Achtergrondartikel


Johan Bijleveld, Information Security Officer Enza Zaden:

‘Trade secrets moeten we goed beschermen’

Campari, Tribelli® en Extase. Het zijn slechts enkele voorbeelden van groenterassen en productconcepten die zijn ‘ontwikkeld’ door Enza Zaden. Maar hoe bescherm je het resultaat dat voortvloeit uit soms jarenlang en kostbaar onderzoek? “Wij geloven heel erg in de samenhang tussen technologie, beleid, processen en gedrag”, stelt Johan Bijleveld, Information Security Officer bij Enza Zaden. Motivator Magazine sprak met hem over de stappen die dit groenteveredelingsbedrijf zet op het gebied van security.

Wat in 1938 begon als ‘De Enkhuizer Zaadwinkel’ is uitgegroeid tot een hightechbedrijf waar technologie en Research & Development een hoofdrol spelen om bijvoorbeeld te komen tot de beste tomaten, komkommers, sla of uien. Na de ontwikkeling verkoopt het bedrijf uit Enkhuizen de zaden aan professionele telers wereldwijd, via tientallen vestigingen in maar liefst 24 landen.

De ontwikkeling van een nieuw ras is een kwestie van ‘veredeling’, zo begrijpen we van Information Security Officer Johan Bijleveld. “Het komt erop neer dat we planten kruisen en selecteren om te komen tot rassen met de juiste kleur, smaak of houdbaarheid. Maar het kan gaan om honderden kenmerken. Ziekteresistentie is bijvoorbeeld ook een belangrijk kenmerk waar we veel onderzoek naar verrichten.”

“De ontwikkeling van een nieuw ras met alle gewenste kenmerken kan jaren in beslag nemen”, vervolgt Bijleveld. Met nieuwe technologie kan dit proces worden verbeterd en versneld, bijvoorbeeld door naar de DNA-sequenties van de planten te kijken. “Je kunt dan beter voorspellen wat er gebeurt als je deze planten kruist. Met machine learning en simulatiemodellen kunnen we dat proces steeds efficiënter maken. Door het Internet of Things kunnen we omgevingsfactoren zoals luchtvochtigheid en temperatuur bovendien steeds beter monitoren.”

Trade secrets
Het R&D-proces levert Enza Zaden veel data op waar anderen in geïnteresseerd kunnen zijn. “Het gaat om onze ‘trade secrets’ die we goed moeten beschermen. Maar ook de integriteit van data is enorm belangrijk, want als je stuurt op de verkeerde data neem je verkeerde besluiten.”

Daarnaast is continuïteit van de bedrijfsprocessen een belangrijk aandachtspunt voor de Information Security Officer. “Zoals ieder ander bedrijf hebben ook wij te maken met zaken als ransomware. Als daardoor de onderzoekdata even niet beschikbaar zijn, is dat al heel vervelend. Maar onze logistieke en salesprocessen moeten natuurlijk wel altijd door blijven gaan. We willen onze klanten kunnen blijven bedienen.”

Vier elementen voor beveiliging
Leveren deze dreigingen en risico’s Bijleveld slapeloze nachten op? Integendeel. Paniek past ook niet bij een bedrijf dat diep geworteld is in West-Friesland. “We hebben te maken met zaken die gemaakt lijken voor ons en die gericht op ons afkomen. Het is voor ons meestal niet te achterhalen waar het precies vandaan komt. Het is beter om voorbereid te zijn, net zoals je je voorbereidt op een brand. Hoe een brand ontstaat, is dan minder belangrijk.”

“Enige tijd geleden zijn we begonnen met het classificeren van onze data, zodat we beter inzichtelijk hebben wat belangrijk is voor Enza Zaden en de belangrijke zaken beter kunnen beschermen”, vervolgt Bijleveld. Het was het startpunt voor een ‘groei naar securityvolwassenheid’ waar Enza Zaden volgens de Information Security Officer nu nog middenin zit. “Daarbij denken wij heel erg in technologie, beleid, processen en gedrag. Dat zijn de vier elementen die je nodig hebt om succesvol te beveiligen. Je kunt een duur slot op je voordeur zetten, maar als je de sleutel niet omdraait is het een zinloze investering geweest.”

