Pieter Lacroix, directeur Sophos Nederland:

“Europese privacywetgeving vraagt om integrale aanpak security”

IT-security lastig en ingewikkeld? Welnee, het is juist simpel, stelt Pieter Lacroix, directeur van Sophos Nederland. “Door informatiebeveiliging integraal te benaderen, maken we security heel eenvoudig voor onze klanten. Dat helpt hen ook om te voldoen aan de Europese privacywetgeving.”

                                                                                                                              Tekst: René Schellingerhout
                                                                                                                              Fotografie: Geert van Tol

Het onderkomen van Sophos in het Brabantse Oosterhout is bescheiden voor een bedrijf dat in de internationale lijsten van onderzoeks- en adviesbureaus als Gartner en Forrester de concurrentie veelal te slim af is. Ook economisch gaat het de onderneming voor de wind; het IT-bedrijf kan de laatste jaren pronken met groeicijfers van 35 procent. “We groeien in dit kantoor ook bijna uit ons jasje”, erkent Lacroix. Het van oorsprong Britse Sophos viert dit jaar zijn dertigste verjaardag. “Dat is in de IT vrij zeldzaam. Er zijn ook maar weinig bedrijven in onze branche die zoveel ervaring hebben en daarnaast in staat zijn om dit soort groeicijfers te laten zien.”

Integraal
30 31 32 33 en 34 Pieter Lacroix Sophos 1
Kort gezegd is het succes van Sophos te herleiden tot één woord: integraal. Lacroix: “We maken intelligente software die het onze klanten makkelijk maakt veilig te werken. Dat doen we vanuit een integrale securitygedachte voor onder meer de endpoint, de cloud, mobile, e-mail, de firewall, internet en databescherming. Sophos pretendeert niet op elk deelgebied de beste oplossing te leveren, maar we kunnen dankzij onze integrale aanpak die deelgebieden wel goed met elkaar laten samenwerken. Dat maakt security voor onze klanten heel eenvoudig te beheersen.”

“Je moet je als bedrijf met minder middelen kunnen wapenen tegen grotere gevaren”

Deze aanpak is volgens Lacroix noodzakelijk omdat bedrijven zich gesteld zien voor grote securityuitdagingen. “Door de nasleep van de crisis zijn de budgetten geslonken. Ook zijn er minder mensen om alle securitygebieden te beheren. Bovendien worden cybercriminelen en virusschrijvers steeds inventiever. Je moet je als bedrijf dus met minder middelen kunnen wapenen tegen grotere gevaren. Met een anti-virusprogramma alleen kom je er niet, daarmee ben je zeker nog niet veilig.” De integrale securitygedachte is in het bedrijfsleven nog geen gemeengoed, is Lacroix’s ervaring. “Ondernemingen kiezen vaak per deelgebied voor een oplossing. Ze zitten dan opgescheept met pakweg tien verschillende managementomgevingen. Dan kan je per deelgebied wel veilig zijn, maar dat betekent nog niet dat de hele keten van al die deelgebieden veilig is.” Sophos integrale aanpak zorgt wel voor die ketenveiligheid, stelt hij. “Wij kunnen in een bedrijf veel informatie uit veel pc’s, laptops, smartphones en gateways samenvoegen en in de cloud. Dan kunnen we bijvoorbeeld zien dat vanuit een bepaalde werkplek via het netwerk veel informatie wordt verspreid, dat via de gateway allerlei e-mails worden verstuurd of dat informatie het bedrijf verlaat zonder dat daar opdracht voor is gegeven. Door informatie uit al die verschillende deelgebieden samen te voegen, zien we zaken die je niet ziet als je slechts één deelgebied beveiligt.”

