Bedrijven zien cybersecurity nogal eens als een kostenpost. De CEO van Orange Cyberdefense Nederland, Dennis de Geus, wijst er juist op dat cybersecurity een business enabler is. “Als je een bedrijf echt kent, en snapt wat het moet doen om succesvol te zijn. Dan kun je met die kennis de problemen wegnemen. Zo boek je winst voor de business”, aldus De Geus.
We spreken met De Geus over dit onderwerp om inzicht te krijgen in wat Nederlandse bedrijven vandaag kunnen doen om hun beveiligingsniveau te verhogen. Vanuit zijn positie heeft De Geus hier goed zicht op, aangezien hij met het Orange Cyberdefense-team bij veel organisaties over de vloer komt. Hij merkt dat een gemiddeld bedrijf een lappendeken aan securitydiensten en -adviezen heeft. Daardoor functioneert niet alles naar behoren. Een bedrijf dat dit wil oplossen, begint met hervorming waarbij security in gedachten wordt gehouden. De juiste mindset is echter ook nodig om de business er voortdurend bij te betrekken om echte winst te boeken, ziet De Geus.
Organisatie efficiënt en effectief beveiligen
De CEO van Orange Cyberdefense Nederland deelt daarom cybersecurity op in twee aspecten: de linkerkant en de rechterkant. De linkerkant gaat over het zo effectief en efficiënt mogelijk beveiligen van een bedrijf, terwijl de rechterkant draait om het afstemmen van cybersecurity op de bedrijfsuitdagingen. Door deze afstemming op de bedrijfsstrategie maakt Orange Cyberdefense van cybersecurity een business enabler. Voordat we die werkwijze van cybersecurity als business enabler kunnen behandelen, is het echter zaak om eerst de linker kant te begrijpen. Hoewel het werk van Orange Cyberdefense vaak gekoppeld is aan de rechterkant, begint de initiële wens voor securityvernieuwingen meestal aan de linkerkant.
Wanneer Orange Cyberdefense een bedrijf gaat helpen, wordt aanvankelijk de bedrijfsstrategie in kaart gebracht en gekeken waar het bedrijf naartoe wil. Dit is onlosmakelijk verbonden aan IT-projecten en -strategie. Over de bedrijfs- en IT-strategie stellen de consultants van Orange Cyberdefense gerichte vragen. Op die manier kan men een beeld krijgen van hoe een securitystrategie eruit moet zien. Hierin kan ook opgenomen worden wat het huidige securityniveau van het bedrijf is, want dat is bepalend voor de volgende stappen in een vernieuwingsslag met cybersecurity.
Betrekken we vervolgens het linkerkantverhaal van De Geus in deze inventarisatie, dan is dit relevant voor het bepalen hoe je een organisatie digitaal beschermt. “Dan wil je weten waar je huidige en toekomstige verdienvermogen zit. Met welke assets verdien je dat? En voor welk type threat actors zijn die assets interessant? Hoe bouw ik dan een netwerk van maatregelen om die organisatie te beschermen? Waar liggen echt de cyberrisico’s?”, vraagt De Geus zich af over de eerste fases van trajecten bij bedrijven.
De basis op orde
Na het in kaart brengen van dergelijke zaken kan Orange Cyberdefense bepalen hoe hoog een organisatie de lat moet leggen. Een gedegen assessment is noodzakelijk, want aan deze linkerkant speelt wel degelijk de kostenpostkwestie. Vanzelfsprekend dient een organisatie voldoende beschermd te worden, maar meer doen dan nodig is, is in de optiek van De Geus niet verstandig. Dan verbrandt een organisatie geld. De basishygiëne moet zoveel mogelijk op orde zijn, en daar moet je kosteneffectief mee omgaan. “Niemand wordt blij als de organisatie beschermd is, mensen worden alleen boos als de organisatie niet goed beschermd is”, omschrijft De Geus de geldkwestie.
