Voor Axians begint goede cybersecurity bij de klantrelatie

Een grote uitdaging als het gaat om cybersecurity zit in de overweldigende hoeveelheid opties die je kunt kiezen om je organisatie veilig te houden. Dat vertelt Karen Noorda, businessconsultant bij Axians: “Onze klanten maken vooral gebruik van Microsoft en in het dashboard met kwetsbaarheden zien ze allemaal groene, gele en rode stipjes, die de mate van kwetsbaarheid aangeven. Waar moeten ze beginnen?”

Een balans tussen werkbaar en secure
Maar het is niet een kwestie van alle lampjes op groen krijgen, vertelt Noorda. “De tweede uitdaging is de balans vinden tussen het werkbaar houden van een IT-omgeving en het beveiligen daarvan. Veel maatregelen die je kunt treffen, betekenen extra stappen voor eindgebruikers. Neem zoiets eenvoudigs maar effectiefs als twofactor-authentication. Daarvoor moeten eindgebruikers een extra stap zetten om in te kunnen loggen.”

“Of neem het maken van een screenshot van een applicatie. Dat wil je bijvoorbeeld niet met je bankapp, maar ook als je geen financiële instelling bent, wil je niet dat screenshots van gevoelige informatie rondzwerven op telefoons van medewerkers. Misschien is het vervelend voor gebruikers, maar vanuit een securityoptiek is het een goede keuze. Wij helpen klanten om die keuzes te maken tussen werkbaar en veilig.”

Is deze ontwikkeling interessant voor de klant?
Noorda: “Om klanten te voorzien van het juiste advies heeft elke klant een service- of customer success manager die het aanspreekpunt is voor de klant. Hierachter zit een team van specialisten die onze klant ook goed kennen én in de continue stroom van nieuwe IT-ontwikkelingen goed filteren welke waarde welke features hebben. Zij wegen af: wat heeft prioriteit en wat niet?”

“Ondanks alle interessante IT-ontwikkelingen is niet elke nieuwe ontwikkeling en toepassing noodzakelijk voor ieder bedrijf. Daarom blijf je als IT-partner proactief in gesprek met je klant om samen te bepalen welke van deze ontwikkelingen relevant zijn. Wij werken daarom met duidelijke standaarden om onze dienstverlening beheersbaar te houden én snel te kunnen acteren op veranderingen die noodzakelijk zijn.”

Hoewel Axians haar klanten uitgebreid adviseert en meedenkt over welke maatregelen en oplossingen welk effect hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van data en systemen, gaat de organisatie altijd uit van minimale set richtlijnen, zoals het CIS-controleframework. Wij vertellen de klant: dit is het minimale wat je kunt doen. Maar het verschilt natuurlijk heel erg per bedrijf welke maatregelen ze nog meer oppakken”, vertelt Noorda.

Net nieuw: archiefwetgeving
“Organisaties die werken met gevoelige data zijn bijvoorbeeld weer andere maatregelen nodig dan bij organisaties die dat niet doen. Er gelden ook andere wetgeving. We werken bijvoorbeeld met advocatenkantoren die recentelijk aan de slag moesten met de nieuwe archiefwetgeving om het archief veilig in te richten. Maar een financiële dienstverlener heeft weer andere regelgeving gebonden aan veilig werken bijvoorbeeld.”

“Maar welk project we ook oppakken, security is altijd onderdeel daarvan. Onze security officer is altijd betrokken bij de ontwikkeling van nieuwe releases en beschikbaar voor klanten. Hij spreekt bij nieuwe projecten of wetgeving bijvoorbeeld met CISO of CIO van de klant over uitdagingen en prioriteiten om te snappen waar hun voorkeur ligt. Zo zijn in elke branche andere wet- en regelgeving waarmee rekening gehouden moet worden. Een bouwbedrijf heeft andere veiligheidsnormen en dus uitdagingen, dan bijvoorbeeld een advocatenkantoor.”

Oude legacy
Volgens Noorda is het een trend om oude legacyoplossingen te vervangen om een steeds veiligere en werkbare IT-omgeving te hebben. Een voorbeeld is oplossingen vervangen met SaaS-oplossingen, maar ook regelmatig releases doorvoeren om zo bij te blijven met updates al dan niet op securitygebied is cruciaal. “Maar stel dat een release wordt uitgesteld omdat andere zaken voorrang hebben, dan plan je direct het moment in om het alsnog op te pakken.”

Door met kwartaalreleases te werken worden nieuwe features en verbeteringen voorspelbaar en wordt de IT-omgeving van de klant continu werkbaarder en veiliger. Maar de updates kunnen soms niet wachten tot het nieuwe kwartaal, vertelt Noorda: “Gezien de kwetsbaarheden die soms ontstaan, worden securityreleases soms ad hoc en preventief uitgevoerd. Daarbij kunnen klanten op ons vertrouwen.”

De klant door en door kennen
Om te bepalen welke securityupdates niet kunnen wachten, wil Axians de klant door en door kennen. “Je wilt dat we elkaar kunnen aanspreken als iets niet goed gaat. De klant richting ons, absoluut, maar ook andersom: bijvoorbeeld als je ziet dat klanten vaak achterlopen met hun updates op laptops, wil je dat kunnen aankaarten.”

Maar omdat Axians de tijd en moeite neemt om de klant beter te leren kennen en op een bijna amicale wijze om te gaan met de klant, weten ze ook wanneer het een goed moment is om niet aan de bel te trekken. “We werken bijvoorbeeld voor een uitzendbureau. En als je dan weet dat de verloning op dinsdag is, dan ga je niet verbeteringen uitvoeren op die dag. Dan is het alle hens aan dek om de normale processen goed te laten draaien.”

Bij de klant op kantoor
Daarom gaan Noorda en haar collega’s ook bij de klant op kantoor zitten. “Ook al hebben we een afspraak van tien tot half twaalf, we blijven vaak de hele dag. Zo spreek je meer mensen, ben je extreem laagdrempelig toegankelijk en weet je meer wat er op de werkvloer speelt. Je hoort dingen, ook securityincidenten, die je anders misschien niet meekrijgt. En deze tijd en energie die we erin steken wordt zeer gewaardeerd vanuit de klant.”