AXIANS helpt Ahold op weg naar betere controle over interne IT-processen

Net Report beschermt retailer tegen beveiligingsrisico’s van binnenuit

Ahold is een internationale keten van kwaliteitssupermarkten en foodservicebedrijven in Europa en in de Verenigde Staten. Via haar sterke lokale merken stelt het bedrijf overal haar klanten centraal. Wereldwijd heeft Ahold 262.000 werknemers en behaalde de keten in 2005 een netto-omzet van bijna 45 miljard euro. Voor een bedrijf van een dergelijke omvang is het van vitaal belang om interne IT processen op orde te krijgen, zodat beveiligingsrisico’s kunnen worden verkleind, en de controle kan worden vergroot. Netwerkspecialist AXIANS hielp de retailer hierbij.

Ahold
De geschiedenis van Ahold is terug te voeren tot het Zaandam van 1887. Albert Heijn neemt in dat jaar de 12 vierkante meter grote kruidenierswinkel van zijn vader over. In de tien daarop volgende jaren opent Heijn nog 23 winkels in Alkmaar, Amsterdam en Den Haag. In 1948 krijgt Albert Heijn een notering aan de Amsterdamse beurs. Om de groei in binnen- en buitenland te bestendigen, wordt in 1973 Ahold NV opgericht. Slijterijketen Alberto en drogisterijketen ETOS zijn Ahold’s eerste speciaalzaken.

In 1977 zet Ahold voor het eerst voet op de Amerikaanse markt door de acquisitie van BI-LO, een keten met winkels in Georgia en Carolina. Na verdere overnames in Amerika, krijgt het bedrijf in 1993 ook een notering aan de New York Stock Exchange. 
In de jaren daaropvolgend breidt Ahold uit met overnames en samenwerking in Centraal Europa, Spanje, Scandinavië, Azië en Zuid-Amerika.

Sarbanes-Oxley
Zoals bij alle organisaties met een notering aan de Amerikaanse beurs, heeft ook Ahold te maken met eisen van de Sarbanes-Oxley Act. Volgens deze wet moet Ahold kunnen aantonen hoe financiële rapportage tot stand komt. Daarvoor dient de financiële afdeling aantoonbaar in controle te zijn over processen en informatie. Dit betekent dat de systemen binnen Ahold geschikt moeten zijn om de interne controleprocessen inzichtelijk te maken voor auditing en controle van buitenaf. “Om zekerheid te kunnen bieden over de vertrouwelijkheid, integriteit en beschikbaarheid van informatie, wilden we extra controles inbouwen”, aldus Jacco van Eerden, security officer bij Albert Heijn. Zijn functie valt onder de afdeling ‘Control & Accounting Support’, een afdeling die verantwoordelijk is voor de administratieve organisatie, interne controle en informatiebeveiliging. “We zochten een manier om ons te beschermen tegen bedreigingen van binnenuit. Privileged users bijvoorbeeld hebben genoeg rechten om enorm veel handelingen te verrichten die onopgemerkt kunnen blijven.”

Albert Heijn liep daarbij tegen een aantal audit-kwesties aan waarvoor een oplossing moest worden gevonden. De eerste insteek was om op beperkte schaal activiteiten te gaan monitoren en op basis daarvan log-informatie te kunnen rapporteren. Hiervoor ging de stuurgroep Informatiebeveiliging op zoek naar een reporting tool die rapportages over afwijkende zaken binnen Windows kon genereren. Na het inventariseren van de informatiebehoeften, bleek dat de focus verruimd moest worden door de eisen op het gebied van compliance. Platformen als Oracle en Unix diende ook in scope genomen te worden. Omdat bepaalde controle maatregelen zijn geautomatiseerd (applicatie controles) dienen de ondersteunende IT processen eveneens ‘in controle’ te zijn.