Dit stuk van inrichting raakt het brede domein van cybersecurity. Dat wil zeggen, pure securitytools als identity and access management, cloud security, firewalls, managed detection and response, maar ook bewustzijn, architectuur en strategie. Orange Cyberdefense neemt dergelijke zaken mee en kijkt naast technologie ook naar mensen en processen, zodat deze meegenomen en afgestemd worden. Zij moeten meekunnen in de veranderingen die je als bedrijf voor ogen hebt.
Totaalaanpak in het DNA
Op dit vlak is volgens De Geus het onderscheidend vermogen van Orange Cyberdefense zichtbaar: het volledig kunnen ontzorgen op securitygebied. Hij komt organisaties tegen die bij een groot advieskantoor aankloppen en daar een heel goed advies krijgen over een nieuwe strategie en inrichting. Het advieskantoor kan echter niet helpen bij het uitbouwen van de strategie. Vervolgens gaat het bedrijf naar een partij die wel kan ondersteunen bij de bouw, maar die wil eerst de details van het advies aanpassen om het daadwerkelijk uit te kunnen voeren. Als het bedrijf dan ook nog managed diensten wil afnemen omdat het zelf geen SOC kan opbouwen of onvoldoende expertise heeft, is wederom een extra partij nodig.
Dat kan anders, vindt men bij Orange Cyberdefense. “Wij willen dat bedrijven bij ons terecht kunnen voor hoogwaardig advies. Dat ze bij ons ook in de breedte technologie objectief aangedragen krijgen. Bijvoorbeeld vier of vijf hoofdsmaken aan firewalls, waarbij wij een specifieke firewall adviseren. Als je de andere wilt, kan dat ook. Voor Orange Cyberdefense maakt het niet uit. En de derde stap is dat de klant zegt: ‘maak het maar werkend voor mijn organisatie, bouw het maar’. Daar komt procesinrichting, governance inregeling, technologie aansluiten en configureren bij kijken. Gewoon met de poten in de klei staan, processen en technologie ontwerpen en implementeren. Het laatste is dat we ook kunnen managen vanuit ons eigen security operations centre in Nederland. Of in een van onze andere 17 SOC’s gepositioneerd op strategische posities over de wereld. Daar ontzorg je klanten mee.”
De Geus maakt hiermee duidelijk de filosofie van Orange Cyberdefense zien. Het bedrijf wil ondersteunen met alle denkbare securitytools en -elementen die horen bij een goede cybersecuritystrategie.
Tip: NIS2 leidt tot betere basishygiëne
Belang van consolidatie
Wat in deze totaalaanpak zeker meegenomen kan worden, is de wens van bedrijven om consolidatie door te voeren. Zo blijkt uit statistieken dat driekwart van de organisaties het aantal securityvendoren dat ze gebruiken wil terugbrengen. Bij menig bedrijf is de securityarchitectuur namelijk veel te groot geworden. Ze omarmden door de jaren heen flink wat securitytools om risico’s verder uit te kunnen sluiten. Het resulteerde echter in het tegenovergestelde: de tools en verschillende securityvendoren werden niet allemaal voldoende gebruikt. Het flinke aantal tools leidde tot operationele inefficiëntie en de architectuur was onvoldoende geïntegreerd. En door het flinke aantal securityleveranicers zijn er veel verschillende aanspreekpunten wat vaak leidt tot suboptimale communicatiestromen en procesafstemming.
Nu streven bedrijven naar het terugbrengen van het aantal securityleveranciers waar ze mee werken, zodat alles wat beter samenwerkt en effectiever verdedigt tegen cyberaanvallen. Precies die consolidatiewens kan Orange Cyberdefense realiseren vanwege de totaalbenadering van cybersecurity die het hanteert.
