Loyaliteitscampagnes van BrandLoyalty
Wie ooit bij een supermarkt heeft gespaard voor glazen, ovenschalen of besteksets heeft al eens kennis gemaakt met BrandLoyalty. “We ontwikkelen loyaliteitscampagnes voor de foodretail,” vertelt Ben de Laat, Head of IT Security bij BrandLoyalty “Dit doen we wereldwijd”.
BrandLoyalty werkt de campagnes uit van spaarkaarten tot pannenset: “Kenmerkend is dat we hoogwaardige producten in de markt zetten. We willen dat je er écht jaren plezier van hebt. Niet dat je een pan op het vuur zet en je er vervolgens al niks meer aan hebt.”
De organisatie is niet alleen werkzaam binnen Nederland, maar werkt op grote schaal: “Het is een global loyalty provider met kantoren in 16 landen, waarvan het hoofdkantoor in Den Bosch staat. Van daaruit worden alle generieke diensten aan de regionale kantoren geleverd, zo ook IT & IT Security.”
IT & IT Security bij BrandLoyalty
“Onze IT-afdeling heeft security jarenlang als algemeen onderdeel van de verantwoordelijkheden gehad. De vragen en eisen vanuit klanten en autoriteiten werden alleen steeds complexer en belangrijker.” vertelt De Laat “Vanuit die drijfveer hebben we toen besloten dat security permanent vertegenwoordigd moest binnen de organisatie.”
Een Shift Left aanpak volgde: eerst de security uitwerken, dan pas iets bouwen of inrichten.Binnen BrandLoyalty is het de uitdaging cyber security zo werkbaar mogelijk te maken. Dat het de organisatie dient, in plaats van hindert. Daardoor komen volgens de Laat vragen als “Met welke risico’s kunnen we leven en welke niet?” geregeld aan bod. Zijn loep ligt niet alleen op de techniek, maar – vooral – op de mens die erin werkt, de klanten én consumenten.
“Voor mij is samenwerking heel erg belangrijk. Mensen de gelegenheid geven om ownership te creëren voor de dingen die ze doen. Dus ook binnen het securitydomein.” Dat doet De Laat onder andere door “Medewerkers iets te leren over security en daar de tools en capability voor geven.”
“Onze visie past bij IP4Sure. Daarin hebben we common ground gevonden.”
De cyber security vraag aan IP4Sure
BrandLoyalty vond het verstandig meer te gaan rapporteren en de stand van security voortaan meetbaar te maken. “Ik had wel het een en ander aan tools van onze Amerikaanse moederorganisatie.” Toch wilde het team hierin liever zoveel mogelijk autonoom blijven. De vraag was dus: welke tool past bij BrandLoyalty’s behoefte de staat van hun cyber security te meten én te rapporteren?
Gestandaardiseerde oplossingen, begrijpelijk voor engineers en een uitstekend trackrecord waren belangrijke criteria voor de tool en leverancier selecties die we moeten doen. De Laat: “Als een engineer niet begrijpt wat hij moet doen met de output van welke tool dan ook dan heb je de verkeerde tool gekozen!”
Eén keer en dan niet meer
De Laat: “Daarbovenop willen we nooit dingen twee keer doen. Elke keer wanneer ik iets op probeer te zetten, vraag ik: wat proberen we nou écht te tackelen? En: hoe kunnen we dat in één keer beetpakken? Het liefst geautomatiseerd? Dit zodat we over een half jaar niet weer hetzelfde vraagstuk of probleem voor ons hebben liggen. Met een klein team moet je slim zijn, automation is dan dé manier om zaken maar één keer in je handen te pakken.”
Waarom IP4Sure?
“Ik vind IP4sure lekker kort op de bal spelend. Het is echt een no-nonsense club: ze werken fijn en pragmatisch. Stap voor stap échte resultaten boeken. Je wil tenslotte tools hebben die meaningful zijn. Waar ik een hekel aan heb zijn dingen die onnodig heel complex zijn, eindeloos duren om te integreren, en waar uiteindelijk alsnog niemand van snapt wat het doet.” Dat wollige is precies waar IP4Sure ver vandaan blijft: cyber security is tenslotte al ingewikkeld genoeg van zichzelf.
De gekozen tools
InsightVM en InsightIDR van Rapid7 bleken het beste aan te sluiten bij de securitybehoeften van BrandLoyalty. In het kort is InsightVM een Vulnerability Management tool die helpt effectief kwetsbaarheden te identificeren. InsightIDR is een XDR & SIEM-oplossing die IP4Sure inzet voor de SOC-service. De tool helpt te monitoren op verdachte activiteiten.
De samenwerking: InsightVM
“Voor beide producten zag de samenwerking er heel anders uit.” vertelt De Laat “We zijn als eerst begonnen met het inrichten van InsightVM”. IP4Sure heeft mandaat gekregen om alles te installeren en De Laat controleerde of alles naar wens was. IP4Sure hielp bij het leveren, configureren en inrichten. “Vervolgens was het onze teams om de kwetsbaarheden op te lossen.”
