Met de neuzen in dezelfde richting: waarom Visma ook een beveiligingsbedrijf is

De Noorse Visma-groep heeft honderden bedrijven onder z’n vleugels. Die moeten allemaal een zekere beveiligingsstandaard halen, maar mogen toch zichzelf blijven. Om dat te verwezenlijken, ontpopte Visma zich toch tot een beveiligingsspecialist, consultant en ondersteunende ouder voor al die bedrijven.

Visma is niet één bedrijf, maar een groep met meer dan tweehonderd IT-gerelateerde ondernemingen onder z’n vleugels. Overnames zijn een cruciale strategie voor de van oorsprong Noorse groep, die investeert in bedrijven van divers formaat. In ons land werd de scale-up Beeple bijvoorbeeld ingelijfd, maar ook de grotere CRM-specialist Teamleader. Ondernemingen kunnen traditioneel best zelfstandig blijven functioneren, maar moederbedrijf Visma eist wel dat bepaalde standaarden gehaald worden. Wat beveiliging betreft, komt daar heel wat bij kijken.

Common criteria

“We kopen ongeveer één bedrijf per week”, bevestigt Espen Johansen, Chief Security Officer voor de Visma-groep wereldwijd. “Hoe zorg je ervoor dat die bedrijven er adequate beveiligingspraktijken op nahouden?” Visma kiest in die context voor een begeleidende aanpak, waarbij bedrijven bepaalde standaarden moeten behalen. “Je kan de aanpak losjes vergelijken met common criteria”, zegt Espen.

lees ook

Teamleader overgenomen door Noorse Visma

Wat bedrijven precies moeten doen, hangt af van hun maturiteit, businessmodel en de sector waarin ze actief zijn. Wie een kritiek cloudproduct levert, moet vanzelfsprekend sneller applicaties patchen bij een beveiligingsprobleem dan een bedrijf dat software on-premises bij klanten onderhoudt. Over het algemeen moeten bedrijven onder de Visma-vleugels wel specifieke beveiligingsstandaarden halen, waarbij snel patchen een belangrijke rol speelt.

Speels naar maturiteit

Voor Visma-bedrijven in de Benelux is het de verantwoordelijkheid van Cindy Wubben als CISO om daarop toe te zien. “Het is onze job om bedrijven naar een hoger maturiteitsniveau te tillen”, geeft ze aan. Om dat te bereiken, heeft Visma een reeks van programma’s uitgewerkt die acquisities moeten volgen.

Wubben: “Wanneer we een bedrijf kopen, maken we het een onderdeel van ons beveiligingsprogramma. We helpen bij de onboarding en tonen hen wat ze moeten implementeren. Via gamificatie en een overzichtelijk dashboard worden ze aangemoedigd om snel vooruitgang te boeken.”

Visma voorziet eigen tooling waarmee bijvoorbeeld kwetsbaarheden in het oog worden gehouden, maar er bestaat geen universele set van hard- of software die bedrijven moeten omarmen. “Ze kunnen hun eigen systemen blijven gebruiken”, aldus Wubben. “We helpen hen om beter te worden waar dat nodig is”, vervolgt Johansen. “Maar andersom kunnen we soms ook epische dingen leren van nieuwe bedrijven onder onze paraplu.”

Van mama en papa naar raad van bestuur

Visma heeft meer dan 600 producten in zijn portfolio. “Per team is minstens één persoon verantwoordelijk voor beveiliging”, aldus Johansen. “Los daarvan hebben we nogeens zo’n 85 mensen zoals Cindy en ikzelf die zich bezighouden met beveiliging.” Johansen en Wubben stellen zich naar eigen zeggen in eerste instantie op als zorgzame ouders. Ze helpen bedrijven op weg naar maturiteit, maar laten hen wel beslissen voor zichzelf. “En wanneer het echt moeilijk wordt, is het goed om een ouder in de buurt te hebben”, lacht Wubben.

Wanneer het echt moeilijk wordt, is het goed om een ouder in de buurt te hebben”

Cindy Wubben, CISO Visma Benelux

Er zijn natuurlijk beperkingen aan de vader- en moederlijke liefde. Johansen: “We kunnen snel van lieve papa of mama naar lid van de raad van bestuur veranderen. Beveiligingsparameters houden we in het oog met KPI’s en die zijn even belangrijk als financiële resultaten. Als een dienst van een bedrijf niet aan de standaarden voldoet, dan moet de manager dat komen uitleggen.”

Data eerst

Beveiliging binnen de Visma-groep wordt door data gedreven. Voor alle diensten verzamelt het bedrijf gegevens over kwetsbaarheden en de status ervan. Duidelijke dashboards geven aan welke diensten in orde zijn, en waar problemen bestaan. Geraakt een lek ergens niet tijdig gedicht, dan is dat groot en rood zichtbaar binnen de Visma-organisatie.