Lokale aanwezigheid, wereldwijde kracht
Als we nog wat verder kijken naar wat Orange Cyberdefense naast de holistische aanpak onderscheidend maakt, dan zien we het SOC als troef binnen de dienstverlening. Voor het uitbesteden van SOC-diensten heeft het zo’n 250 securityonderzoekers in dienst die continu bezig zijn met het verzamelen, analyseren en beschikbaar maken van threat intelligence. Deze onderzoekers zijn wereldwijd actief, maar er zijn ook lokale experts beschikbaar. Nederlandse cyber threat intelligence-experts werken samen met het wereldwijde team om informatie te verzamelen en te verrijken voor Nederlandse organisaties. Gezamenlijk komen zij jaarlijks met een uitgebreid rapport, de Security Navigator, waarin ze middels informatie over trends en ontwikkelingen alle bedrijven willen helpen. Hierin correleert Orange Cyberdefense de laatste ontwikkelingen rond cyberbedreigingen. De inzichten in aanvalspatronen en statistieken moeten helpen bij het afstemmen van de cyberverdediging van bedrijven. Het handige hierbij is dat Orange Cyberdefense de inzichten verrijkt met informatie van de zusterondernemingen. Zo kan het doordat het onder dezelfde eigenaar valt, dreigingsinformatie verzamelen uit de telecomnetwerken van Orange Telecom en de infrastructuurkennis van Orange Business.
De samenwerking van het SOC tussen lokale experts van Orange Cyberdefense Nederland en collega’s uit andere landen, werkt daarnaast door richting de andere onderdelen van de dienstverlening. Als een bedrijf dusdanig groeit dat het buiten de Nederlandse grenzen business gaat opstarten, dan kan Orange Cyberdefense consultants beschikbaar stellen in het nieuwe land. Of wanneer zeer specifieke kennis gewenst is over een bepaalde securityoplossing, dan kan die ook bij een buitenlandse Orange Cyberdefense-afdeling gevonden worden. Het lokale karakter van de Nederlandse afdeling kan op die manier verder versterkt worden via de wereldwijde samenwerking.
Op weg naar cybersecurity als business enabler
De totaalaanpak waar alle facetten van cybersecurity onder vallen, raken uiteindelijk beide kanten waar we dit artikel mee begonnen. Links heb je dus het daadwerkelijk veiliger maken van de organisatie, terwijl Orange Cyberdefense de rechterkant vooral securityvernieuwingen koppelt aan zakelijke uitdagingen. Dit door de vraag te stellen welke bedrijfsuitdagingen samenhangen met de digitaliseringsstrategie. “Denk aan: wij moeten als organisatie in staat zijn veel meer waarde te halen uit onze data, wij moeten de ontwikkeltijden voor onze nieuwe digitale diensten verder verkorten of we moeten veel intensiever kunnen samenwerken met onze partners in het ecosysteem”, legt De Geus uit.
Deze uitdagingen zijn belangrijk om te begrijpen omdat Orange Cyberdefense het als plicht ziet om vanuit cybersecurity mee te denken over de oplossing voor de uitdaging. “Op het moment dat je daar als securityexperts over nadenkt, bijvoorbeeld de ontwikkeltijd voor die nieuwe diensten inkorten, dan zit je op de waardecreatiekant”, aldus De Geus.
Dat klinkt als een mooie wens, maar De Geus maakt dit met praktijkvoorbeelden daadwerkelijk tastbaar. De Geus zag een zorgverlener namelijk echt baat hebben bij de koppeling van security aan de bedrijfsuitdaging. De business wilde daar dat de verpleegkundige meer tijd overhoudt om aan het bed te staan. In eerste instantie denk je dan aan het wegnemen van traditioneel administratiewerk, maar Orange Cyberdefense keek wat verder. Het zag dat zorgmedewerkers behoorlijk wat tijd kwijt waren aan het inloggen op verschillende systemen. Daar kon dagelijks minuten aan werk in gaan zitten. Orange Cyberdefense wist bij deze zorgverlener het aantal inlogschermen significant te verminderen via een vernieuwde IAM-strategie, waarna het personeel meer tijd overhield om te doen waarvoor ze echt ingehuurd zijn.
Precies daar zit het DNA van Orange Cyberdefense. Het wil dat iedere Orange Cyberdefense-medewerker begrijpt waar de zakelijke uitdagingen van bedrijven liggen. “We snappen wat die klant doet en wat die moet doen om succesvol te zijn. Vanuit die kennis denken wij na hoe wij de problemen gaan oplossen. Die werelden bij elkaar brengen, dat is uniek”, besluit De Geus.
Tip: Er is geen OT-apocalyps, maar OT-security verdient wel meer aandacht