Innovatie en verbinding als kernpunten voor een gezond en veilig groeibedrijf

Jumbo heeft de afgelopen decennia een explosieve groei doorgemaakt. Hoe hou je een organisatie veilig waar elke maand nieuwe locaties en (IT) teams bij komen en waar met veel verschillende tooling wordt gewerkt? Tijdens de Tweakers Meet-up Privacy & Security 2022 ging security manager Chris Blommendaal hier dieper op in.

Privacy & Security raakt ons elk jaar meer en meer, in professioneel verband maar ook privé. Daarom blijft het enorm belangrijk om op de hoogte te blijven van de nieuwste trends en ontwikkelingen. De Tweakers Meet-up Privacy & Security 2022 vond plaats op 19 november, in Theater Gooiland in Hilversum. In drie keynotes en negen verschillende breakout-sessies werden bezoekers volledig ondergedompeld in het thema en leerden ze van de expertise van verschillende sprekers, waaronder Chris.

We spreken Chris na zijn talk nogmaals uitvoerig over dit onderwerp. Hij vertelt: “Er zullen weinig mensen zijn die Jumbo niet kennen. In de afgelopen twaalf jaar zijn we gegroeid van 174 naar 712 winkels en van 20.000 naar meer dan 100.000 medewerkers. Dat is geen normale groei, maar eerder vergelijkbaar met het ombouwen van een Cessna naar een Boeing. Niet op de grond, maar tijdens een vlucht.”

Chris is ooit begonnen als developer en heeft, voordat hij bij Jumbo startte, bij diverse internationale bedrijven verschillende security-rollen vervuld. Hij is samen met een team van vier personen verantwoordelijk voor de cybersecurity van de volledige Jumbo-organisatie. In zijn talk gaf hij aan hoe de groei die het bedrijf qua output doormaakt een hele andere manier van denken vereist aan de inputzijde. “Denk bij output aan alles wat van buitenaf zichtbaar is, zoals het aantal winkels of online bestellingen. Groei hierin heeft veel invloed op de inrichting van onze interne organisatie. Om een vergelijking te trekken: op vakantie met een gezin van vier is totaal anders dan wanneer je met tweehonderd mensen op pad gaat. Dit vergt aanpassingsvermogen, een ander soort logistiek en het continu blijven nadenken over schaalbaarheid.”

Chris vervolgt: “Naast een shift in de interne organisatie was het laten aansluiten van security bij de bedrijfscultuur een tweede belangrijke uitdaging. Iedereen vindt veilige software belangrijk, maar je ziet dat de manier waarop securitymaatregelen worden uitgerold, bepalend is. Te veel en te snel verandering vragen van een organisatie werkt niet en kan in het verkeerde keelgat schieten. Juist door de verbinding met stakeholders te blijven zoeken, uit te leggen waarom we maatregelen nemen en automatiseren, kunnen we teams in hun kracht zetten en hun werk laten doen. Security blijft ook mensenwerk.”

Van monolithische applicaties naar microservices

Voordat Chris in zijn talk uitweidde over Jumbo’s security-aanpak vertelde hij eerst meer over het grootste verschil in werkmethodes tussen nu en pakweg acht jaar geleden. “De grote e-commerce-applicaties die we voorheen gebruikten, pasten niet meer in onze organisatie. Het werd onmogelijk om met honderden developers aan één onderdeel tegelijk te werken. Daarom hebben we gekozen voor het ‘ontvlechten van de monoliet’ en hem op te delen in microservices. We werken nu met rond de zeventig verschillende IT-teams, met elk een specifieke taak, zoals bijvoorbeeld het optimaliseren van de zoektool, de winkelwagen of de betaalfunctie. Binnen deze teams heerst autonomie en eigenaarschap, waardoor er veel sneller waarde kan worden geleverd. Developers hoeven niet allerlei formulieren in te vullen en twee weken te wachten op een akkoord voor het online zetten van een stukje software. Wat nu bedacht wordt, kan direct worden uitgerold.”

Hoe hou je zeventig teams en meerdere deployments per dag beheersbaar?

