Telenet biedt niet alleen beveiligingsproducten als Check Point en Palo Alto Networks aan, maar gebruikt ze ook zelf. Bart Colson, VP IT Operations en Eric De Smedt, Manager Cyber Security, over hun aanpak.

“De implementatie van beveiliging is een IT-aangelegenheid, maar verder is security toch in de eerste plaats een businesskwestie”, benadrukt Eric De Smedt. “Beveiliging begint met de businessrisico’s in kaart te brengen, te beginnen met de grootste risico’s. De security policy die daar op het hoogste niveau uit voortvloeit, is een management policy waar je op IT-vlak nog niet veel mee kunt doen. Je gaat hem aanbieden aan de verschillende domeinen in je organisatie en hem zo verder uitwerken in de vorm van vereisten. Daarna ga je controlenormen vastleggen en bepalen hoe je policy compliance gaat controleren. Verder moet je natuurlijk voortdurend je omgeving testen, bijvoorbeeld aan de hand van vulnerability scans.”

Operations, de afdeling van Bart Colson, vertaalt de policies en richtlijnen van Cyber Security in technische oplossingen. “We hebben vorig jaar onze infrastructuur globaal herbekeken en Palo Alto Networks geïmplementeerd. Onze hele user community, zo’n 3000 gebruikers, is heel enthousiast over de migratie naar het nieuwe systeem. Vroeger moest je bijna een universitair diploma hebben om een veilige VPN-verbinding op te zetten. Nu gebeurt dat voor onze gebruikers seamless in de achtergrond, of je nu van thuis werkt, in een hotel of op kantoor. Valt je pc in sleepmodus, dan ben je nadien toch weer direct vertrokken. Achter dat gebruiksgemak en de transparante omschakeling naar Palo Alto Networks, zit wel heel veel werk in de back-office. Je moet een systeem als Palo Alto Networks zorgvuldig configureren, en daar komt heel wat bij kijken.”

Bart Colson: “Dankzij Palo Alto Networks hebben we nu een duidelijker beeld van wie wat doet. We beheren niet alleen meer de rechten van een gebruiker. We kunnen nu bijvoorbeeld vroegtijdig problemen aanpakken omdat het systeem zelf abnormaal gedrag gaat signaleren. En daarvoor moeten we niet eerst zelf gaan bepalen wat ‘abnormaal’ is. Het systeem doet dat in onze plaats. Dat is heel belangrijk, want er komt vandaag zoveel op ons af dat het onmogelijk is om alle gevaren vooraf te definiëren en in te schatten. Als er iets gebeurt, weten we dat nu onmiddellijk en kunnen we onmiddellijk ingrijpen.”

Eric De Smedt: “Veiligheid is voor ons uiterst belangrijk. Wij volgen de internationale norm ISO 27001/2 en moeten, als beursgenoteerd bedrijf met Amerikaanse hoofdaandeelhouder, ook voldoen aan de Amerikaanse SOX-reglementering. Maar ook als je niet aan die strenge normen wilt of kunt voldoen, kan je nog altijd onze stapsgewijze benadering volgen. Zet eerst de strategie uit en kijk dan naar oplossingen. Vergeet ook niet dat een complexe omgeving moeilijker te beveiligen valt. Complexiteit reduceren is altijd een goede zaak.”