Lagarde Groep: Beveiliging is een mindset
Lagarde Groep is hier met 115 specialisten op het gebied van ICT, communicatie en beveiliging volle-dig op ingericht. Vanuit vestigingen in Putten, Ede en Hoevelaken zijn ze in heel Nederland dagelijks bezig met security consultancy in de breedste zin van het woord. Van inbraak- of branddetectie, toegangscontrole en camerabewaking tot en met de vele aspecten van cybersecurity.
Arnold Versteeg is salesmanager beveiliging. Hij studeerde bedrijfseconomie en toegepaste na-tuurkunde aan de Hogeschool Enschede. Sander Rolleman heeft de opleiding security management in Apeldoorn afgerond. Beiden zijn dagelijks onderweg om bedrijven en instellingen te advise-ren over alle aspecten van veiligheid. "Advisering is cruciaal. We worden vaak uitgenodigd om delen van een beveiligingstraject te leveren. Bijvoorbeeld om een offerte te maken voor de installatie van een cameraobservatiesysteem voor bedrijven of zorg- en onderwijsinstellingen. Dan ligt wat ons betreft meteen de vraag op tafel waartoe dat systeem moet dienen. Is het onderdeel van een veelomvattend plan, een aanvulling op andere systemen, of wordt het alleen gebruikt om bezoekers het idee te geven dat alles goed is geregeld? Het heeft voor ons geen toegevoegde waarde om mee te offreren in een traject waar uiteindelijk uit drie aanbiedingen de goedkoopste wordt gekozen. In zo'n traject komt onze meerwaarde niet aan de orde. Die is er wel als we over de brede uitvoering van beveiliging kunnen meedenken."
Arnold Versteeg: "Neem fysieke beveiliging. Dan praat je over zaken als veiligheidssloten, slagbomen, bollards, terreinbeveiliging en systemen voor toe-gangscontrole. Dat klinkt allemaal redelijk eenvou-dig, het zijn zaken om kwaadwilligen tegen te hou-den. Maar hoe zit het met de eigen mensen? Neem toegangscontrole. Je krijgt pas toegang wanneer je gerechtigd bent het pand te betreden. Maar wie mag waar komen? Voor bezoekers ligt het antwoord voor de hand. Die moeten eerst een receptie passeren en kunnen dan gecontroleerd of begeleid hun weg door het pand vervolgen. Maar hoe zit het met mede-werkers en het veiligheidsrisico dat je met eigen personeel loopt? Heeft iedereen zomaar toegang tot bijvoorbeeld alle vertrekken of de complete be-drijfsgegevens? In de praktijk is dat vaak het geval. Ons advies is om daar maatregelen tegen te nemen en een beveiliging in te richten volgens de 'need to know' en 'need to be' principes. Het ??n hangt altijd met het ander samen en dat verband wordt pas helder als je de risico's analyseert en er een compleet plan van aanpak voor presenteert. Zo'n risicoanalyse levert soms verbluffende uitkomsten op, zoals de stagiaire die toegang heeft tot de printerruimte, waar ook de medicijnen worden opgeslagen. De sleutel van de medicijnkast hangt in een sleutelkast die met dezelfde sleutel is te openen als de toegangs-deur. Of de schoonmakers die 's avonds om zes uur onbewaakt toegang krijgen tot alle ruimtes. Is daar over nagedacht? Die oplossingen kunnen zeer verschillen, van zeer eenvoudig tot en met iris-scans of controles via vingerafdrukken. Ze kunnen ook enorm complex zijn. Bijvoorbeeld het project dat we hebben uitgevoerd voor de Amsterdamse Rembrandttoren. 35 Etages met dertig verschillende
Veiligheid en beveiliging spelen een steeds grotere rol in het bedrijfsleven, bij de overheid en bij instellingen voor zorg en onderwijs. Fysieke veiligheid van gebouwen, terreinen, medewerkers, bezoekers, pati?nten en leerlingen, maar vooral ook digitale veiligheid ter voorkoming van steeds weer nieuwe en gevaarlijkere vormen van cybercrime. "Fysieke beveiliging en cybersecurity zijn in onze ogen multidisciplinaire vraagstukken. Het gaat altijd om de combinatie van hoogwaardige technologie, menselijk inzicht en om de integratie
