Het belang van Security was en is overduidelijk, zeker in de IT-sector. Zelfs vanuit Europa komen er in 2024 richtlijnen en minimumvereisten waaraan elke organisatie moet voldoen. OECO Groep zou OECO Groep niet zijn als we daar niet zelf allang iets rond hadden opgericht, natuurlijk. Koen Van de Weyer nam samen met Wim Tobback en Steven Heyninck het initiatief om een programma op poten te zetten. We spraken Koen erover en bundelden de belangrijkste zaken in deze blog. Lees vooral even mee!
Koen: “Wim, Steven en ik wilden er eigenlijk voor zorgen dat Security bij de verschillende bedrijven binnen onze groep op een hoger niveau zou komen. We leven in tijden waarin er steeds meer inbreuken opkomen en hackers op allerhande manieren bedrijfsgeheimen weten te stelen. Ook binnen Cronos zijn er incidenten geweest, waardoor we bewuster met beveiliging bezig willen zijn. Dat vereist uiteraard onderzoek. Hoe actief zijn we op dit moment, welke lessen kunnen we trekken en hoe zorgen we voor een basisniveau of standaardbeveiliging? Dat was de intentie van ons programma.”
“We hebben een paar standaarden bekeken die van toepassing zijn op onze bedrijven – enerzijds softwareontwikkelaars (OWASP standaard) en anderzijds bedrijven die daar minder mee bezig zijn, zoals marketingbedrijven (SANS 18 standaard). Iedereen is een mogelijk target. Zo kwamen we tot een aantal maatregelen en niveaus om te bereiken. We spraken onze bedrijven aan en vroegen wie in hun team hun Security Champion wilde zijn; iemand die beveiliging hoog in het vaandel draagt en een trekkersrol zou opnemen. Dat zijn niet per definitie de Managing Partners, overigens.”
Koen: “Wel, we hebben ze eerst bijna allemaal geïnterviewd (over zaken als: hoe beheer je je laptops, hoe wordt er aan softwareontwikkeling gedaan bij jullie, et cetera). Aan de hand van de standaarden die we hanteerden, konden we assessments maken en elk bedrijf een score geven. Zie het gerust als een soort EPC-rapport waar je de stand van zaken krijgt en advies omtrent actiepunten. Vanuit OECO keken we vervolgens naar de som van de onderliggende delen. Helaas scoorden we met ons rapport niet zo denderend, een EPC D of zo (lacht). Werk aan de winkel dus! Samen met mensen op niveau van Cronos zelf die ons ondersteunen in dit traject, hebben we de rapporten gedeeld en vertelden we de bedrijven hoe we ze gingen begeleiden. Begin juni organiseerden we een kick-off om het programma voor te stellen. Zo is er elke maand een community meet-up voor de Champions rond een bepaald, concreet topic. Op die manier kunnen we iedereen stap voor stap meenemen in acties die nodig zijn om een minimale standaard te behalen.”
“Er is elke maand een community meet-up voor de Champions rond een bepaald, concreet topic. Zo kunnen we iedereen stap voor stap meenemen in acties die nodig zijn om een minimale standaard te behalen.”
“Eind juni hadden we onze eerste sessie rond asset management; het beheer van de laptops. We gaven iedereen huiswerk om ervoor te zorgen dat ze in kaart brachten wie welke laptops gebruikt in hun organisatie, hoe het zit met freelancers … Zo krijgen we er een beter beeld van wie geregistreerd staat op ons netwerk. Vooral ons IT-departement krijgt op die manier een duidelijk overzicht. Laatst ging het over Security in contracten meeschrijven, volgende workshops gaan over de NIS-2 Securityrichtlijn, beveiliging tegen ransomware, en nog van alles. We organiseren de meet-ups niet alleen in Kontich, maar ook in Kortrijk, Leuven, Gent … om iedereen mee te krijgen.”
Koen: “Het gaat vaak over gestolen laptops. Als die niet goed beveiligd zijn of geen versleutelde harde schijven hebben, kan men zomaar aan alle informatie die erop staat. De gevolgen daarvan zijn niet te overzien. De impact wordt nog altijd onderschat. Denk aan Stad Antwerpen die een jaar na datum nog altijd volop in de nasleep van hun cyberaanval zit.”
“Daarnaast gebeurt het ook dat er per ongeluk stukken code met een authenticatiecode of key in een publieke repository terechtkomen en van daar loopt het al eens mis. Of de databases zijn niet fatsoenlijk beveiligd, dat gebeurt ook. ‘t Is vaak onbewust, we willen zeker niet met de vinger wijzen, maar hackers komen tegenwoordig niet meer langs de voordeur. ‘t Is vaak via via en het gebeurt sneller dan je denkt.”
