11min Security

Security als vaccinatie

Security als vaccinatie

Een interview met Yuri Bobbert, CISO bij NN GROUP NV, Holding van Nationale Nederlanden

Direct bij aanvang van ons gesprek legt Yuri Bobbert – Chief Information Security Officer bij NN Group – zijn proefschrift op tafel. Een vuistdik boek met als titel ‘Improving the Maturity of Business Information Security’[1]. Deze indrukwekkende studie rijgt zich als een rode draad door ons gesprek heen. In de figuur van Yuri Bobbert komen de wetenschap en de praktijk van information security op unieke manier samen.

Drie jaar geleden begon hij aan zijn opdracht als CISO bij NN Group. Diezelfde functie vervulde hij daarvoor gedurende twee jaar op interim-basis bij het UWV. Hij publiceert regelmatig over information security en was vijf jaar parttime lector Business Information Security bij de Hogeschool NOVI. Als onderzoeker is hij verbonden aan het Digital Security Institute van de Radboud Universiteit in Nijmegen en aan de Universiteit van Antwerpen. “Information Security moet in de core van de bedrijfsprocessen komen te zitten”, meent Bobbert. “Inmiddels heb ik geleerd dat wat in theorie goed zou moeten werken, zich lang niet altijd zo vertaalt naar de praktijk. Daarom heb ik samen met Talitha Papelard het boek ‘Critical Success Factors for Effective Business Information Security’ geschreven. Het zal niemand verbazen dat de mens zonder meer de belangrijkste Kritische Succes Factor (KSF) is. Natuurlijk is het aanbrengen van structuren en processen met raamwerken belangrijk, maar het is veel belangrijker of mensen het ook echt van je gaan aannemen, en of ze ook blijvend iets met security gaan doen.”

 

Op de juiste rails

In zijn proefschrift haalt Bobbert het vijfkrachtenmodel aan van Porter, wat bij de meeste managers wel bekend is. “Je brengt je concurrentie in kaart”, licht hij toe. “Je markt en wat zijn de ‘barriers-to-entry’ enzovoort. Dat kun je ook doen voor security. Welke belangrijke krachten van buitenaf zijn relevant voor mijn organisatie? Die kun je maar beter in kaart hebben gebracht, want als je eenmaal te maken krijgt met een serieus incident – wat we bij het UWV hebben meegemaakt – dan kun je nog heel moeilijk sturen. Het gaat erom de gedachtegang van een bestuurder op de juiste rails te zetten, zodat hij ook mee gaat denken over hoe je het beter kan gaan doen.”

Jaya Baloo, CISO bij KPN, komt ter sprake. Zij is een van de CISO’s die Bobbert en Papelard hebben geïnterviewd voor hun boek. Haar uitgangspunt is dat het vroeger of later misgaat in security. Bobbert: “Ga ervan uit dat het een keer mis zal gaan, maar zorg ervoor dat je zo goed mogelijk bent voorbereid voor als dat moment aanbreekt. Als je gehackt wordt, wil je zo razendsnel weten wat er is gebeurd. En dat is op voorhand verdraaid moeilijk tot in detail in te richten.”

 

Businessprioriteiten

Volgens Bobbert speelt de CISO meer een bedrijfsmatige rol dan de it-rol. “Partijen als Gartner en Forrester hebben wel een goede blik op de praktijk,” zegt hij, “maar de theorie is wat lastiger. Wetenschappelijk is er weinig over de CISO gepubliceerd dat hout snijdt. Vanzelfsprekend moet je als CISO een goede it-fundering hebben, zoals een CFO ook moet weten hoe een kasboek, balansen en cashflow werken. Om een beweging in gang te zetten, een bepaalde boodschap over te brengen, moet je vooral de businessprioriteiten kennen, zodat je daarop de securityactiviteiten kan afstemmen en momentum kan creëren en benutten. Binnen veel organisaties is de securityafdeling bezig met van alles en nog wat, veelal vanuit hobby, ik noem dat afdelingskampioenen. Ze kunnen verrekte goed hooghouden, maar scoren tijdens een wedstrijd is waar het om gaat. Zelden lopen initiatieven synchroon met de strategie van de business, terwijl dat juist zo belangrijk is. Ik had Amir (red: Amir Arooni, CIO van NN Group) gevraagd als paranimf voor mijn verdediging in Radboud. Hij heeft als CIO security heel hoog op de agenda en moest nu nog dieper doordringen in de materie van Business Information Security dan waar hij normaal gesproken aan toe zou komen. Na afloop zei hij tegen mij dat hij nu beter dan voorheen begreep waarom we bepaalde dingen die ik opstart zo doen. Een van die initiatieven is het betrekken van de ganse NN community bij information security.”

