Klantcase


Carlos Cordova Niewold, Ingenico ePayments:

‘Een securitycultuur begint in de boardroom’

De Franse Ingenico Group levert betaaloplossing aan 160.000 handelaars wereldwijd. “De ‘merchant’ en de klant goed beschermen, dat is bij ons ‘key’”, aldus Carlos Cordova Niewold, Vice President Information Security Management bij Ingenico ePayments. Dat kan volgens Cordova Niewold alleen door security af te stemmen op de risico’s. “Ik wil af van het compliance-denken, want dat borgt de security niet voldoende.”

“Wij leven van transacties”, zo vat Carlos Cordova Niewold de activiteiten van Ingenico Group kort en bondig samen. Die transacties kunnen mobiele betalingen zijn, of transacties die tot stand komen door het aanbieden van een betaalpas aan een terminal. Daarnaast maakt Ingenico Group nieuwe manieren van betalen mogelijk, zoals contactloos betalen. Cordova Niewold met een knipoog: “Voor de toekomst zou je kunnen denken aan ‘je knikt en je betaalt’, ‘je loopt ergens langs en je betaalt’, et cetera.”

Ingenico ePayments, waar Cordova Niewold verantwoordelijk is voor Information Security Management, levert een wereldwijd online betalingsplatform. Ingenico ePayments is geformeerd rondom enkele bedrijven die de afgelopen jaren door Ingenico Group zijn overgenomen, waaronder Ogone en het Nederlandse GlobalCollect, een specialist op het gebied van online betalingen. “Toen ik in 2013 in dienst kwam van GlobalCollect, trof ik een bedrijf aan dat heel snel was gegroeid en waar de volwassenheid van securitymanagement verbeterd kon worden”, zo blikt Cordova Niewold terug. “Het compliance-denken leefde hier heel erg; maatregelen werden getroffen omdat het moest van de regulator, of omdat het zo stond in de PCI DSS-standaard. Daar wilde ik vanaf, want compliance-denken borgt de security niet voldoende. Je moet maatregelen treffen om je risico’s af te dekken, en niet omdat iemand zegt dat het moet.”

Risicodenken
Om zijn punt duidelijk te maken, haalt Cordova Niewold Nederlands grootste dienstverlener in tankopslag aan waar hij voor GlobalCollect werkte. “Daar heb ik geleerd dat een risico geen IT-risk is, maar een business risk. In de industrie moet je de connectie kunnen leggen tussen een kleine switch die het niet meer doet en een tanker die ligt te wachten en tienduizend euro per uur kost. Een maatregel zoals het dubbel uitvoeren van een switch tref je dan niet omdat het moet, maar om het risico op een schade van tienduizend euro per uur af te dekken.”

“Je moet naar de risico’s en het risico-ownership kijken; compliance is slechts een product van een goed information security management”, vervolgt Cordova Niewold. “Als bij Ingenico creditcardgegevens op straat komen te liggen, dan is het voor een tijdje ‘game over’. De merchant en de klant goed beschermen, dat is bij ons ‘key’.”

Securitycultuur creëren
Het risicodenken moet binnen een organisatie op alle lagen worden gestimuleerd, vindt Cordova Niewold, te beginnen op boardroomniveau. Daarbij kan altijd worden geleerd van andere industrieën. “Je kunt altijd aan kruisbestuiving doen. Zo leeft binnen de petrochemische industrie het ‘safetydenken’ heel sterk; je houdt bijvoorbeeld altijd een hand aan de leuning, ook als je lid bent van de directie. Bij Ingenico ben ik een keer een boardmeeting begonnen met het aangeven van de vluchtroutes en het benadrukken van de ‘fundamentals. ‘We opereren safe, of we opereren niet.’’ Om aan te geven hoe in de petrochemische industrie dit keer op keer wordt gedaan door de managementlagen. Daar zeiden mijn voormalige collega’s in het begin: ‘Hey Carlos, hand aan de leuning!’, en dan wordt het een automatisme. Dan krijg je binnen je bedrijf een safetycultuur die wordt gedreven vanuit het hoofdkantoor. Ook een securitycultuur begint bij de board, en bij het gedrag van iedereen die in de boardroom aan tafel zit.”

