Security Manager, de beveiliging van Tools4ever
Als IAM leverancier moeten we onze informatiebeveiliging natuurlijk perfect op orde hebben. Ron is hiervoor als security manager verantwoordelijk. We vroegen hem hoe hij dat aanpakt.
Wat doe je als security manager?
Binnen Tools4ever heb ik een dubbele rol. Net als iedere security manager ben ik allereerst verantwoordelijk voor de bescherming van de eigen digitale platformen en gegevens. Ik moet risico’s in kaart brengen, ons beveiligingsbeleid up to date houden en zorgen dat we voldoen aan alle wet- en regelgeving. Daarnaast beheren onze IAM-oplossingen ook de toegang tot systemen en gegevens van klanten, en spelen we dus een sleutelrol in hun digitale beveiliging.
'Mijn taak is overzicht houden en de beveiligingsketen sterk maken.'
Informatiebeveiliging raakt alle processen en systemen en ik moet zorgen voor samenhang tussen de verschillende maatregelen. Sommige cyberdreigingen los je op met technische aanpassingen, terwijl je andere zaken juist moet borgen binnen je processen. Bij het leggen van die puzzel werk ik nauw samen met de verschillende teams, variërend van de architecten en ontwikkelaars tot en met onze IT-beheerders en het supportteam. Zij hebben alle expertise in huis om binnen hun vakgebied de juiste technische en proceskeuzes te maken; ik moet het overzicht bewaren en zorgen dat onze beveiligingsketen als geheel sterk blijft.
Daarom heb ik veel contact met klanten, certificerende partijen en auditors. Klanten willen uiteraard zeker weten dat onze dienstverlening robuust is en we hun systemen en gegevens zo goed mogelijk beschermen. En onze audits en certificatie zijn daarvoor erg belangrijk, omdat we zo transparant en onafhankelijk kunnen aantonen dat we dit structureel op orde hebben.
Over welke certificaten heb je het dan?
Bij onze informatiebeveiliging is ISO 27001 het uitgangspunt. Die internationale standaard schrijft voor waar een professioneel Information Security Management System (ISMS) aan moet voldoen. De nadruk ligt daarbij op een goede organisatie en processen van je informatiebeveiliging. Je zult dus in de standaard niet allerlei technische details tegenkomen, maar bijvoorbeeld wel richtlijnen voor je risico analyses, de functiescheiding en de contacten met toezichthouders. Daarnaast vind je een overzicht met concrete beheermaatregelen tegen potentiële kwetsbaarheden.
Die ISO norm levert mij als security manager een perfecte basis om mijn werk te organiseren. En door ons te certificeren kunnen we ook eenvoudig aantonen aan klanten, partners en toezichthouders dat onze beveiliging klopt. We worden regelmatig door een onafhankelijke auditor doorgelicht en zo’n stempel biedt klanten en partners zekerheid over onze professionaliteit.
Daarnaast beschikken we over een SOC 2 Type II auditverklaring die speciaal is bedoeld voor cloud diensten als HelloID. ISO 27001 geeft de garantie dát we zaken op orde hebben, met de SOC 2 audit tonen we uitgebreider aan hóe we die zaken hebben geïmplementeerd. Last but not least laat ik ook ethische hackers regelmatig een security scan uitvoeren. Zo houden we onszelf extra scherp.
Werk je ook met andere normen zoals de BIO en NEN 7510?
Goede vraag. Veel andere beveiligingsnormen zijn gericht op specifieke branches. De BIO is bedoeld voor overheidsorganisaties, de NEN 7510 is gericht op de zorg en ook het onderwijs en de financiële sector werken met eigen beveiligingskaders.
Qua eisen is er veel overlap tussen de ‘algemene’ ISO 27001 en die sectorspecifieke richtlijnen. De BIO en NEN 7510 zijn daar zelfs rechtstreeks van afgeleid. Meestal bevatten zulke sectornormen aanvullingen en details voor die betreffende sector. NEN 7510 komt bijvoorbeeld grotendeels overeen met ISO 27001 maar bevat veel extra eisen voor de beveiliging van medische patiëntgegevens omdat die natuurlijk extra privacygevoelig zijn.
Als Tools4ever beheren wij zelf natuurlijk geen patiëntgegevens en kunnen we niet NEN 7510 zijn gecertificeerd. Maar tegelijkertijd, daar heb je die dubbele rol die ik noemde, helpen we met HelloID onze klanten om te voldoen aan de normen die voor hen gelden. Zo moet je als zorginstelling de toegang van personeel tot zorgsystemen heel nauwkeurig inregelen aan de hand van iemands functie, afdeling, deskundigheden en andere criteria. HelloID kan dit perfect ondersteunen en zorgen dat iedere zorgmedewerker altijd alleen toegang krijgt tot de strikt noodzakelijke functies en gegevens.
Op die manier kijken we naar al die branche specifieke beveiligingsnormen. We checken regelmatig of onze dienstverlening nog compliant is met de branche specifieke eisen. Ook toetsen we dit voortdurend bij klanten. En als dat nodig blijkt, passen we HelloID en de verdere dienstverlening aan.
Hoe zorg je eigenlijk voor die compliance en certificatie?