 

Groepsdenkkracht

Bobbert vertelt hoe hij binnen NN Group sessies heeft georganiseerd met 200 deelnemers. “We vragen dan aan de C level executive om te vertellen wat de strategie is en waar de grootste aandachtspunten en risico’s zitten. Amir vertelde dan over de digitale transformatie, een gigantische klus die hij op indrukwekkende wijze aanpakt en uitvoert. Vervolgens helpen alle deelnemers door de risico’s die zij in hun landschap zien in kaart te brengen en te kijken of ze bedreigend zijn. Ik ga het niet verzinnen, het moet uit het bedrijf zelf komen, zowel bottum op als top down. Om deze groepsdenkkracht te kanaliseren heb ik gebruikgemaakt van Group Support Systemen. Hans Mulder, hoogleraar aan de Antwerp Management School die al honderden keren met GSS heeft gewerkt, doet dan de procesmoderatie, terwijl ik modereer op de inhoud. Doel van deze sessies was om iedere keer de ruimte te verlaten met een bruikbare set van security-prioriteiten. Op deze manier bereik je gezamenlijk consensus over de richting en haal je al die specialisten uit hun silo’s en maak je ze klaar voor het spelen van een wedstrijd. Er komt tijdens die sessies zoveel naar voren, dat je strak de goede prioriteiten moet zetten. Je kunt ook nooit alles uitvoeren. We benoemen dus ook expliciet wat we niet gaan doen. In mijn proefschrift duiken steeds de woorden ‘administratie’ en ‘collaboratie’ op. Je wil collectief de richting van de organisatie aangeven, je wil collectief besluiten nemen en je wil collectief bepalen wat we nu echt belangrijk vinden. Daar gaan we dan vervolgens heel goed administratie over voeren.”

 

Bijvangst

Een leuke bijvangst van die GSS-sessies is dat de deelnemers veel leren van mensen uit andere disciplines. Ook komen talent of een frisse zienswijze bovendrijven. Bobbert vertelt over een van de deelnemers die zelf werkte aan een applicatie die via diverse open source tools het internet scant, om te kijken welke assets geassocieerd zijn met NN. “Ik heb hem de gelegenheid geboden die applicatie verder te ontwikkelen. Het brengt alle zogeheten ‘rogue’ assets in kaart. Assets die niet van ons zijn, maar die wel kunnen worden geassocieerd met NN. De app toetst of in die assets mogelijke kwetsbaarheden zitten die voor ons nadelige gevolgen kunnen hebben qua brand reputatie. Dit wordt terug gerapporteerd, zodat iemand indien nodig gepaste actie kan ondernemen.”

 

Killer agenda

Concreet leveren die sessies een agenda op, een lijst van 10 risico’s en 10 ‘must haves’. “Die must haves – die je heel goed kunt kwantificeren – vormen in zekere zin je security programma”, vertelt Bobbert. “Dat hoeft niet eens zo heel spannend te zijn, maar belangrijk is dat je het continu kan terugleggen bij de board. Wij hebben besloten dat we dit belangrijk vinden om te doen. Alleen komen we er qua bemensing en tijd niet altijd uit. Vinden we het nog steeds belangrijk genoeg? Zo ja, dan moet er geld, mensen of middelen (voor bijvoorbeeld opleidingen) bij. Deze agenda, die wij ‘the killer agenda’ noemen, behoedt ons tegen hobbyisme en onduidelijkheid. Er komt niets op de lijst wat geen prioriteit heeft. Naast die killer agenda, die richting geeft voor het hele bedrijf, heb je de administratie. En er lopen lange termijn projecten om die agenda en de administratie te verstevigen en te ondersteunen. Een van die projecten is het verder automatiseren van al onze security- en riskprocessen, alle control tracking, dashboarding enzovoort.”

 

