Leren hoe je wachtwoorden kraakt? Bij PostNL is het heel gebruikelijk. Het doel: de eigen medewerkers bewust maken van cyber-risico's.
Security wordt in veel bedrijven gezien als iets vervelends, als 'strafwerk' of 'corvee', opgelegd door zeurende security-officers. Maar die houding past niet bij een bedrijf als PostNL, vindt Gerrie de Jonge, IT-directeur bij het bedrijf en tegelijk CISO, oftewel: Chief Information Security Officer. Zijn oplossing? “Wij leren onze mensen denken als een hacker en laten bijvoorbeeld zien hoe je wachtwoorden kraakt.”
Wij leren onze mensen denken als een hacker.”
De zwakste schakel
De eigen medewerkers worden vaak aangewezen als de zwakste schakel in de informatiebeveiliging. Het zijn de mensen die de technische beveiligingsmaatregelen onderuithalen door op linkjes te klikken, wachtwoorden uit te wisselen of vertrouwelijke informatie te delen via minder beveiligde kanalen zoals Dropbox. Onvoldoende inzicht in de risico’s en desinteresse worden vaak genoemd als oorzaken voor dit roekeloze gedrag.
Zoek aansluiting bij de belevingswereld
Het is een lezing die er bij Gerrie de Jonge echter niet ingaat. “Iedereen vindt het onderwerp cybercriminaliteit interessant, iedereen heeft er ook mee te maken. Als consument denk je dagelijks na over wat je online wel en niet moet doen. Dat is nu al zo.” Het probleem ligt volgens De Jonge eerder bij de bedrijven zelf, die er niet in slagen om aansluiting te vinden bij de belevingswereld van hun medewerkers. “De focus ligt meestal op het bang maken van mensen, en op het invullen van security in lijn met de compliance-kaders.”
Uit de vinkjeshoek
Volgens De Jonge gaat het er vooral om van veiligheid iets gewoons te maken. “Wij hebben security uit de compliance-hoek gehaald, uit de hoek van de vinkjes”, zegt hij. “We hebben security fascinerend en interessant gemaakt, en ook ervoor gezorgd dat mensen zich veilig voelen in plaats van angstig.”
We hebben security fascinerend en interessant gemaakt, en ook ervoor gezorgd dat mensen zich veilig voelen in plaats van angstig.”
Kroonjuwelen beschermen
PostNL zet meerdere middelen in die ertoe moeten leiden dat security als fascinerend wordt ervaren. Zo organiseert De Jonge social engineering-events waar de medewerkers worden uitgedaagd om ergens binnen te dringen, of juist zelf op de proef worden gesteld om te kijken of ze bijvoorbeeld in een phishing-e-mail trappen. Een succesformule zijn volgens De Jonge de zogeheten security in a day-trainingen. “Tijdens deze training laten we mensen bijvoorbeeld zelf hacken en wachtwoorden kraken; iedereen vindt immers de wereld van het hacken interessant. Ook vragen we wat volgens hen de kroonjuwelen van het bedrijf zijn en hoe we die beter kunnen beschermen.”
Laaiend enthousiast
De medewerkers zijn “laaiend enthousiast” over deze trainingen en komen “echt anders terug ten aanzien van security”, constateert De Jonge. “Iedereen vindt ‘denken als een hacker’ interessant. Mensen willen van nature weten hoe het zit, wat er gebeurt en hoe het is te voorkomen. De wereld van cybersecurity is best spannend. Het maakt mensen gedreven. In die energie is het heerlijk samenwerken.”
Mensen willen van nature weten hoe het zit, en hoe het is te voorkomen. De wereld van cybersecurity is best spannend."
Potentieel kwetsbaar
“We gaan bij PostNL op deze manier om met security omdat we erin geloven”, aldus De Jonge. Volgens de IT-directeur is het ook hard nodig dat de 49.000 werknemers van PostNL op een positieve manier met security bezig zijn. “We zijn een groot bedrijf met veel mensen en veel vestigingen, verspreid over 13 landen. Die omvang maakt PostNL ook kwetsbaar.”
We zijn een groot bedrijf met vestigingen in 13 landen. Die omvang maakt PostNL ook kwetsbaar.”
Ook de aard
Ook de aard van het bedrijf zorgt er volgens De Jonge voor dat PostNL security positief wil benaderen. Klanten mogen niet ‘potentieel kwetsbaar’ zijn via het bedrijf, stelt hij. “PostNL is betrokken bij 75 procent van alle e-commercetransacties in Nederland. Onze app staat op miljoenen mobiele apparaten en we communiceren op dagelijkse basis met miljoenen klanten.”
