Sligro-CISO gebruikt NIST-framework om met management te communiceren

Sligro-CISO gebruikt NIST-framework om met management te communiceren

Recent waren we te gast op de Trend Micro Risk to Resilience World Tour. Hier deed de CISO van groothandel Sligro Food Group, Marcel Woltjes, zijn strategie uit de doeken om een grotere organisatie beter te beveiligen. Hij gebruikt hiervoor het NIST-framework, zodat hij en zijn team beter in kaart kunnen brengen wat de kroonjuwelen van elke manager zijn, wat er beschermd moet worden en wat er bij calamiteiten altijd beschikbaar moet blijven.

Voor een CISO is het soms best een uitdaging om te communiceren met het management. Zij zien cybersecurity vaak nog steeds als een ongewenste kostenpost. De organisatie moet weliswaar beveiligd worden, maar zelf willen ze daar bij voorkeur niet te veel mee te maken hebben. Als het maar wel gebeurt. 

Bij Woltjes zal het management er toch echt tijd voor uit moeten trekken. Hij heeft een duidelijke mening en dat is dat je alle eindverantwoordelijken aan boord moet hebben als het gaat over cybersecurity. Als elke manager zich bewust is van de belangrijkste infrastructuur, de kroonjuwelen, die te allen tijde beschermd en beschikbaar moeten blijven, dan is het binnen een organisatie veel eenvoudiger om cybersecurity goed te regelen.

Woltjes heeft een klein CISO-team, maar elk lid brengt een eigen expertise mee binnen de belangrijkste afdelingen van de organisatie. Die expertise, gecombineerd met een visie op cybersecurity, zorgt ervoor dat er in alle divisies aandacht is voor cybersecurity. Met deze kennisverdeling kunnen ze ook op een goede manier in gesprek met managers en directieleden over wat nu precies de risico’s zijn en hoe die opgelost dienen te worden. Om dit gesprek in goede banen te leiden, zodat managers het ook eenvoudig kunnen volgen, gebruiken ze het NIST-framework.

Lees ook: NIS2-richtlijn en risicobeheer: hoe bedrijven zichzelf succesvol kunnen beschermen

NIST-framework

Het NIST-framework vliegt cybersecurity aan op basis van vijf principes: Identify, Protect, Detect, Respond en Recover. In gesprek met een manager worden als eerste de werkprocessen en applicaties besproken om vervolgens te identificeren wat de kroonjuwelen van die manager zijn. Vervolgens bekijkt het CISO-team hoe deze kroonjuwelen beveiligd moeten worden. Vervolgens bepaalt men wat voor securitymiddelen er ingezet kunnen worden om afwijkingen of mogelijke problemen te detecteren. Als er vervolgens een detectie plaatsvindt, moet ook duidelijk zijn hoe men hierop dient te reageren. Je kunt bij belangrijke applicaties niet besluiten om die even een paar uur offline te halen om een mogelijk probleem te onderzoeken. Er moeten dus meerdere manieren zijn waarop je kunt reageren, afhankelijk van hoe serieus de dreiging is.

Tot slot moet je als het echt misgaat ook kunnen herstellen van een hack, ransomware of andere calamiteit. Back-ups zijn uiteraard een onderdeel van de strategie, maar snel kunnen herstellen ook; alleen dan is een organisatie daadwerkelijk weerbaar.

Vroeger had je een kasteel, nu bevinden data en applicaties zich overal

Woltjes geeft aan dat het vroeger eenvoudiger was om organisaties te beveiligen. Daar was de vorige securityvisie nog op ingestoken. Het zoveel mogelijk intern houden van alle IT-processen, applicaties en data. Op die manier zorg je ervoor dat je een grote kasteelmuur om je IT-systemen heen kunt bouwen en de cybercriminelen buiten de deur houdt. Die methodiek gaat vandaag de dag, ook bij Sligro, niet meer op. Applicaties en data draaien tegenwoordig in verschillende clouds, op de edge of nog steeds on-premises in een datacenter.

Een organisatie als Sligro is de afgelopen tien jaar ook flink veranderd. Waar vroeger veel bestellingen binnenkwamen per fax of per telefoon, arriveert 70% van de bestellingen nu via de website. Dit gaat 24 uur per dag en 7 dagen in de week door. Restaurants bestellen vaak ’s avonds laat wat ze nodig hebben, andere horecazaken zelfs ’s nachts.

De webshop is voor Sligro dus al een serieuze attack vector die goed beschermd moet worden. Als de webshop onbereikbaar is, kost dat direct geld. Dat wil je niet en dus is cyberweerbaarheid (resilience) enorm belangrijk voor Sligro.

