Arrow Global Group PLC schakelt Okta en Generation Digital in voor een veilige en naadloze implementatie van Workplace die remote werken ondersteunt

Het juiste doen

Bij Arrow draait alles om vertrouwen. De organisatie levert financiële services en omvat meerdere merken die allemaal onder de One Arrow-paraplu opereren. Arrow streeft ernaar vertrouwen op te bouwen en in stand te houden in alle geledingen van de organisatie. Of het nu gaat om het bieden van flexibele aflossingsschema's aan klanten of het beschermen van gevoelige gegevens van klanten.

Naast het innen van schulden biedt Arrow ook services op het gebied van kapitaal- en vermogensbeheer. Onlangs heeft de organisatie een ambitieus nieuw initiatief ontwikkeld waardoor security nog belangrijker wordt, namelijk een nieuw beleggingsfonds dat speciaal gericht is op zakelijke beleggers.

"Het is onze primaire verantwoordelijkheid om onder alle omstandigheden het juiste te doen en vertrouwen speelt daarbij een zeer belangrijke rol", aldus Matthew O’Neill, Group Information Security Manager van Arrow in het VK. "Als we willen dat schuldeisers, klanten, beleggers en aandeelhouders met ons in zee gaan, moeten ze ons in de allereerste plaats kunnen vertrouwen. Security speelt een belangrijke rol in dat vertrouwen, vooral nu het aantal cyberaanvallen toeneemt en de criminaliteit zich meer naar de cyberwereld verplaatst."

Een complexe organisatie

De activiteiten van Arrow moeten aan zeer strenge regels voldoen. We hebben een aantal vestigingen in het VK en we zijn ook actief in Ierland, Portugal, Nederland, Italië en Albanië. De naleving van alle wettelijke vereisten is dus van cruciaal belang.

"Uiteraard worden we nauwlettend in de gaten gehouden door de toezichthouders, maar ook door onze aandeelhouders en klanten", vertelt O'Neill. "Op het gebied van security en privacy zijn er talloze wettelijke vereisten waar we rekening mee moeten houden. In Europa moeten we ons bijvoorbeeld allemaal aan de AVG-regels houden. Maar elke organisatie moet ook aan organisatiespecifieke vereisten (bijvoorbeeld PCI-DSS) en regiospecifieke vereisten voldoen."

Een grote user base in verschillende Europese landen brengt ook een aantal andere uitdagingen met zich mee, zoals meerdere oplossingen voor identity access en identity management in zowel on-prem als cloudomgevingen. En dat heeft weer tot gevolg dat consistente communicatie in de hele organisatie bijzonder moeilijk te realiseren is.

In 2018 besloot Arrow een transformatieproject voor digitale communicatie op te zetten, zodat werknemers uit de hele Group eenvoudiger met elkaar zouden kunnen communiceren en samenwerken. "Net als bij de meeste andere organisaties kan iedereen via e-mail of telefoon communiceren. Maar dit levert grote problemen op als er niet één consistent gesynchroniseerde directory is. Zonder zo'n directory kunnen werknemers elkaar maar moeilijk bereiken", aldus O'Neill. "We wilden onze werknemers daarom ook andere vertrouwde communicatiemiddelen aanbieden, met name middelen die eventuele taalbarrières kunnen verlichten."

Communicatie centraliseren

Als onderdeel van dit initiatief gaf Group CEO Lee Rochford het Group Corporate Communications Team een moeilijke en ambitieuze opdracht: zoek een manier om een gedeeld communicatie- en samenwerkingsplatform op te zetten dat toegankelijk is voor alle Arrow-werknemers, ongeacht waar ze wonen, waar ze werken, welke taal ze spreken en welke devices ze gebruiken.

"Het Group Corporate Communications Team wilde de communicatie centraliseren, omdat de berichtenuitwisseling dan consistent zou zijn", zegt O'Neill. "We dachten daarbij aan een communicatieplatform dat al onze organisaties en al onze gebruikers dezelfde experience biedt. En toen viel ons oog op Workplace van Facebook."