Koen: “Dat valt best mee. Het niveau dat we nu ambiëren is niet dermate dat het stoort. Je harde schijf encrypteren is, bijvoorbeeld, een eenmalige actie, dat mag het probleem niet zijn. Ik begrijp wél dat MFA (Multi-Factor Authenticatie) vervelend is. Het is echter een kleine actie die zorgt voor erg sterke beveiliging dus ik zou het toch willen blijven vragen van iedereen. En om gerust te stellen, ook hier zit evolutie in. Op termijn zullen er wel andere oplossingen komen, zoals biometrische karakteristieken, om mee in te loggen.”
“Wat ik ook nadrukkelijk wil meegeven, is dat we alles in het volste vertrouwen willen laten gebeuren en zeker geen ‘blame-cultuur’ willen zien ontstaan.”
“Pas op, ik word soms ook verrast. Ik heb altijd geleerd dat je je paswoord vaak moet veranderen. Alleen hebben we nu de neiging om hetzelfde paswoord te houden en er gewoon 1 achter te plakken, de keer erop 2, en de keer daarop 3. Blijkt dat dit net onveilig is, natuurlijk, en dus contraproductief. Het advies is nu om eenmalig een sterk paswoord te kiezen dat zestien karakters bevat. Dat vergt moeite, ik geef het toe, maar het is het veiligste dat je kan doen.”
Koen: “Dat is vooral ‘awareness’ creëren, bewuster omgaan met de zaken. Daarom hebben we ook een phishingcampagne opgezet. Iedereen zal de komende tijd mails krijgen die bedoeld zijn om te testen of men de juiste reflex heeft om niet zomaar alles open te klikken. Liefst spreek je meteen de Champion in je bedrijf aan om te vragen wat je moet doen. Zij kunnen escaleren naar ons, en wij op onze beurt naar Cronos Security. Leuke anekdote trouwens: ik stuurde onlangs een mailtje naar een collega met de vraag om inloggegevens te delen van een bepaalde website waar ik mee wilde werken. Hij belde me prompt: “Zeg Koen, ben jij dat wel?” Ik was enorm blij met die respons! Hij had me niet zomaar alles doorgegeven, maar eerst geverifieerd of ik het wel was. Hij stuurde me daarna trouwens ook beveiligd de gegevens door. Het initiatief werpt dus zeker wel al z’n vruchten af.”
“Wat ik ook nadrukkelijk wil meegeven, is dat we alles in het volste vertrouwen willen laten gebeuren en zeker geen ‘blame-cultuur’ willen zien ontstaan. Vertel liever te vaak dan te weinig dat je denkt dat er misschien iets is misgegaan, zodat we kunnen inspringen. We gaan je heus niet de les spellen, spreek ons maar aan.”
“Maar goed, bewustwording dus. Dat zit in kleine dingen soms, zoals een user account op je laptop zetten met beperkte rechten zodat je leert beseffen wat je soms zomaar installeert of doet. Er zijn momenteel al een hoop enthousiastelingen, en da’s fantastisch, maar ik zou ook de fietsers achteraan ons peloton mee de berg over willen krijgen. Warme oproep dan ook aan de Champions om als ware ambassadeurs de achterblijvers te inspireren en mee te trekken.”
Koen: “We zijn in elk geval geen eenmalige sprint aan het trekken, maar een marathon aan het lopen. We blijven verder werken, en mikken daarbij niet meteen op het hoogste niveau. Alles gebeurt stapsgewijs. Wat mij sterkt, is het feit dat er in 2024 ook vanop Europees niveau een wet omtrent beveiliging komt voor België (NIS 2 – Network and Information Systems). Die stelt dat alle bedrijven vanuit de overheid verplicht kunnen worden om maatregelen te treffen, om aan rapportering te doen, enzovoort. Toch een fijn gevoel om te beseffen dat wij dergelijke initiatieven vanuit OECO Groep zélf al waren opgestart en dus op zich wel voortrekkers zijn. Voorlopig blijven we nadenken over de volgende stappen, en pakken we de zaken rustig aan. Een solide basis, dat is waar we nu voor gaan.”
Wie na het lezen van dit interview graag extra informatie krijgt over het programma en/of ondernemen bij OECO Groep, mag zeker contact met ons opnemen via het contactformulier onderaan deze pagina. Ben je benieuwd naar de andere diensten waarmee we jou als ondernemer kunnen ontzorgen? Neem dan zeker een kijkje op onze services pagina. Tot snel?!
