenteerd. De strategie bevat een integrale aanpak van cybersecurity. Onderdeel van deze strategie is grip krijgen op de gevolgen van cybercriminaliteit en cyberwar.

APT’s zijn middels preventieve beveiligingsmaatregelen zoals firewalls bijna niet te voorkomen. Zelfs signalering van een APT is uiterst complex. Dat is wel duidelijk als zelfs beveiligingsbewuste ondernemingen zoals RSA Security en Lockheed Martin kwetsbaar blijken. De oplossing moet worden gezocht in een proactieve bescherming van de digitale activa, en dat is precies de expertise van ArcSight.

werken, datacenters en applicaties. Met het ArcSight-platform heeft een organisatie een oplossing die helpt bij het proactief beschermen van digitale activa. Zodoende kan de impact van de risico’s, verbonden aan cybercriminaliteit, cyberfraude en cyberspionage, aanzienlijk worden beperkt doordat deze eerder en sneller worden opgemerkt.

ArcSight Enterprise Security Manager ArcSight is een onderdeel van de HP-organisatie en is wereldwijd een toonaangevende leverancier van beveiligings- en compliance-managementoplossingen. Het middelpunt van de ArcSight-oplossing is de Enterprise Security Manager (ESM).

ESM analyseert en correleert elke gebeurtenis die zich voordoet in de hele organisatie om zodoende een nauwkeurig overzicht te geven van mogelijke incidenten met de daarbij behorende prioriteit. De ESM-correlatie zeeft de miljoenen logbestanden en logrecords op zoek naar kritieke incidenten. Deze incidenten worden vervolgens gepresenteerd door middel van realtime dashboards en kennisgevingen middels signaleringen als e-mail en sms. Tevens maakt ESM rapportages die kunnen worden gebruikt als bewijslast ten behoeve van compliancy. ArcSight ESM is uniek in zijn soort; waar de meeste SIEM-producten alleen rapporteren op statische informatie kan ArcSight ook overweg met dynamische informatie. ArcSight ESM maakt gebruik van moderne technologieën als patroonherkenning en gedragsmatige analyse om geavanceerde bedreigingen op te sporen. Zodra een bedreiging of risico wordt geconstateerd, kan ArcSight ESM gebruikmaken van de ingebouwde workflowengine om incidenten te beheersen en schade te voorkomen.

APT Op 29 augustus 2011 werd duidelijk dat er elektronisch was ingebroken bij het bedrijf DigiNotar. Daarbij zijn frauduleuze 42

MM 02 | najaar 2011

De eerder genoemde aanvallen hebben gemeen dat er sprake is van hackers met een zeer specifiek doel die bekwaam, ge-

ArcSight beschermt organisaties door volledige inzage te geven in kritische IT-infrastructuren, inclusief alle gebruikers, net-

Bovendien heeft ArcSight een extra functionaliteit om verdacht gebruik van onder andere hoge bevoegdheden te detecteren.

Dit wordt gedaan met ArcSight IdentifyView waarmee een organisatie volledig inzage krijgt in de activiteiten van gebruikers in alle accounts, toepassingen en systemen. Dit stelt organisaties in staat om te begrijpen wie er op het netwerk welke gegevens kan zien en welke acties zij met die gegevens uitvoeren. ArcSight kan ook integreren met andere applicaties en tooling. Zo kan het integreren met verschillende vulnerabilityscanners die gevonden kwetsbaarheden direct rapporteren aan ArcSight. Indien er afwijkingen worden geconstateerd, kunnen deze in verband worden gebracht met mogelijke aanvallen. Zodoende kan ArcSight ESM een hogere prioriteit toekennen aan gedetecteerde risico’s. ArcSight Enterprise Security Manager is uitermate geschikt om te dienen als security-monitoringtool binnen een Security Operating Center (SOC). Het SOC heeft de taak om security incidenten te voorkomen of in een vroeg stadium te detecteren (early warning), om hiermee de impact van het incident te minimaliseren. ESM geeft realtime inzage in de stand van zaken op beveiligingsgebied binnen de IT-infrastructuur waarmee het SOC direct kan schakelen. 43

H E A D L I N E k a t - en - mui s s p e l V O L G E N D E P A G I N A I nterview F r a n k v a n der S p e k , Grou p Securit y & C ontinuit y M a n a g er b i j R o b eco › P . 4 6

