Interview: de uitrol van een veilig, flexibel werkconcept bij Bouwend Nederland
Bouwend Nederland is dé ondernemersorganisatie voor bouwende bedrijven. Bedrijven in de bouw kunnen lid worden en gebruik maken van de voordelen. Bouwend Nederland behartigt de belangen van de sector op lokaal, regionaal, landelijk en Europees niveau, en maakt zich hard voor vernieuwing in de bouw en infra.
Alle ICT-werkzaamheden besteedt Bouwend Nederland uit aan IT-partner Avantage. Stephan Leseman is sinds 1 september Programma Manager IT bij Bouwend Nederland. Hij heeft contact met de IT-leveranciers en houdt zich vooral bezig met klanttevredenheid en het formuleren en nastreven van beleid en KPI’s. Onlangs is Bouwend Nederland overgegaan naar een nieuwe manier van werken. Deze overgang heeft Stephan begeleid. Wij zijn benieuwd naar Stephans ervaringen en naar zijn visie op het gebied van cybersecurity.
Wat is er de afgelopen jaren veranderd als het gaat om cybersecurity?
De grootste verandering bij Bouwend Nederland van het afgelopen jaar is het flexibele werken. Mensen zijn gewend aan traditionele kantoren met eigen spullen. Maar met een flexfactor van 0,7 hebben we tegenwoordig minder werkplekken dan werknemers. De overgang ging soepel, mensen zijn snel gewend aan verschillende omgevingen: flexplekken, vergaderruimtes en creatieve ruimtes.
Bij de introductie van het flexibele werken hebben we bewust gekozen om geen BYOD, maar om een nieuw technisch werkconcept in te richten. Iedereen is voorzien van een laptop, een smartphone en nieuwe telecom-omgeving, waarmee iedereen altijd en overal kan werken. Geen tokens en Citrix-achtige omgevingen meer. Met Direct Access op het Windowsplatform kan iedereen overal en op elk moment bij. Een laptop met internetverbinding is voldoende om aan de slag te gaan.
Hoe ziet u het bestaande security landschap?
Voor de uitrol van het flexibele werken was de security bij Bouwend Nederland al op orde. Alle SSD drives zijn versleuteld, daarnaast bewaren onze mensen geen data op hun laptop, maar op het netwerk, dat voorzien is van nieuwe firewalls. Dit was noodzakelijk omdat steeds meer mensen van buitenaf, zoals leveranciers, toegang krijgen tot ons netwerk.
Daarnaast heb je in een bedrijf natuurlijk altijd te maken met menselijk gedrag. Onze volgende stap in het security landschap is het schrijven van een beveiligingsbeleid. Daarvoor zijn we nu in gesprek met meerdere bedrijven die ons gaan helpen met het opstellen, toetsen en borgen van het beleid. Ik ga het niet zelf verzinnen, anders krijg je zo’n ‘Wij van WC Eend’-situatie. En daar wil ik voor waken.
Hoe ziet u de toekomst van cyber security? Waar moeten IT-managers rekening mee houden?
De toekomst van cybersecurity kent in mijn ogen veel open deuren. Zo is er veel ruimte voor een beveiligingsbeleid dat regelmatig getoetst moet worden. Hetzelfde geldt voor het bewustzijn van de medewerkers op het gebied van beveiliging. Daar moet een plan voor komen.
Ik ben bijvoorbeeld heel erg benieuwd waarom mensen een bepaald gedrag vertonen. Wat drijft ze, als ze bijvoorbeeld op een link in een mail van een onbekende klikken? Terwijl ze eigenlijk beter moeten weten. Wat mij betreft verdient awareness bij medewerkers in de toekomst de grootste aandacht.
Daarnaast hebben we de grootste problemen wel gehad hebben met virussen, het gaat steeds vaker om het menselijke aspect. Malware verhuist steeds meer naar de ransomware kant. En juist daar is de mens het zwakke punt.
Om me heen zie ik dat security een belangrijk punt op de agenda van de directie is. Security is hot topic. Niet alleen in de boardrooms, maar ook in de media. En als organisatie wil je niet in de media komen met een security-issue. Jouw imago loopt een flinke deuk op als je bijvoorbeeld door een datalek in de media komt.
Wat zijn uitdagingen op het gebied van endpoint security?
De grootste uitdaging is het voorkomen van malware infecties op gebruikersniveau. Dit pakken we aan met F-Secure software op alle werkstations. Daarnaast krijgen onze mensen af en toe een bericht via het intranet met do’s en don’ts op het gebied van beveiliging. Zoals eerder gezegd gaan we nu aan de slag met een geformaliseerd beleid.
De uitdaging op het gebied van endpoint beveiliging binnen de bouw- en infrawereld zijn anders dan bij andere sectoren. Mensen zijn altijd onderweg. In de bouw- en infrawereld is mobiliteit wel echt een ding. Onze mensen doen hun werk door het hele land heen. Met name voor onze leden is het een uitdaging om hun apparatuur goed te beveiligen. Zeker als medewerkers hun eigen apparatuur mogen gebruiken.
De oplossing is, naast een goed beleid voor de medewerkers, een goede centrale endpoint beveiliging. En we moeten ons ervan bewust blijven dat techniek altijd een stap achter loopt op de gebruiker.
De samenwerking met IT-partner Avantage
Avantage verzorgt de eerste- en tweedelijns helpdesk en een deel van het applicatiebeheer. Bouwend Nederland heeft zelf geen mensen in dienst voor de IT-afdeling. Deze werkzaamheden zijn uitbesteed aan Avantage, die ook bij ons in het pand aanwezig is. Een deel van de werkzaamheden wordt bij ons op locatie afgewerkt, andere zaken worden op kantoor van Avantage afgehandeld. Ik heb regelmatig contact met de servicemanager, we bespreken dan wat er loopt en waar mogelijk verbeterpunten zijn.
Ik ben blij met de samenwerking. We hebben onlangs de afspraken hernieuwd. Niet alleen ik, maar ook de Servicemanager van Avantage was nieuw op het project. Mooi moment om eens goed naar de gemaakte afspraken te kijken.
De samenwerking met F-Secure
Bouwend Nederland gebruikt F-Secure producten voor de endpoint beveiliging en server-side beveiliging. Op advies van Avantage zijn we dit jaar overgestapt naar de oplossingen van F-Secure. Het contract met de vorige leverancier liep af en dat was een mooi moment om verder te kijken.
Avantage had goede ervaringen met F-Secure bij andere klanten. Met name de belasting op de systemen is een mooie verbetering. Daarnaast zijn de producten ook prijstechnisch interessant, ook belangrijk natuurlijk.
De producten doen hun werk goed, want ik merk er niets van. In dit geval is geen nieuws goed nieuws. In ieder geval zijn er nog geen bedreigingen op het systeem gesignaleerd sinds de ingebruikname van F-Secure. En daar is het om te doen toch?
Categorieën