Column


3 vragen aan... Jan de Jager

‘Security net zo belangrijk als winstgevendheid’

Jan de Jager is Manager Risk en Compliance bij de VvAA Groep dat financiële diensten biedt aan professionals en organisaties in de gezondheidszorg. Wat doet De Jager om ‘in control’ te blijven? “Dienstverleners zullen eraan moeten wennen dat wij als klant willen meekijken in de keuken.”

Waar lig je wakker van?
“Een partij als VvAA Groep is steeds minder in staat om voldoende kennis en handjes in stelling te brengen om de informatiebehoefte van de business zelf adequaat te ondersteunen. En daar bedoel ik dan niet alleen het beheer van techniek en applicaties mee, maar ook de beveiliging en monitoring ervan. Een logische stap is dat we steeds meer gebruik gaan maken van expertise, systemen, applicaties en infrastructuren van externe partijen.

 

Een cruciaal aspect is dat wij als eigenaar en beheerder van de gegevens te allen tijde eindverantwoordelijk blijven. De aantoonbaarheid van dat alles wordt steeds belangrijker. We moeten onze informatievoorziening niet alleen adequaat beveiligen, maar we moeten dat ook kunnen aantonen; in geval van incidenten ook achteraf.

Deze twee zaken gecombineerd leveren momenteel de grootste uitdaging op. We kunnen alles naar buiten schuiven. En vaak kunnen we dat ook beter doen. We kunnen er best vanuit gaan dat Microsoft meer middelen en expertise kan inzetten om een Azure-omgeving goed te beveiligen dan wij dat kunnen. En dat geldt voor allerlei dienstverleners op dit gebied. Wat de dienstverleners echter nog niet doorhebben, is dat wij als klant inzicht nodig hebben op basis waarvan wij aan onze klanten, directies en aan toezichthouders kunnen uitleggen en aantonen dat we ‘in control’ zijn.

En als het om monitoring van een omgeving gaat, is er nog een ander aspect dat me bezig houdt, namelijk de manier van kijken naar de loginformatie. Dat laat zich het beste uitleggen met een voorbeeld: als wij een stukje infrastructuur huren van een provider en zetten daar servers van ons op, dan geldt voor onze systemen dat al het verkeer naar het buitenland verdacht is. Wij doen namelijk alleen zaken in Nederland. De provider zal op zijn firewall echter niet schrikken van verkeer naar buitenlandse internetadressen. Het zou wel heel toevallig zijn als al zijn klanten louter in Nederland opereren. Voor optimale monitoring kijken we daarom elk met onze eigen bril naar dezelfde logging!”

Wat doe je om weer goed te slapen?
“Wij zijn met allerlei dienstverleners in discussie om de dienstverlening uitgebreid te krijgen met meer rapportages en logdatastromen. Daarmee kunnen wij onze aantoonbaarheid invullen en we kunnen er de monitoring op afwijkingen van gedrag op onze systemen mee verbeteren. De belofte van leveranciers ‘wij weten wat we doen en wij hebben onze beveiliging op orde’ is niet voldoende. We moeten dus samenwerken om tot het beste resultaat te komen. Dienstverleners zullen eraan moeten wennen dat wij als klant willen meekijken in de keuken. Dat betekent dat zij daar op maat gesneden dienstverlening voor moeten opzetten.”

Hoe ziet de securitywereld er volgens jou over tien jaar uit?
“Als ik tien jaar vooruit kon kijken, dan zit ik nu in het verkeerde vakgebied. Ik kan wel een hoop uitspreken en dat is dat we over tien jaar niet meer spreken van de ‘securitywereld’. Die is dan allang geïntegreerd in het gewone businessproces. Security is dan als eigenschap net zo belangrijk als winstgevendheid. En bedrijven werken samen aan het beveiligen en monitoren van hele informatieketens. Onze informatiesystemen staan allemaal in de cloud en wij hebben dashboards en rapportages waarmee we inzicht hebben in het functioneren van het proces, ook op het gebied van beveiliging. Het mooiste is dat we daar niet meer om hoeven te vragen, het wordt standaard meegeleverd.”

 


Lees meer over