“Security is iets wat continu aandacht vraagt. Bovendien gaan de ontwikkelingen zo snel dat het voor een IT-manager nauwelijks nog te doen is om de kennis up-to-date te houden.” Dat zegt Lex Brinkhuijsen, IT- manager bij Ab Ovo. Hij kiest daarom voor een managed services-contract met het Security Operations Center (SOC) van Pinewood.
Ab Ovo is een wereldwijd opererend Supply Chain Planning & Optimization (SCP&O)-bedrijf met vestigingen in Europa, China en de Verenigde Staten. De organisatie ontwikkelt software voor
en levert advies aan transportbedrijven en andere logistieke dienstverleners. Brinkhuijsen vertelt: “We zijn in 1997 begonnen als consultancybedrijf en implementatiepartner voor logistieke software- pakketten. Van lieverlee zijn we ook eigen software gaan ontwikkelen gericht op nichemarkten. Zo hebben we een ERP-systeem ontwikkeld voor rail cargo, waar diverse Europese klanten gebruik van maken. Nu leveren we onze software nog alleen als on-premise applicatie aan grote spelers, maar het is de bedoeling om in de toekomst webbased software te ontwikkelen voor kleinere transporteurs. De ontwikkeling van ons bedrijf van consultancy naar IT-dienstverlener zal zich dus ook in de toekomst nog verder doorzetten.”
Steeds zwaarder beroep op IT
Dit betekent veel voor de manier waarop Ab Ovo zijn eigen IT-omgeving inricht. “Consultants heb-
ben niet zo’n zware IT-omgeving nodig. Met Office 365 komen zij een heel eind”, zegt Brinkhuijsen. “Maar ons softwareontwikkelteam doet natuurlijk wel een zwaar beroep op IT. Zij stellen hoge eisen aan de ontwikkelomgeving, achterliggende data- bases, het netwerk en ga zo maar door. Dit zijn ook geen diensten die wij maar zo even uit de cloud kunnen afnemen, dit draait in eigen huis. Dat betekent dat mijn collega-IT-er en ik verantwoordelijk zijn voor de beschikbaarheid en veiligheid van de omgeving.”
Risico’s stijgen explosief
Hij ziet dat de eisen aan beschikbaarheid en veiligheid groeien, terwijl het aantal en soorten drei- gingen de laatste jaren explosief zijn gestegen. Dat leidde uiteindelijk tot de strategische keus om de security bij een extern SOC te beleggen, ondanks het feit dat Brinkhuijsen zelf CISSP (Certified Information Systems Security Professional) is. Hij verklaart: “Ab Ovo heeft 120 werkplekken op drie continenten. Het IT-team bestaat uit slechts twee mensen die vanuit Nederland de wereldwijde omgeving beheren. Mijn collega en ik moeten overal verstand van hebben: de interne serveromgeving, het netwerk, de databases waar de ontwikkelomgeving op draait, de applicaties waar we zelf intern mee werken. Je kunt gewoon niet op alle gebieden je kennis up-to-date houden. Daarom hebben we besloten om één van de meest kritische onderde len te outsourcen: onze security.”
“Het is een illusie dat je zelf je hele securityomgeving in de gaten kunt houden. Je hebt er de tijd niet voor, en zeker niet de expertise”
Van afroepcontract naar SOC-dienstverlening
Ab Ovo doet al jarenlang een beroep op Pinewood, eigenlijk al het moment dat het bedrijf vanuit de consultancy meer de IT-hoek in schoof. “De eerste jaren hadden we een contract waarbij we Pine- wood op afroepbasis konden inschakelen. Wij waren toen zelf verantwoordelijk voor de monitoring van de securityomgeving en voor het oplossen van kleine incidenten en storingen en riepen de hulp van Pinewood in bij meer complexe zaken. Naar- mate IT bedrijfskritischer werd, ging dat wringen. Want het betekent dat we steeds meer kennis moesten hebben van security, terwijl we ook op andere gebieden up-to-date moeten blijven. Drie jaar geleden hebben we het afroepcontract veranderd in een managed services contract. Pinewood is nu verantwoordelijk voor de totale omgeving: monitoring van firewalls en SIEM, oplossen van storingen, ingrijpen bij security-incidenten en de rapportage hierover.”
Uit de agenda en uit ons hoofd
Pinewood rapporteert maandelijks aan Ab Ovo over de status van de omgeving en de voorgevallen incidenten. Eens in de drie maanden zit Brinkhuijsen met Pinewood om tafel om de securitystrategie te evalueren en eventuele wijzigingen in de aanpak te bespreken. “Wat fijn is, is dat wij ons in ons dagelijks werk helemaal niet meer met security bezig hoeven te houden; het is uit de agenda
en ook uit ons hoofd”, zegt hij. Dat neemt niet weg dat hij zijn kennis wel wil onderhouden. “Ik vind het belangrijk om als klant een goed tegenwicht te kunnen bieden. Daarom bezoek ik regelmatig events die Pinewood organiseert. Dat is een goede én leuke manier om op de hoogte te blijven.”
Proactief in plaats van reactief
Onlangs bezocht hij een seminar over penetratie- testen. “Op dat moment realiseerde ik me weer hoe goed de beslissing is geweest om de monitoring
en het beheer van onze securityomgeving volledig buiten de deur te leggen. Een paar keer dacht ik: ‘zo heb ik er nog nooit naar gekeken.’ Dat komt doordat bij Pinewood mensen werken die denken als hackers. Hackers zijn bezig met aanvallen, ter- wijl je als IT-manager bezig bent met verdedigen. Als verdediger leg je het initiatief bij de aanvaller en daar reageer je op, wat betekent dat je min of meer automatisch achter de feiten aanloopt. Bij Pinewood draaien ze het om. Door zelf te denken als aanvallers zijn ze hackers een stap voor. Ze zijn proactief in plaats van reactief.”
Laat het aan experts over
Als hij andere IT-managers één advies mag geven dan is het: “Ga niet zelf lopen klooien, maar laat het aan experts over. Het is namelijk een illusie dat je alles zelf in de gaten kunt houden. Je hebt
er de tijd niet voor, en zeker niet de expertise. Bovendien is IT in de meeste organisaties bedrijfskritisch geworden. Het is té belangrijk om hier risico’s mee te nemen.”
Meer informatie
Wilt u meer informatie over Pinewood Managed Services of wilt u een demo bijwonen, neemt u dan contact met ons op via T (015) 251 36 36 of kijk op www.pinewood.nl.