Actueel

26 April 2017

Interview: BMC Cyber Security Award voor informatiebeveiliging Shimano Europe

Eerder dit jaar werd het Best Managed Companies-programma 2016-2017 feestelijk afgesloten met een gala, waarbij als nieuw onderdeel de BMC Cyber Award werd uitgereikt. Die eer ging naar onze klant Shimano Europe, dat volgens de jury haar informatiebeveiliging ‘volwassen heeft ingericht, sterk bewust van cyberdreigingen’. Marko van Zwam, partner Deloitte Risk Advisory en juryvoorzitter, licht toe: “De genomineerden hadden allen hun cybersecurity-aanpak goed op orde, maar Shimano Europe sprong er in het juryoverleg echt bovenuit. Ze zijn zich erg bewust van de cyberdreigingen, en daarnaast zien zij ook de kansen die cybersecurity biedt voor hun business. Hiermee zijn zij een goed voorbeeld voor de midmarket.”

“Deze award is voor ons een bevestiging dat we met de goede dingen bezig zijn,” vertelt Toine Siemerink, Sr. ICT Manager bij het bedrijf. “Shimano Europe is een verkoop- en distributieorganisatie voor bike- en fishing-gerelateerde producten, maar tegelijkertijd zien we het belang van goede cybersecurity. Het is dan ook een belangrijk topic binnen onze hele organisatie”.

In gesprek met Toine Siemerink.

De Cyber Award is voor jullie een bevestiging dat Shimano op het juiste pad zit met betrekking tot cybersecurity?

“Cybersecurity is ten eerste enorm actueel. Elk bedrijf beseft dat er ze er iets mee moeten, maar er is geen handleiding die je even uit de kast kunt trekken. We hebben daarom een eigen plan gemaakt. De award bevestigt dat onze aanpak in ieder geval bovengemiddeld is, en daar zijn we trots op.“

Hoe maak je cybersecurity een belangrijk onderwerp voor de gehele organisatie?

“Onze aanpak is vooral heel praktisch geweest. Dat is sowieso beter dan jezelf verliezen in vergaderingen en beleid. Het is dubbel, maar we hebben de huidige tijd mee, want het onderwerp wordt steeds belangrijker. Iedereen krijgt ermee te maken. Maar het geeft ook duidelijk aan hoe onvermijdelijk het is. ‘Het kan mij óók overkomen.’ Dat onderstreept het belang.”

“We hebben gekozen voor een top-down benadering. Je moet eerst op MT-niveau kunnen uitleggen dat er een probleem is. De potentiële gevolgen van bijvoorbeeld phishing zijn enorm toegenomen, en de tegenpartij is je altijd een stap voor. Je hebt niet de luxe om te bedenken wat je wil, het moet snel en praktisch. Het management was zich daar voldoende bewust van, waardoor er prioriteit aan gegeven werd.”

“De volgende stap was om het heel laagdrempelig te houden, zodat je de hele organisatie – alle 700 medewerkers – in je beleid mee kunt nemen. We zijn daarbij gestart met een nulmeting om te bepalen waar we stonden, en hebben in overleg met Awareways een aantal e-learning modules ingezet. Ook dat hebben we praktisch aangepakt, door een viertal modules te selecteren die functioneel aansluiten op waar medewerkers mee bezig zijn: webshops, smarthphones, phishing en wachtwoorden. Concrete voorbeelden waarbij ook geldt: ‘het kan mij overkomen’.

“De introductie van deze fase van onze awareness-campagne is vanuit de president van het bedrijf verstuurd, zodat het gewicht aan gegeven werd en het belang werd onderstreept. Een bedrijf met grote en kleine kantoren verspreid over Europa geeft wat praktische en logistieke beperkingen, maar deze aanpak maakt de start erg toegankelijk. Daarnaast hebben we de modules in zes verschillende talen aangeboden, om naast Engels bijvoorbeeld ook Italiaans, Frans en Pools aan te bieden en zoveel mogelijk mensen te bereiken.”

Wat is nu de volgende stap?

“Als je aan zo’n programma begint, dwingt je dat ook om over het vervolg na te denken. Hoe reageren we ergens op, wat zijn de richtlijnen? Medewerkers wisten bijvoorbeeld al dat ze bij mijn afdeling terecht kunnen, maar dat was tot voor kort nog te algemeen. Dat gaan we nu specifieker maken, door een Security Officer aan te stellen. Een bestaande functionaris met een uitgebreider takenpakket om al deze vraagstukken te kunnen bedienen. Daarnaast krijgt de helpdesk meer – en concretere – richtlijnen. ‘Bij phishing doe dit, bij ransomware doe dat.’ Daar willen we zoveel mogelijk standaard in aan brengen. Mocht er over een maand een security incident zijn, dan hebben we een platform in place om daar mee om te gaan.“

“Heel concreet zien we binnen de organisatie dat het onderwerp serieus op de kaart is gezet. Mensen spreken elkaar er ook op aan. De volgende stap is sterk gefocust op borgen en verbeteren: het bereikte niveau vasthouden, en het liefst verder verhogen. Ook daarover zijn we in overleg met Awareways. In deze tweede fase zullen we onder meer nieuw personeel van de modules voorzien om de lijn door te zetten en de kennis vast te houden. Daarnaast wil ik onze medewerkers een vijfde module geven, op basis van een actueel onderwerp, om awareness verder uit te bouwen.”

“De tweede fase zal daarmee gericht zijn op de vraag of onze campagnes beklijven. Aanvullende modules, maar ook het opnieuw testen van eerdere onderwerpen. Is het gedrag daadwerkelijk veranderd? Samen met Awareways kunnen we dat goed monitoren, en de geboden flexibiliteit daarin is erg prettig.”

Onder de deelnemende BMC-bedrijven zien we ook een IT-dienstverlener, een specialist in logistiek en diverse softwarebedrijven. Is er een verschil in aanpak van cybersecurity bij een bedrijf als Shimano ten opzichte van deze sectoren?

“Ja, dat vind ik wel. Voor IT-bedrijven ligt de dreiging veel dichter bij hun bedrijfsvoering. Shimano heeft de fysieke producten en de IT is daarbij ondersteunend, terwijl het bij IT-bedrijven gaat om de primaire dienstverlening. Zij zullen zeker in deze tijd nog meer zeilen bij moeten zetten.”

“Wij als niet-IT’ers hebben daarin een onderscheidende aanpak laten zien. Niet alleen vanuit de techniek en de tooling, maar vanuit de awareness en de communicatie. Bedrijven in digitale dienstverlening regelen hun zaken in de basis in de infrastructuur en protocollen, terwijl wij samen met Awareways hebben laten zien dat aandacht voor gedragsverandering en bewustzijn cruciaal is.”

Heb je tot slot nog een tip voor andere organisaties?

“Focus vooral op je medewerkers. Qua achterdeur is er vaak voldoende aandacht, met firewalls, spamfilters, protocollen, et cetera. Maar voor de voorkant, daar moet je laagdrempelig trainingsprogramma’s op zetten. Bijvoorbeeld e-learning, want het is gemakkelijk en toegankelijk te implementeren. Je zet de medewerkers individueel aan de slag. Denk ook aan de 80/20-regel: de meest voorkomende gevallen kun je al grotendeels pakken, en voor die resterende 20 procent kun je dan nieuw beleid maken. Probeer tot slot ook niet alles zelf op te lossen, maar schakel een expert in. Maak gebruik van dingen die er al zijn. Dat zorgt er ook voor dat je snel zaken kunt uitrollen.“

Kijk op Awareways.com/e-learning voor meer informatie over onze modules.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.