Technologie als basis
Technologie is het eerste element waar Enza Zaden mee aan de slag is gegaan, in nauwe samenwerking met Motiv. “We zijn begonnen met de maatregelen die voor de hand liggen”, aldus Bijleveld. Zo neemt het bedrijf uit Enkhuizen een Security Information en Event Management (SIEM)-dienstverlening af bij Motiv. Ook is Motiv verantwoordelijk voor de vernieuwing en het beheer en de monitoring van de firewallomgevingen. Ook voor e-mail- en websecurity werkt Enza Zaden samen met Motiv.

De implementatie van een oplossing voor Data Loss Prevention (DLP) bleek voor Enza Zaden nu nog een lastig project. “Maar we wilden wel inzichtelijk krijgen waar onze data naartoe gaan. Daarom zijn we recentelijk gestart met het analyseren van gedrag.” Gedrag dat afwijkt van de ‘baseline’ wordt automatisch gedetecteerd. Als er bijvoorbeeld sprake is van malware die data verstuurt, of van medewerkers die per ongeluk gevoelige data versturen, komt dit op de radar. “De implementatie van een DLP-oplossing is misschien iets voor later.”

Security Awareness-programma
“We hebben veel aandacht besteed aan de techniek”, stelt Bijleveld vast. “Nu ligt de focus meer op beleid, processen en gedrag.” Zo is een ‘security steering committee’ belast met het bepalen van het beleid op basis van de risico’s die voor Enza Zaden op de loer liggen. “En begin dit jaar zijn we gestart met een security awareness-programma.”

Dat programma verloopt over ‘twee lijnen’, zo begrijpen we van Bijleveld. De eerste lijn is de algemene communicatie richting de circa 1800 medewerkers van Enza Zaden. Zo heeft het bedrijf een tiental gedragsregels opgesteld, zoals ‘houd wachtwoorden privé’, ‘maak alleen gebruik van corporate devices’, ‘denk na voordat je iets post op social media’ en ‘meld alles wat ongebruikelijk is’. “In de communicatie merken we dat het helpt als we het dichtbij huis houden, door ook echt te laten zien wat ons raakt en hoe cybercriminelen bij ons naar binnen proberen te komen. Dat werkt beter dan het laten zien van James Bond-achtige filmpjes. Dan is al snel de reactie: dat is niet hier.”

De tweede lijn verloopt via het management van Enza Zaden. “Hier ligt de verantwoordelijkheid om security te bespreken binnen de teams en ervoor te zorgen dat het op de agenda komt. Ook heeft het management een rol in het goedkeuren van de autorisaties. Het draait allemaal om de vraag: hoe ga ik om met data?”

Het security-awarenessprogramma wordt volgens Bijleveld positief ontvangen. “We krijgen heel veel feedback op het programma, maar dat is nog maar intentie. Het is belangrijk dat we het effect ook gaan zien in een gedragsverandering, zodat er nog maar twee medewerkers klikken op een phishingmail in plaats van acht. De risico’s die blijven ontstaan, kunnen we altijd nog ondervangen met techniek. Ik heb overigens niet de illusie dat we iedereen gaan bereiken, maar wel een heel groot deel van de medewerkers. De betrokken bedrijfscultuur helpt daar zeker bij.”

Nog stappen te zetten
Voor Bijleveld maakt het allemaal deel uit van het groeipad waar Enza Zaden momenteel in zit. “We hebben nog altijd stappen te zetten in volwassenheid”, concludeert de Information Security Officer. “Dan is het fijn dat we samenwerken met een partij als Motiv die ons blijft uitdagen, maar die ook weer niet te groot is. We zijn een behoorlijk complexe organisatie met veel vestigingen, verschillende culturen, veel verbindingen en dynamische datastromen, maar tegelijkertijd zijn we ook nog redelijk compact. Motiv sluit daar goed op aan.”

Tekst: Ferry Waterkamp
Fotografie: Ruud Jonkers

Dit artikel is eerder verschenen in Motivator Magazine, najaar 2017.

Lees meer over