Een dag uit het leven van een CISO

Volg mij


 



Even voorstellen: Jane, Chief Information Security Officer

Welkom op mijn pagina! Ik ben Jane. Ik ben onlangs in dienst getreden als Chief Information Security Officer (CISO) en ik vertel iedere maand over mijn baan, de hoogtepunten, de dieptepunten en alle innovaties in mijn dagelijks werk. En hoe dit alles helpt mijn bedrijf veilig te houden, en mijn loopbaan te bevorderen.


Jane, Chief Information Security Officer


EVEN VOORSTELLEN: IK BEN JANE

Ik ben geen YouTuber maar ik heb een korte video gemaakt om mijzelf voor te stellen.

deel dit artikel

Threat Hunting: Capgemini’s proactieve bescherming tegen cyberinbreuken

Mijn blog van januari

Kan ik er na installatie van effectieve controles en tools voor cyberbeveiliging op vertrouwen dat mijn bedrijf 100% beveiligd is? Ben ik beschermd tegen de gevolgen van hacks die eerder hebben plaatsgevonden?

Voordat ik mijn vorige functie verliet, heb ik Threat Hunting van Capgemini laten implementeren. Waarom? Een gevoel van verantwoordelijkheid. Ik wilde er zeker van zijn dat ik geen verborgen bedreigingen of gehackte gegevens achterliet. Cyberaanvallen zijn serieuze bedreigingen. En het beschermen van klanten stond hoog op onze agenda.

Ik was de Chief Information Security Officer (CISO). We hadden honderden klanten. Het was vaak bijzonder lastig om dreigingen te signaleren en we waren daarmee vaak te laat. Ik had al een aantal essentiële maatregelen genomen, maar ik maakte mij nog steeds zorgen. Ik wilde zekerheid hebben omdat een cyberaanval aan veel klanten schade kan toebrengen, zowel persoonlijk als materieel. Een cyberaanval zou ook ten koste kunnen gaan van onze winstgevendheid. Om nog maar niet te spreken van de aantasting van onze goede naam!

Cyberaanvallen werden steeds geavanceerder en frequenter. Grote namen als Yahoo en Tesco Bank werden aangevallen door hackers. De raad van bestuur was nerveus. En het feit dat ik binnen korte tijd het bedrijf zou verlaten, hielp ook niet echt mee.

Daarom nam ik contact op met mijn Capgemini-consultant. Ik wilde meer informatie over hun nieuwe Threat Hunting service, waarover ik had gehoord toen zij werkten aan de implementatie van onze Identity and Access-as-a-Service (IDaaS) en ons Security Operations Center (SOC)..

Hij vertelde mij dat de service een combinatie was van diepgaande menselijke analyses en geautomatiseerde opsporing van bedreigingen. Terwijl het Security Operations Center controleert op opvallende bewegingen en datadiefstal, speurt Threat Hunting actief naar kwaadaardige activiteiten die bij uw eerdere veiligheidscontroles niet zijn opgemerkt, of die al aanwezig waren voordat het SOC van start ging. Hierbij is het sleutelwoord “Hunting”: actief zoeken naar bedreigingen.

De service, die om redenen die geen toelichting behoeven geen bijzonderheden verstrekt over de gevolgde methode, bracht aan het licht dat er misbruik was gemaakt van een aantal zwakke plekken, gelukkig zonder ernstige gevolgen. We waren in staat het probleem op te lossen voordat onze gegevens werden gehackt. Het belangrijkste is dat Threat Hunting een proactieve aanpak toevoegt aan de traditionele, meer reactieve tools voor signalering van cyberaanvallen.

Een cruciaal verschil.

En nu werk ik dus voor een nieuwe onderneming, die volgens mij ook haar voordeel zou kunnen doen met Threat Hunting van Capgemini. En mijn voormalige collega’s? Nu ze beschikken over effectieve cyberbeveiliging kunnen ze verder wel zonder mij. Tenminste, dat beweren ze...

Meer informatie over Threat Hunting van Capgemini is hier te vinden. Altijd proactief.

deel dit artikel

Veiligheidstest van nieuwe apps

Mijn blog van februari

Lees hoe ik ervoor heb gezorgd dat apps werden gecontroleerd op zwakke plekken zonder dat dit ten koste ging van de marktintroductietijd?

Een nieuwe onderneming, een nieuwe uitdaging, en een paar nieuwe prioriteiten. Net als alle CISO’s ben ik continu gefocust op één ding: zo doortastend mogelijk zorgdragen voor cyberbeveiliging.