Kleur bekennen
Dat bedrijven meestal kiezen voor los van elkaar opererende oplossingen, is volgens Lacroix niet vreemd. “De IT-markt heeft nooit integraal gekeken naar security. Bedrijven gaan ook af op bijvoorbeeld het oordeel van Gartner. Die deelt in zijn magic quadrants de securitymarkt op in een aantal pijlers. Gartner prijst per pijler de beste oplossing aan. Als Gartner zegt dat A de beste e-mailoplossing is, kopen bedrijven A. Dat doen ze vervolgens ook voor de firewall, de endpoint en al die andere software- en IT-diensten. Zo krijg je een opeenstapeling van diensten die in hun deelgebied wel de beste zijn, maar vaak helemaal niet op elkaar zijn afgestemd en dus niet goed met elkaar kunnen communiceren. Sophos is er van overtuigd dat integratie van die pijlers een bedrijf veiliger maakt. Informatiebeveiliging is dan makkelijker te beheren, er zijn minder nazorgkosten, voor medewerkers is het eenvoudiger en bedrijven bellen bij problemen één telefoonnummer van één supportafdeling in plaats van tien verschillende nummers.” Lacroix is er ook van overtuigd dat bedrijven in de toekomst geen andere keuze meer hebben. “Bedrijven moeten met minder middelen meer veiligheid kunnen bieden. Alleen door kleur te bekennen en te kiezen voor een integrale securityoplossing ben je als bedrijf in staat deze uitdagingen het hoofd bieden.”
Security made simple, luidt de slogan van Sophos. Dat betekent niet dat de technologie makkelijk te maken is, benadrukt Lacroix. “Het maken van een geïntegreerde securityoplossing is ingewikkeld, maar het maakt het veel simpeler om veilig te werken. Onze oplossing hoeft niet te communiceren met oplossingen van bijvoorbeeld Symantec of McAfee, maar met onze eigen andere oplossingen.” Volgens Lacroix kunnen bedrijven met de integrale Sophos aanpak ook gemakkelijker voldoen aan de nieuwe Europese privacywetgeving die dit of volgend jaar van kracht wordt. “In die wetten staat niet dat je de beste oplossing moet hebben om je data op je laptop, usb-stick, cloud of server te beschermen, maar simpelweg dat je geen data mag lekken, onafhankelijk van de informatiedrager. Dan is het bijvoorbeeld wel zo prettig om een beveiligd bestandje op je server te hebben staan waar alleen de geautoriseerde personen bij kunnen. En dat je dit bestand via een automatisch beveiligde mail kunt versturen naar een smartphone waar de informatie versleuteld is. En dat je deze informatie vervolgens kunt kopiëren naar je dropbox die beveiligd is met een eigen sleutel. Zelfs als er dan een lek in de dropbox is, is er nog niks aan de hand. Dit soort ketenbeveiliging is alleen mogelijk met een integraal securitybeleid.”


“Ketenbeveiliging is alleen mogelijk met een integraal securitybeleid”

Ontbijtsessies
30 31 32 33 en 34 Pieter Lacroix Sophos 3
Sophos organiseerde dit voorjaar ontbijtsessies in vier steden om klanten en partners te informeren over die komende Europese privacyverordering. Aanleiding hiervoor is de geringe kennis hierover, zo geeft Lacroix aan. “Ik was vorig najaar op de beurs Info Security en vroeg aan een groep van zo’n honderd IT-security mensen of ze op de hoogte waren van de toekomstige EU- wetgeving. Slechts drie mensen staken hun hand op. Dat is toch opmerkelijk. Ons doel met de ontbijtsessies was dan ook om de kennis en bewustwording over deze wetgeving te vergroten. Want als securityvendor is het onze verantwoordelijkheid om klanten en partners hierover te informeren. Daarnaast zie ik het als onze verantwoordelijkheid oplossingen te ontwikkelen die de noodzakelijkheid van die bewustwording vermindert. Daarmee bedoel ik dat we integrale IT-oplossingen willen leveren waarmee onze klanten hun medewerkers heel makkelijk veilig kunnen laten werken. Die medewerkers zijn voor de security dan niet alleen meer afhankelijk van onze bewustwordingstrainingen. Want medewerkers kiezen hoe dan ook voor de makkelijkste weg. Wij maken die makkelijkste weg veilig.” Dat Sophos die belofte kan waarmaken, blijkt ook uit de waardering die het bedrijf krijgt van klanten en van grote IT-onderzoeksbureaus als Gartner en Forrester. “We hebben objectief gezien de beste oplossing in de  IT-markt”, zegt Lacroix. “We zijn al jaren koploper in het zogenaamde Magic Quadrant van Gartner. En in een recent verschenen rapport noemt Forrester ons de koploper in de markt van dataprotectie. Als anderen dit zeggen, klinkt dat gelukkig minder arrogant dan wanneer je dat zelf zegt”, grapt Lacroix.