Voor nieuwe bedrijven is het niet altijd eenvoudig om hun systemen aan de back-end van Visma te koppelen. Wubben: “Zij moeten ons systeem natuurlijk implementeren. Doorgaans duurt dat enkele maanden, maar soms kan het ook langer duren als er veel legacy-systemen in het spel zijn. Uitzonderlijk moet een product zelfs opnieuw opgebouwd worden om aan de juiste standaarden te voldoen.”

Wubben wijst erop dat alle Visma-bedrijven duidelijk zien wat van hen verwacht wordt, en dat ze waar nodig hulp krijgen in hun eigen taal. Daarmee bedoelt ze niet Nederlands of Noors: “Onze beveiligingsprogramma’s zijn gebouwd door IT’ers, voor IT’ers.”

Als een soort beveiligingsconsultants helpen Wubben en Johansen bedrijven in de Visma-groep dus op weg naar adequate maturiteit. Daarbij kunnen bedrijven zelf hun tooling kiezen, al moeten ze hun omgeving wel integreren in het overkoepelende systeem van Visma dat instaat voor monitoring en opvolging van beveiligingsproblemen. Die datagedreven aanpak maakt security-KPI’s mogelijk.

Schaalvoordeel met een SOC

Daar eindigt de rol van Visma niet. Bedrijven die willen, kunnen immers intekenen op de SOC van Visma. Zo’n Security Operations Center, waarbij de IT-omgeving van een onderneming in realtime in het oog wordt gehouden, is praktisch niet te implementeren voor een enkele kmo. De Visma-groep zet zijn schaalvoordeel echter in om zelf een SOC als een soort van dienst te bieden. Wubben wijst erop dat ook dat niet verplicht is, al is het wel een buitenkans voor gekochte bedrijven.

Bug bounty én pentests

Werkt die beveiligingsaanpak? Visma is liefst zeker. Daarom omarmt de groep zowel een bug bounty-programma als penetratietests. Pentests zijn de voorlaatste laag van verdediging. Daarbij gaan hackers zelf opzoek naar lekken in oplossingen, diensten of de infrastructuur van de Visma-groep en zijn bedrijven. Maar pentests alleen volstaan niet volgens Johansen. “Zo’n test peilt niet alleen naar het niveau van de beveiliging, maar eigenlijk ook de skills van de testers”, merkt hij op. Die zullen per definitie niet vinden wat ze niet kunnen vinden.

lees ook

Je cybersecurity versterken? Schakel ethische hackers in.

Als laatste lijn in de verdediging van Visma is er daarom het bug bounty-programma. Visma nodigt hackers met een wit hoedje op om naar believen te proberen digitaal binnen te breken. Wie iets vindt en dat verantwoord doorgeeft, wordt daarvoor vergoed en komt in een hall of fame terecht. Dat is niet gratis, al valt de kost van het programma best mee. Vinden hackers een bug, dan krijgen ze een vergoeding als bedankje. Johansen: “Voor diensten die alles op orde hebben, zal het bug bounty-programma misschien duizend euro kosten. Wanneer we een dienst om een bepaalde reden iets sneller uitrollen, kan de kost wat naar omhoog gaan.”

Threat intelligence

Visma wacht natuurlijk niet tot hackers iets vinden alvorens actie te ondernemen. De schaal van de groep stelt het bedrijf in staat om de rol van een echte beveiligingsspecialist op zich te nemen. “We hebben een globale aanwezigheid met sensoren op vele plaatsen”, verduidelijkt Johansen. “We proberen steeds om nieuwe bedreigingen tegen onze bedrijven te ontdekken en te begrijpen.” Zo heeft Visma zijn eigen vorm van threat intelligence die de groep tegen geavanceerde aanvallen beschermt. “Bovendien zijn we zo op de hoogte wanneer bijvoorbeeld bepaalde gegevens op het dark web verkocht worden”, voegt Johansen toe.

Dat alles geeft Wubben en Johansen vertrouwen. “Ik denk dat het heel moeilijk is om een succesvolle aanval uit te voeren op een Visma-bedrijf”, zegt Johansen. Dat is belangrijk, aangezien de bedrijven van Visma een cruciale rol spelen in de beveiliging van hun klanten. Wie bij Visma binnengeraakt, kan in theorie wereldwijd heel wat schade aanrichten. De kracht van zogenaamde Supply chain-aanvallen is sinds SolarWinds en Kaseya wel pijnlijk duidelijk geworden. “Lang voor die aanvallen plaatsvonden, hebben wij ons al tegen dat type hack gewapend”, weet Johansen. “De enige manier om zoiets te doen, is volgens mij met insiders die hier al heel lang aan de slag zijn.”

Dat beveiliging een echte prioriteit is, lijkt Visma goed te begrijpen. Met data, dashboards, KPI’s, een eigen SOC, pentests en een bug bounty-programma proberen Johansen en Wubben niets aan het toeval over te laten. Zo ontpopt Visma zich tot meer dan een koepelgroep voor bedrijven. Met de hele strategie in het achterhoofd, wordt Visma een soort beveiligings-keurmerk.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.