De Laat: “Buiten wat advies van IP4Sure bedruipt zich dat zelf eigenlijk wel goed. Daar hebben we weinig hulp bij nodig.” Het team van De Laat heeft enorm mooi werk neergezet als het gaat om het gebruik van InsightVM. Het verkrijgen van inzicht is één ding, maar de kwetsbaarheden die bovenwater komen efficiënt en effectief oplossen is een tweede.
De aanpak van BrandLoyalty: een schoolvoorbeeld
BrandLoyalty gebruikt InsightVM precies volgens het boekje. Ze halen écht het onderste uit de kan. “Er kwam eerst een stortvloed aan inzichten binnen. Iedereen was aan het zuchten en steunen door al het werk dat er ‘ineens’ lag.” vertelt De Laat. Al die kwetsbaarheden waren natuurlijk altijd al aanwezig, alleen nu de kop uit het zand getrokken was, leek er ineens veel werk te liggen (tastbaar?).
“Ik zei: jongens, we gaan beginnen bij de kwetsbaarheden met het hoogste risico.” vervolgt De Laat. Risico gebaseerd werken dus. “Maar wederom: ik wil hier maar één keer mee bezig zijn en dan niet meer. Dus wanneer blijkt dat het patchen van Windows niet periodiek gebeurt, dan moet dat voortaan geautomatiseerd”. Dat heeft voorkomen dat engineers een hoop terugkerend werk bleven houden.
Inzicht maakt secure
Aan het begin was het even slikken en omschakelen “Maar toen het team eenmaal de nieuwe mindset had, ging alles steeds sneller. Voor je het weet ben je door 80% van de kwetsbaarheden heen.”. Inmiddels heeft BrandLoyalty zelfs 95% weggewerkt.
Het is aan het begin even extra werk, maar als dat is weggewerkt gaat het enkel nog om kleine dingen om te verhelpen. De meest kritieke risico’s waren dankzij het risico gebaseerd werken als eerste opgelost. Die hadden tenslotte hoogste prioriteit. En de algehele security? Die is een heel stuk beter dan voordat er inzicht was!
De samenwerking: InsightIDR/SOC
Dan nog InsightIDR: “We hebben dit volledig uitbesteed aan IP4Sure.” vertelt De Laat. Hij is erg enthousiast over deze SIEM-oplossing. “Mijn ervaring is dat de informatie die eruit komt concreet is. We hebben de SOC-dienst van IP4Sure afgenomen zodat zij het laatste kaf van het koren scheiden”. Geen false positives voor BrandLoyalty dus.
De SOC-dienst helpt BrandLoyalty met het monitoren, het oppakken van de incidenten en het rapporteren ervan. Uiteraard moest ook hier het een en ander geautomatiseerd: “We willen graag maar 1 keer zaken aanpakken waar dat kan en snel tot de kern van het probleem komen, IDR helpt ons daarbij.”
“Wanneer er follow-up nodig is door BrandLoyalty, willen we dat het meteen in ons ticket systeem terecht komt. En dat als onze engineers erop reageren, dat het meteen terug komt bij IP4Sure. Zodat IP4Sure kan oordelen of het correct is afgehandeld. Per slot van rekening zijn zij de security specialisten, niet de engineers in ons team”. De Laat vervolgt: “Die feedbackloop – het vier ogen principe – is continu nodig om dat lerend vermogen in stand te houden.”
Precies weten wat er speelt
Er gebeurt ontzettend veel binnen een netwerk. Normaal blijven die incidenten en kwetsbaarheden onder de radar. Meer inzicht betekent daarom meteen véél meer incidenten De Laat wil die incidenten zelf niet uitpluizen: dat was zijn voornaamste reden te kiezen voor de IP4Sure SOC. Ontzorging is inmiddels een versleten woord, maar het is wel precies de meerwaarde van een SIEM met SOC.
IP4Sure houdt de boel in de gaten en grijpt in waar nodig en mogelijk. Met de wetenschap dat security experts meekijken, kan het IT-team van De Laat zich volledig focussen op waar ze goed in zijn. Ondertussen hopen ze niet dat ze veilig zijn: dankzij alle monitoring weten ze het.
Nooit uitgepraat over security
De Laat raakt niet uitgepraat over security: die passie is goed te zien in zijn werk. BrandLoyalty is wat IT en cyber security enorm vooruitstrevend. Van de Shift Left aanpak tot risico gebaseerd werken: De Laat’s vernieuwende werkwijze geeft hem optimaal controle over BrandLoyalty’s data en systemen. De Laat: “Onze visie past bij IP4Sure. Daarin hebben we common ground gevonden.”
