“De moderne CISO bouwt bruggen in plaats van muren”

 Storytelling is de weg naar een duurzame economie volgens Ad Krikke. Als CISO, auteur en docent, weet Ad als geen anders een complex onderwerp terug te brengen naar de kern. Wij spraken hem over zijn boek Een Duurzame Economie, zijn visie en de toekomst van Cyber Security. Een zekere imperfectie moet je accepteren, net zoals bij alle andere risico’s.

Al tijdens zijn studie merkte Ad dat het verbinden van Data met IT en Business hem lag. Hij begon zijn carrière in de consultancy branche waar hij bij veel verschillende organisaties een kijkje in de keuken nam. Door het bouwen van netwerken en inrichten van werkplekken is hij doorgegroeid tot project manager, om vervolgens een marketing en sales rol te bekleden. Na 6 jaar een adviesfunctie te hebben gehad, wilde Ad graag zelf verantwoordelijk worden voor de IT van een organisatie. Hij ging aan de slag als IT-manager bij Lekkerland Nederland BV, waarna hij de overstap maakte naar DSM in 2002. In de 17 jaar bij DSM heeft hij drie functies bekleed. Hij begon als IT Program Manager, heeft 6 jaar op internal audit gezeten en is 7 jaar werkzaam geweest als CISO bij DSM. In zijn vrije tijd geeft hij les op de Universiteit van Maastricht en de Universiteit Antwerpen, om zijn stempel te drukken op de toekomst van cybersecurity.

Waarom zien we Cyber Security niet gewoon als één van de verantwoordelijkheden van de IT Risk Manager?

Het managen van Cybersecurity risico’s is in principe gewoon risk management. Maar het vereist vandaag de dag nog veel specifieke kennis. De moderne CISO richt zich er daarom op om 1) Het thema begrijpelijk te maken voor iedereen en 2) eigenaarschap terug bij de lijn leggen.

Je zou je kunnen afvragen waarom veel organisaties Cyber Security en Risk dan als twee aparte afdelingen zien, en de CISO en Risk manager als twee aparte functies. Bij het duidelijk scheiden van Cyber Security van de rest van de (IT) organisatie, loop je het risico dat de rest van de organisatie het ownership voor cyber security niet pakt. Uiteindelijk moet natuurlijk iedereen binnen de organisatie iets aan cyber security doen om het succesvol te laten zijn. Deze governance situatie creëert automatisch een handhavingscultuur.

Dat betekent dat als je daar maar genoeg mensen op kunt zetten, en een cultuur hebt waarbij die handhaving dus ook een sterk fundament heeft, je een heel eind kunt komen. Banken hebben bijvoorbeeld al heel lang te maken met een toezichthouder (DNB) die hele strikte eisen stelt, dus daar is iedereen het gewend dat ze aan de eisen moeten voldoen. Het gevaar van deze mentaliteit is echter de “tick the box cultuur”, waarbij Compliant zijn niet altijd gelijk is aan veilig zijn. Bovendien lopen hierdoor de kosten mogelijk onnodig op.

Iedereen binnen de organisatie moet de verantwoordelijkheid pakken voor security. Hoe krijg je het voor elkaar dat mensen deze ownership pakken?

Eigenlijk heeft de geschiedenis al heel vaak aangetoond dat je met “awareness campagnes” duurzaam gedrag niet verandert; Het belangrijkste is dat je mensen helpt om het gewenste gedrag ook eenvoudig uit te kunnen voeren en niet blijft herhalen dat security belangrijk is. Iedereen moet zijn steentje bijdragen, maar hoe zorg je ervoor dat mensen zich verantwoordelijk voelen? Het continu blijven herhalen van de gevaren en risico’s gaat geen gedragsverandering tot stand brengen.

Vaak weten mensen heus wel wat de gevaren en risico’s zijn. Een mooi voorbeeld hiervan is bijvoorbeeld dat wanneer je een roker vertelt wat de risico’s van roken zijn, hij je zal vertellen dat hij zich hier heus wel van bewust is. Als je dat vervolgens maar blijft herhalen, dan zal dat irritatie opwekken. Dit geldt ook zo voor cyber security awareness. Een praktijkvoorbeeld is dat veel eindgebruikers zich best beseffen dat bepaalde data die zij in handen hebben vertrouwelijk is, maar wanneer zij die data ergens voor nodig hebben of moeten delen met een bepaalde partij, zij hiervoor wel de juiste tools moeten hebben om dat veilig te kunnen doen. Je kunt dan 100 keer vertellen dat het niet mag of niet veilig is maar mensen moeten uiteindelijk wel gewoon hun werk kunnen uitvoeren. Technologie, proces en awareness moeten dus in balans zijn.