Arrow kan met Workplace alle werknemers bereiken en een consistente berichtenuitwisseling realiseren. Daarnaast kan de communicatie ook veel beter op de juiste doelgroep worden afgestemd, bijvoorbeeld door bepaalde berichten alleen naar bepaalde organisaties in de Group te sturen, zodat andere werknemers niet met irrelevante berichten worden overspoeld. Daarnaast biedt het platform mogelijkheden om de impact van elk verzonden bericht te meten, en om via polls en enquêtes feedback van werknemers te verzamelen.

Maar om een onbelemmerde communicatie en samenwerking mogelijk te maken, had Arrow strikte security controls nodig om het platform te beschermen.

O'Neill: "Het Team vroeg wat we nodig hadden op het gebied van security en of we wel of niet live konden gaan met de huidige standaard controls van het platform. Maar uiteraard moeten wij als financiële organisatie aan zeer strenge contractuele en wettelijke securityvereisten voldoen. De standaard controls waren dus niet voldoende in deze context. Ik liet het Team weten dat we zonder aanvullende controls het platform alleen voor niet-gevoelige communicatie konden gebruiken. Het was duidelijk dat het platform in de huidige vorm niet geschikt was voor gevoelige informatie omdat de daarvoor vereiste integriteit en vertrouwelijkheid niet konden worden gegarandeerd."

Externe expertise

Arrow besloot te gaan samenwerken met Generation Digital, een consultancybureau voor remote werken en digitale werkplekken, dat als missie heeft om "werkwijzen te transformeren door teams en teamleiders te helpen digitale culturen, platforms en werkmethoden te implementeren".

“Generation Digital heeft ons geholpen de uitrol van het Workplace-platform te beheren", aldus O'Neill. "De accountmanager zag erop toe dat het project volgens plan verliep en we konden bij elke fase van de uitrol overleg voeren. Ze organiseerden de POC's en voerden onderhandelingen met externe partijen, zodat wij onze tijd konden gebruiken om het ambitieuze implementatieschema uit te voeren dat door Lee Rochford, de CEO van de Group, was opgesteld."

Toen Arrow een securityoplossing nodig had die geschikt was voor Workplace, deed Generation Digital een aantal aanbevelingen. Een daarvan was Okta.

"Ik was al bekend met Okta", vertelt O'Neill. "Ik heb veel Okta-conferenties, masterclasses en expo's bijgewoond. Uit mijn initiële gap-analyse (van de benodigde security controls) bleek dat we niet alleen een DLP-oplossing nodig hadden, maar ook een IDAM-oplossing die al onze directory's tot één kon samenvoegen en bovendien het complexe geheel van voorwaardelijke access controls kon leveren. We bespraken dit met Okta, dat ons een overzicht van hun platform gaf. Nadat ik een nadere analyse van de functionaliteit en security controls van het Okta-platform had bekeken, had ik voldoende vertrouwen in Okta om ze bij het Team aan te bevelen".

Arrow was zeer tevreden over de analyseresultaten van O'Neill: Okta zou niet alleen voldoen aan de specifieke IDAM-vereisten van Workplace, maar kon ook voor eventuele latere use cases worden ingezet, bijvoorbeeld voor het leveren van IDAM-functionaliteit voor andere cloudapplicaties.

"Ik was met name onder de indruk van Okta's synchronisatie in twee richtingen, naar en van Active Directory", aldus O'Neill. "Het was zo eenvoudig uit te voeren. In wezen hoefden we alleen de directory-agent te installeren. Als de firewallregels waren ingesteld en de vereiste serviceaccount aanwezig was, kon die agent de data permanent synchroniseren met Okta (dat in de cloud is ondergebracht).Zodra de data beschikbaar was op het Okta-platform, konden we deze synchroniseren met Workplace. Ook konden we eventuele onjuiste vermeldingen in de directory aanpassen en de wijzigingen weer aan de lokale Active Directory('s) doorgeven. Deze specifieke functionaliteit en de zeer fijnmazige voorwaardelijke access controls zijn de factoren die het Okta-platform onderscheiden van de concurrentie."