Dus toen mij werd verteld dat de onderneming een enorme hoeveelheid nieuwe apps moest testen die het volgende kwartaal al op de markt zouden worden gebracht, wist ik dat ik zo snel mogelijk aan de slag moest om te verzekeren dat er vóór de uitrol uitgebreide tests zouden plaatsvinden.

Toen ontmoette ik Philippa. Zij geeft leiding aan Quality Assurance in de divisie New Digital Product Launches. Zij moest het pakket nieuwe apps zo snel mogelijk klaar hebben en introduceren.

We hebben vervolgens samen de bestaande regelingen doorgenomen, en ik heb haar aangeraden om het testen van de beveiliging hoog op haar prioriteitenlijst te zetten, ondanks de tijdsdruk.

De beveiliging van apps is iets dat niet mag worden onderschat. Ik zal eerlijk zeggen dat ik mij toch wel zorgen maakte. Hoewel de testomgeving over het algemeen goed leek te zijn, was deze net als bij andere ondernemingen gebaseerd op penetratietests. Deze tests worden vaak te laat uitgevoerd om nog beveiligingsproblemen te signaleren. Er kan niet alleen vertrouwd worden op penetratietests om nieuwe apps te beschermen tegen moderne dynamische cyberbedreigingen.

Ik had al eerder met succes met Capgemini gewerkt, en was daarom bekend met hun Application Security Testing Service. Ik heb contact met hen opgenomen om het een en ander te bespreken.

Het is vaak moeilijk om meerdere apps goed te testen tegen voortdurend veranderende cyberbedreigingen, vooral wanneer je werkt tegen de klok ― en op een vast budget. Maar daar is de service van Capgemini speciaal voor bedoeld. 

Laten we volstaan met te zeggen dat Capgemini’s Application Security Testing Service zich professioneel van haar taak heeft gekweten.

Meer informatie over Capgemini's baanbrekende service vindt u hier.

deel dit artikel

Bright IDAAS van Capgemini

Mijn blog van maart

Het is heel belangrijk dat de juiste mensen op het juiste moment toegang hebben tot de juiste gegevens. Hoe kan ik ervoor zorgen dat de medewerkers van mijn bedrijf met de juiste beveiliging toegang krijgen tot de juiste middelen?

De uitdaging van het beveiligen van bedrijfsmiddelen en -gegevens is al onderwerp van mijn blog sinds mijn indiensttreding als CISO. Mijn volgende taak in mijn nieuwe functie is controle van het Information Access Management (IAM) in het bedrijf.

Ik was eigenlijk van plan om meer informatietoegangscontroles te implementeren, en meer nadruk te leggen op het controleren van de identiteit van gebruikers. Maar het opwerpen van meer hindernissen kan van negatieve invloed zijn op de gebruikerservaring.

Daarom ben ik met Peter, mijn Head of Compliance, gaan praten. Peter bepaalt het toegangs- en governancebeleid van de onderneming. Omdat hij eindverantwoordelijk is voor IAM, zijn Peters verantwoordelijkheden recentelijk een stuk ingewikkelder geworden. Feitelijk heeft het toenemende aantal mensen dat toegang heeft tot informatie als gevolg van de algemene verbreiding van apparaten, en trends zoals Bring Your Own Device (BYOD), het leven van Peter veel moeilijker gemaakt.

Op basis van een interne beleidsevaluatie hebben Peter en ik in kaart gebracht hoe wij de juiste mensen snel en veilig de juiste toegang tot de juiste informatie kunnen geven. De kwaliteit van de eindgebruikerservaring had prioriteit.

Wij waren voorstander van gebruik van een on-site IAM-oplossing. Maar volgens Peter was dit duur en zou dit vanuit HR-perspectief lastig te realiseren zijn. De ROI zou ook moeilijk aan te tonen zijn. We moesten een compleet nieuwe aanpak zien te vinden.

Toen heb ik Peter laten kennismaken met Capgemini. Capgemini was aanwezig op een compliance-event, en wij bezochten een sessie over hun oplossing Identity and Access Management as a Service (IDaaS). Peter was onder de indruk van de implementatiesnelheid van deze service. Hij was ook enthousiast over de schaalbaarheid, die volgens hem kosteneffectief zou zijn en zou bijdragen aan het terugdringen van de risico's. Daarom zijn we korte tijd later met IdaaS gaan werken.

