Lagarde Groep specialist in security consultancy: ‘Beveiliging is een mindset’

Magazines | Vallei Business nummer 1 2020

Veiligheid en beveiliging spelen een steeds grotere rol in het bedrijfsleven, bij de overheid en bij instellingen voor zorg en onderwijs. Fysieke veiligheid van gebouwen, terreinen, medewerkers, bezoekers, patiënten en leerlingen, maar vooral ook digitale veiligheid ter voorkoming van steeds weer nieuwe en gevaarlijkere vormen van cybercrime. “Fysieke beveiliging en cybersecurity zijn in onze ogen multidisciplinaire vraagstukken. Het gaat altijd om de combinatie van hoogwaardige technologie, menselijk inzicht en om de integratie van producten en processen”, vertellen Arnold Versteeg en Sander Rolleman van Lagarde Groep.

TEKST: HANS EBERSON

Lagarde Groep is hier met 115 specialisten op het gebied van ICT, communicatie en beveiliging volledig op ingericht. Vanuit vestigingen in Putten, Ede en Hoevelaken zijn ze in heel Nederland dagelijks bezig met security consultancy in de breedste zin van het woord. Van inbraak- of branddetectie, toegangscontrole en camerabewaking tot en met de vele aspecten van cybersecurity.

Arnold Versteeg is salesmanager beveiliging. Hij studeerde bedrijfseconomie en toegepaste natuurkunde aan de Hogeschool Enschede. Sander Rolleman heeft de opleiding security management in Apeldoorn afgerond. Beiden zijn dagelijks onderweg om bedrijven en instellingen te adviseren over alle aspecten van veiligheid. “Advisering is cruciaal. We worden vaak uitgenodigd om delen van een beveiligingstraject te leveren. Bijvoorbeeld om een offerte te maken voor de installatie van een cameraobservatiesysteem voor bedrijven of zorg- en onderwijsinstellingen. Dan ligt wat ons betreft meteen de vraag op tafel waartoe dat systeem moet dienen. Is het onderdeel van een veelomvattend plan, een aanvulling op andere systemen, of wordt het alleen gebruikt om bezoekers het idee te geven dat alles goed is geregeld? Het heeft voor ons geen toegevoegde waarde om mee te offreren in een traject waar uiteindelijk uit drie aanbiedingen de goedkoopste wordt gekozen. In zo’n traject komt onze meerwaarde niet aan de orde. Die is er wel als we over de brede uitvoering van beveiliging kunnen meedenken.”

Fysieke beveiliging
Arnold Versteeg: “Neem fysieke beveiliging. Dan praat je over zaken als veiligheidssloten, slagbomen, bollards, terreinbeveiliging en systemen voor toegangscontrole. Dat klinkt allemaal redelijk eenvoudig, het zijn zaken om  kwaadwilligen tegen te houden. Maar hoe zit het met de eigen mensen? Neem toegangscontrole. Je krijgt pas toegang wanneer je gerechtigd bent het pand te betreden. Maar wie mag waar komen? Voor bezoekers ligt het antwoord voor de hand. Die moeten eerst een receptie passeren en kunnen dan gecontroleerd of begeleid hun weg door het pand vervolgen. Maar hoe zit het met medewerkers en het veiligheidsrisico dat je met eigen personeel loopt? Heeft iedereen zomaar toegang tot bijvoorbeeld alle vertrekken of de complete bedrijfsgegevens? In de praktijk is dat vaak het geval. Ons advies is om daar maatregelen tegen te nemen en een beveiliging in te richten volgens de ‘need to know’ en ‘need to be’ principes. Het één hangt altijd met het ander samen en dat verband wordt pas helder als je de risico’s analyseert en er een compleet plan van aanpak voor presenteert. Zo’n risicoanalyse levert soms verbluffende uitkomsten op, zoals de stagiaire die toegang heeft tot de printerruimte, waar ook de medicijnen worden opgeslagen. De sleutel van de medicijnkast hangt in een sleutelkast die met dezelfde sleutel is te openen als de toegangsdeur. Of de schoonmakers die ’s avonds om zes uur onbewaakt toegang krijgen tot alle ruimtes. Is daar over nagedacht? Die oplossingen kunnen zeer verschillen, van zeer eenvoudig tot en met irisscans of controles via vingerafdrukken. Ze kunnen ook enorm complex zijn. Bijvoorbeeld het project dat we hebben uitgevoerd voor de Amsterdamse Rembrandttoren. 35 Etages met dertig verschillende huurders, die allemaal verschillende rechten hebben. Dan is toegangscontrole zeker geen bijzaak.”