Albert Heijn ging daarom op zoek naar oplossingen die hiervoor in aanmerking kwamen. Netwerkspecialist AXIANS was al met Albert Heijn in gesprek over verschillende security-vraagstukken. Tijdens deze gesprekken over security-risico’s op het netwerk kwam ook de auditkwestie naar voren. Door haar kennis van de markt en haar oog voor innovatieve oplossingen voor nieuwe problematiek kon AXIANS Albert Heijn ook bij het oplossen van dit vraagstuk adviseren.
AXIANS heeft eerst gekeken naar de wensen en behoeften van Albert Heijn. Albert Heijn zocht een oplossing om op een simpele manier en op beperkte schaal zonder al te hoge kosten inzicht te krijgen in de activiteiten van administrators en privileged users. Vanwege de veelzijdigheid, schaalbaarheid en flexibiliteit adviseerde AXIANS Net Report als oplossing om het systeem bij Albert Heijn in te richten. Net Report is een tool waarmee rapportages gemaakt kunnen worden op basis van logginginformatie. Door de veelzijdigheid van de tool, kan Albert Heijn deze in een later stadium ook voor andere security-vraagstukken inzetten.

Implementatie
Toen de keuze voor de oplossing definitief was, gingen Albert Heijn en AXIANS over tot de implementatiefase. Tijdens deze fase heeft Albert Heijn goed nagedacht over welke rapporten zij met Net Report wilde genereren. “Met de keuze van Net Report was in ieder geval de ‘hoe’-vraag ingevuld. Maar het belangrijkste gedeelte van het gehele traject was de invulling van het ‘wat’,” vertelt Arnout Kaaij, IT security manager bij Ahold.

Om vast te stellen over welke activiteiten log-informatie nodig is, is specialistische kennis vereist. Albert Heijn en AXIANS hadden deze kennis allebei niet in huis, dus Albert Heijn ging hiernaar op zoek in de markt. “De logging-markt is een jonge en nog onontgonnen markt. Vooralsnog zijn er geen standaardoplossingen aanwezig die aangeven wat er allemaal gelogd zou moeten worden”, stelt Van Eerden. “We zijn hiervoor bij KPMG uitgekomen. Zij hebben ons specialistische kennis gegeven over welke informatie gelogd zou moeten worden, en vervolgens hebben ze de vertaalslag naar de technische instellingen gemaakt.”

Van Eerden vervolgt: “In het kader van risicoanalyse hebben we een aantal gebieden vastgesteld waar meer beheersing nodig is. Vóór het implementeren moet je goed nadenken over wat je precies gemonitored wilt hebben en hoe je dat aanzet. Bovendien hebben de bestaande werkprocessen enorm veel invloed op de manier waarop de logging geregeld moet worden. Vraagstukken als ‘wat is een privileged user’ en ‘wie deelt binnen een Unix-omgeving allemaal in het root-password’ bepalen voor een groot deel mee hoe er gelogd wordt.”

Het heden en de toekomst
Uiteindelijk werd negentig tot vijfennegentig procent van de tijd in het implementatietraject besteed aan het vaststellen van de auditsettings binnen de verschillende bronsystemen. Net Report is nu geïmplementeerd binnen Oracle, Windows en Unix. Een parser vertaalt de unieke loginformatie uit de verschillende systemen naar een centrale en beveiligde logging database. Vervolgens maakt de tool hier een rapport van. De rapporten worden door een externe dienstverlener, met specialistische kennis op de diverse platformen, beoordeeld. Naar Albert Heijn worden management rapportages gestuurd over vastgestelde afwijkingen, alwaar de mogelijke risico’s in kaart worden gebracht en beoordeeld.

“We werken nu met twee verschillende rapportages. Op de eerste plaats de maandelijkse rapportages en op de tweede plaats rapportages over de overtredingen met een hoog beveiligingsrisico.” In veel gevallen zijn de rapporten nog zeer omvangrijk. De werkprocessen van de administrators houden in dat het overgrote deel van hun activiteiten geautoriseerd is. In de rapporten staat dan ook veel informatie over geautoriseerde activiteiten. “Idealiter krijgen we straks alleen nog maar rapporten met zaken waarop direct actie ondernomen moet worden. Als users ongeoorloofd aan bedrijfsgegevens hebben gezeten, dan moet samen met de data-eigenaar worden vastgesteld of verdere controle nodig is. Deze meldingen komen nu nog niet real-time, maar wellicht dat dit in de toekomst wel zo ingericht wordt.”

Over de samenwerking met AXIANS zegt Kaaij: “AXIANS heeft zich laten zien als een partner met veel inzicht in de markt en de bestaande oplossingen. Dankzij haar kennis en kunde hebben wij onze interne controleprocessen nu beter op de rit. Tijdens het gehele traject heeft AXIANS ons goed begeleid en geadviseerd.”