‘Alleen een samenhangende aanpak van security houdt stand’

Gemiddeld bent u elke vier tot zes jaar aan de beurt. Elke organisatie wordt immers vroeg of laat getroffen door een groot security-incident, de uwe ook. Dit wetende zien de meeste bedrijven de noodzaak in om zich te beschermen door te investeren in securitytechnologie. Veel van die investeringen leveren in termen van informatieveiligheid maar beperkt rendement op. Dat geld kun je beter besteden, vinden ze bij Northwave. Aan de daadwerkelijke integratie van beleid, menselijk handelen en technologie.

Tientallen keren per jaar rukken de incident response teams van Northwave uit om organisaties bij te staan bij een hack, lek of aanval. De techneuten en consultants van het bedrijf werken schouder aan schouder aan het afslaan van aanvallen, het buiten werken van cybercriminelen of spionnen en het duurzaam dichten van gaten in de verdediging. Maar liever werkt het bedrijf aan het voorkomen van dergelijk ongemak.

“Onderzoek na onderzoek wijst uit dat verreweg de meeste securityincidenten voortkomen uit menselijk handelen. Hacks beginnen tegenwoordig met social engineering. Waarom zoekt men de oplossing dan vooral in de techniek?” vraagt Steven Dondorp zich af. Hij is CEO van Northwave, de onafhankelijke securityservices provider met de Benelux als werkterrein. Aanleiding voor het gesprek is de opening van het state-of-the-art Security Operating Center in Nieuwegein, met 12 seats een van de grootste in de Benelux. “Techniek is belangrijk, maar beleid en organisatie zijn dat evenzo, het ene kan niet zonder het andere. Je moet ze integraal inzetten om tot een securityniveau te komen dat past bij je risico’s en het budget dat je beschikbaar hebt.” Northwave combineert technische services zoals detectie en monitoring vanuit het Security Operations Centre met het testen en optimaliseren van maatregelen en het verbeteren van awareness en het reactievermogen bij incidenten. Dit wordt aangestuurd vanuit een managementsysteem gebaseerd op internationale standaards zoals ISO 27001.

Zwaargewichten en vakidioten

Met deze opstelling neemt Northwave een onderscheidende positie in. De meeste aanbieders richten zich op hetzij de organisatorische kant van security hetzij op de technologie. Northwave biedt een integrale aanpak en zorgt daarmee voor meer samenhang in security. Het bedrijf groeit snel. Om leiding te geven aan die groei zijn drie zwaargewichten aangetrokken. Fook Hwa Tan leidt de Business Security & Audit experts. Pim Takkenberg zwaait de scepter over het team van Cyber Securityspecialisten en het CERT van Northwave. Het Management Team wordt gecompleteerd door Marc de Jong Luneau als VP Sales en Marketing. Ook de Jong Luneau is een oudgediende in de securitywereld, met veeljarige internationale ervaring opgedaan bij onder meer BT, Kahuna en Fortinet.

Tan heeft onder meer bij PwC zijn sporen verdiend in Quality Assurance, Auditing en het begeleiden van ISO27001-trajecten. “ISO is geen einddoel, maar het is een goede manier om je securityorganisatie en processen op orde te krijgen en aan te sturen. Vervolgens zorgen wij ervoor dat die op orde blijven, ook als de auditors de deur uit zijn,” zegt Tan.

Pim Takkenberg is in Nederland een van de bekendste securityspecialisten dankzij zijn jaren als leider van de High Tech Crime en Cyber Intelligence Teams van het ministerie van Binnenlandse Zaken. Beide mannen hebben gekozen voor Northwave om een serieuze bijdrage te leveren aan het verhogen van de informatieveiligheid bij organisaties in de Benelux. Takkenberg: “Veel specialistische kennis wordt weggetrokken door ministeries en multinationals. Het middenbedrijf dreigt in de knel te komen. Wij willen security bereikbaar houden voor iedereen die afhankelijk is van ICT. Dat kan alleen als je de beschikbare expertise effectiever benut.”

Onduidelijkheid als risico

De visie van Northwave heeft zich vertaald in een totaalaanpak die als Managed Service wordt geboden aan organisaties die een integrale benadering van hun bedrijfsrisico’s willen. “Veel organisaties merken dat voor informatiebeveiliging met verschillende leveranciers en serviceproviders moet worden samengewerkt. Elk deelgebied wordt ingevuld door specialisten die alleen deeloplossingen bieden. Je moet dan zelf als klant meerdere leveranciers gaan managen. Dit leidt tot een gebrek aan samenhang en afstemming, en tot overlapping. Die onduidelijkheid is op zichzelf al een risico. Met onze Intelligent Security Operations brengen we daar verandering in,“ zegt de Jong Luneau.

In die aanpak bepalen opdrachtgever en Northwave hoe reactieve en proactieve maatregelen elkaar het beste versterken en welke werkverdeling er is tussen de organisatie van de klant, eventuele cloud-providers, beheerders en de securityspecialisten van Northwave. Zo wordt een pragmatische verdedigingsoperatie gebouwd en aangestuurd. Het resultaat is altijd een maatwerkoplossing, terwijl klanten toch profiteren van de schaalvoordelen van uitbesteden. Hoogwaardige security wordt met die aanpak ook bereikbaar voor kleinere bedrijven.