De toekomstige CISO moet de dialoog aangaan met de eindgebruikers en begrijpen waarom men zich niet aan de regels kan of wilt houden. Wanneer dat helder is, kan het probleem bij de kern worden aangepakt. De dialoog is dus heel belangrijk, je laat daarmee ook zien dat het voor jou belangrijk is. Awareness gaat over het veranderen van gedrag.

Hoe gaat de moderne CISO om met data obesitas bij het verduurzamen van een organisatie?

Cyber security is complex en vereist specialisme. Daarom dient de CISO dan ook als aanspreekpunt voor de Risk managers.  Het is essentieel dat de moderne CISO het toekomstperspectief en de bijbehorende risico’s helder in kaart heeft. Daarnaast dient de CISO het ‘nee’ zeggen en checklists afwerken te overstijgen. Dat past niet meer bij de moderne manier van werken. Het netwerk van de CISO speelt een belangrijke rol bij het overtuigen van een veiligere aanpak in de business. De CISO verbindt en overtuigt.

De kosten voor IT Security zijn de laatste jaren flink gestegen. Een paar jaar geleden was dat zo’n 3% van het IT budget, nu hoor je vaak dat 10% nodig zou zijn.

Deze kosten zullen verder gaan stijgen. Er komt een moment, waarop het management gaat zeggen tegen de CISO: De afgelopen jaren zijn de kosten zo veel gestegen, we blijven maar geld investeren en je vertelt me nu dat het probleem nog steeds niet opgelost is. Hoe ga je er dan voor zorgen dat je i.p.v. steeds maar geld te blijven investeren, muren hoger bouwen en je het probleem bij de essentie aanpakt? De essentie van het probleem is de data obesitas die organisaties allemaal hebben. Veel bedrijven trekken ALLE data naar zich toe en daarmee dus ook de verantwoordelijkheid voor deze data. We creëren daarmee onze eigen complexiteit. De moderne CISO moet nu al gaan nadenken over het antwoord op de vraag die ze over een paar jaar gaan krijgen over het budget. De CISO moet een structurele oplossing hebben.

Automatisering is een onvolwassen wereld. In een onvolwassen wereld zijn veel thema’s niet geadresseerd. We moeten er samen alles aan doen om de veiligheid te verbeteren. Dit kan alleen als het thema veiligheid integraal onderdeel uitmaakt van alles wat je doet. Het commitment en bewustzijn is er nu wel. De gemiddelde manager zal tegen de CISO zeggen: Security is een technisch probleem, los jij het maar op. Nu is het aan de CISO om aan de board uit te leggen dat het niet alleen een technisch probleem is maar veel meer dan dat. Als je dat daadwerkelijk op wilt lossen moet je dat tot in de haarvaten van de organisatie aanpakken. Vooral als je dit op een kosteneffectieve manier wilt doen. Daarvoor is een risk gedreven aanpak alleen niet genoeg. Creëer een nieuw business model en bied de business een nieuwe digitale oplossing die voor hen een bepaald voordeel heeft, adviseert Ad. Nieuwe kansen motiveren, niet risico’s. Verduurzamen gaat niet van de één op de andere dag. Je begint klein, laat zien dat het werkt en maakt verdere stappen via een proof of concept.

Jouw individuele data is het nieuwe goud. Hoe blijf je als consument baas van je eigen data?

Bij DSM was Ad aan een proof of concept begonnen. DSM is de grootste leverancier van vitamines ter wereld en werkt momenteel enkel b2b, maar heeft de ambitie om een personalised nutrition plan te ontwikkelen voor de consument. Zou het mogelijk zijn om voor een individu een persoonlijke vitaminemix te maken op basis van een bloedproef? De informatie die uit zo’n bloedproef komt is natuurlijk privacy gevoelige informatie.

Op de traditionele manier zou dit als volgt gaan: De bloedproef voer je uit bij een bloedafnamepunt, welke de NAW gegevens noteert en de uitslagen documenteert. Een database die streng beveiligd moet zijn dus. Die informatie wordt dan vervolgens weer doorgezet naar DSM. Dezelfde informatie bestaat twee keer en moet ook twee keer beveiligd worden. DSM voegt hier nog informatie aan toe: namelijk het gepersonaliseerde recept. Ook heeft DSM de NAW gegevens nodig om de producten te kunnen leveren, wat vervolgens weer wordt gedaan door een partij als DHL, wie de NAW gegevens en het feit dat de klant een vitaminemix heeft gekocht als data opslaat. Ook DHL heeft dus weer een database die zij moeten beveiligen.