OPINIE door Bastiaan Bakker, Directeur Business Development bij Motiv

Kat-en-muisspel Hackercollectieven zoals Anonymous hebben veel tijd en geld om aanvalstechnieken te ontwikkelen en toe te passen. Hackers breken in bij defensieleverancier Lockheed Martin en creditcardgegevens worden gestolen uit het Sony PlayStation-netwerk. Cybersecurity is vandaag de dag een bedrijfsmaatschappelijk probleem geworden dat we niet meer naast ons neer kunnen leggen. Op 22 februari heeft Ivo Opstelten daarom namens de Rijksoverheid de nationale cybersecuritystrategie gepresenteerd. De strategie omvat een aantal activiteiten zoals het inrichten van een Nationaal Cyber Security Centrum en het vergroten van de weerbaarheid van onze vitale infrastructuur. Uiteindelijk gaat het om het beschermen van gevoelige data binnen de rijksoverheid en het bedrijfsleven tegen misbruik. Denk aan datadiefstal.

die de data opslaan en verwerken tot informatie. Met een APT-aanval kan je stellen dat de hacker eerst via een zwak punt inbreekt en zich daarna als gebruiker voordoet om verder toe te slaan. Ik denk dat je kunt stellen dat er altijd zwakke punten zijn waardoor de hacker kan inbreken. Zeker als je moet vaststellen dat er partijen met een zeer hoog beveiligingsbewustzijn schade hebben geleden dankzij hackers. Voorbeelden zijn de eerder genoemde

Trage applicaties betekenen lage productiviteit Voorkom verlies aan applicatieperformance en stel bedrijfscontinuïteit en omzet veilig. maken, zodat u zelf controle heeft over uw applicatie-infrastructuur. >>

Wie slim is begint bij het beschermen van de data zelf

Een veelvuldig voorkomende aanvalstechniek binnen cybercriminaliteit wordt binnen de securitysector een advanced persistent threat (APT) genoemd. Advanced omdat de hackers zeer geavanceerde kennis hebben van kwetsbaarheden in software. Persistent omdat hackers veel tijd en een lange adem hebben om toe te slaan. Threat omdat er sprake is van een echte bedreiging die regelmatig leidt tot serieuze schade. Het is al lang niet meer de ideologische hacker die slechts de tekortkomingen in de getroffen beveiligingsmaatregelen wil aantonen. Bij APT-aanvalstechnieken wordt vaak eerst gezocht naar de zwakke schakel om binnen het vitale netwerk in te breken. Chantage, phishing en social engineering zijn voorbeelden van toegepast technieken om in te breken. En bij binnenkomst gaan de goedgeorganiseerde hackers stap-voorstap verder. Net zo lang totdat zij gevoelige data kunnen stelen of totdat zij bijvoorbeeld SCADA*-systemen kunnen herprogrammeren. Nu bevinden de gevoelige data en gevoelige systemen zich vaak in het hart van het netwerk: de gigantische databases

aanvallen op Lockheed Martin en Sony. Het is naar mijn idee onmogelijk om hier honderd procent bescherming te realiseren. Focus in het kader van cybersecurity daarom niet alleen op inbraakwerende firewalls, intrusion prevention en malwarefilters. Maar kijk naast de beveiliging van de vitale netwerkinfrastructuur ook goed naar de beveiliging van de data zelf. Iets waar – in de ogen van Motiv – al jaren veel te weinig naar wordt gekeken. Huur eens een ethical hacker in die van binnenuit kijkt of datadiefstal uit de omvangrijke databases mogelijk is. Op die manier krijg je een helder beeld van de beveiliging rondom de data zelf. En alleen op die manier heb je een volledige aanpak voor bescherming tegen cyberaanvallen. Bovendien toets je direct in hoeverre datadiefstal of fraude met data mogelijk is door eigen medewerkers (of aanvallers die zich voordoen als medewerkers). Een oude wijsheid geldt immers al jaren: de meeste diefstal en fraude komt van binnenuit. Daarmee verdien je aanvullende databasesecuritymaatregelen in relatie tot cybersecurity dubbel en dwars terug.