Dankzij de synchronisatie in twee richtingen kan de organisatie consistentie creëren in alle Active Directory's van de organisatie, ongeacht de locatie. "Al onze directory's konden dezelfde vormgeving, dezelfde informatie en dezelfde consistente indeling gebruiken, zonder dat we dit in elke afzonderlijke Active Directory hoefden te veranderen", zegt O'Neill. "Het werd eenvoudig centraal gedaan, via een en hetzelfde Okta-platform."

Arrow was ook onder de indruk van de kracht van de securityfuncties van Okta.

“Okta is een briljant platform als het gaat om security", vertelt O'Neill verder. "Ik gaf niet alleen leiding aan de technische implementatie en de overkoepelende security, maar ik was ook een van de laatsten die het Workplace-platform van de Group moest testen en goedkeuren. Als specialist op het gebied van Cyber Threat Management is het mijn taak om dreigingen en kwetsbaarheden te zien die anderen niet zien. Ik heb zo'n twee dagen besteed aan het zoeken naar manieren om de security controls die ik net in het Okta-platform had ingebouwd te kraken en te omzeilen. Hiervoor moest ik alle attack vectors tegen de Okta-implementatie identificeren en onschadelijk maken die door een interne of externe threat actor konden worden gebruikt. De securityfuncties van Okta bleken een essentiële rol te spelen en ik kon na die twee dagen het Workplace-platform met een gerust hart goedkeuren."

Graham Mackay, CEO bij Generation Digital, voegt hieraan toe: "Klanten als Arrow Global hebben nu meer dan ooit behoefte aan eersteklas oplossingen voor veilig remote werken die alleen kunnen worden gebouwd door de allerbeste software-apps te integreren. Het was een voorrecht om samen te werken met Okta, Workplace en Netskope om Arrow te helpen bij het ontwikkelen van deze oplossing."

Een geslaagde en snelle implementatie

Workplace vormde een unieke uitdaging omdat het met slechts één identity provider kan integreren. En dat is bijzonder moeilijk te realiseren wanneer zowel de omgeving als de securityvereisten zo complex zijn als die van Arrow.

Arrow heeft op aanraden van Generation Digital Okta Cloud Connect aangeschaft, een product dat gebruikmaakt van de Okta-agent om één applicatie (Workplace in dit geval) te beschermen via één Active Directory-integratie. Met Okta Cloud Connect krijgt de Workplace-implementatie van Arrow toegang tot drie Okta-producten: Universal Directory, Single Sign-On en Lifecycle Management.

Arrow heeft eerst Workplace regio voor regio uitgerold, te beginnen in het VK en Ierland. De Okta-implementatie was heel eenvoudig, het team hoefde alleen maar de Okta-agent te installeren en te controleren of de juiste firewallregels waren ingesteld voordat ze aan de slag konden.

O'Neill: "Op de supportsite van Okta staan duidelijke instructies. We installeerden de agent, die meteen kon gaan synchroniseren met Okta. Zodra we begonnen met synchroniseren, hebben we de securityregels geactiveerd die volgens onze specifieke vereisten waren geconfigureerd. Toen de data eenmaal beschikbaar was op het platform, en de regels waren geconfigureerd en getest, waren we zo goed als klaar met de implementatie van Okta in het VK. We zijn een aantal dagen bezig geweest met de securityconfiguratie omdat we met het oog op onze lage risicotolerantie niets aan het toeval wilden overlaten, maar de feitelijke implementatie van elke Okta-agent nam niet meer dan zo'n 30 minuten in beslag."