Klantteams
Lagarde Groep heeft een eigen werkmethode ontwikkeld, waarin klantteams centraal staan. “Wij stellen voor elke klant een team samen met specialisten die voor die klant van belang zijn. Die nauwe binding tussen klant en team via één aanspreekpunt maakt de communicatie niet alleen eenvoudig en helder, onze teams kennen bovendien hun klanten van haver tot gort. Vaak begint een werktraject met een uitgebreid kennismakingsbezoek. De teamleden zien dan bijvoorbeeld meteen welke processen voor de klant kritiek zijn, hoe de communicatiestromen verlopen en hoe ze in een geval van een calamiteit moeten reageren. Daarvoor is wat ons betreft een crisisplan noodzakelijk, zodat we in geval van nood op alles zijn voorbereid. Iedereen kent dan zijn taak en weet wat er gevraagd is. Dat maakt niet alleen beperking en herstel van schade eenvoudiger en sneller, het dwingt organisaties na te denken over mogelijke incidenten. Gebeurt het dan toch, dan biedt een incident-responseteam uitkomst. Het helpt organisaties met de planning van hun recovery na een aanval. Het voorkomt dat bedrijven en instellingen langer dan nodig lijden onder de gevolgen van cybercrime. Ze kunnen in veel gevallen dan snel weer verder.” De ervaringen met klantteams zijn zeer positief. “We verankeren op die manier de kwaliteit van onze dienstverlening. We kennen onze klanten en de klanten kennen ons. Dat is wat ons betreft altijd de basis voor een geslaagde en langdurige samenwerking.”

Cybercrime
En dan heb je het steeds grotere probleem van cybercrime. Vroeger had cybercriminaliteit nog iets lieflijks. Slimme hackers deden een voorzichtige poging om in je bedrijfssysteem in te breken. Niet om er veel schade aan te richten, maar gewoon om te laten zien dat ze het konden. Toen kwamen de jongens die er een verdienmodel in zagen, het werd al wat minder vriendelijk, of beter gezegd langzaam maar zeker enorm bedreigend. Dat kan ver gaan. Wat te denken over een tegenstander die in staat is je elektriciteitscentrales lam te leggen, om nog maar te zwijgen over kerncentrales, de werking van een dam op afstand te sturen, de verkeersleiding van een vliegveld over te nemen, alle verkeerslichten op rood te zetten, of erger nog, op groen. Het kan ook gaan om het op grote schaal versturen van nepnieuws om bijvoorbeeld verkiezingen te beïnvloeden. Dat is geen uitzondering, het is de dagelijkse praktijk. Overigens zijn ook de cyberaanvallen op het bedrijfsleven van toon veranderd. Het verdienmodelletje van begin 2000 is veranderd in een zeer zware bedreiging. De Universiteit Maastricht betaalde recentelijk tonnen losgeld aan hackers, waarschijnlijk dezelfde die in 2018 de Universiteit Antwerpen onder vuur namen. Ook daar begon het probleem met phishing, een medewerker die een bijlage opende en zo een hacker binnenliet in het systeem. Omdat de veiligheidssoftware al lange tijd niet was bijgewerkt konden de criminelen steeds meer bedrijfsonderdelen in het systeem corrumperen, ook de back ups. Toen de schermen op zwart gingen was het te laat, de universiteit had geen schijn van kans, zelfstandig herstel was onmogelijk en dus werd er betaald. “En dat gebeurt dagelijks bij veel bedrijven en instellingen in Nederland en wereldwijd. Cybercrime is big business, alleen melden de slachtoffers zich vaak niet. Het is niet zo fijn om wereldkundig te maken dat al je klantendata op straat liggen. Wat dat betreft vormde de Universiteit van Maastricht een positieve uitzondering. Zo vertelden precies wat er was gebeurd, zodat collega-instellingen en bedrijven er van konden leren.”