*SCADA, afkorting van Supervisory Control And Data Acquisition, is het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in grote industriële systemen. SCADA-systemen zijn aanwezig in complexe regelsystemen binnen de energiesector en industrie, maar bijvoorbeeld ook voor het aansturen van de signaleringsborden boven autosnelwegen. 44

MM 02 | najaar 2011

Contact details: E-mail: [email protected] Telefoonnummer: 020-2014950 Bezoekadres: WTC Schiphol Schiphol Boulevard 127 Tower 3A, 1118 BG Schiphol

www.f5networks.nl

H E A D L I N E ‘ W i j s te l l en de d a t a centr a a l ’

V O L G E N D E P A G I N A ‘ I n contro l ’ centr a l e t h em a ti j den s rondet a fe l s M otiv › P . 5 0

I nterview F ran k van der S pe k , G ro u p S ec u rit y & C ontin u it y M anager bi j R obeco

‘We doorlopen continu het proces van ‘plan-do-checkact’ waardoor we steeds verder verbeteren’

‘Wij stellen de data centraal’ Het Nieuwe Werken, Bring Your Own Device, social media, de cloud... “Het zijn allemaal goede ontwikkelingen, maar dan moet je die omgevingen wel op de juiste manier beveiligen”, stelt Frank van der Spek, Group Security & Continuity Manager bij Robeco. “Dat doe je door te garanderen dat data veilig zijn in transport én in opslag. Stel de data centraal.” Motivator sprak met Frank van der Spek over zijn inspanningen als ‘Security & Continuity Manager’ bij Robeco, de in 1929 opgerichte vermogensbeheerder en dochter van de Rabobank. Ook het belang van databasebeveiliging kwam tijdens het gesprek uitgebreid aan de orde.

van de Rabobank. Daarnaast hebben we samen met de Rabobank en kleine banken nog een overleg dat specifiek is gericht op Business Continuity Management. Dan zie je hoe andere banken hun bedrijfscontinuïteit hebben ingericht en dat is heel leerzaam.”

Van der Spek is ruim zeventien jaar in dienst van Robeco en heeft in die periode meerdere functies bekleed. “Ik ben begonnen als IT-beheerder en zag toen de behoefte ontstaan aan continuïteit en informatiebeveiliging”, vertelt Van der Spek. “Met een andere collega heb ik toen binnen IT een securityclub opgezet. Dat is langzaam gaan lopen en mondde uit in grote projecten. Dan moet je denken aan bijvoorbeeld het beschikbaar maken van de Disaster Recovery-plannen voor iedereen binnen het crisisteam van Robeco.”

Zijn er dan grote verschillen in de benadering van Business Continuity Management? Frank van der Spek: “Nee, dat valt wel mee. Meestal wordt gekozen voor een best-practice framework, in dit geval BS25999. Soms is de inrichting iets anders wat betreft blokken, definitie en inhoud, maar qua raamwerk is het allemaal hetzelfde. Je moet beginnen met ‘ken je bedrijf, ‘ken je business’ en ‘wat gebeurt er?’. En je moet weten wat je kritische omgevingen, processen en IT-systemen zijn. En wat je continuïteitsstrategie is. En je moet bepalen of je projecten of programma’s gaat draaien om maatregelen te implementeren. Na implementatie ga je weer verbeteren en komt alles weer terug. Informatiebeveiliging en ook business continuity is een continu proces. We doorlopen continu het proces van ‘plan-do-check-act’ waardoor we steeds verder verbeteren.” >

‘Vroeger was BCM nog een soort van verzekering, een papieren tijger. Dat is het al lang niet meer’

Over Robeco Robeco – opgericht in Rotterdam in 1929 als het Rotterdamsch Beleggings Consortium – biedt beleggingsproducten en -diensten voor institutionele en particuliere beleggers wereldwijd. De vermogensbeheerder heeft kantoren in Bahrein, Groot-China (continentaal China, Hongkong en Taiwan), Duitsland, Frankrijk, Japan, Korea, Luxemburg, Spanje, de Verenigde Staten en Zwitserland en een banklicentie in Nederland om rechtstreeks aan particuliere klanten te verkopen. Het hoofdkantoor staat nog altijd in Rotterdam. Het beheerd vermogen bedraagt circa 150 miljard euro (per 31 december 2010). Robeco is een dochter van de Rabobank Groep.