De eerste implementatie vond begin 2019 plaats. Sindsdien is het Workplace-platform in de hele Group geïmplementeerd door het Workplace Implementation Team van Arrow, onder leiding van O'Neill en met ondersteuning van Andrew Mallin (Technical Project Manager en Infrastructure Architect) en de lokale IT-teams. "Voor de Okta-implementatie hebben we alle Active Directory's van de organisatie (hetzij on-prem of in de cloud) met Okta gesynchroniseerd, onder andere via Azure AD. Omdat de directory-informatie al was gesynchroniseerd met Okta konden we die informatie vervolgens met Workplace synchroniseren en onze gebruikers activeren. Op die manier kunnen onze gebruikers inloggen en kunnen wij de securityflow naar het platform beheren. Zonder Okta is het platform gewoon niet veilig genoeg om te voldoen aan onze zeer strenge en specifieke securityvereisten."

 

Boost voor security

Toen Arrow begon met het implementeren van de Workplace-securitystrategie, waren er twee belangrijke punten die aandacht nodig hadden. Het eerste punt had betrekking op niet-geautoriseerde data-exfiltratie en -infiltratie. De organisatie wilde de informatie die naar werknemers stroomt kunnen beheren en het platform tegen niet-geautoriseerde gebruikers beschermen.

"Het tweede punt had betrekking op datapolicy", aldus O'Neill. "We wilden er bijvoorbeeld zeker van zijn dat er geen betaalkaartgegevens op het platform beschikbaar zouden zijn. Daarnaast wilden we specifieke gebruikers toestaan bepaalde typen bestanden naar het platform te uploaden, en de mogelijkheid van andere gebruikers om die te downloaden kunnen beheren. Die bestanden moeten op het platform blijven staan."

Arrow koos voor een veelzijdige aanpak om deze punten op te lossen. Sommige aspecten van de strategie waren gebaseerd op policies. Zo heeft O'Neill speciaal voor Workplace policies voor acceptabel gebruik en security ontwikkeld, waarin verwachtingen en richtlijnen vooraf zijn vastgesteld. Andere securitycomponenten waren van technische aard en werden rechtstreeks ingebouwd in wat O'Neill de 'overkoepelende' security noemt.

De multi-factor authenticatie (MFA) van Okta speelt een belangrijke rol in het access management van het platform. Zo moeten de Okta-beheerders van Arrow een tweede factor invoeren om hun beheerdersbevoegdheden te kunnen gebruiken. En sommige gebruikers krijgen beperkingen opgelegd op grond van andere policies, bijvoorbeeld de policy die voorkomt dat ze kunnen inloggen wanneer ze niet met het netwerk verbonden zijn.

O'Neill: "Als u een gebruiker met een hoog risico bent en toegang tot veel gevoelige informatie hebt, stellen we veel hogere eisen aan de authenticatie. Bent u een gebruiker met een laag risico, dan zijn de eisen minder streng. De mogelijkheden om de security controls van Okta aan te passen, worden enkel beperkt tot wat u mag en wat u wilt configureren. Security heeft direct effect op het gebruiksgemak. Hoe meer security controls u instelt, hoe groter de impact op het gebruiksgemak en (als gevolg daarvan) de productiviteit. Ik was blij verrast dat Okta zo kan worden aangepast dat dit geen invloed heeft op mijn mogelijkheid om de toegang tot het platform te beperken. Dat is bijzonder indrukwekkend."

Arrow heeft in eerste instantie een systeem geïmplementeerd dat is gebaseerd op toegangscodes om mensen die remote werken te beschermen. “We wilden dat onze gebruikers ook op het platform konden inloggen wanneer ze geen verbinding met het WAN van de organisatie hadden. Bijvoorbeeld wanneer ze offline waren en hun gsm-verbinding gebruikten, maar dan wel op voorwaarde dat ze een device van de organisatie gebruikten", zegt O'Neill. "We beveiligen deze devices al met Mobile Device Management-controls en kunnen dus toegangscodes gebruiken die rechtstreeks in de configuratie van Okta zijn geïntegreerd. Zo zorgen we ervoor dat gebruikers alleen toegang tot Workplace kunnen krijgen via een door Mobile Device Management gedistribueerde versie van de Okta Mobile-app. Op deze manier is de toegang beperkt tot alleen devices die van de organisatie zijn. Later wilden we Workplace vanwege de COVID-19-pandemie ook toegankelijk maken voor persoonlijke devices. Dankzij de voorwaardelijke access controls van Okta konden we dit op een veilige manier realiseren, in overeenstemming met onze policies voor informatiesecurity en acceptabel gebruik."

