Nieuwe security-afdeling van Vooruit identificeert én implementeert

Het interview met Earth Grob vindt plaats tijdens zijn eerste werkweek. Met merkbaar enthousiasme is hij aan zijn nieuwe baan begonnen, nadat hij daarvoor bij Securify en Fox-IT werkte. Een echte security-man, dus. “Door allerlei ongein leerde ik als tiener spelenderwijs over security. Toen ik me bedacht dat ik daar misschien mijn beroep van kon maken, mailde ik Securify en had ik binnen een paar dagen een contract. Na een paar jaar ging ik naar Fox-IT, waar ik enorm veel verschillende dingen heb mogen doen, binnen allerlei afdelingen.”

Hij praat positief over zijn twee vorige werkgevers, maar toch miste hij daar iets. “Dat soort in security gespecialiseerde bedrijven zijn vaak heel goed in het identificeren van kwetsbaarheden en het geven van onafhankelijk advies. Het oplossen van die kwetsbaarheden en het beheer laten ze aan MSP’s over. We deden testen en maakten, in samenwerking met andere partijen, rapporten, maar de klant was dus zelf verantwoordelijk voor de implementatie. Het gebeurde vaak dat ik een jaar later dezelfde dingen weer tegenkwam. Ze waren niet opgelost en security was nog altijd geen onderdeel van de systemen en de processen. Ik merk een kloof tussen het ontdekken van problemen en het oplossen ervan. Daardoor zijn veel bedrijven niet optimaal beschermd.”

Voor oplossingen zorgen

Grob kwam in contact met Vooruit-CEO Maaike Dekkers-Duijts en zijn visie paste precies bij haar ambitie. Het resulteert nu in een nieuwe security-afdeling van Vooruit, die door Grob wordt geleid. De tak combineert MSP-activiteiten met gespecialiseerde cybersecurity-diensten. “Het doel van Vooruit is om klanten van het begin tot het einde helemaal te ontzorgen. Dat doen we al met onder meer telefonie en hardware en nu dus ook met security.”

Gespecialiseerde teams van Vooruit zijn verantwoordelijk voor pentesten en monitoring, maar daar stopt het niet. “Een belangrijk verschil met veel security-bedrijven is dat we ook een security engineering-team hebben dat, in samenwerking met de beheerders, dingen op gaat lossen. Doordat we alles zelf kunnen doen, zijn de lijnen veel korter dan wanneer je als klant met twee of meer bedrijven moet samenwerken. Ik schakel bijvoorbeeld direct met een collega nadat we de resultaten van een pentest hebben, om voor te stellen om een bepaalde patch te doen. Mijn collega bij de MSP kan dan veel gerichter antwoorden met kennis over de context waarbinnen dit gedaan wordt.”

Eén aanspreekpunt

Maar als bedrijven op een andere manier met Vooruit willen samenwerken, kan dat ook. “Het is zeker niet zo dat we alles per se zelf moeten doen. Klanten kunnen er bijvoorbeeld ook voor kiezen om het testen te laten doen door een ander bedrijf, omdat ze willen voorkomen dat een slager zijn eigen vlees keurt.”

Toch denkt hij dat de meeste bedrijven zullen kiezen voor de voordelen van het hebben van één aanspreekpunt. “Het scenario waarbij meerdere IT-partijen verschillende taken zoals monitoring, testing, implementatie en beheer verdelen is mooi maar helaas vaak een utopie. Omdat er geen verantwoordelijkheid wordt genomen blijft er te veel liggen met als resultaat dat de klant geen stap verder komt. Als Vooruit kunnen en nemen wij die verantwoordelijkheid wel op ons.”

Om die aanpak te laten slagen, werkt Vooruit samen met Secwatch en ESET. “ESET verzorgt ons SOC (Security Operations Center, red.). Alles komt eerst bij hen binnen, waarna het via ons naar de klant gaat.”

Goede mensen

Ondertussen investeert Vooruit nadrukkelijk in goede security-mensen. “Nu zijn we met vijf personen, maar dat zullen er snel meer worden.” Met de meeste van hen werkte Grob in het verleden al samen. “Ze hebben allemaal zes tot twaalf jaar security-ervaring en delen hetzelfde doel: bedrijven niet alleen helpen met identificeren, maar ook met implementeren. Ze willen voor structurele oplossingen zorgen, op een snelle en pragmatische manier. Met deze groep kunnen we echt heel veel gedaan krijgen.”

Het hebben van zo’n sterk, professioneel team is cruciaal. Voor veel MSP’s is dat uitdagend, weet Grob. “Je ziet regelmatig dat MSP’s mensen met een andere achtergrond op cybersecurity zetten. Als ze in die rol groeien en het leuk vinden, dan stappen diezelfde mensen vaak over naar security-partijen, waardoor een MSP weer achterblijft met een gebrek aan kennis. Dat willen we veranderen. Werken op onze security-afdeling moet een doel zijn voor talent en geen springplank richting iets anders.”

Complementair

De security-afdeling versterkt de Vooruit-organisatie. Het vult de andere specialiteiten perfect aan en is alles behalve een eilandje, zo legt Grob uit. “Als security-team kijken we mee met alle facetten van Vooruit, want onderwerpen zoals hardware en telefonie hebben natuurlijk alles met security te maken. We zijn als security-tak heel complementair aan de rest van het bedrijf.” Hij geeft een voorbeeld. “Als je sommige laptops niet goed configureert, kan een aanvaller bijvoorbeeld via kwetsbaarheden in de TPM-module toegang krijgen tot de BitLocker-sleutels. Dat soort vraagstukken kunnen wij als MSP met een securitytak in een heel vroeg stadium al oplossen, voordat er een pentest gedaan hoeft te worden.”

Zijn beginperiode bij Vooruit is hem buitengewoon goed bevallen. “Ik ben positief verrast door hoeveel we al voor elkaar hebben gekregen. Dingen worden gewoon heel snel geregeld. Dat komt door het snelle schakelen, maar ook door het vertrouwen dat we van de directie krijgen. Daar word ik enorm blij van.”