Security heeft bij de financiële dienstverlener waar Bas Stevens werkt topprioriteit. In de sector draait immers alles om vertrouwen. Een datalek leidt, naast financiële consequenties, al snel tot ernstige reputatieschade. Quintor biedt ondersteuning om de organisatie op de best mogelijke manier te beschermen tegen mogelijke bedreigingen.

Meer dan 5 miljoen klanten telt de financiële dienstverlener. En ja, dat brengt verantwoordelijkheden met zich mee. Zeker voor het Security Office, het bedrijfsonderdeel dat moet zorgen voor een optimale informatieveiligheid. Want klanten moeten zich niet alleen veilig voelen bij het gebruik van de producten, maar ook moeten ze erop kunnen vertrouwen dat hun gegevens in veilige handen zijn.

Identificeren, reduceren en voorkomen
‘Het Security Office zorgt ervoor dat het beleid van ons op het gebied van security minimaal aan alle gestelde wet- en regelgeving voldoet’, zegt senior Security Officer Bas Stevens. ‘Zo houden we ons onder meer bezig met het uitvoeren van risk assessments en het leveren van diensten waar mensen binnen de organisatie, zoals de IT-teams, gebruik van kunnen maken. Denk aan tools voor netwerksegmentatie of aan scantools die tijdens het ontwikkelen van applicaties kunnen worden ingezet. We willen, kortom, proactief potentiële security risico’s in ons applicatielandschap identificeren, reduceren en voorkomen.’

In het najaar van 2022 werd hard gewerkt aan de roadmap voor 2023. Gaandeweg groeide het besef dat het Security Office de gestelde doelen niet alleen kon realiseren. Simpelweg omdat er nog een aantal verbetertrajecten nodig waren om adequaat te blijven inspelen op mogelijke bedreigingen. De teams werden volledig in beslag genomen door operationele zaken om de organisatie veilig te maken en te houden. Terwijl seniors zoals Bas veel tijd kwijt waren met het neerzetten van een strategie en het nemen en coördineren van tactische besluiten. Dus was er extra capaciteit nodig.

Zelfstandig en proactief
De zoektocht naar geschikte security engineers leidde uiteindelijk naar Quintor. Voor de financiële dienstverlener geen onbekende partij. Al jarenlang levert Quintor de onderneming naar volle tevredenheid vakinhoudelijk sterke professionals. ‘Mensen die ook nog eens uitstekend passen in onze cultuur’, onderstreept Bas. ‘Alleen: op het terrein van security hadden we Quintor tot dan toe nog niet ingeschakeld. Maar bij de introductie voelde het meteen al goed. We waren op zoek naar twee dynamische mensen die zelfstandig en proactief over security-vraagstukken kunnen nadenken en tegelijkertijd met de rest van de organisatie kunnen samenwerken. Want security kun je nooit in isolatie doen. Waar je ook aan werkt, je hebt altijd de context nodig van de business.

‘Mensen die ook nog eens uitstekend passen in onze cultuur’.

Tweeledige uitdaging
Kort daarna werd het team van het Security Office versterkt met Brian van Rheenen en Wouter van der Linde, twee security engineers van Quintor. Hun concrete opdracht: Help ons bij een aantal verbetertrajecten bij met name de implementatie en de monitoring. ‘De uitdaging was in de kern tweeledig’, licht Bas toe. ‘We hadden onvoldoende zicht op in welke mate welke software was gescand op kwetsbaarheden. En daarnaast: in hoeverre waren die kwetsbaarheden geadresseerd om naar productie te gaan? De scanningstools werden bijvoorbeeld niet overal even goed gebruikt. Dat zou kunnen betekenen dat sommige kwetsbaarheden al jarenlang aanwezig waren.’

Gewenste resultaten
Inmiddels zijn al flinke stappen gezet, met name in het stroomlijnen van de Secure Development Lifecycle SDLC). SDLC is een proces waarbij een aantal standaard stappen worden doorlopen om een applicatie, van ontwikkeling tot ingebruikname, veilig te bouwen.
‘Al snel was duidelijk dat de inbreng van Brian en Wouter voor ons van grote waarde is’, betoogt Bas. ‘Samen hebben ze ertoe bijgedragen dat de software waarvan wij het belangrijk dat vonden om gescand te worden ook daadwerkelijk wordt gescand met SAST, de belangrijkste en breedst geadopteerde scantool bij ons. SAST is een testmethode die de broncode tijdens de ontwikkeling van een applicatie op kwetsbaarheden analyseert. Mede dankzij Wouter en Brian hebben we volledig grip gekregen op de kwetsbaarheden. De scanning is nagenoeg helemaal op orde. Hetzelfde moet ook gebeuren met een viertal andere scantools. We verwachten dat daarbij dezelfde stappen moeten worden doorlopen. Met ongetwijfeld dezelfde gewenste resultaten.’

Development achtergrond
Bas was gewend dat externen in het geval van een escalatie of zaken waar ze tegenaan liepen meteen bij hem of een andere senior aanklopten. Hoe anders is dat bij de Quintorianen.
‘Brian en Wouter proberen het altijd eerst met het team op te lossen en zijn niet bang om in het diepe te springen’, zegt Bas. ‘Bovendien hebben ze, zoals alle Quintorianen, een gedegen development achtergrond. Niet onbelangrijk natuurlijk als je een organisatie op het terrein van security verder wilt brengen. Je moet heel goed snappen wat er onder developers leeft en speelt. Bij alles wat je doet moet je rekening houden met hun wensen en eisen. Wat ik enorm aan Quintor waardeer is dat ze op periodieke basis met jongens als Brian en Wouter in gesprek gaan. Hoe gaat het? Waar lopen jullie tegenaan? Kunnen wij jullie nog ergens mee helpen? Dergelijke sessies zijn onmisbaar om opdrachten tot een succes te maken. Dat is tot dusver ook wel gebleken.’