Informatiebeveiliging volgens Insite Security: geen feestje van IT, maar van de hele organisatie!
Je kent ze wel, die mailtjes waarin je wordt verteld dat jij de winnaar van die fan-tas-tische prijs bent. Of waarin je ‘internetleverancier’ vraagt om abonnementsgeld over te maken op hun bankrekening, omdat de incasso is mislukt. Phishing, jij trapt er niet in… toch? Ook heb je jouw onwijs moeilijk te achterhalen wachtwoorden goed beveiligd en lock je áltijd je scherm als je even wegloopt van je pc. Jouw informatie is goed beveiligd, maar die van je collega daarentegen… Voor die collega’s van jou is er Insite Security.
Geen feestje van IT
De mensen van Insite Security brengen de informatiebeveiligingsrisico’s van organisaties in kaart en helpen hen die risico’s te verkleinen en de beveiliging op orde te brengen. “Veel mensen denken dat informatiebeveiliging een feestje van IT is”, vertelt Jasper de Vries, “terwijl menselijk gedrag eigenlijk de grootste rol speelt. Wij laten bedrijven inzien dat – als je je bedrijfsinformatie echt goed wilt beveiligen – je juist de menselijke en organisatorische aspecten mee moet nemen”. Sinds een jaar is Jasper een van de directieleden van Insite Security. Bij aanvang van zijn dienstverband kwam hij direct op een frisse, nieuwe en volledig gerenoveerde werkplek terecht. Insite Security is vanaf 2016 namelijk gehuisvest in ons nieuwe kantoorpand aan de Sylviuslaan. Uit hun jasje gegroeid in de Peizerstate, was het tijd voor iets nieuws. Ze gingen met Waarborg om tafel en kwamen uit op de Sylviuslaan. “We zagen het wel zitten om de eerste verdieping van dit kantoorpand aan de zuidkant van Groningen te betrekken.” Inmiddels hebben ze ook de tweede verdieping van het pand veroverd. “We groeien snel”, glundert Jasper.
In(site) een notendop
Insite Security werd in 2009 opgericht door Erik Rutkens. Advisering en detachering op het gebied van IT vormden toen de rode draad in de dienstverlening, maar in 2012 verschoof de focus volledig naar informatiebeveiliging. Jasper vertelt: “Erik had beveiliging altijd al als speerpunt. Hij zag dat de vraagstukken op dit vlak toenamen en veelomvattender werden en het aanbod van goede informatiebeveiligers achterbleef; Erik heeft die kans gepakt en een bedrijf opgebouwd dat zich volledig specialiseerde in informatiebeveiliging.” Het team van Insite Security voert onder meer risicoanalyses en audits uit en begeleidt en implementeert verbetertrajecten rondom informatiebeveiliging van organisaties. “We zijn gegroeid naar een team van 80 mannen en vrouwen.”, vertelt Jasper. Met name in 2016 ging het snel, met de overname van het Haarlemse IT sec. “Ineens hadden we een team van 25 hackers erbij.”
Kenmerkend voor de dienstverlening van Insite Security is dat de organisatorische en menselijke aspecten een grote rol spelen in de advisering. “Je kan het technische gedeelte van je beveiliging nog zo goed op orde hebben, maar als een van je medewerkers zijn wachtwoorden doodleuk in een notitieboekje krabbelt, dan hebben al die firewalls en andere technische maatregelen natuurlijk weinig zin.” Bovendien streeft Insite Security bij klanten naar een voortdurende cyclus, waarbij informatiebeveiliging binnen de organisatie steeds verder wordt geoptimaliseerd. “Beveiligingsrisico’s veranderen continu. Om daarop in te kunnen spelen, werken we volgens vaste protocollen. Door gestructureerd wijzigingen door te voeren kunnen we inspelen op actuele dreigingen.”
Psychologen, hackers en wiskundigen
Dat Insite Security de drie aspecten van informatiebeveiliging serieus neemt, blijkt wel uit de grote variatie in hun personeelsbestand. “We hebben bijvoorbeeld psychologen in dienst die trainingen geven, e-learning trajecten opzetten en die zelfs een spel hebben ontwikkeld om medewerkers bewust te maken van hun eigen gedrag. Verder werken hier juristen die adviseren over (privacy)wetgeving, economen, bedrijfskundigen, informatici en informatiekundigen en zelfs een wiskundige. Die laatste maakt risicoanalyses en doet het conceptuele denkwerk.” Door in multidisciplinaire teams samen te werken aan informatiebeveiliging van klanten, weet het team van Insite Security zeker dat alle aspecten afgedekt zijn. “Dat moet ook wel; we willen het beste onafhankelijke adviesbureau in informatiebeveiliging zijn.”
Mistery visits
Verreweg het meest tot de verbeelding sprekende onderdeel van de dienstverlening van Insite is de mystery visit. Misschien ken je het programma ‘Undercover in Nederland’ wel, waarin Alberto Stegeman de beveiliging van grote organisaties onder de loep neemt. Dit doet Insite Security ook. “Een van onze collega’s gaat – natuurlijk in opdracht van de klant – ‘op bezoek’ bij een organisatie: hij loopt simpelweg binnen en kijkt wat hij aan gevoelige informatie kan bemachtigen. In sommige gevallen kunnen we in no time – en dan hebben we het echt over minuten – tot de kern van een organisatie doordringen. Tja, dat is voor de directie wel even schrikken als ze het beeldmateriaal terug zien.”
Drie tips van een expert
Zoals gezegd is informatiebeveiliging echt niet alleen maar weggelegd voor slimme IT-specialisten. Zelf kun je heel veel doen om bedrijfsinformatie te beveiligen. Jasper geeft drie tips:
- Onze specialisten komen vaak situaties tegen waarin de updates op pc’s niet zijn uitgevoerd. Zorg ervoor dat je collega’s altijd alle updates uitvoeren en dat de beveiligingssoftware up to date is. De ransomware Wanna Cry die in het voorjaar van dit jaar duizenden organisaties lamlegde, profiteerde van het feit dat mensen hun Microsoft updates niet draaiden.
- Zorg ervoor dat je collega’s geen voor de handliggende wachtwoorden kiezen en nooit hun wachtwoorden opschrijven in een boekje. Een goede password manager biedt uitkomst. Zo kunnen je collega’s moeilijkere wachtwoorden kiezen die ze niet hoeven te onthouden.
- Veel bedrijven vergeten dat hun personeel het grootste risico vormt. Als je werkt met gevoelige informatie, dan kan een screening van je personeel geen kwaad. Bovendien vertonen mensen doorgaans ander gedrag dan je zou graag willen. Omdat het bijvoorbeeld niet werkbaar is om, iedere keer dat je wegloopt van je pc, je scherm te locken. Of omdat een phishing mail er wel heel echt uitziet en de administratief medewerker ‘m niet kan onderscheiden van andere mailtjes met facturen. Door simpelweg in gesprek te gaan met je collega’s over dit onderwerp, vergroot je het bewustzijn en vang je al veel risico’s af. Ook kom je er zo achter wat wel en niet werkt. Wil je het echt serieus aanpakken, dan zijn er tal van trainingen of kun je ze zelf middels een spel leren wat de risico’s zijn.
Meer tips? Insite Security deelt via hun website interessante weblogs en nieuwtjes op het gebied van IT en beveiliging.