Informatiebeveiliging
Malware en phishing kunnen worden geweerd met de inrichting van Advanced Threat Protection. Elke binnenkomende mail wordt met links en bijlagen gescand. Dat is een doelgerichte manier om preventief te beveiligen tegen phishing. Zo voorkom je dat het bewustzijn van gebruikers de beveiliging bepaalt. Ook het inrichten van Intune en Endpoint protectie dragen sterk bij aan het versterken van de beveiliging. Raakt een medewerker zijn apparaat kwijt? Dan blijven de daarop aanwezige gegevens beveiligd en kunnen de data zelfs van afstand worden verwijderd. Ook kunnen hiermee updates worden gepushed, zodat de apparaten voorzien zijn van de laatste beveiligingsupdates. Informatiebeveiliging gaat ook over de vraag wie binnen de organisatie toegang heeft tot bedrijfsdata. Veel bedrijven hebben geen idee hoeveel administratieve accounts met volledige rechten er dagelijks actief zijn. Slimme technologie beperkt dat aantal, zodat alleen toegang wordt verschaft indien dat gewenst en toegestaan is (Least privilege).

Bewustwording
Cybercrime hoeft niet van buitenaf in gang te worden gezet. Ook hier kunnen kwaadwillende medewerkers veel schade aanrichten. Dat kan ook onbewust gebeuren, bijvoorbeeld omdat ze (thuis) werken via hun eigen geïnfecteerde laptop of inloggen via een open wifi-lijn. Veel bedrijven staan het gebruik van de eigen laptop toe, maar er kleven ook nadelen aan. Bijvoorbeeld waar het gaat om beveiliging van bedrijfssystemen en –geheimen, er kunnen juridische complicaties optreden – wie is verantwoordelijk voor verlies of diefstal, of bij een virus? – en er zullen afspraken over de kosten moeten worden gemaakt. En dan heb je als bedrijf net een BYOD-beleid (Bring Your Own Device) geformuleerd, word je door de technologie ingehaald. Complete computers in smartphones en horloges worden vervangen door multimediagadgets. Draagbare technologie – denk aan smartwatches, fitness trackers en slimme brillen (Google Glass) – is waarschijnlijk de snelst groeiende van alle IT-trends en de populariteit van die wearables in de werkomgeving zou best wel eens die van de smartphone achterna kunnen gaan. Voor ondernemingen zou dit problemen kunnen gaan opleveren op het gebied van veiligheid, privacy en compliance. Beleid formuleren rond beveiliging is cruciaal, maar het begint met bewustwording, want dat is de beste verdedigingslinie tegen cybercrime. Helaas wordt het belang van cybersecurity vaak pas duidelijk als er iets gebeurt. Dan ben je te laat. Daarom moet iedereen in elke organisatie – van hoog tot laag - zijn doordrongen van de gevaren die op de loer liggen. Informeren en communiceren, dat zijn de kernwoorden. Dat moet gelijk oplopen met de invoering van een beveiligingsbeleid en alle maatregelen die daar bij horen. Anders wordt het dweilen met de kraan open.”

Ontwikkelingen
De techniek verandert snel en criminelen worden steeds slimmer. “Daarom is aandacht voor veiligheidsbeleid een continu proces. Onze diensten zijn altijd maatwerk, want elke situatie is voor elke klant anders. Bovendien zijn oplossingen vaak schaalbaar. Software-oplossingen zijn soms al in licenties inbegrepen, maar maakt de klant er nog geen gebruik van. De ontwikkelingen in ons vakgebied gaan snel, we staan nooit stil, er is steeds weer een andere uitdaging. Bijvoorbeeld drones die op het dak van een bedrijf landen en inloggen op een wifi-netwerk. Daarom investeren we in de ontwikkeling van drone-detectiesystemen, die drones tijdig signaleren. We geloven heilig in Multi Factor Authenticatie (MFA), veel beter dan alleen wachtwoorden. Bedrijven investeren in uitgebreide en kostbare inbraakinstallaties, maar veel minder in systemen die kenbaar maken dat er iemand probeert in hun digitale systeem in te breken. De voor- en achterdeur worden goed bewaakt, maar de digitale poort staat wagenwijd open. Wij hebben software die hackers meteen signaleert. Meer dan 60% van de datalekken ontstaat doordat mail verkeerd wordt verstuurd. Wij hebben systemen die van de ontvanger een autorisatie verlangen, anders kunnen ze de mail niet openen. We investeren in systemen die door middel van gezichtsherkenning en gedrag de veiligheid vergroten, kortom wij proberen criminelen altijd net een slag voor te zijn en vaak lukt dat. Dat kan alleen omdat we geloven in de integratie van producten en processen, waarbij ICT en fysieke maatregelen samen moeten optrekken.” Arnold en Sander wijzen op voortdurende waakzaamheid. “Altijd alert zijn, daar gaat het om. Elke dag werken aan  bewustwording, want ‘(cyber)security is een mindset’.”

 

delen:
Algemene voorwaarden | privacy statement