Voor het eerst in lange tijd heeft Peter het gevoel dat zijn baan misschien wel iets eenvoudiger is geworden!

 

Meer informatie over Capgemini’s IDaaS vindt u hier.

deel dit artikel

De juiste vragen stellen over cyberbeveiliging

Mijn blog van april

Hoe zorg ik ervoor dat mijn bedrijf veerkrachtig genoeg is? Voldoet mijn organisatie aan de beveiligingsvoorschriften en het bedrijfsbeleid? Is het mogelijk om digitale transformatie door te voeren onder aanvaardbare risico's?

Een van onze concurrenten is onlangs slachtoffer geworden van een grote gegevensinbreuk. Dit - en de opkomst van nieuwe marktspelers - was voor mij aanleiding om te bezien welke cyberbeveiligingsstrategie onze digitale bedrijfsmiddelen het best zou beschermen.

Ik begon bij onze bedrijfsbehoeften. Over wat voor beveiliging dienen wij te beschikken om de groei en concurrentiepositie van de onderneming veilig te stellen, met name gezien het niveau waarop wij digitale transformatie combineren met aanvaardbare risico's? En, allerbelangrijkst, hoe kon ik verzekeren dat onze beveiligingsplannen de senior-level aandacht van beleidsmakers en andere stakeholders zouden krijgen die nodig was om top-down belangstelling voor het onderwerp cyberbeveiliging te verzekeren?

It was a strategically important challenge. I needed to ask the right questions to enable me to build an appropriate cybersecurity strategy for our organization ― one that would ensure regulatory compliance and business resilience. These questions had two focus areas: how to achieve our cybersecurity objectives, and how to align those objectives with the businessDit was een uitdaging van strategisch belang. Ik moest de juiste vragen stellen om in staat te zijn een passende cyberbeveiligingsstrategie voor onze onderneming te formuleren. Een strategie die naleving van regelgeving én een veerkrachtige bedrijfsvoering zou verzekeren. Bij deze vragen waren er twee aandachtspunten: de manier waarop wij onze doelstellingen op het gebied van cyberbeveiliging kunnen verwezenlijken, en de manier waarop wij deze doelstellingen kunnen afstemmen op de bedrijfsvoering.
 

Een kritiek uitganspunt voor de bescherming van uw digitale bedrijfsmiddelen

Hier volgt het resultaat van mijn evaluatie, en volgens mij zijn deze vier vragen een goed uitgangspunt voor iedere CISO of IT-leider die een beveiligingsstrategie wil ontwikkelen:

  • Hoe ontwikkelen wij ons traditionele beveiligingsmodel op een zodanige manier dat dit gefocust is op gegevens, mensen en risico's?
  • Waar moeten wij onze investeringen op focussen nu dat beveiligingsoperaties niet langer alleen gebaseerd zijn op IT-bescherming?
  • Hoe kunnen wij de nieuwe visie op cyberbeveiliging onderdeel maken van onze bredere bedrijfstransformatie, en op die manier diepgaande veranderingen in de beveiligingsfunctie tot stand brengen?
  • Hoe kunnen wij voorkomen dat medewerkers de zwakke schakel zijn en hoe kunnen wij toewerken naar een meer mensgerichte aanpak van beveiliging?

 

Nu ik beschikte over de juiste vragen kon ik mijn strategisch plan gaan formuleren. Ik organiseerde een vergadering met het Capgemini Cybersecurity team om een strategie op maat voor ons bedrijf uit te zetten en vervolgens te implementeren.

Wat mij bijzonder aansprak in het voorstel van Capgemini was hun aanbod om zowel strategie als implementatie voor hun rekening te nemen ― geen enkel ander bedrijf was in staat zo compleet invulling (en uitvoering) te geven aan mijn wensen. Ook hun open houding vond ik fijn want dit betekende dat ik niet onder druk zou worden gezet om een bepaalde technologie te kopen, of gebonden zou zijn aan een duur licentiecontract.

Op basis van een duidelijke, gedeelde visie op onze ontwikkeling en methoden hielp Capgemini met het in slechts 12 weken implementeren van ons transformatieprogramma voor cyberbeveiliging. Ik heb er nu het volste vertrouwen in dat we beschikken over de cyberbeveiliging die we nodig hebben om ons bedrijf veilig te doen groeien. \

Wilt u weten hoe de cyberbeveiligingsstrategieën van Capgemini uw digitale bedrijfsmiddelen kunnen beschermen? Klik dan hier.

deel dit artikel
deel deze editie