Lagarde Groep heeft een eigen werkmethode ontwikkeld, waarin klantteams centraal staan. "Wij stellen voor elke klant een team samen met specia-listen die voor die klant van belang zijn. Die nauwe binding tussen klant en team via een aanspreekpunt maakt de communicatie niet alleen eenvoudig en helder, onze teams kennen bovendien hun klanten van haver tot gort. Vaak begint een werktraject met een uitgebreid kennismakingsbezoek. De teamleden zien dan bijvoorbeeld meteen welke processen voor de klant kritiek zijn, hoe de communicatiestromen verlopen en hoe ze in een geval van een calamiteit moeten reageren. Daarvoor is wat ons betreft een crisisplan noodzakelijk, zodat we in geval van nood op alles zijn voorbereid. Iedereen kent dan zijn taak en weet wat er gevraagd wordt. Dat maakt niet alleen beperking en herstel van schade eenvoudiger en sneller, het dwingt organisaties na te denken over mogelijke incidenten. Gebeurt het dan toch, dan biedt een incident-responseteam uitkomst. Het helpt organisaties met de planning van hun recovery na een aanval. Het voorkomt dat bedrijven en instel-lingen langer dan nodig lijden onder de gevolgen van cybercrime. Ze kunnen in veel gevallen dan snel weer verder." De ervaringen met klantteams zijn zeer positief. "We verankeren op die manier de kwaliteit van onze dienstverlening. We kennen onze klanten en de klanten kennen ons. Dat is wat ons betreft altijd de basis voor een geslaagde en langdurige samenwerking."En dan heb je het steeds grotere probleem van cybercrime. Vroeger had cybercriminaliteit nog iets lieflijks. Slimme hackers deden een voorzichtige poging om in je bedrijfssysteem in te breken. Niet om er veel schade aan te richten, maar gewoon om te laten zien dat ze het konden. Toen kwamen de jongens die er een verdienmodel in zagen, het werd al wat minder vriendelijk, of beter gezegd langzaam maar zeker enorm bedreigend. Dat kan ver gaan. Wat te denken over een tegenstander die in staat is je elektriciteitscentrales lam te leggen, om nog maar te zwijgen over kerncentrales, de werking van een dam op afstand te sturen, de verkeersleiding van een vliegveld over te nemen, alle verkeerslichten op rood te zetten, of erger nog, op groen. Het kan ook gaan om het op grote schaal versturen van nepnieuws om bijvoorbeeld verkiezingen te beinvloeden. Dat is geen uitzondering, het is de dagelijkse praktijk. Ove-rigens zijn ook de cyberaanvallen op het bedrijfsle-ven van toon veranderd. Het verdienmodelletje van begin 2000 is veranderd in een zeer zware bedrei-ging. De Universiteit Maastricht betaalde recentelijk tonnen losgeld aan hackers, waarschijnlijk dezelfde die in 2018 de Universiteit Antwerpen onder vuur namen. Ook daar begon het probleem met phis-hing, een medewerker die een bijlage opende en zo een hacker binnenliet in het systeem. Omdat de veiligheidssoftware al lange tijd niet was bijgewerkt
Lagarde Groep
Toen de schermen op zwart gingen was het te laat, de universiteit had geen schijn van kans, zelfstandig herstel was onmogelijk en dus werd er betaald. "En dat gebeurt dagelijks bij veel bedrijven en instellin-gen in Nederland en wereldwijd. Cybercrime is big business, alleen melden de slachtoffers zich vaak niet. Het is niet zo fijn om wereldkundig te maken dat al je klantendata op straat liggen. Wat dat betreft vormde de Universiteit van Maastricht een posi-tieve uitzondering. Ze vertelden precies wat er was gebeurd, zodat collega-instellingen en bedrijven er van konden leren."