46

MM 02 | najaar 2011

“Medio 2005 ben ik begonnen om samen met de Rabobank een gezamenlijk informatiebeveiligingsbeleid op te stellen dat is gebaseerd op de best practices uit de standaarden ISO 27001/27002”, vervolgt Van der Spek. “Dat beleid evalueren we nog altijd samen met alle dochters

47

H E A D L I N E ‘ W i j s te l l en de d a t a centr a a l ’

I nterview F ran k van der S pe k , G ro u p S ec u rit y & C ontin u it y M anager bi j R obeco

> Wat zijn binnen dat proces de verantwoordelijkheden van een ‘Security & Continuity Manager’? “Het samen met de business schrijven, oefenen en testen van continuïteitsplannen behoort tot mijn dagelijkse werkzaamheden. Welke stappen moet ik ondernemen om na een calamiteit zo snel mogelijk weer ‘back in business’ te zijn? Dat zijn tegenwoordig simpele stappenplannen en geen dikke boekwerken meer. Aan de hand van een stappenplan weten de hoofden van diensten heel goed wat ze moeten doen. Daarnaast houd ik me bezig met het regelen van zaken als een dubbel rekencentrum, uitwijkwerkplekken en het opstellen van Disaster Recoveryplannen. Als Security & Continuity Manager heb ik bovendien heel veel contact met de business; ik moet weten wat er speelt, wat de business bezighoudt en wat de kritische processen zijn binnen de business. Binnen Robeco merk je dat business continuity het commitment heeft van het hoogste segment binnen het bedrijf. Vroeger was BCM nog een soort van verzekering, een papieren tijger. Dat is het al lang niet meer. Het moet er zijn en je moet er gebruik van kunnen maken. Be prepared!” Robeco werkt op het gebied van databasebeveiliging samen met Motiv. Kunt u daar iets meer over vertellen? “Motiv heeft ons geholpen met scans en assessments op de databases en het implementeren van maatregelen om de databases zo goed mogelijk te beveiligen, beheren en beheersen. Wij huren de expertise van Motiv in om technische audits en checks te doen op onze databases. En als we met lastige vraagstukken zitten op het gebied van IT schakelen we Motiv in voor consultancy.”


De beveiliging richt zich dus met name op de data...

48

“Inderdaad. De beveiliging van data is wat mij betreft echt een apart aandachtsgebied. Wij stellen de data centraal; per slot van rekening zijn dat data die gaan over onze klanten en de portefeuilles van onze klanten. Dat is ook de reden dat we heel veel maatregelen hebben genomen om onze databases te beveiligen. Het begint nu pas gemeengoed te worden dat databasebeveiliging interessant is. Kijk naar zaken als Bring Your Own Device en internetcriminaliteit, dan is het een gegeven dat je op de presentatielaag de bescherming niet meer kunt garanderen. Dan moet je naar de data zelf gaan kijken.”

MM 02 | najaar 2011

' Robeco is een organisatie die op een professionele manier met informatiebeveiliging omgaat. Het is leerzaam en inspirerend om op gelijkwaardig niveau samen na te denken over actuele ontwikkelingen en het vinden van pragmatische oplossingen, terwijl het belang van de business niet uit het oog wordt verloren.' Corné de Keizer – Information Security Consultant bij Motiv

H E A D L I N E ‘ I n contro l ’ centr a l e t h em a ti j den s rondet a fe l s M otiv

motiv nieuws rondetafels

‘ In control’ centrale thema tijdens rondetafels Motiv Motiv heeft in 2011 het initiatief genomen om samen met een aantal vooraanstaande gesprekspartners binnen diverse sectoren en branches te discussiëren over de vraag: ‘Is de organisatie waarneembaar en aantoonbaar in control?’ De rondetafelsessies hebben als doel om in kaart te brengen hoe er door de gesprekspartners wordt gekeken naar de businessimpact van het waarneembaar en aantoonbaar ‘in control’ zijn binnen IT. Het is duidelijk dat ‘waarneembaar en aantoonbaar in control’ een lastig begrip is. De ICT-branche denkt erover na, speelt ermee, maar is duidelijk niet eensgezind over de interpretatie. Wanneer is een organisatie in control? Hoe dien je in control te zijn? Waar liggen de uitdagingen en welke eisen worden er vanuit de toezichthouders gesteld?

In diverse sectoren zijn de ICT-voorzieningen essentieel voor de bedrijfsvoering. Bastiaan Bakker, Directeur Business Development bij Motiv, pleit binnen dit thema voor ‘een nieuwe aanpak van Security Information en Event Management (SIEM) waarbij zowel compliancy als cybercriminaliteit beter inzichtelijk kunnen worden gemaakt tegen lagere kosten’. “Focus hierbij met logginganalyse op de relevante

' Commerciële marktbewerking maakt risicogebaseerd denken een dilemma tussen zekerheid versus winst!' Wanneer een organisatie vanuit de toezichthouder waarneembaar en aantoonbaar in control moet zijn, is binnen de diverse geldende richtlijnen niet atijd helder. Begrippen als SAS70 en de opvolger ISAE 3402, COBIT, DNB maar ook Solvency II zijn bekend en spelen een duidelijk rol.

informatiesystemen en de security-systemen voor de bescherming van de vitale infrastructuur en systemen.” Er is voor een organisatie nog veel te winnen als het gaat om ‘aantoonbaar en waarneembaar in control zijn’!