Als deze partijen/schakels in de keten veel nauwer samenwerken, kan iedere partij enkel dát gedeelte van de data opslaan wat zij echt nodig hebben. DSM werkt hiervoor samen met ABN Amro. Zij hebben hiervoor een technologie ontwikkelt wat dient als een soort kluis waarin zij de sleutels opslaan, die toegang geven tot de verschillende systemen waarin data staat opgeslagen.

Als individu kun je, je dus aanmelden via een site waarbij de technologie van ABN onderliggend werkt. Alleen jij krijgt de sleutels naar je eigen data d.m.v. een QR code. Je maakt via die site een afspraak bij een bloedafnamepunt (DVU) met je code, waarbij je NAW gegevens dus niet bekend worden gemaakt. Door de geanonimiseerde uitslag van een bloedproef, bescherm je de privacy van een persoon optimaal en is het ook veel eenvoudiger om aan de AVG/GDPR te voldoen. Jij, het individu, krijgt zelf de melding dat je uitslag beschikbaar is. Het systeem werkt dan zo dat een vitamine-app door DSM de sleutel eenmalig gebruikt die toegang geeft tot de uitslag en op basis van een algoritme in de app, een recept genereert dat na een bestelling doorgestuurd wordt. DSM heeft op dat moment dus alleen een recept en een ordernummer als data in beheer en geen NAW gegevens noch bloedproef informatie. Voor de bezorging wordt gebruik gemaakt van DHL: DHL haalt een ordernummer op bij DSM, en de adresgegevens bij het individu. Zodra de bestelling is geleverd worden alle sleutels weer ingetrokken en hebben de bedrijven geen toegang meer tot de data. Je geeft bedrijven tijdelijk toegang tot de sleutel. Dit neemt het risico weg en zorgt daarnaast voor een voordeel voor de schakelbedrijven. Doordat de bedrijven nu namelijk alleen de minimale data die zij nodig hebben voor hun deel van het proces bezitten, voldoen ze veel gemakkelijker aan alle eisen van de AVG en kunnen ze alsnog allerlei data-analyses doen. Op deze manier kun je bovendien allerlei ecosystemen bouwen voor klanten, waardoor de consument naast bloedinformatie ook nog andere gezondheidsinformatie (bijvoorbeeld weegschaal, fitbit, etc.) uit allerlei anonieme bronnen kan samenbrengen voor zichzelf. Op basis hiervan kunnen verschillende bedrijven dan nóg verder gepersonaliseerd product advies geven, zonder jouw privacy gevoelige gegevens te weten. Deze  Data is dus geanonimiseerd en bovendien veel nauwkeuriger, vollediger en eenvoudiger aan te leveren dan data die men bijvoorbeeld invult op een (digitaal) vragenformulier. Het mes snijdt dan aan twee kanten; het genereert nieuwe kansen EN het lost een risico op.

Zit er nog een verschil tussen CISO’s in verschillende branches?

Als CISO moet je gewoon kunnen begrijpen waar écht de belangrijkste belangen/risico’s van het bedrijf zitten, de relatie hiervan met het thema IT Security bepalen en zorgen dat dit op de agenda komt. Een goede, ervaren CISO zou dus in de regel bij alle soorten bedrijven in alle branches kunnen floreren. 

De op compliance gerichte manier van denken binnen IT Security heeft een beperkte houdbaarheid. Met deze aanpak ben je namelijk continu bezig met een wapenwedloop, met steeds hogere muren, waarbij men elkaar toch steeds weer te slim af weet. Het wordt op die manier altijd achter de feiten aanlopen en bovendien maak je (Digitaal) samenwerken daardoor steeds moeilijker. Hoe hoog je de muur ook maakt, er zal altijd wel iemand zijn die hier overheen weet te komen, zowel intern als extern. Ook al heb jij je processen en procedures nog zo goed ingericht, er zal altijd wel en manier zijn om het te omzeilen. Je moet in dat geval steeds meer geld gaan uitgeven. De kosten voor beveiliging nemen dan steeds meer toe.

Ook banken, zoals bijvoorbeeld ABN laten nu d.m.v. nieuwe technologie zien dat zij geloven in een Duurzame en digitale toekomst waarbij er i.p.v. muren, bruggen worden gebouwd. Organisaties moeten samenwerken aan businessmodellen om gezamenlijk security en privacy problemen op te lossen. Samenwerking en verbindingen maken zijn de sleutel tot succes.

Author: Lisa Hagebeuk

Lisa Hagebeuk werkt als consultant bij Tergos. Een specialistische recruitment organisatie uitsluitend gericht op IT Infrastructure & Cyber Security. Lisa interviewt net als Diane regelmatig prominente personen over hun visie, ideeën en strategieën rondom Security.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *