Bridgestone Europe cybersecurity Resilience Program

Bridgestone is een van Europa’s grootste bandenfabrikanten en een tier-one leverancier voor de automotive-industrie. Het bedrijf heeft in Europa een gespreide aanwezigheid: hoofdkantoren, shared service centers, R&D-vestigingen en productiesites in meerdere landen. Elke site heeft een eigen IT-omgeving, eigen gebruikers en een eigen risicoprofiel. Toch moeten ze allemaal passen binnen één Europese securitystrategie.
CURIOS werd aangesteld om een security maturity-programma te ontwerpen en uit te rollen dat hier de samenhang in brengt. Bridgestone wilde de cybersecurity-vooruitgang van zowel een hoofdkantoor als een productiesite op een vergelijkbare manier kunnen meten en opvolgen, en daarmee tegelijk de basis leggen voor NIS2-conformiteit.
Het model dat CURIOS heeft uitgewerkt bestaat uit twee gekoppelde lagen. De strategische laag bevat volwassenheidsmetrics gemapt op de NIS2-principes. Die wordt gebruikt voor managementrapportering, board-rapportering en het vergelijken van entiteiten onderling. De operationele laag definieert concrete KPI’s voor securityteams. De resultaten van die KPI’s voeden rechtstreeks de maturity-scores in de strategische laag.
Samenvatting van de vier evaluatiepunten:
• Complexiteit: het programma brengt centraal beheerde corporate IT en lokaal autonome productiesites samen in één meetbaar kader, en gebruikt operationele meetdata in plaats van alleen kwalitatieve assessments.
• Meerwaarde: het management krijgt een continu en vergelijkbaar beeld van de Europese portefeuille, securityteams krijgen werkbare KPI’s en productiesites worden gemeten op een manier die past bij hun context.
• Originaliteit: jaarlijkse maturity-assessments en de dagelijkse operationele werking worden samengevoegd in één meetlus, die werkbaar blijft van een hoofdkantoor tot een productiesite met een klein IT-team.
• Leverancier: CURIOS levert het programma met een team van senior consultants en een eigen methodologie, vanuit een Belgische cybersecurity-onderneming.
Het resultaat is één model waarmee zowel het management als de securityteams werken. Het laat ruimte voor de verschillen tussen Europese entiteiten en meet de vooruitgang het hele jaar door, niet alleen tijdens een audit.

De complexiteit zit in de verschillen tussen de entiteiten die het programma verenigt.
De Europese sites variëren sterk. Er zijn corporate entiteiten met centraal beheerde IT, en er zijn productiesites die hun IT grotendeels lokaal organiseren, met eigen infrastructuur en eigen systeembeheerders. In vroegere securityinitiatieven kregen die productiesites vaak minder aandacht, omdat de focus lag op hoofdkantoren en shared services. De ontwerpuitdaging was om de productiesites onder hetzelfde maturity-kader te brengen, zonder voorbij te gaan aan de praktische verschillen in IT-omgeving en bezetting.
Een tweede uitdaging was operationele meetdata in het maturity-model integreren. De meeste maturity-frameworks werken met kwalitatieve assessments: bestaat er een beleid, is een proces gedocumenteerd, is een control geïmplementeerd. Bridgestone wilde de maturity-niveaus daarentegen onderbouwen met kwantitatieve operationele cijfers. Dat betekende voor elk maturity-domein bepalen welke operationele metrics als leading of lagging indicator werken, baselines opmeten in entiteiten waar die data nooit systematisch werd verzameld, en rapporten bouwen die de ruwe data vertalen naar maturity-progressie.
Daarnaast was er een organisatorische uitdaging. Productiesites, shared service centers en corporate functies hebben elk een andere relatie met IT en security. Hen laten geloven in één meetkader, en hen laten vertrouwen dat dat kader hun realiteit correct weergeeft, vroeg om aanhoudende afstemming en een transparante methodologie. Een model dat te ver van de lokale realiteit afstaat, krijgt geen adoptie; een model dat elke uitzondering opvangt, maakt vergelijking tussen entiteiten onmogelijk. Tussen die twee uitersten moest een werkbaar evenwicht gevonden worden.
Tot slot is er een risicodimensie. Als tier-one leverancier heeft de securityhouding van Bridgestone directe gevolgen voor OEM-relaties in heel Europa. Een maturity-kader dat onbetrouwbare of inconsistente cijfers zou opleveren, zou intern, bij OEM’s en bij auditoren vertrouwen verliezen. Het model moest dus voor alle drie deze doelgroepen verdedigbaar zijn, ook voor automotive partners die steeds vaker meetbare security-evidentie van hun toeleveranciers vragen.

De meerwaarde van het programma is dat de stand van de cybersecurity in elke entiteit op elk moment zichtbaar is, samen met het pad naar verbetering.

Voor het management
Het management krijgt een gestructureerd en vergelijkbaar overzicht van de Europese portefeuille. In de kwartaalrapportering is meteen zichtbaar welke entiteiten op koers zitten, welke domeinen extra investering nodig hebben en hoe de algemene securityhouding evolueert. De maturity-scores zijn niet langer cijfers uit een jaarlijks auditmoment, maar staan op operationele cijfers die continu worden bijgehouden. Daardoor kan over cybersecurity-budgetten, prioriteiten en risico-acceptatie op dezelfde basis worden beslist als over andere bedrijfsthema’s.

Voor de securityteams
Voor de securityteams en IT-operations is de tweede laag minstens even belangrijk. In plaats van een algemene doelstelling als kwetsbaarheidsbeheer verbeteren, werken de teams aan concrete KPI’s: mean time to remediate voor kritieke kwetsbaarheden, patch compliance binnen vastgelegde windows, doorlooptijd van toegangsreviews, detectie- en responstijden, slagingspercentages van back-up- en recovery-tests. Dat zijn de cijfers waarop teams in de praktijk worden afgerekend, en hun verbetering vertaalt zich rechtstreeks in maturity-progressie in de strategische laag.

Tussen beide lagen
Doordat de twee lagen elkaar voeden, ziet het management waar de teams aan werken, en zien de teams hoe hun werk de cijfers in de kwartaalrapportering verbetert. De afstand tussen wat de board te zien krijgt en wat er op de werkvloer gebeurt, verdwijnt grotendeels.

Awareness
Doordat KPI’s als toegangsreviews en responstijden in het managementrapport verschijnen, worden deze onderwerpen ook buiten het securityteam zichtbaar. Access governance en response readiness worden zo gespreksonderwerpen die door bredere lagen van de organisatie worden opgevolgd.

Voor externe partijen
Naar OEM’s, regulatoren en auditoren toe kan Bridgestone aantonen dat de security maturity continu wordt gemeten en actief beheerd in alle Europese entiteiten. Dat sluit aan bij wat NIS2 en third-party risk management-frameworks van leveranciers verwachten.

De originaliteit van het programma zit in de architectuur. De strategische maturity-assessments en de dagelijkse operationele werking worden in één meetkader samengebracht. In de meeste organisaties blijven dat twee gescheiden disciplines.
In de gangbare praktijk wordt een maturity-assessment eens per jaar uitgevoerd, met een score op basis van beleidsreviews, interviews en documentcontroles. Daarnaast loopt de operationele security door: teams beheren kwetsbaarheden, reageren op incidenten en voeren toegangsreviews uit, maar hun cijfers worden niet systematisch gekoppeld aan de maturity-evaluatie. Daardoor staat de maturity-score in feite los van wat er op de werkvloer gebeurt, en hebben de operationele teams omgekeerd geen zicht op de strategische securitydoelstellingen.
Het Bridgestone-model brengt beide lagen samen. Verbeteringen in de operationele KPI’s leiden rechtstreeks tot een hogere maturity-score, en de maturity-doelstellingen geven omgekeerd richting aan de operationele prioriteiten. De vooruitgang is daardoor het hele jaar door zichtbaar, niet alleen tijdens een audit, en is op elk moment terug te brengen tot meetwaarden in de onderliggende systemen.
Een tweede onderscheidend element is dat hetzelfde model bruikbaar is voor zeer uiteenlopende entiteiten: van een hoofdkantoor met een ervaren IT-departement tot een productiesite met een klein lokaal IT-team. De maturity-domeinen zijn voor iedereen gelijk; de operationele KPI’s en hun streefwaarden worden afgestemd op de context van elke entiteit. Daardoor wordt vergelijking op portefeuilleniveau mogelijk, terwijl elke entiteit ook een eigen roadmap krijgt.
De gangbare aanpak in de markt blijft: één assessment per jaar, een rapport naar het management, een remediatielijst voor het team, en volgend jaar opnieuw. Het Bridgestone-model vervangt die cyclus door een continu meetkader. Dezelfde meting waarmee een CISO vaststelt dat identity management op maturity-niveau 3 staat, bevat voor het IAM-team de exacte KPI’s die nodig zijn om naar niveau 4 te gaan.

CURIOS BV is een Belgische cybersecurity-consultancy uit Antwerpen, opgericht in 2017. Het dienstenaanbod omvat NIS2-compliance, security maturity-programma’s, penetratietesten, third-party risk management, vCISO-diensten en TISAX-begeleiding. Voor Bridgestone werkt CURIOS met een team van senior security-engineers dat het ontwerp van het maturity-programma uitvoert, de uitrol op de sites begeleidt en de resultaten op managementniveau presenteert.
Een eerste eigenschap is dat CURIOS op deze opdracht uitsluitend met senior security-engineers werkt. De mensen die het maturity-kader ontwerpen, zijn ook de mensen die op de productiesites assessments uitvoeren en de resultaten aan het regionale management presenteren. Dat maakt korte beslislijnen mogelijk en zorgt voor een continuïteit in het klantencontact die met een wisselend team van junior consultants moeilijker te realiseren is.
Een tweede eigenschap is dat CURIOS geen generiek maturity-framework van de plank heeft toegepast. Het model is op maat ontworpen voor het concrete probleem dat Bridgestone wilde oplossen: het verbinden van strategische meting met operationele werking. Diezelfde aanpak past CURIOS ook intern toe, onder andere door AI-ondersteuning te integreren in beleidsanalyse, gap-assessments en rapportering.
Een derde eigenschap is dat een Belgische cybersecurity-SME hier een opdracht op enterprise-schaal levert. Het Bridgestone-programma laat zien dat een specialistische SME, met domeinexpertise en een eigen methodologie, een resultaat kan neerzetten dat vergelijkbaar is met dat van grotere internationale consultancies, met als verschil meer flexibiliteit en kortere lijnen voor de klant.