Agenda

rondetafelsessies

N o vember 15 november rondetafelsessie Financiële sector

17 november rondetafelsessie Overheid en Lokale Overheid 24 november rondetafelsessie Verzekeraars- en pensioenverzekeraars

December

1 december rondetafelsessie Beroepsonderwijssector

Motiv h oudt u op de h oogte! Updatesessies in samenwerking met partners

Regelmatig organiseert Motiv samen met haar strategische partners updatesessies op het gebied van cloudsecurity, sterke authenticatie, ‘the new network’, social media, hacking en andere belangrijke aandachtsgebieden binnen informatiebeveiliging, -voorziening en -integratie.

Tijdens de demonstraties en presentaties kijken wij naar de geschiedenis en achtergrond van de diverse ontwikkelingen op beveiligingsgebied. De afgelopen jaren hebben wij gezien dat meerdere functies zijn toegevoegd aan diverse highend beveiligingsoplossingen.

De updatesessies zijn speciaal samengesteld voor ICT-beheerders, ontwerpers en ICT-architecten en hebben als doel om onze relaties op de hoogte te stellen van de nieuwste ontwikkelingen binnen het IT-landschap.

De tot op heden georganiseerde updatesessies voor bestaande en nieuwe relaties zijn zeer succesvol geweest. Wilt u bij een volgende sessie aanwezig zijn? Dat kan. U kunt zich inschrijven via de evenementenpagina op www.motiv.nl.

'Uw toegangspoort naar internet zonder zorgen'

is! De deelname is grat

Voor meer informatie kunt u contact opnemen met Motiv, afdeling inside sales, via [email protected]. En heeft u behoefte aan de presentaties van deze updatesessies of heeft u interesse in een bepaald onderwerp? Laat u het ons dan weten!

‘ Cybercriminaliteit leidt tot aanpassing in de bedrijfsvoering met betrekking tot (pensioen) verzeke ringsvraagstukken!’ 50

MM 02 | najaar 2011

De rondetafels worden georganiseerd volgens het ‘Cloud Insight’principe van Motiv, presentaties en stellingen omtrent aangedragen onderwerpen vormen de rode draad om de discussie scherp en effectief te houden. De rondetafels van Motiv zijn een levendig geheel, de verwachtingen zijn ook elke keer hooggespannen. Voor meer informatie kunt u contact opnemen met Motiv, [email protected]. Zie ook: www.motiv.nl.

Motivator Magazine, voor professionals in informatievoorziening en -beveiliging Jaargang 1, nummer 2, najaar 2011. Contactgegevens Motiv Poortdijk 13, 3402 BM IJsselstein T +31 (0)30 - 68 77 007 F +31 (0)30 - 68 77 006 www.motiv.nl [email protected] Redactie Bastiaan Bakker (Motiv) Bastiaan Schoonhoven (Motiv) Ferry Waterkamp Concept & vormgeving Studio Incognito buro voor de vorm, IJsselstein Fotografie Ruud Jonkers, Ruud Jonkers Fotografie iStockphoto Druk Drukkerij van Midden, Benschop

“Time to build the new networks” Agenda

updatesessies 22 november HP ArcSight

Programma rondetafels

Colofon

8 december Juniper Networks

MOtIV CAFé De Motiv-borrels zijn inmiddels een begrip in ICT-securityland. Tijdens deze informele netwerkbijeenkomsten ontmoeten medewerkers, klanten en fabrikanten elkaar onder het genot van een drankje en een hapje. De komende borrels staan gepland voor 11 november en 13 december.

Advertentie-index 20 Check Point 33 Cisco 27 Crossbeam 45 F5 39 HP ArcSight 49 Imperva 2 Juniper 52 RSA 10 SecurEnvoy Marketing [email protected] T +31 (0)30 - 68 77 007 Motivator Magazine is een uitgave van Motiv IT Master BV, IJsselstein en verschijnt twee keer per jaar, in een oplage van 3200 exemplaren. © 2011 Motiv.

Kijk voor alle informatie op www.motiv.nl/evenementen.

51

MAGAZINE EN VERDER. Security moet onderdeel zijn van je denken. Motiv Services Team spin in het web

Recommend Documents