De aanpak van Cordova Niewold heeft inmiddels zijn vruchten afgeworpen. “We zijn als securityprofessionals veel meer een businesspartner geworden die helpt om de business te beschermen. Als securityprofessionals zijn we dan ook opgeschoven van IT naar Risk; ik rapporteer in de Risk-kolom aan de CEO en de CSO groep security. We opereren nu onafhankelijk van de IT-organisatie, waardoor er sprake is van een gezonde ‘separation of duties’.”

De ontwikkeling die security binnen Ingenico heeft doorgemaakt, ziet Cordova Niewold ook breder binnen het vakgebied. “Vroeger zaten we als securityprofessionals ergens in de kelder, in de IT-hoek ons dingetje te doen. En met een pot geld werd alles maar dicht gezet, want dat werd van ons verwacht, dat we de business beschermden. Nu wordt veel meer de ‘alignment’ gezocht. Als moderne securityprofessional moet je heel goed begrijpen wat de strategie is van het bedrijf, en hoe je de business kunt helpen. Als ik een nieuwe medewerker aanneem, kijk ik niet alleen naar de kennis en kunde van de sollicitant, maar ook of de persoon in staat is om een relatie aan te gaan en zich kan verplaatsen in het perspectief van iemand anders.”

Processen en mensen
Maar zoals Cordova Niewold al opmerkte, moet het risicodenken op alle lagen worden gestimuleerd om binnen het gehele bedrijf een securitycultuur te krijgen. Dat stopt niet bij de board. “Het klinkt misschien gek, maar de securitytechnologie, die doet het wel. Als het fout gaat, dan is dat eerder op het vlak van de processen, en op het vlak van de mensen. Het is heel vaak het handelen van mensen dat aanleiding geeft tot een incident.”

Om de processen op een hoger niveau te krijgen, hecht Cordova Niewold veel waarde aan het sparren met collega’s en met een partner zoals Motiv, ‘die ervoor zorgt dat er telkens weer een stap wordt gezet om beter te worden’. “De houding ‘ik vertel niks’ is veranderd. Securitymensen willen continu samenwerken, om te benchmarken of ze het wel goed doen. Om uit te wisselen: wat werkt bij mij, en wat werkt bij jou? Communicatie wordt steeds belangrijker binnen ons vakgebied. De cybercriminelen werken al heel lang goed samen, en wij als securityprofessionals worden daar steeds beter in. Motiv faciliteert daar ook in, bijvoorbeeld door het organiseren van social events.”

Om de securitycultuur beter te laten landen bij de ongeveer achthonderd medewerkers van Ingenico ePayments investeert Cordova Niewold continu in educatie en het creëren van security awareness in kleine groepen. Ook heeft hij stappen gezet om de securitypolicy’s duidelijker over het voetlicht te brengen. Cordova Niewold met zijn hand dertig centimeter boven de tafel: “We hadden zo’n pak securitypolicy’s, maar daar is lastig doorheen te lezen. Toen hebben we de grootste incidenten die ons kunnen overkomen gepakt, en daar ‘golden rules’ aan gekoppeld. Een striptekenaar heeft daar vervolgens plaatjes van gemaakt wat heeft geresulteerd in een goed begrijpelijke brochure die de belangrijkste gedragsregels voor onze medewerkers bevat.”

Detectie kan altijd beter
“Maar hoeveel je ook investeert in educatie en security awareness, je hebt maar één medewerker nodig die bijvoorbeeld in een moment van onoplettendheid op een ransomwarebericht klikt, en je hebt te maken met een infectie”, zo weet Cordova Niewold uit eigen ervaring. Enkele weken voor ons gesprek kreeg Ingenico ePayments op zeer kleine schaal te maken met ransomware. “We hebben toen direct alle netwerkschijven van het netwerk gehaald en meteen actie ondernomen, met als resultaat nul dataverlies en nul impact op de productie. Daar was ik wel heel erg trots op, hoe we als organisatie dat incident heel rustig hebben gemanaged.”

“Er is meer focus gekomen op detectie en response”, zo besluit Cordova Niewold. “Als je ziet hoe de tegenstanders zich ontwikkelen, dan mogen er in het algemeen zelfs wel een paar stapjes bij, en dan niet alleen in technologie, maar zeker ook op het gebied van processen en mensen. Laat als organisatie maar zien dat je klaar bent om een massa-aanval op te vangen. De signature-based beveiliging moet ook plaatsmaken voor een beveiliging gebaseerd op gedragsanalyse. Zien we in het netwerkverkeer gedrag dat niet normaal is, en kunnen we daarop reageren? Met security gaan we steeds meer richting big data.” 


Lees meer over