“Cyber Security is te beperkt, het gaat ook om Cyber Safety”
“Cyber Security is niet alleen een IT-gerelateerd onderwerp, maar raakt ook de mensen in de business.” Wilma van Dijk is directeur voor Safety, Security en Environment bij Schiphol Group. Hiervoor werkte ze bij het Ministerie van Justitie en Veiligheid, waar ze de visie ontwikkelde voor een cyber security strategie vanuit de overheid. Ze vindt dat organisaties zelf de verantwoordelijkheid hebben om cyber security op de kaart te zetten. “Eigen verantwoordelijkheid is vanzelfsprekend. Als je op de overheid wacht ben je te laat.”
Om de boodschap zo concreet mogelijk te krijgen voor het hele bedrijf moet het onderwerp in de corporate strategy worden opgenomen. Cyber Security is namelijk een te beperkt begrip: dat gaat over spionage en kwaadwillende mensen die met opzet jouw zwakke plekken zoeken om je te raken/kwetsen. Dit gaat juist ook over Cyber safety. “Er zijn verschillende aanleidingen waarom iets verkeerd kan gaan in cyber. Je hele keten moet goed, veilig, zijn, zowel in het ontwerp en de bouw van IT oplossingen als in het gebruik ervan. Daar is bij de meeste organisaties nog veel werk te verrichten”, aldus Wilma. Wij spraken haar over haar visie op cyber security binnen organisaties.
Hoe zorg je ervoor dat de digitale ambitie van Schiphol op een veilige manier vormgegeven wordt?
“Tijdens het ontwikkelen van nieuwe producten zetten we de beste mensen bij elkaar. Iemand met vaardigheden en kennis van cyber security is essentieel in het team. Alle procedures moeten grondig worden nagelopen en het product wordt uitvoerig getest. Innovatie moet op een veilige manier gebeuren en alles valt of staat met de betrouwbaarheid van datgene wat je aan je passagier biedt. De reizigers zijn de belangrijkste doelgroep. Mijn doel is dan ook om ervoor te zorgen dat zij zich veilig en prettig kunnen bewegen. Hiertoe is Cyber awareness binnen de organisatie van het grootste belang, zowel bij IT als bij de medewerkers.”
Is het jouw taak om die awareness in de organisatie te creëren?
“Ja absoluut, maar ik realiseer dat natuurlijk samen met mijn collega’s. Het vaststellen van het Cyber beleid is een gezamenlijke verantwoordelijkheid. Ik zorg ervoor dat dat mogelijk wordt gemaakt. We hebben een program board met het senior management van Schiphol. Ik ben daar voorzitter van. Samen leggen we daar het beleid neer en accorderen we de strategische kant en de aanpak. Vervolgens bespreken we het met de directie. Door zo’n board creëer je commitment en kennis op het niveau van senior management. Zij zijn het doorgeefluik naar de rest van de organisatie. We hebben alle onderdelen apart risk owner gemaakt in cyber security, omdat iedereen dan zijn eigen verantwoordelijkheid heeft; of het nou om parking, operatie of het bezoekerssysteem gaat. Op die manier creëer je organisatie breed bewustwording in wat wel en niet kan.
We zijn continu bezig met awareness. We doen veel aan phishing mails, briefings en learning loops. We houden de mate van bewustzijn ook goed in de gaten door bijvoorbeeld testen naar het personeel te sturen of medewerkers concreet te bevragen. Onze volledige aanpak is gericht op het voorkomen van incidenten.”
Heb je voorbeelden van incidenten waardoor je extra scherp bent geworden?
“Er zijn de afgelopen jaren wereldwijd verschillende grote incidenten geweest zoals een forse aanval op de overheidssystemen in Letland en de DDoS aanval op Maersk waardoor echt alles weg was– ook de salarisadministratie. We vragen ons dan meteen af of wij ook kwetsbaar zijn en of we een relatie met het bedrijf hebben. Wij hebben intensief contact met het Nationaal Cyber Security Centrum. We blijven ook altijd leren: we kijken waar we ook risico’s lopen en waar we rekening mee moeten houden. Sommige bedrijven gokken het er maar op, omdat het nog nooit is misgegaan. Ik denk dat je maar beter proactief te werk kunt gaan!”
Hoe gaan jullie bij Schiphol Group proactief te werk?
“We maken gebruik van CYSSEC (Cyber Synergie Schiphol Ecosysteem), waarmee we alle partijen op en rondom Schiphol samen laten werken aan cyber security. Ook bij de stakeholders is dit een vast onderwerp via het platform Beveiliging en Publieke Veiligheid Schiphol (BPVS). CYSSEC is hier onderdeel door middel van een werkgroep. We hebben dus een vaste structuur waarin dit onderwerp continu getafeld wordt. Er is veel aandacht voor.
Hiernaast word je als vitale infrastructuur geïnformeerd. We krijgen de informatie aangereikt door de overheid, van de AIVD (Algemene Inlichtingen- en Veiligheidsdienst) en het NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid). Daarbij vragen we onszelf constant af of we voldoende zijn voorbereid en of we voldoende kunnen doen om risico’s tegen te gaan. Hierbij houden we het kader predict, prevent, detect en respond aan. Dit pakken we integraal op, het raakt zowel de IT als de organisatie.”
Wat is volgens jou ‘the next big thing’ binnen cyber safety en cyber security?
“Bijblijven in een wereld met telkens nieuwe technologieën is een grote uitdaging, waar Schiphol, met veel innovatie-gedreven ontwikkelingen, vol op inspeelt. Ik denk dat we vooral het programma wat we hebben levend moeten houden. Het is ook belangrijk om je altijd te focussen op de waarom-vraag. Waarom doe ik iets op het gebied van cyber security? Er is een beweging die steeds digitaler wordt, die aansluiting moet je houden. We moeten ons bewust zijn van de Cyber risico’s en onderzoeken hoe we elkaar scherp kunnen houden. Je moet weten wat je doet, veel oefenen en leren van incidenten. 100% voorkomen of uitsluiten is niet mogelijk, maar risico’s minimaliseren wel.”
We spraken eerder over vrouwen in de IT. Hoe is het voor jou om als vrouw deze functie te bekleden?
“Ik ben eigenlijk niet zo bezig met ‘het zijn van een vrouw’ in mijn functie. Ik ben gewoon wie ik ben. Ik heb geen IT-achtergrond, maar wel vaardigheden die maken dat ik op deze plek ben gekomen. Diversiteit maakt dat je op een andere manier naar dingen kijkt, waardoor discussies over probleemoplossing verrijkt worden met andere invalshoeken. Het is hartstikke leuk om in deze wereld meer vrouwen te krijgen. Ik denk ook dat soft skills dan wat meer aandacht krijgen. Uiteindelijk hebben we allemaal hetzelfde doel: bij cyber security en safety is dat ervoor zorgen dat bedrijven goed zijn voorbereid. Vrouwen zijn daarbij zeer welkom!”
