Referenties

Robeco: Met alle ontwikkelingen moet je omgeving wel op de juiste manier beveiligen

Het Nieuwe Werken, Bring Your Own Device, social media, de cloud... “Het zijn allemaal goede ontwikkelingen, maar dan moet je die omgevingen wel op de juiste manier beveiligen”, stelt Frank van der Spek, Group Security & Continuity Manager bij Robeco.

Van der Spek is ruim zeventien jaar in dienst van Robeco en heeft in die periode meerdere functies bekleed. “Ik ben begonnen als IT-beheerder en zag toen de behoefte ontstaan aan continuïteit en informatiebeveiliging”, vertelt Van der Spek. “Met een andere collega heb ik toen binnen IT een securityclub opgezet. Dat is langzaam gaan lopen en mondde uit in grote projecten. Dan moet je denken aan bijvoorbeeld het beschikbaar maken van de Disaster Recovery-plannen voor iedereen binnen het crisisteam van Robeco.”

“Medio 2005 ben ik begonnen om samen met de Rabobank een gezamenlijk informatiebeveiligingsbeleid op te stellen dat is gebaseerd op de best practices uit de standaarden ISO 27001/27002”, vervolgt Van der Spek. “Dat beleid evalueren we nog altijd samen met alle dochters van de Rabobank. Daarnaast hebben we samen met de Rabobank en kleine banken nog een overleg dat specifiek is gericht op Business Continuity Management. Dan zie je hoe andere banken hun bedrijfscontinuïteit hebben ingericht en dat is heel leerzaam.”

Zijn er dan grote verschillen in de benadering van Business Continuity Management?
Frank van der Spek: “Nee, dat valt wel mee. Meestal wordt gekozen voor een best-practice framework, in dit geval BS25999. Soms is de inrichting iets anders wat betreft blokken, definitie en inhoud, maar qua raamwerk is het allemaal hetzelfde. Je moet beginnen met ‘ken je bedrijf, ‘ken je business’ en ‘wat gebeurt er?’. En je moet weten wat je kritische omgevingen, processen en IT-systemen zijn. En wat je continuïteitsstrategie is. En je moet bepalen of je projecten of programma’s gaat draaien om maatregelen te implementeren. Na implementatie ga je weer verbeteren en komt alles weer terug. Informatiebeveiliging en ook business continuity is een continu proces. We doorlopen continu het proces van ‘plan-do-check-act’ waardoor we steeds verder verbeteren.”

Wat zijn binnen dat proces de verantwoordelijkheden van een ‘Security & Continuity Manager’?
“Het samen met de business schrijven, oefenen en testen van continuïteitsplannen behoort tot mijn dagelijkse werkzaamheden. Welke stappen moet ik ondernemen om na een calamiteit zo snel mogelijk weer ‘back in business’ te zijn? Dat zijn tegenwoordig simpele stappenplannen en geen dikke boekwerken meer. Aan de hand van een stappenplan weten de hoofden van diensten heel goed wat ze moeten doen. Daarnaast houd ik me bezig met het regelen van zaken als een dubbel rekencentrum, uitwijkwerkplekken en het opstellen van Disaster Recovery-plannen. Als Security & Continuity Manager heb ik bovendien heel veel contact met de business; ik moet weten wat er speelt, wat de business bezighoudt en wat de kritische processen zijn binnen de business. Binnen Robeco merk je dat business continuity het commitment heeft van het hoogste segment binnen het bedrijf. Vroeger was BCM nog een soort van verzekering, een papieren tijger. Dat is het al lang niet meer. Het moet er zijn en je moet er gebruik van kunnen maken. Be prepared!”

Robeco werkt op het gebied van databasebeveiliging samen met Motiv. Kunt u daar iets meer over vertellen?
Motiv heeft ons geholpen met scans en assessments op de databases en het implementeren van maatregelen om de databases zo goed mogelijk te beveiligen, beheren en beheersen. Wij huren de expertise van Motiv in om technische audits en checks te doen op onze databases. En als we met lastige vraagstukken zitten op het gebied van IT schakelen we Motiv in voor consultancy.

De beveiliging richt zich dus met name op de data...
“Inderdaad. De beveiliging van data is wat mij betreft echt een apart aandachtsgebied. Wij stellen de data centraal; per slot van rekening zijn dat data die gaan over onze klanten en de portefeuilles van onze klanten. Dat is ook de reden dat we heel veel maatregelen hebben genomen om onze databases te beveiligen. Het begint nu pas gemeengoed te worden dat databasebeveiliging interessant is. Kijk naar zaken als Bring Your Own Device en internetcriminaliteit, dan is het een gegeven dat je op de presentatielaag de bescherming niet meer kunt garanderen. Dan moet je naar de data zelf gaan kijken.”

Over Robeco

Robeco – opgericht in Rotterdam in 1929 als het Rotterdamsch Beleggings Consortium – biedt beleggingsproducten en -diensten voor institutionele en particuliere beleggers wereldwijd. De vermogensbeheerder heeft kantoren in Bahrein, Groot-China (continentaal China, Hongkong en Taiwan), Duitsland, Frankrijk, Japan, Korea, Luxemburg, Spanje, de Verenigde Staten en Zwitserland en een banklicentie in Nederland om rechtstreeks aan particuliere klanten te verkopen. Het hoofdkantoor staat nog altijd in Rotterdam. Het beheerd vermogen bedraagt circa 150 miljard euro (per 31 december 2010). Robeco is een dochter van de Rabobank Groep.

Deel dit klantverhaal!