Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.


IT management

Security awareness en dataclassificatie voor DNWG

Security awareness voor Zeeuwse netbeheerder

Als je voor een hele provincie verantwoordelijk bent voor alle gas-, stroom- en wateraansluitingen heb je heel veel data. Veel van die data is ook nog eens gevoelig, maar moet wel met partners gedeeld worden. Security awareness en dataclassificatie zijn daarbij dus erg belangrijk. Deze case is een mooi voorbeeld van hoe Portiva dat aanpakt en hoe DNWG veilig de toekomst tegemoet gaat.

DNWG (kort voor ‘De Netwerkgroep’) zorgt voor alle onder- en bovengrondse aansluitingen van gas, water en elektra in de provincie Zeeland. Een klus waarbij grote hoeveelheden data gebruikt en gegenereerd worden. Data die in veel gevallen ook privacygevoelig is. Reden voor Concern Information Security Officer John Geers om de overstap naar Office 365 aan te grijpen om eens kritisch te laten kijken naar de beveiliging. Al snel kwam hij erachter dat er veel Office 365-experts zijn in Nederland. En ook veel security-experts. Maar experts in Office 365 security? Die blijken zeldzaam.

John Geers - DNWGJohn: “We zijn naar een externe dienstverlener gestapt met het verzoek om een scan te maken van de gehele Cloud-omgeving. Zij hebben toen een assessment uitgevoerd specifiek voor Office 365. Niet alleen op technisch vlak, maar bijvoorbeeld ook op het gebied van het inrichten van processen en verantwoordelijkheden (governance). Met hun rapport onder de arm ben ik vervolgens gaan zoeken naar de juiste partij om ons te ondersteunen bij de implementatie van de verbeteringen.”

Maar die werd dus niet zo eenvoudig gevonden. Uiteindelijk kwam hij uit bij Mavention, dat toen al volop bezig was met de fusie met Portiva.

Er zijn veel Office 365-experts in Nederland. En ook veel security-experts. Maar experts in Office 365 security? Die blijken zeldzaam.

Zo werd deze case de eerste samenwerking van de twee gefuseerde bedrijven.

Eén druk op de knop

Bron: DNWG

“Ik zocht een partner die security snapt maar die ook weet waar alle knoppen zitten”, vertelt John. “Die heb ik met Portiva echt gevonden. Zij kunnen alle informatie die ik nodig heb, en waarvan ik weet dat het in het systeem zit, met één druk op de knop naar boven halen. Ik heb nu alles in één overzichtelijk dashboard en het ziet er perfect uit. Dat gebruik ik zelfs om onze progressie maandelijks te presenteren aan de directie.”

Bron foto: DNWG

Met Portivaan en security-expert Thomas Schrader gaan John en zijn collega’s aan de slag om de belangrijkste pijnpunten van het rapport aan te pakken. En met succes, want al snel stijgt DNWG naar een zeer acceptabele Microsoft Security Score. “Natuurlijk kan het altijd beter, maar of je het maximum moet nastreven hangt af van een aantal factoren. Wij zijn geen kerncentrale, dus misschien is het wel niet nodig om alles volledig af te schermen. Bovendien ben ik het soort security officer dat liever geen politieagent speelt als het om security gaat. Ik geef de mensen liever het vertrouwen en hun eigen verantwoordelijkheid”.

Dat kan met de flexibiliteit van Office 365 ook beter dan vroeger. Je kunt rechten en vrijheden tot op individueel niveau inregelen. “We zien ook dat, nu de energietransitie echt begonnen is, steeds meer stakeholders onze data nodig hebben. Wat vroeger vertrouwelijk was, wordt steeds meer openbaar beschikbaar. Maar het is wel belangrijk om data dan scherp te classificeren.”

Maak er een spelletje van

Maar voordat je mensen hun verantwoordelijkheid kunt laten nemen, moeten ze wel begrijpen wat security inhoudt. Wij noemen dat security awareness. Om iedereen op de hoogte te brengen organiseerde DNWG 15 veiligheidsmiddagen voor alle 650 medewerkers. “Dat ging natuurlijk veel breder dan alleen cybersecurity, maar ik kreeg een prima gelegenheid om iets uit te leggen over dataclassificatie. Daar hebben we onder andere de nieuwe labels geïntroduceerd. Wat is openbaar, intern, vertrouwelijk, of strikt vertrouwelijk? We besloten dat te doen in spelvorm. We hadden van tevoren spelkaarten gemaakt met allerlei soorten documenten die in ons bedrijf voorkomen. Iedereen, monteur of hoger management, moest bij het spel twee kaartjes pakken. Dan kreeg je bijvoorbeeld een woord als rijbewijs en moest je dat vervolgens classificeren en, heel belangrijk, uitleggen waarom je deze classificatie meegaf.”

Door actief aan de slag te gaan wordt een op eerste aanzicht voor veel mensen abstract onderwerp al snel concreet. Bovendien beklijft de kennis veel beter. “Je merkt echt dat het allemaal wat meer gaat leven bij de mensen. Als we het nu over classificatieregels hebben herinnert iedereen zich dat spel. En wat ook echt leuk is dat je mensen die je voorheen nooit echt sprak omdat ze een buitendienstfunctie hebben, nu beter hebt leren kennen.”

Nieuwe uitdagingen

Nu de security op orde is en DNWG proactief kan optreden tegen bedreigingen van buitenaf is het tijd voor een volgende stap. “We gaan de mobiele devices nog overzetten naar een nieuw pakket om deze apparaten beter te beheren. Daarna gaan we een adoptietraject in.” Portiva zal ook die adoptie in goede banen gaan leiden. “Waar we tegenaan lopen is dat we best veel nieuwe software hebben, maar dat we eigenlijk niet goed weten wat de mogelijkheden allemaal zijn. Bovendien gebruiken we nu nog veel externe tools zoals Dropbox en WeTransfer. Daar wil ik graag van af, maar alles dichtzetten van de ene op de andere dag is volgens mij niet de juiste manier. We willen security, adoptie en awareness allemaal in één keer meenemen, en gezien het succes van initiële traject kan ik me niet voorstellen dat met een andere partner te doen dan Portiva.”

Ook benieuwd naar de beste security-oplossingen voor jouw bedrijf?

Wil je meer weten over security awareness, dan is deze blog zeker een aanrader!

Meer berichten

De ideale locatie voor een bedrijfsuitje; 10 inspirerende…

Veiligheidsimplicaties van Zwermintelligentie in IT…

Redenen waarom datavernietiging door een gecertificeerde…

1 van 1.528