Geen losgezongen functie
De eigen medewerkers enthousiast maken voor het onderwerp security is uiteraard niet de enige manier om de kwetsbaarheid te verkleinen, stelt De Jonge. Niet voor niets heeft PostNL er bijvoorbeeld voor gekozen de rol van CISO te combineren met die van IT-directeur. Daarmee wil het bedrijf security beter verankeren binnen de organisatie. “Anders wordt het zo’n ‘losgezongen functie’ waarin wordt gezegd: ik ben klaar, het rapport is geschreven, doe er maar wat mee”, aldus De Jonge, die als IT-directeur verantwoordelijk is voor de IT van de pakkettendivisie van PostNL.
Hoog op de agenda
Het resultaat van de inspanningen is volgens De Jonge dat er veel meer bewustwording is gekomen binnen PostNL en dat het onderwerp hoog op de agenda is komen te staan. “Ik merk dat ik als CISO veel meer spreektijd heb gekregen bij de managementteams en besturen tot aan de raad van commissarissen toe. Door de invulling die we geven aan het onderwerp security trekken we er bovendien ook de aandacht mee.”
Thin clients
Opvallend genoeg stelt De Jonge dat ook de cloudstrategie van PostNL positief bijdraagt aan de security. Een aantal jaren geleden werd al het besluit genomen om volledig ‘in de cloud’ te gaan. Als eerste stap werden de laptops vervangen door zogeheten thin clients die verbinding maken met virtuele desktops in de cloud.
500 applicaties in de wolken
“Maar daarmee waren de bedrijfsapplicaties nog niet cloudgebaseerd”, aldus De Jonge. De afgelopen jaren is dan ook hard gewerkt om de circa 500 bedrijfsapplicaties naar de cloud te brengen, en dan bij voorkeur naar een public-cloudomgeving. Enkele cruciale toepassingen zijn in een private cloud geplaatst om zo de controle te behouden. “We zijn eigenlijk geen enkele applicatie tegengekomen die niet in aanmerking kwam voor een migratie naar de cloud”, memoreert De Jonge. “In een hybride model geloven wij ook niet, want dan blijf je toch nog met verschillende delivery-modellen zitten en benut je niet alle voordelen van de cloud.”
In een hybride model geloven wij niet, dan blijf je toch nog met verschillende delivery-modellen zitten"
De boel uit elkaar getrokken
“Ik denk dat we door onze beweging naar de cloud nu meer ‘in control’ zijn”, zo concludeert De Jonge. “De gedachte dat je zelf je Fort Knox kunt bouwen, is achterhaald. Zeker de grote cloudproviders zijn veel beter uitgerust om onze gegevens te beveiligen. Door met meerdere partijen in zee te gaan, hebben we bovendien ‘de boel uit elkaar getrokken’.”
De gedachte dat je zelf je Fort Knox kunt bouwen, is achterhaald."
Vulnerability management
“We hebben uiteraard wel een control framework opgezet waarmee we onze leveranciers bevragen en controleren. Samen met securitypartner Motiv hebben we bovendien het vulnerability management opgezet. Dit nemen we nu als een beheerde dienst van Motiv af. Hiermee kijken we of de systemen van de leveranciers nog helemaal up-to-date zijn. Dan moet je uiteraard wel delen van de stack zelf beheren. Bijvoorbeeld bij Office365 heeft vulnerability management helemaal geen zin, want dan weet je niet eens waar en waarop de dienst draait en wat het besturingssysteem is.”
Over alle ketens in control
“Per cloud zijn we nu in control”, durft De Jonge wel te stellen. “De stap die we nu maken, is om over al die verschillende ketens heen goed in control te zijn en dat ook bewijsbaar te maken.” PostNL is wel “vrij bijzonder” in de keuzes die het bedrijf maakt, vindt De Jonge. Denk alleen maar aan de Chief Privacy Officer die PostNL vorig jaar heeft aangenomen. “Veel bedrijven laten de bescherming van privacygevoelige data over aan een juridische of compliance- en auditafdeling. PostNL heeft ervoor gekozen om dit bij IT in het team van de CISO te beleggen.”
Broertje en zusje
De Jonge: “Door de evidente synergieën die er zijn tussen privacy en security is het toch een logische keuze. Security en privacy zijn een beetje broertje en zusje; in beide gevallen gaat het over data die worden opgeslagen op systemen en moet je er uiterst zorgvuldig mee omgaan zonder dat het business development in de weg zit. Concepten als Privacy by Design en Security by Design vertonen veel overeenkomsten, in beide gevallen moet veel aan awareness worden gedaan. Privacy is een heel groot goed waar we zuinig op moeten zijn. De klant moet goed worden voorgelicht: ‘Dit heb ik van je, dit doe ik ermee en dit niet.’ Op die manier plaats je een klant in de positie om zelf een besluit te nemen over het gebruik van zijn data.”
Security en privacy zijn een beetje broertje en zusje; in beide gevallen gaat het over data die worden opgeslagen op systemen"