Koninklijke Jaarbeurs in Utrecht heeft de afgelopen jaren de inrichting van de it-beveiliging aangescherpt. Daarbij gaat het om technische verbeteringen, meer outsourcing en extra aandacht voor bewustzijn onder medewerkers. Dat laatste is een voortdurend punt van aandacht, vertelde it-directeur Corine Bos van Jaarbeurs op de vakbeurs Cybersec Netherlands.
Jaarbeurs gaf als organisator ook acte de présence op deze eerste editie van Cybersec Netherlands. It-directeur Corine Bos praatte de toehoorders van haar sessie op 1 november bij over de cybersecurity-strategie van de beursorganisator. Het bedrijf heeft daarbij te maken met verschillende doelgroepen, zoals personeel, klanten, leveranciers, standbouwers en gemiddeld 2,3 miljoen bezoekers per jaar, en locaties (Beatrix-gebouw, de beurshallen, horeca).
De Covid-19-pandemie vormde de aanleiding voor een herziene strategie lichtte Bos toe. Veel activiteiten lagen zo’n beetje twee jaar stil en er vertrokken veel medewerkers. Na het einde van coronacrisis kwamen er juist veel nieuwe werknemers binnen. De Jaarbeurs koos er ook voor om meer in te zetten op digitalisering, ook in de beurshallen. Het applicatielandschap werd daardoor opgeschud. Bovendien bleek, nadat de beursactiviteiten waren opgestart en na een audit, dat de kwaliteit van de ict-beveiliging voor verbetering vatbaar was. Er speelde vooral een aantal kleinere issues. It-security is niet af te doen middels één aanpak maar bestaat uit allerlei elementen waar naar gekeken moet worden om een hoog niveau van ‘security maturity’ te behalen, aldus Bos.
Bewustzijn kweken
Kortom, allemaal aanleidingen om investeringen te verhogen, onder meer in endpoint- en netwerkbeveiliging, disaster recovery, databescherming, twee-factor-authenticatie en pentesten, én het bewustzijn over cybersecurity onder medewerkers te verhogen, legde de it-directeur uit. Met veel nieuwe personeelsleden aan boord is voorlichting over het gevoerde beleid sowieso noodzakelijk. Daarnaast blijft de menselijke factor een achilleshiel in de beveiliging. Het komt nog regelmatig voor dat medewerkers op een malafide link klikken. De Jaarbeurs probeert dit tegen te gaan door het organiseren van security awareness trainingen en phishing-simulaties. Op technisch vlak heeft het bedrijf extra e-mail-protectie van Barracuda Networks geïnstalleerd, bovenop de Microsoft-beveiligingslaag. ‘Die software bevat kunstmatige intelligentie die attachments scant buiten het e-mailprogramma om.’
Een ander besluit was om een deel van de it uit te besteden, zoals het datacenter dat eerst in huis draaide. ‘Jaarbeurs is geen klein bedrijf maar met 350 medewerkers ook niet zo groot dat het het gehele it- en security-beleid in huis kan oppakken en uitvoeren, aldus Bos. Bovendien kun je door uitbesteding profiteren van de kennis en kunde van experts. De komende tijd wil de it-directeur extra aandacht besteden aan governance. In 2024 wordt de optie van geofencing (waarmee de it-afdeling precies kan bepalen waar medewerkers toegang hebben tot bedrijfsmiddelen) nader bekeken.
Vuistregels
Bos besloot haar presentatie met vijf vuistregels voor een solide cybersecuritystrategie:
– onderwijs je medewerkers in security awareness;
– identificeer de (potentiële) risico’s voor je bedrijfssystemen en -data en beperk ze;
– stel regels en procedures op voor het beheren van bedrijfsgevoelige data;
– let op een afdoende netwerksecurity en access control;
– bewaak voortdurend de effectiviteit van de beveiliging en voer regelmatig evaluaties uit van het gevoerde securitybeleid.
Nieuw wifi-netwerk
Eerder dit jaar ging de Jaarbeurs in zee met netwerkspecialist Wentzo en Aruba (onderdeel van Hewlett Packard Enterprise) om een nieuw netwerk te realiseren voor Koninklijke Jaarbeurs. Vanwege de wens voor flexibiliteit en schaalbaarheid koos Jaarbeurs voor een network-as-a-service-oplossing voor zowel het hallencomplex als het Beatrixgebouw.
Het netwerk draait met het nieuwste Aruba-operating system (AOS 10), een centraal cloud managementplatform (Aruba Central) en accesspoints die fungeren als internet-of-things-platform en onder meer Zigbee en Bluetooth 5 ondersteunen. Het maakt het mogelijk om ‘indoor wayfinding’ (digitale bewegwijzering) in de hallen door te voeren.
Wentzo stemde zijn network-as-a-service-oplossing volledig af op het business model van Jaarbeurs. Zo kan de beursorganisator zijn abonnement (betaal naar gebruik) per hal of zaal pauzeren wanneer er geen events zijn. Verder is er een portal waarmee evenementenorganisatoren en standhouders vaste internetverbindingen kunnen afnemen, alsook de snelheid daarvan tijdens een evenement eenvoudig kunnen verhogen.
Het nieuwe wifi-netwerk biedt voldoende capaciteit voor ruim dertigduizend gelijktijdige gebruikers. Geïntegreerd DNS-, DHCP- en IP-adresmanagement (DDI) staat daarbij garant voor snelle netwerkresponstijden. De veiligheid van het netwerk wordt geborgd door een combinatie van firewalls, network access control (nac) en continue scans die toetsen of Jaarbeurs compliant is aan security-normeringen.