Hier is Chris heel duidelijk in. “Veel bedrijven zouden kiezen voor een securitybeleid met veel regels, in de hoop dat dit aanslaat bij alle teams. Hier voelden we bij Jumbo weinig voor. Er gebeurt van binnenuit zoveel dat het onmogelijk is om alles bij te houden. Zo zijn er bijvoorbeeld ondernemers met een eigen website of acties, en er worden dagelijks nieuwe projecten gestart. De flow stoppen door ingewikkeld intern beleid en procedures is geen optie. Retail is snelheid, en er was geen andere optie dan mee te bewegen. We hebben onszelf daarom afgevraagd wat we konden doen om zo min mogelijk in het software-ontwikkelproces te hoeven ingrijpen.”

“Het antwoord hierop was automatisering, en het verleggen van de focus van binnen naar buiten”, vervolgt Chris. “Om een schaalbare output te kunnen blijven garanderen, hebben we een aantal processen gestandaardiseerd, waaronder het aanvragen van een nieuwe repository, documentatie van een nieuwe service en het starten van een nieuwe resource in de cloud. Daarnaast zijn we gestart met het gebruiken van geavanceerde tooling om het centrale overzicht op veiligheid te behouden. Door deze manier van werken, voorkom je dat security een intern knelpunt wordt.”

Hoe Jumbo door een hackersbril naar zichzelf kijkt

Chris is met zijn team gaan kijken naar wat er aan het internet hangt met de naam Jumbo en wat er van buitenaf zou kunnen worden misbruikt. Attack surface monitoring heeft het team in staat gesteld om 24 uur per dag het internet te scannen op websites en systemen die een link hebben met het Jumbo-merk. Op deze manier wordt duidelijk welke mogelijke ingangen een hacker heeft. De tool werkt op basis van machinelearning. Alles wat door het team wordt bevestigd als ‘horend bij Jumbo’, wordt opgeslagen, waarna het systeem vervolgens verder zoekt naar gerelateerde vermeldingen. Gedetecteerde kwetsbaarheden worden zo snel mogelijk teruggekoppeld naar de teams, zodat ze kunnen worden opgelost. Attack surface monitoring vormt een mooie aanvulling op pentesten en vulnerability management, waar Jumbo al langer mee werkt.

Geen slagbomen, maar vangrails

Chris: “Om de boel veilig te houden, heb je natuurlijk wel bepaalde richtlijnen nodig. Vanuit de techniek hebben we ervoor gekozen om geen slagbomen op de weg te plaatsen, maar vangrails erlangs. Zo geven we onze mensen veel vrijheid, maar voorkomen we dat ze bij een slippertje meteen uit de bocht vliegen. Een klein incident heeft dus niet meteen grote gevolgen. Vergeet een developer bijvoorbeeld een keer om een goede securitycheck in te bouwen? Dan betekent dit niet meteen dat de hele operatie plat komt te liggen.”

Tot slot voegt Chris eraan toe: “Om security echt te kunnen laten werken, is een goede samenwerking met de hele organisatie onmisbaar. Veel securityteams zitten nog op een eilandje en missen de verbinding met de rest van de organisatie. Vervolgens vinden ze het lastig te begrijpen dat er geen interesse lijkt te zijn voor het onderwerp. Door het gesprek aan te gaan met stakeholders en goed te kijken naar de bedrijfscultuur, ga je beter begrijpen wat de organisatie nodig heeft om security te kunnen integreren.”

Jumbo als werkgever: informeel, innovatief en uniek in zijn soort

Hoewel Jumbo inmiddels aangemerkt kan worden als een van de grootste werkgevers van Nederland, voelt het volgens Chris nog altijd als een familiebedrijf. “Het is allang niet meer mogelijk om iedereen persoonlijk te kennen, maar het informele karakter is nooit verdwenen. Binnen deze organisatie is bijna alles mogelijk, er wordt snel en flexibel gewerkt en mensen krijgen de kans om te groeien en zich te specialiseren. Binnen IT is er veel ruimte om te experimenteren. Groei is bij Jumbo een gegeven. Dat betekent dat je bij letterlijk alles wat je doet moet nadenken en je moet afvragen: hoe gaat dit schalen? Het is geweldig om onderdeel te zijn van een organisatie die echt openstaat voor vernieuwing, waarin diversiteit omarmd wordt en waarin je continu wordt uitgedaagd om het beste uit jezelf te halen.”

Jumbo groeit continu, en dat geeft uitdagingen. Wil je meer weten over werken op de Jumbo Tech Campus en ben je benieuwd of er vacatures openstaan die passen bij jouw profiel? Check het hier.