Virussen. Phishing-scams. Gegevensinbreuken in de bedrijfswereld schieten de hoogte in. Meer dan ooit moet uw beveiliging mee evolueren.
Omdat de kernactiviteit van Babelway betrekking heeft op gevoelige en/of persoonlijke gegevens, is beveiliging van bij het begin enorm belangrijk geweest. Zelfs tijdens de prille opstartfase beseften de oprichters van Babelway dat een coherent, steeds verbeterend beveiligingsbeleid essentieel zou zijn voor het succes van het bedrijf. Reeds meer dan tien jaar voldoet het bedrijf aan de strengste beveiligingseisen van grote ondernemingen.
Onlangs sprak Mathieu Pasture, die al geruime tijd de functie van CTO vervult bij Babelway, over zijn ideeën rond beveiliging na intense weken van penetratietests ingegeven door onderaannemers en een ISO 27001-audit. Mathieu was de stuwende kracht achter het beveiligingsbeleid van Babelway, waaronder de ontwikkeling van het Information Security Management System (ISMS) van het bedrijf.
V: Laten we het over de ISMS hebben. Wat is dit en wat is de waarde ervan voor een organisatie?
MP: Volgens Wikipedia verwijst de ISMS naar “een geheel van beleidslijnen met betrekking tot informatiebeveiliging”. Wat de waarde betreft, is beveiliging essentieel voor een SaaS-huis, niet alleen voor de geloofwaardigheid van het bedrijf, maar ook voor de operationele uitmuntendheid. Als je een Information Security Management System opzet, moet je je operationeel gedrag verbeteren. Dat leidt tot een verbetering van de manier waarop je bedrijf functioneert.
V: Kunt u een voorbeeld geven van de manier waarop betere beveiliging de operationele uitmuntendheid kan bevorderen?
MP: Als we het over beveiliging hebben, valt ook vaak het woord bedrijfscontinuïteit. De twee gaan samen. Het eerste wat je bijvoorbeeld moet doen om de beveiliging te verbeteren, is weten welke de risico’s voor je bedrijf zijn. En om die risico’s te identificeren, moet je bepalen wat voor jou waardevol is.
Als je je bewust bent van de interne en externe risico’s, zal je waarschijnlijk verbeteringen aan het proces aanbrengen – bijvoorbeeld door een opsplitsing van taken in te voeren. In het kader van deze opsplitsing van de taken wil je er bijvoorbeeld zeker van zijn dat, wanneer je team productiewerk doet, het daartoe zowel de juiste ingesteldheid als opleiding heeft. Je doet het aantal incidenten dalen omdat mensen de juiste gedragslijn kennen en volgen. En als er zich toch een incident voordoet, beperk je de impact op het volledige systeem omdat iedereen weet hoe hij moet reageren en het probleem moet communiceren. Dit voorbeeld toont aan dat maatregelen getroffen om de beveiliging en de continuïteit van de onderneming te verbeteren ook een uiterst positieve impact hebben op de activiteiten.
V: Hoe kunnen bedrijven het gedrag van hun medewerkers doen evolueren teneinde de risico’s op het vlak van beveiliging te beperken?
MP: Het is zeer belangrijk dat we intern zeer strikte regels of standaards handhaven. Iedereen in het bedrijf moet weten wat ons ISMS en de ISO-principes inhouden. Babelway houdt jaarlijks een brede opleiding rond beveiliging. Iedereen die voor Babelway werkt, krijgt een update over de recentste bedreigingen op het internet, zoals de phishing-mechanismen. We geven ook een opfrissingscursus over de goede praktijken die moeten worden toegepast op het vlak van beveiliging van wachtwoorden, encrypteren van archieven of social engineering.
V: De ISMS omvat dus al deze beleidslijnen. Is dit een manier om een proces aan te bieden voor veilig gedrag van de medewerkers?
MP: Op het eerste gezicht lijkt de ISMS op een handleiding. Als handleiding definieert het middelen en risico’s, en vervolgens het volledige proces om beveiligingsprocedures te meten en voortdurend te verbeteren. Dat zijn de ideeën achter het hele beveiligingsproces.
Ik raad aan om dit systeem als een levend organisme te beschouwen … dat het bedrijf echt gebruikt. Daarom is het niet alleen een handleiding – het is een systeem. We hebben dit opgebouwd vanaf nul. Bijgevolg past het perfect voor Babelway en tegelijk voldoet het aan ISO en andere normen.
V: Waarom is het belangrijk dat dit een levend organisme is?
MP: Het bedrijf evolueert voortdurend, dus veranderen de middelen ook. Iets wat vroeger niet belangrijk was, wordt belangrijk omdat je het meer gebruikt of omdat er nieuwe voorschriften zijn… In Europa is er bijvoorbeeld een belangrijke nieuwe regelgeving met de naam General Data Protection Regulation, die nieuwe verplichtingen oplegt die we moeten naleven. Je moet dus constant oog hebben voor nieuwe middelen, nieuwe bedreigingen en nieuwe verplichtingen. Daarom moeten we ons beveiligingsproces voortdurend aanpassen en verbeteren. In ons geval speelt de groei ook een rol. Iets dat ooit goed was voor een start-up is niet noodzakelijk goed voor een bedrijf dat gegroeid is.
V: Juist. Dat is dus een andere reden waarom de ISMS met de tijd gewijzigd is… door de organische groei van het bedrijf. Over welk soort beveiligingsdreigingen bent u het meest bezorgd?
MP: We hebben heel veel aanvallen via e-mail. Onlangs was een medewerkster het doelwit van CEO-fraude. Ze kreeg een e-mail die zogenaamd afkomstig was van de algemeen directeur van Babelway met de opdracht om een betaling naar Engeland te sturen. Dit betekent dus dat iemand op de hoogte was van de relatie van deze medewerkster met de algemeen directeur. Normaal zou je er niet aan denken dat een medewerker met administratieve verantwoordelijkheden de eerste persoon is die opleiding moet krijgen over beveiliging. Ik denk echter dat dit nodig is. Aangezien deze medewerkster op de hoogte was en bewust was van de dreigingen vroeg ze onmiddellijk aan een andere collega: “Denk je dat dit echt is?” In dit geval was het antwoord duidelijk en kon de dreiging “gemakkelijk” worden omzeild, maar dergelijke aanvallen kunnen ernstig zijn en langdurige gevolgen hebben.
V: Is er nog een ander advies dat u ons wilt meegeven, over het vastleggen van een beveiligingsprotocol of over beveiliging in het algemeen?
MP: Tien jaar geleden kon je nog vrij passief staan tegenover beveiliging. Als je de zaken goed deed, kon je zonder al te veel aanpassingen verder doen. Maar de tijden zijn veranderd. Je moet tijd uittrekken voor beveiliging en je moet er strategisch over nadenken. Het idee is niet om elke ontwikkeling te verhinderen, maar het is een feit dat beveiliging deel uitmaakt van elke actie die een onderneming als Babelway onderneemt.