Informatiebeveiliging
Malware en phishing kunnen worden geweerd met de inrichting van Advanced Threat Protection. De links en bijlagen in binnenkomende mails worden gescand. Dat is een doelgerichte manier om preven-tief te beveiligen tegen phishing. Zo voorkom je dat het bewustzijn van gebruikers de beveiliging bepaalt. Ook het inrichten van Intune en Endpoint protectie dragen sterk bij aan het versterken van de beveili-ging. Raakt een medewerker zijn apparaat kwijt? Dan blijven de daarop aanwezige gegevens beveiligd en kunnen de data zelfs van afstand worden verwijderd. Ook kunnen hiermee updates worden gepushed, zodat de apparaten voorzien zijn van de laatste bevei-ligingsupdates. Informatiebeveiliging gaat ook over de vraag wie binnen de organisatie toegang heeft tot bedrijfsdata. Veel bedrijven hebben geen idee hoeveel administratieve accounts met volledige rechten er dagelijks actief zijn. Slimme technologie beperkt dat aantal, zodat alleen toegang wordt verschaft indien dat gewenst en toegestaan is (Least privilege).
Bewustwording
Cybercrime hoeft niet van buitenaf in gang te worden gezet. Ook hier kunnen kwaadwillende me-dewerkers veel schade aanrichten. Dat kan ook onbe-wust gebeuren, bijvoorbeeld omdat ze (thuis) werken via hun eigen ge?nfecteerde laptop of inloggen via een open wifi-lijn. Veel bedrijven staan het gebruik van de eigen laptop toe, maar er kleven ook nadelen aan. Bijvoorbeeld waar het gaat om beveiliging van bedrijfssystemen en geheimen, er kunnen juridische complicaties optreden wie is verantwoordelijk voor verlies of diefstal, of bij een virus? en er zullen afspraken over de kosten moeten worden gemaakt. En dan heb je als bedrijf net een BYOD-beleid (Bring Your Own Device) geformuleerd, word je door de technologie ingehaald. Complete computers in smartphones en horloges worden vervangen door multimediagadgets. Draagbare technologie denk aan smartwatches, fitness trackers en slimme brillen (Google Glass) is waarschijnlijk de snelst groeiende van alle IT-trends en de populariteit van die weara-bles in de werkomgeving zou best wel eens die van de smartphone achterna kunnen gaan. Voor onderne-mingen zou dit problemen kunnen gaan opleveren op het gebied van veiligheid, privacy en compliance. Beleid formuleren rond beveiliging is cruciaal, maar het begint met bewustwording, want dat is de beste
verdedigingslinie tegen cybercrime. Helaas wordt het belang van cybersecurity vaak pas duidelijk als er iets gebeurt. Dan ben je te laat. Daarom moet iedereen in elke organisatie van hoog tot laag - zijn doordron-gen van de gevaren die op de loer liggen. Informeren en communiceren, dat zijn de kernwoorden. Dat moet gelijk oplopen met de invoering van een bevei-ligingsbeleid en alle maatregelen die daar bij horen. Anders wordt het dweilen met de kraan open."
Ontwikkelingen
De techniek verandert snel en criminelen worden steeds slimmer. "Daarom is aandacht voor veilig-heidsbeleid een continu proces. Onze diensten zijn altijd maatwerk, want elke situatie is voor elke klant anders. Bovendien zijn oplossingen vaak schaal-baar. Software-oplossingen zijn soms al in licen-ties inbegrepen, maar maakt de klant er nog geen gebruik van. De ontwikkelingen in ons vakgebied gaan snel, we staan nooit stil, er is steeds weer een andere uitdaging. Bijvoorbeeld drones die op het dak
'
.jpg)
Rivierenland Business nummer 1 2020