Moderne beveiligingssystemen werken risico-gestuurd. Om ISO 27001 compliant te zijn moet je dus niet simpelweg een lijst met maatregelen implementeren. In plaats daarvan moet je een gedegen inventarisatie maken van de actuele beveiligingsrisico’s die in jouw eigen situatie van toepassing zijn. Aan de hand daarvan moet je vervolgens die maatregelen implementeren die nodig zijn om de belangrijkste risico’s af te dekken. Zo’n analyse helpt dus bij het stellen van je prioriteiten. Je doet niet alles tegelijk maar begint met de belangrijkste zaken. De maatregelen variëren van procesmatige aanpassingen tot technische oplossingen. Dus ik schakel zowel met de ontwerpers en ontwikkelaars over het ‘security-by-design’ van de platformen als met teammanagers over onze beheer- en supportprocessen.
'Bij een dreiging schakelen we dezelfde dag nog met het team.'
Bovendien moet je dat steeds up-to-date houden. Sowieso doen we jaarlijks een volledige risicoanalyse, maar tussentijds verversen we minimaal ieder kwartaal onze analyses om te kijken of er actuele issues zijn om rekening mee te houden. Ook dat is een belangrijk principe binnen ISO 27001. Je moet een zogeheten Plan-Do-Check-Act cyclus organiseren waarmee je voortdurend je informatiebeveiliging kunt verbeteren. We gebruiken daarvoor allerlei informatiebronnen. We monitoren bijvoorbeeld actief de NIST lijst met zogeheten Common Vulnerabilities and Exposures (CVE). Ook volgen we het nieuws over actuele datalekken en de oorzaken daarvan.
Wat is er leuk aan jouw rol en zijn er ook minder leuke punten?
Het leukst aan mijn vak is dat je voortdurend samen aan het puzzelen bent met steeds nieuwe uitdagingen. Je moet je verplaatsen in de gedachten van de ‘bad guys’ om ze vervolgens een stap voor te blijven. Bovendien helpt onze software direct om de beveiliging bij onze klanten te verbeteren. Beveiliging is bij ons dus geen bijzaak of een verplicht nummer; het is onze core business en dat maakt je rol als security manager automatisch een stuk leuker.
Waar security managers vaak minder van genieten zijn de administratieve verplichtingen want een belangrijk element van je certificatie is dat zaken op schrift staan en aantoonbaar zijn uitgevoerd. Dat heeft ook te maken met het feit dat ISO normen van nature zijn ingericht voor grote organisaties met veel tussenlagen. Gelukkig is Tools4ever behoorlijk ‘lean and mean’ georganiseerd en dan heb je daar relatief minder last van en kunnen we snel schakelen.
'Beveiliging ís onze core business.'
Zien we bijvoorbeeld een nieuw dreigingsrisico dan kunnen we direct al besluiten of en hoe we daarop reageren. Ik zit dan meestal diezelfde dag al aan tafel met het ontwikkel- of beheerteam om een aanpak te bedenken. We besteden binnen Tools4ever sowieso veel aandacht aan de zogeheten ‘security awareness’ en veel initiatieven en oplossingen komen ook rechtstreeks van de eigen medewerkers. Die dynamiek, creativiteit en onderlinge samenwerking maakt mijn rol binnen Tools4ever enorm leuk.
Welke nieuwe ontwikkelingen zie jij er aan komen?
Privacybescherming en cybersecurity staan tegenwoordig hoog op de prioriteitenlijst en dreigingen veranderen voortdurend, dus ik hoef me geen seconde te vervelen. Los daarvan zijn we op dit moment ook bezig met de impact van een aantal nieuwe beveiligingsnormen. Een daarvan is de Digital Operational Resilience Act (DORA) die als doel heeft dat financiële instellingen hun IT-risico’s beter gaan beheersen en weerbaarder worden. Bij die DORA norm geldt hetzelfde als in de eerdere voorbeelden van NEN 7510 en de BIO; wij zorgen ervoor dat een financiële organisatie met behulp van HelloID de toegangsbeveiliging ‘DORA compliant’ kan maken.
'Met HelloID helpen we klanten voorbereid te zijn op DORA en NIS2.'
Ook bereiden we ons voor op de introductie van de Europese NIS2-richtlijn (Network and Information Security directive), als onderdeel van de nieuwe nationale Cyberbeveiligingswet. Tools4ever is geclassificeerd als een zogeheten belangrijke entiteit en moet daarom voldoen aan de zogeheten zorg- en de meldplicht. Omdat we ISO27001 zijn gecertificeerd voldoen we al grotendeels aan die NIS 2 eisen maar er zullen ongetwijfeld nog veel vragen komen van klanten over de rol van HelloID binnen hun NIS2 compliance. Ook daar ruimen we uiteraard de komende periode veel tijd voor in. Kortom, als security manager verveel je je geen dag binnen Tools4ever!
Geschreven door:
Floor Meijers
Als Content Marketeer is Floor Meijers sinds 2023 verantwoordelijk voor het creëren van doeltreffende en aansprekende content voor Tools4ever. Met haar achtergrond in Business Innovation aan Avans Hogeschool en vier jaar ervaring in contentmarketing voor diverse technische bedrijven, weet zij als geen ander hoe zij complexe onderwerpen begrijpelijk en aantrekkelijk maakt voor verschillende doelgroepen. Dankzij klantonderzoeken die zij uitvoerde, begrijpt Floor de behoeften van klanten grondig en weet zij content te ontwikkelen die daarop aansluit. Haar kennis van Identity and Access Management (IAM) stelt haar in staat om inhoud te produceren die inhoudelijk sterk én relevant is.