Guilty until proven innocent
Misschien wel het meest verstrekkende onderdeel van de Europese wetgeving is dat bedrijven schuldig zijn totdat het tegendeel is bewezen. “Met andere woorden, je bent guilty until proven innocent”, zegt Lacroix.”Dat is nogal wat want dat gaat lijnrecht in tegen het principe dat je onschuldig bent tenzij het tegendeel bewezen is. Je moet als bedrijf straks dus gewoon hard kunnen aantonen dat je passende beveiligingsmaatregelen hebt genomen. Laten zien dat je een securityapplicatie hebt aangeschaft is niet voldoende.” Lacroix illustreert de impact hiervan met een voorbeeld. “Stel je bent IT-security medewerker en op een dag staat je collega Jan bij jou aan het bureau. Hij zegt dat zijn tas met zijn laptop, smartphone en usb-stick is gestolen. Kun jij dan bewijzen dat al die zaken beveiligd waren en er dus geen datalek kan zijn? Is er een rapport waarin staat dat de informatie op al die dragers beveiligd was? Dit kunnen wij voor onze klanten regelen. We versleutelenn informatie zo dat zelfs wanneer een laptop, usb-stick of andere informatiedrager wordt gestolen, dieven niets met die informatie kunnen. Dat kan omdat we security integraal benaderen, want je kunt als bedrijf wel een goede beveiliging voor bijvoorbeeld je laptop hebben, maar daar kijkt de wetgever niet naar. Die schrijft voor dat je alle informatie moet beveiligen, waar deze zich ook bevindt.”


“Je moet hard kunnen aantonen dat je passende beveiligingsmaatregelen hebt genomen”

De EU-wetgeving stelt ook dat bedrijven een duidelijk securitybeleid moeten hebben. Lacroix: “Dit beleid moet ook bij iedere medewerker bekend zijn. Dat lijkt misschien eenvoudig, maar dat is het niet. Bedrijven hebben op papier vaak wel een securitybeleid, maar veel medewerkers lezen het niet of handelen er niet naar. Daarom hebben ze een richtlijn of gedragscode voor security nodig die iedereen ook snapt.”

Compliance check
Het bedrijf dat straks de EU-wet aan zijn laars lapt, kan een forse boete tegemoet zien van vijf procent van de wereldwijde omzet of een bedrag van maximaal honderd miljoen Euro. Lacroix: “Veel bedrijven hebben een winstmarge van een paar procent. Dan betekent vijf procent van je omzet het einde van je bedrijf.” Bedrijven kunnen zich volgens Lacroix op verschillende manieren voorbereiden op de Algemene Verordening Gegevensbescherming, zoals de EU-wet officieel heet. “Ga niet die honderden pagina’s doorspitten. Wij hebben een aantal presentaties over die wetgeving gemaakt voor bedrijven. In onze brochures staat kort en bondig wat de impact van de wetgeving is. Of bedrijven kunnen een compliance check doen op onze website om te zien of ze klaar zijn voor de verordening. Als ze nog vragen hebben over de wetgeving, helpen we ze daar graag bij.”

Aanbevelingen Pieter Lacroix

  • Zorg voor een integrale aanpak van informatiebeveiliging
  • Neem passende maatregelen die voldoen aan de eisen uit de toekomsite EU-privacywetgeving
  • Zorg voor een goed securitybeleid dat voor iedere medewerker duidelijk is