Duurzame beveiliging vraagt om slimme structuur. “Wij zorgen ervoor dat alle processen volgens ISO 27001 gedocumenteerd zijn en via plan-do-check-act worden bijgestuurd. Geen ad-hoc projecten, maar samenhangende processen,” zegt Tan. “Daarmee bewaken we prioriteiten en budgetten en maken we doorlopend een business afweging van reële risico’s. We nemen daarin behalve informatiebeveiliging ook privacy compliance en Business Continuity Management mee.” ISO 27001 certificering en ‘auditability‘ worden steeds belangrijker. Inkopers hebben de norm ontdekt. Tan: “Dat is al langer aan de gang voor andere ISO-domeinen en gebeurt nu voor security. Je moet kunnen bewijzen dat je goed past op je informatie, anders wil men gewoonweg geen zaken meer met je doen. De nieuwe privacyregels versnellen dit proces. De boetes zijn niet alleen fors hoger geworden, steeds meer bedrijven begrijpen dat hun reputatie op het spel staat als ze onzorgvuldig met gegevens omgaan. Wij helpen hen die verantwoordelijkheid professioneel in te vullen.“

Wake-up Call

Een van de uitdagingen in informatiebeveiliging is het verbeteren van de bewustwording op alle niveaus in de organisatie. Security is geen IT-aangelegenheid. Iedereen, van hoog tot laag, draagt verantwoordelijkheid. De Jong Luneau: “Wij bereiken de beste resultaten door met klanten cyberincidenten te oefenen. Wat gebeurt er echt als je wordt aangevallen door hackers? We betrekken er alle sleutelfiguren in een organisatie bij. Hoe lopen de communicatielijntjes, wie zegt en doet wat wanneer en hoe? Dat mes snijdt aan twee kanten. Essentiele vaardigheden worden realistisch getraind en er ontstaat meteen een gesprek bij de koffieautomaat. Daarmee ontstaat collectief veiligheidsbewustzijn. Medewerkers voelen wat er mis kan gaan als ze hun verantwoordelijkheid niet nemen. Geen awareness zonder actie. Daarom bieden we vanuit die ervaring concreet handelingsperspectief zodat iedereen actief weet bij te dragen aan betere beveiliging. Het proces wordt dan van de organisatie zelf.

V.l.n.r.: Fook Hwa Tan, Pim Takkenberg, Marc de Jong Luneau en Steven Dondorp, het MT van Northwave

Naast alle beleid, processen, maatregelen en technologie is informatiebeveiliging ook een kwestie van ‘weten’. Weten wat er speelt in de buitenwereld en binnen je ICT-omgeving. Omdat hackers steeds gemakkelijker firewalls en antivirus omzeilen, bewaakt Northwave permanent de ICT van haar klanten. “Dan doen we met moderne SIEM-technologie vanuit het nieuwe SOC. Dat is de cockpit waar alle informatie samenkomt en van waaruit acties worden geïnitieerd en gecoördineerd. Het kan gaan om preventieve acties, maar ook om Incident Response. ” zegt Takkenberg. Northwave helpt haar klanten zo om veel sneller te reageren en bijvoorbeeld ook te voldoen aan de Wet Meldplicht Datalekken. Mocht het onverhoopt misgaan, dan komt het Computer Emergency Response Team van Northwave in actie om het probleem te verhelpen. Dat team is een van de vier commerciële teams in Nederland die het prestigieuze CERT-logo mogen voeren, naast die van Fox-IT, Digital Investigations en KPN.

Ties & T-shirts

De integrale aanpak van Northwave draait om interdisciplinair denkende professionals. “Dat wil zeggen dat de techneuten (de ‘T-shirts’) en de consultants (de ‘Ties’) elkaar verstaan en respecteren.” zegt Dondorp. “Iedereen levert op zijn gebied meerwaarde, aan de klant, aan elkaar en aan de organisatie. We begrijpen elkaars sterktes en stellen die in dienst van de organisaties die op ons vertrouwen. Die verbondenheid en betrokkenheid wordt door onze klanten sterk gewaardeerd. We hebben nauwelijks verloop. Bovendien vragen grote organisaties ons nu ook om die aanpak door te vertalen naar hun eigen Security Teams. Dat is een groot compliment voor de manier waarop we dit bedrijf aan het bouwen zijn. Daar ben ik echt trots op.”

Onafhankelijkheid

Northwave is onafhankelijk. Dit wil zeggen dat er geen venture capitalists aan boord zijn, het niet een dochteronderneming is van een grotere entiteit of dat vreemd vermogen is aangetrokken. De groei is altijd gefinancierd uit eigen middelen. Daarnaast is Northwave vendor-onafhankelijk. Het bedrijf adviseert over technologie op basis van erkende best practises en betrouwbare assessments van klantbehoefte.

Northwave is ISO 27001 gecertificeerd en mag als een van de vier securityspecialisten in de Benelux het officiële CERT (Computer Emergency Response Team) logo voeren. Bij Northwave werken nu ruim 45 specialisten. Het bedrijf heeft een ambitieuze groeistrategie. Over twee jaar werken er bij Northwave 100 of meer gekwalificeerde security experts. Er zijn vestigingen in Nederland (Nieuwegein) en België (Brussel).

Theo Loth is bedrijfsjournalist