Collaboratie

Binnen NN Group werken business en operations dichtbij elkaar in scrum teams. Bobbert: “Vanuit mijn rol als CISO ondersteun ik de digitale transformatie van de organisatie door security als een soort van vaccinatie in te brengen bij die teams. Dat doen we met een zogeheten ‘security-by-design-guild’. Dit gilde, deze groep mensen, vaccineert al die teams onophoudelijk, zodat het tweede natuur wordt om reeds bij de requirement settings en het design van de code na te denken over de rol van security. Dichterbij de digitale transformatie ligt continuous integration en continuous delivery pipelines. Wij werken met straten waarin software wordt ontwikkeld, gebouwd, getest en uitgerold. Binnen deze pipelines is security by design vastgezet. Eigenlijk precies zoals mijn auto reeds op de tekentafel met allerlei security principes is ontworpen, zodat dit op de productieband en de testfases eigenlijk geen issue meer is. Die autogordel zit er echt wel in, en werkt echt wel goed. Uiteraard wordt gewerkt met diverse principes die horen bij de digitale transformatie – gedegen code review, goede security testing, af en toe een hacktest. Een goede standaardsetting voor zo’n autogordel helpt je daarbij. Om te voorkomen dat er als het ware auto’s met verschillende soorten gordels van de band rollen, is onze sector gebaat bij maximale standaardisatie. NN is ook met die standaardsetting vooruitstrevend, bijvoorbeeld door de inzet van op ISF gebaseerde tools en methodes.”

Natuurlijk werken en denken niet alle onderdelen binnen de NN Group op deze manier. Daarom moet Bobbert in zijn rol van CISO zich focussen op culture change. “Daarom past het security-by-design-guild per bedrijfsonderdeel de dosering van het vaccin aan. Het is enorm belangrijk dat je mensen meeneemt in jouw verhaal, want de techniek is nooit de bottleneck.”

 

Administratie

De andere pijler van de digitale transformatie gaat over de verantwoordingsplicht, in het geval van NN Group aan DNB en AFM. “Je moet dus naast de collaboratie, ook in control zijn over de administratie”, aldus Bobbert. “In de sector gaan Excel-rapporten naar DNB, waarop scores worden ingevuld. In de toekomst moet die verantwoording en assurance veel meer worden geautomatiseerd in de code van zo’n pipeline. En dat gaat alleen maar werken als de toezichthouder erin kan meegaan dat wij de administratie op die en die manier voeren. Ook hier heeft de CISO een taak, door onze best practices te laten zien. Dat compliance-by-design vanuit de softwarestraat en de cloud leveranciers enorme voordelen kan hebben, ook voor andere partijen binnen de sector. Een van die best practices is bijvoorbeeld de verregaande automatisering van het bijhouden van het GDPR dataregister. Deze technologie registreert welke applicaties data gebruikt die onder privacy-categorieën vallen. Aan de hand van een Privacy Impact Analyse bepaalt de tool, genaamd SECA – een afkorting van SECurity Automation – automatisch welke eisen daaraan verbonden zijn. Voor een webportal met daarachter persoonlijke data hebben wij bijvoorbeeld two factor authenticatie nodig en een interne applicatie die door een firewall wordt afgeschermd, vereist encryptie. De security-eisen worden klaargezet voor een automatische pipeline. SECA verzorgt dus volledig geautomatiseerd de vertaalslag van wet-, norm- en regelgeving naar de security requirements. Dit maakt heel veel papieren risk- en security-processen overbodig.”

 

Automatiseren

Een ander aansprekend voorbeeld van de digitale transformatie is het automatiseren van de controls. Bobbert: “Dit project omvat onder meer dat we zoveel mogelijk manuele handelingen willen automatiseren, iets wat op den duur in alle bedrijfsonderdelen moet gaan landen. Bij een financiële applicatie controleert een auditor bijvoorbeeld of de gebruikers de juiste autorisaties hebben. Daar mogen uiteraard geen ‘toxic combinations’ in zitten, waardoor iemand gecombineerde bevoegdheden heeft die misschien fraude in de hand werken. Er zijn ruim honderd controls voor kritische applicaties, welk aantal nog kan groeien als je ook andere topics meeneemt. Omdat dit nog handmatig gebeurt, is een flink aantal mensen hier dedicated mee bezig. Dit willen wij terugbrengen met een applicatie die control tests en bewijzen verzameld op een centraal punt.  Ook kan de auditor aansluiten op het systeem – bijvoorbeeld een access control systeem – die automatisch elke maand een lijst genereert van alle zogeheten ‘toxic combinations’. Die kan de auditor dan beoordelen zonder aparte Excellijstjes op te vragen. Wij willen ernaar toe dat dit uiteindelijk voor alle controls zo zal werken. Het zit nu nog in een pilot fase, maar als het eenmaal draait zoals wij willen, dan kan DNB of elke andere regulator straks inloggen op het systeem op elk moment van de dag, in plaats van langs te komen. Dit is echte secure digitalisering door vaccinatie van mens, techniek en proces.”

[1] De volledige titel van het proefschrift is: Improving the Maturity of Business Information Security. On the Design and Engineering of a Business Information Security Artefact. In het proefschrift beschrijft Bobbert de bouw en oplevering via agile software methode van een softwarematige security meter (artifact) die dit proces volledig faciliteert.