O'Neill had een zeer robuuste 5-laagse overkoepelende security voor Workplace ontwikkeld waarin hij ook de CASB-oplossing van Netskope wilde implementeren om de content en data van het platform te beschermen. Netskope is al via een API-integratie in Workplace ingebouwd, zodat niet-goedgekeurde content die op het platform terechtkomt binnen enkele minuten weer kan worden verwijderd. O'Neill heeft er ook voor gezorgd dat de endpoint-agent van Netskope op de devices van de organisatie werd geïnstalleerd. Zo kunnen de devices eerst worden gescreend voordat de gebruiker toestemming krijgt om data te uploaden naar of te downloaden van Workplace. Het sluitstuk van deze overkoepelende security is de reverse proxy van Netskope, die ervoor zorgt dat werknemers persoonlijke devices veilig kunnen gebruiken.

"Netskope houdt in feite toezicht op het risico van zaken als dataverlies en godslastering", zegt O'Neill. "En Okta staat paraat om de toegang te beheren. Stelt u zich het platform voor met vijf lagen er omheen. De Workplace-specifieke policy voor acceptabel gebruik is laag één: onze overkoepelende administrative control. Okta is laag twee: de eerste van vijf technische controls. En de drie Netskope-lagen (endpoint-agent, reverse proxy en API-integratie) maken onze veelzijdige aanpak van security compleet. Een niet-geautoriseerde gebruiker zou in principe door elk van deze lagen moeten breken om toegang te krijgen. Ik heb de security-implementatie van het platform speciaal ontworpen met deze mate van redundantie als uitgangspunt. Generation Digital gaf aan dat onze implementatie de allerveiligste Workplace-implementatie was die ze ooit hadden gezien. De 'gouden standaard' noemden ze het. Gezien het grote aantal implementaties dat ze al voorbij hebben zien komen en waarbij ze betrokken zijn geweest, was dit een enorm compliment waar we ontzettend trots op zijn."

Verbeterde consistentie en zichtbaarheid

Dankzij al deze securitymaatregelen profiteert Arrow ook van verbeterde inzicht. Dit komt bijvoorbeeld goed van pas om gebruikers te detecteren en tegen te houden die proberen in te loggen vanuit een niet-goedgekeurde regio of vanaf meerdere locaties tegelijk.

“Zonder Okta zouden we geen idee hebben wie er inlogt en gebruikmaakt van het platform", aldus O'Neill. "Dat zou serieuze securityproblemen hebben opgeleverd. Gelukkig speelde security vanaf het allereerste begin een hoofdrol, en hoefden we deze er niet achteraf aan toe te voegen. Nu plukken we daar de vruchten van. Als Okta er niet was geweest, zouden we het platform niet hebben durven lanceren. Zonder Okta zou noch ikzelf, noch de CISO van de Group (Gareth Neal) ons Workplace-platform hebben goedgekeurd."

Eenvoudige toegang, naadloze weergave

Okta Single Sign-On (SSO) speelt een belangrijke rol bij het creëren van een frictieloze user experience die geen effect op de productiviteit van werknemers heeft. Gebruikers hoeven nu alleen maar op hun websitelink te klikken waarna ze naar een dashboard worden geleid dat alles biedt wat ze nodig hebben. Allemaal op één plek, ook als ze vanuit huis werken.

"Naadloze toegang voor de gebruiker biedt een enorme meerwaarde", zegt O'Neill. "Onze gebruikers weten vaak niet eens dat Okta op de achtergrond meedraait. Als het nodig is, kunnen we in real time de informatie van gebruikers wijzigen of aanvullende securityfuncties toevoegen zonder dat ze dat merken."

