Belgische CIO’s over security in hun bedrijf
Kalman Tiboldi is Chief Business Innovation Officer bij TVH, een verdeler van (onderdelen voor) industriële voertuigen. Het bedrijf heeft een omzet van 1 miljard euro en telt 4.000 werknemers wereldwijd, waarvan 1.500 in België. Het IT-team telt 110 mensen.
Wat is uw grootste bekommernis inzake security en hoe wapent u zich ertegen?
Tiboldi: "We zijn geen financiële instelling of telecomoperator. We zijn dus niet het meest evidente target voor hackers. Toch beseffen we dat informatie en data onze belangrijkste activa zijn. Security staat op de agenda. We zijn uitgerust met de belangrijkste securitycomponenten zoals antivirus, intrusion detection en een firewall. Maar dat is niet voldoende. Een firewall sluit de poort, terwijl een applicatie die opnieuw opent. De aandacht komt ook meer en meer te liggen op security bij applicaties. De componenten die bij applicaties komen kijken zijn vaak het gevoeligst voor veiligheidsproblemen. "
Hoe beheert u de groeiende behoefte aan authenticatie? Volstaan wachtwoorden nog?
"Wij hebben voor de ganse groep een wereldwijde active directory. Die is noodzakelijk voor onze aanpak op het vlak van identity en access management. We hebben ook een policy rond wachtwoorden. Die moeten bijvoorbeeld regelmatig worden veranderd en aangepast."
Gebruikt u of overweegt u security in de cloud?
Tiboldi: "Wij zijn er van overtuigd dat een deel van de security naar de cloud verhuist. Sommige cloudapplicaties, zoals van Google en Salesforce.com, zijn volgens mij beter beveiligd dan dat je het als modaal zelf zou kunnen bewerkstelligen. Naast de applicaties, merken we ook dat de zogenaamde perimeterbeveiliging verhuist naar externe partners, zoals Easynet, die onder meer de beveiliging op WAN-niveau voor hun rekening nemen."
Heeft u een business continuity- of disaster recovery-plan en hoe vaak wordt dit getest?
Tiboldi: "Dat hebben we inderdaad. Dat moet ook, al ligt onze focus toch vooral op een zogenaamde resilience-plan. Dus eerder voorkomen dan genezen. Zo proberen we in onze eigen datacenters zoveel mogelijk anomalieën te voorkomen door ze tijdig te detecteren en op te lossen."
Johan De Witte is ICT Manager bij Veritas, een Belgische winkelketen in modeaccessoires. Het bedrijf heeft een omzet van 115 miljoen euro en telt 850 werknemers, inclusief winkelpersoneel. Het IT-team telt 6 mensen.
Wat is uw grootste bekommernis inzake security en hoe wapent u zich ertegen?
De Witte: "Beveiliging behelst twee aspecten. Enerzijds is de beveiliging van onze webomgeving uiterst kritiek. De klanten vertrouwen ons persoonlijke gegevens toe en het is onze plicht om hier uiterst voorzichtig mee om te gaan. We doen grote investeringen om deze omgeving af te schermen en te bewaken. Ook hebben we experten in deze domeinen gecontracteerd; zij beheren de gehele netwerkinfrastructuur van Veritas.
Op kantoor denk ik anderzijds dat we via BYOD zullen evolueren naar bedrijfsnetwerken die verondersteld worden dirty te zijn. Op dit ogenblik is het BYOD-netwerk volledig gescheiden van het bedrijfsnetwerk en gekoppeld aan het internet. Toestellen op dit netwerk moeten via het internet koppelen met onze VPN omgeving om bijvoorbeeld e-mail, agenda, contactgegevens en andere gegevens te benaderen.
Indien we het BYOD-concept kunnen doortrekken naar het werkstation en met de implementatie van VDI, wat ook in onze pipeline zit, denk ik dat het concept ‘bedrijfsnetwerk’ zal vervagen. Dan moeten wij er als ICT-afdeling vanuit gaan dat deze netwerken ‘dirty’ zijn en de nodige maatregelen nemen om deze adequaat af te schermen van het datacenter."
Hoe beheert u de groeiende behoefte aan authenticatie? Volstaan wachtwoorden nog?
De Witte: "Alle connectiviteit via het internet loopt over VPN-infrastructuur en heeft tweefactorauthenticatie nodig. Dus zowel ‘something you know’ (een wachtwoord) als ‘something you have’ (een token, via een app op een smartphone)."
Heeft u een business continuity- of disaster recovery-plan en hoe vaak wordt dit getest?
De Witte: "We hebben onze disaster recovery-capaciteit verleden jaar nog grondig getest toen ons hoofdkwartier met de grond werd gelijk gemaakt door een brand. De dag nadien waren onze aankopers reeds nieuwe bestellingen aan het plaatsen bij onze leveranciers en op dag vijf waren alle medewerkers volledig aan het werk. Eigenlijk duurde het langer om geschikte werkplekken en kantoormeubilair te vinden dan om onze ICT-infrastructuur operationeel te krijgen."