De AR-game Pokémon Go was een verrassende hit in 2016 en de smartphone-app haalde 800 miljoen installaties binnen. Die enorme schaal betekent ook een grote hoeveelheid persoonsgegevens voor de Pokémon Company International. Met de AVG in het achterhoofd is het snel duidelijk dat dit een compliance-nachtmerrie kan zijn.

Pokémon als cloudbedrijf

Het bedrijf is een multi-tenant AWS-gebruiker en de platforms bevatten informatie als geolocatie, geboortedata en e-mailadressen, alsmede inlogmethodes als die van Google. Om te reageren op compliance-issues is John Visneski als hoofd informatiebeveiliging in dienst bij de Pokemon Company aan de slag gegaan met cloud-native machine data-analyticsbedrijf Sumo Logic.

De Pokémon Company International beheert de franchise in een heleboel landen in het Westen en zag AVG en soortgelijke privacywetgeving als een kans om de securityteams te versterken. De organisatie heeft groots ingezet op de ontwikkeling als techbedrijf en draait zoveel mogelijk workloads in de cloud en richt zich op moderne DevOps-praktijken.

Beginnen met beveiligingsfocus

Visneski was voorheen in dienst bij het Pentagon en heeft een beveiligingsachtergrond bij Amerikaanse overheidsdiensten inclusief de NSA. Hij legt uit dat de hele infrastructuur op Amazons servers is gebouwd. De afgelopen jaren zette het bedrijf een DevOps-afdeling in, werd het privacyteam versterkt, online diensten verbeterd en Visneski stelde een informatiebeveiligingsteam samen.

Daarvoor werd beveiliging ad-hoc meegenomen door de developers. "De mensen deden hun best en werkten met AWS omdat AWS een paar heel slimme mensen in de beveiligingssector heeft", zegt Visneski. "Maar het idee was dat we een echte informatiebeveiligingsafdeling maakten met een visie en strategie. Alles van onze beveiligingsarchitectuur, tot het werven van een team, aansluiten bij nieuwe leveranciers, zoeken door verschillende mogelijkheden en toolsets, en het uitbouwen van strategie maakt ons goed in cloudbeveiliging."

Privacy én security in één

Net voordat de AVG van kracht werd, werd Visneski aangesteld als de in de AVG vereiste functionaris gegevensbeschermer van het bedrijf en hij denkt dat er een kritiek noodzakelijk belang is voor bedrijven om hun privacy- en beveiligingsmiddelen samen te laten komen. In zijn ervaring gaat er iets verloren tussen de twee als beveiligingsmensen problemen in non-technische termen proberen te bespreken, terwijl privacyteams een juridische taal spreken. Vandaar de hulp van Sumo Logic om deze eilandjes te verbinden.

"We hebben allemaal fantastische tools, waarschuwingen en meer, maar hoe gaan we om met visibility van de data: het overzicht van waar welke gegevens staan?", vraagt hij zich af. "Hoe aggregeren we logs, hoe gebruiken we tools zodanig dat we goed kunnen automatiseren? Zodat de mensen die erbij zijn betrokken, onze beveiligingsanalisten, zich kunnen concentreren op wat belangrijk is: het leveren van context bij deze situaties."

Personeel was enthousiast over hoe goed Sumo Logic integreerde in de bestaande omgeving en ze waren vooral aangenaam verrast over de visibility die ze kregen. Ze kozen ervoor de beveiligingsinformatie en eventmanagement erbij te betrekken en ze zijn van plan samen te werken met de leverancier om een nieuw Security Operations Center te bouwen.

Nieuw soort relatie met leveranciers

Volgens Visneski is deze samenwerking illustratief voor de nieuwe aanpak van een bedrijf als Sumo Logic, waarbij de oude klant-vendor relatie verandert naar eentje die voor beide partijen interessant is, omdat ze beiden geïnvesteerd zijn in elkaars succes. "Ik denk dat die relatie tussen leveranciers en gebruikers het afgelopen decennium is geëvolueerd. In het verleden ging een klant met een goed budget naar een bedrijf en zei het: zoveel geld willen we uitgeven", aldus Visneski.

"Geef me alles, zorg voor de beste ontwikkelaars, vragen om features die niet bestaan, buiten de scope liggen of onmogelijk zijn... Die relatie is volgens mij veranderd en het gaat steeds meer om strategische substantiële bedrijfsrelaties waarin een klant als ik alleen zaken wil doen met een leverancier die er zelf bij gebaat is dat ik succes heb."

"Aan de andere kant hoop ik dat een leverancier als Sumo Logic andersom alleen zaken wil doen met klanten die geïnvesteerd zijn in diens succes. Als je zo'n aanpak kiest, vooral als je kijkt naar kernelementen van je beveiligingsprogramma, en je de transparantie omarmt die je wederzijds nodig hebt, verbeter je je securityhouding", denkt Visneski. Hij voegt daaraan toe dat het helpt als de twee bedrijven elkaars roadmap begrijpen om samen succes te hebben.

Integrators voor overzicht

Die samenwerking heeft ook voordelen opgeleverd voor bedrijfsafdelingen buiten het beveiligingsteam om, zodat personeel bij financiën en DevOps ook de visibility van gegevens in complexe omgevingen op de radar staat. "We hebben deze groei buiten de security-afdelingen gezien en onze teams zijn eigenlijk de integrators en dat geeft ons dat overzicht. Als een beveiligingsincident zich voltrekt, krijg je misschien geen melding door de primaire toolset. We gebruiken Crowdstrike, maar de waarschuwing komt niet per se door Crowdstrike, maar bijvoorbeeld via een ticket van de klantenservice."

Omdat we met Sumo al deze datafeeds integreren in niet alleen de IT-tools maar ook andere afdelingen, zien we indicatoren van de hele omgeving die enorm waardevol zijn als er een incident is", zegt Visneski. "Dat geldt ook voor onze DevOps'ers, onze netwerkbeheerders, om te kijken of er indicatoren zijn die niet zouden worden opgemerkt door onze toolset. Omdat we Sumo zo breed hebben uitgerold, is iedereen gebaat bij het goed presteren van alle verbonden componenten."