Sligro werkt met Trend Micro’s cybersecurity platform en XDR

Op dit moment maakt Sligro gebruik van zo’n 20 security-oplossingen via een ‘layered security’-strategie, waarbij het Trend Micro cybersecurity platform, Trend Vision One, de basis vormt. Veel van die andere twintig oplossingen communiceren namelijk met het platform van Trend Micro, zodat alle securitydata samenkomt en er op die manier betere detectie en incident response mogelijk is. Hiervoor leunt Sligro op Trend Micro. Het neemt namelijk een managed security operations center (SOC) af, waardoor het zelf geen SOC hoeft te hebben. Dat betekent dat Trend Micro belast is met het 24/7 monitoren van de IT-infrastructuur van Sligro. Als er afwijkingen op het netwerk zijn, of als applicaties gedrag vertonen dat verdacht is, zal Trend Micro aan de bel trekken. 

Wat er ook gebeurt, de belangrijkste infrastructuur van Sligro, die kroonjuwelen, moeten beschikbaar blijven. Op dit moment schakelt het SOC nog met een engineer van het CISO-team, maar als het aan Woltjes ligt, gaan alle IT-teams samen zorgen voor de uitvoering van het securitybeleid. Dit moet ervoor zorgen dat er nog sneller geschakeld kan worden bij incidenten.

Sligro wil IT-teams voorzien van securitytraining

De visie is dat het SOC in de nabije toekomst direct kan schakelen met de verantwoordelijke afdeling waar zich een incident voordoet. Is dat bij één van de hyperscalers, dan moet er met het cloudteam worden geschakeld. Is het in een on-premises datacenter, of op het netwerk, dan kan er iemand van het netwerkteam worden ingeschakeld, zodat de betreffende afdeling ook meer verantwoordelijk wordt voor de cybersecurity. Uiteraard blijft het SOC zijn werk doen als stok achter de deur, maar als alle IT-teams zich beter bewust zijn van security, dan is de uitvoering vaak ook beter.

Natuurlijk is dit nog geen garantie dat er niets mis kan gaan. Uiteindelijk ging het hier tijdens de Risk to Resilience-tour van Trend Micro ook weer over. Het is namelijk niet de vraag óf, maar wánneer je gehackt wordt. Daar lijkt Woltjes ook rekening mee te houden. Het doel is simpel: het werk mag niet stil komen te liggen.

Meer dan IT, ook veel OT-security

Wat opviel is dat Woltjes al veel verder heeft gekeken dan enkel de IT-systemen. Zo noemt hij de vrachtwagens die continu onderweg zijn voor Sligro en voor Heineken, want ook die komen in veel gevallen bij Sligro vandaan. De planning van die vrachtwagens is heel belangrijk. Als ze niet geladen kunnen worden, of de chauffeurs weten niet waar ze op welk moment heen moeten, dan stelt Sligro veel klanten teleur. Dat kan resulteren in ontevreden klanten die mogelijk zelf ook hun deur gesloten moeten houden. Dat mag niet gebeuren.

Woltjes zegt dan ook stevige gesprekken gevoerd te hebben met de manager die verantwoordelijk is voor logistiek om samen te bepalen wat de kroonjuwelen zijn en hoe ze reageren op calamiteiten. Aan de hand van het NIST-framework.

Voor calamiteiten leunt Sligro op haar eigen datacenter, maar ook op de cloudomgevingen van Microsoft Azure en AWS. Op al die locaties kan geschakeld worden naar back-upomgevingen, indien er wat misgaat.

Incidenten komen nog altijd voor. Woltjes herinnert zich een gesprek met een IT-beheerder die wel erg veel vreemde IP-adressen en devices op het netwerk had gevonden. Na onderzoek bleek dat Sligro had geïnvesteerd in slimme muizenvallen. De CISO was echter niet ingelicht over deze aanschaf.

Sligro gebruikt in haar magazijnen muizenvallen om ongedierte te bestrijden  De Warenwet stelt dat als een muis in zo’n val loopt, de muis binnen 24 uur moet worden verwijderd. Omdat het onbegonnen werk zou zijn om alle vallen dagelijks handmatig te controleren bleek de slimme muizenval een uitkomst. Via een applicatie is  te zien welke muizenvallen leeg zijn en welke niet. Op die manier is dat eenvoudiger te beheren. Dat de muizenvallen mogelijk van een Chinese leverancier komen en praten met een Chinese applicatie, deed de nodige belletjes rinkelen. Geen groot incident, maar wel reden om het securitybeleid anders in te richten.

Sligro is goed op weg, maar Woltjes is nog niet klaar

Volgens Woltjes is Sligro goed op weg en is het cybersecuritybeleid en de weerbaarheid fors verbeterd de afgelopen jaren. Dat komt vooral door veel inzicht en kennis te delen en het gebruik van het NIST-framework, waardoor meer managers en afdelingen zich bewust zijn van de risico’s. Daarnaast worden IT-systemen hierdoor beter ingericht en beveiligd.

Wel wil Woltjes er naartoe dat zijn CISO-team meer een controlerende taak heeft en een minder uitvoerende taak. Op die manier draagt iedereen de verantwoordelijkheid voor de IT-systemen binnen zijn afdeling en blijft men ook waakzamer. Het CISO-team kan zich dan bezighouden met het verder optimaliseren en veilig houden van Sligro.

Lees ook: 63 branches verenigen zich ter ondersteuning Europese cybersecurity richtlijn