Okta heeft ook de productiviteit een boost gegeven. Een van de belangrijkste voordelen van Okta is de mogelijkheid om de directory-informatie van de hele Group te exporteren. Voorheen moest Arrow informatie van gebruikers handmatig in elke afzonderlijke directory wijzigen, maar nu kunnen ze API-scripts in Postman gebruiken om deze taken binnen een en dezelfde Okta-instantie te automatiseren. En de wijzigingen kunnen vervolgens naar de betreffende Active Directory('s) worden teruggestuurd. De organisatie kan snel en eenvoudig allerlei taken uitvoeren, van directory-informatie wijzigen tot nieuwe gegevens aan gebruikersaccounts toevoegen.

Okta heeft een zeer lage leercurve. O'Neill: "Ik had nog nooit met Okta gewerkt, maar het platform is heel gebruiksvriendelijk. Ook als beginnende gebruiker voelde ik me al snel volledig op mijn gemak. En nu ben ik de Okta-expert van de Group."

Vooruitzicht op de lange termijn

Tijdens het hele implementatieproces richtte Arrow zich op het opbouwen van langdurige relaties met gelijkgestemde partners. Alle betrokken organisaties, Arrow Global, Okta, Workplace, Generation Digital en Netskope, hebben veel tijd en moeite geïnvesteerd in het grotere doel van Arrow om een meer verbonden 'One Arrow'-groep van werknemers te creëren.

"De support van Okta was erg goed", zegt O'Neill. "Ik heb zowel via het digitale supportplatform als via de telefoon met supportmedewerkers gesproken. Ze stonden altijd klaar om professionele hulp te bieden wanneer we iets nodig hadden dat niet in de oorspronkelijke support was inbegrepen. Michael Alexander, onze Okta-accountmanager, is ook uiterst behulpzaam geweest. Hij begreep dat het project binnen een bepaalde tijd klaar moest zijn en heeft ons geholpen om alles supersnel gedaan te krijgen."

Arrow is ook erg tevreden over Generation Digital. "Ze hebben erg hard gewerkt om het project op koers te houden", aldus O'Neill. "GenD had het proces al vele keren doorlopen en kon daarom suggesties doen die we anders misschien niet in overweging hadden genomen. En dankzij de mogelijkheid om namens ons taken uit te voeren, zoals onderhandelingen met leveranciers voeren, had het interne Workplace Implementation Team de handen vrij had om het platform voor de hele Group te implementeren."

Nu veel werknemers als gevolg van de COVID-19-pandemie thuis moeten werken, betaalt het Workplace-initiatief zich terug op manieren die Arrow nooit kon hebben voorzien. In een recent persbericht zegt CEO Lee Rochford van Arrow: "Ik ben er trots op dat Workplace in de hele Arrow Global Group is uitgerold, zodat we nu werkelijk One Arrow zijn. Het platform heeft de manier waarop collega's werken en communiceren binnen het bedrijf getransformeerd, wat in deze ongekende tijden van vitaal belang is."

Over Arrow Global Group PLC

Arrow identificeert, koopt en beheert gedekte en ongedekte leningen en vastgoedportefeuilles van en namens financiële instellingen, zoals banken, institutionele fondsbeleggers en specialistische kredietverstrekkers. Arrow is een gereguleerde organisatie in al hun Europese markten, en beheert met meer dan 2500 werknemers een vermogen van meer dan 50 miljard pond in vijf landen.

Over Generation Digital

Generation Digital is een consultancybureau voor remote werken en digitale werkplekken, dat als missie heeft om werkwijzen te transformeren door teams en teamleiders te helpen digitale culturen, platforms en werkmethoden te implementeren. Samen met 's werelds belangrijkste technologiebedrijven, zoals Facebook, Netskope en Okta, bouwt Generation Digital samenwerkingsoplossingen om zowel werken op kantoor als remote werken te ondersteunen voor toonaangevende merken als Arrow Global, Colgate, ED&F Man, Heathrow, HSBC, Metropolitan Police, Royal Mail, TOG, Tui Group en United Utilities. Meer informatie vindt u op www.gend.co.