“Het security vak is niets anders dan normaal nadenken”

Patrick de Goede van Eijk over de businesskant van security.

Patrick de Goede van Eijk

Patrick de Goede van Eijk begon zijn carrière als IT-er bij de toenmalige PTT, waarna hij als een van de founding fathers verantwoordelijk werd voor het uitrollen van Planet Internet in diverse landen. Na een aantal jaar ervaring op te hebben gedaan als freelancer, is Patrick in 2005 in dienst getreden bij Atos om de key accounts te ondersteunen op het gebied van netwerkinzicht en applicatie security. Inmiddels werkt hij alweer bijna zeven jaar als security expert voor T-Systems en ondersteunt hij de grootste organisaties wereldwijd met de commerciële kant van security. Als we hem vragen hoe hij op deze positie terecht is gekomen, krijgen we een aantal mooie anekdotes over zijn veelzijdige loopbaan te horen. De business impact van security maatregelen en wetgeving heeft duidelijk zijn focus en persoonlijke interesse. Tijd om hem eens aan de tand te voelen over het security vak.

Jij zit met de hele grote spelers om tafel, welke ontwikkelingen zie jij op het gebied van security?

Persoonsbeveiliging is een hot issue op het moment in de top van het bedrijfsleven en politiek. Hier hoort uiteraard de data van een persoon bij, maar ook de fysieke gesteldheid en zelfs het afluisteren. Veel mensen zijn zich niet bewust van het feit dat ze afgeluisterd kunnen worden. Ik ken een verhaal van iemand die ontzettend rijk is geworden van het op en neer gaan in de lift in het World Trade Center in New York en gevoelige informatie afluisterde en verkocht. Gevoelige informatie zoals op handen zijnde overnames, wachtwoorden en informatie over de ICT infrastructuur bespreek je niet in het openbaar, maar het zal je verbazen hoeveel mensen daar nog steeds niet over nadenken op dit moment.

Wanneer zijn organisaties veilig genoeg?

Honderd procent veilig zijn is een illusie en dat weet zowel de overheid als de bedrijven waarmee ik aan tafel zit. Vaak wordt er gewerkt aan de hand van shortlists met punten die het belangrijkst zijn op het gebied van beveiliging. Dat is ook meteen het gevaar. En dat zie ik vaak terugkomen in mijn huidige rol. Ik bedenk passende security oplossingen, maar dan vanuit de business gedacht. Bedrijven zijn namelijk altijd bezig met hoe ze zo veilig mogelijk kunnen zijn, tegen de laagst mogelijke kosten. Ze proberen de perfecte balans te vinden en ik help ze daarbij. Dit zijn voornamelijk management vraagstukken. Natuurlijk zijn er ook product-gerelateerde vragen zoals: ‘welke tool gebruik je voor wat?’ Maar dat is vaak om het even en erg aan verandering onderhevig.

Wat zouden het MKB of zelfs particulieren kunnen doen om toch zo veilig mogelijk te zijn?

Allereerst zou ik particulieren willen adviseren om niet in te stemmen met de sleepnetwet; de nieuwe wet die bevoegdheden van de Nederlandse inlichtingen- en veiligheidsdiensten uitbreidt naar een schaal die naar mijn mening ongewenst is. Zo geven we de overheid in ieder geval minder inzicht in onze persoonlijke leefomgeving.  Iedereen heeft iets te verbergen, of dat nou een pincode is of je eigen mening en dat recht is verankert in onze grondwet. Met de nieuw voorgestelde wet en de bijeffecten daarvan kun je stellen dat dat grondrecht wordt geschaad. Daarnaast is de AVG (GDPR) ook ingeroepen om persoonlijke data te beschermen. Maar of je je data nog echt kunt beschermen betwijfel ik. Dat is ook meer een maatschappelijk vraagstuk.

“Als particulier of MKB-er komt het vooral neer op logisch nadenken.”

Verander je wachtwoorden regelmatig en plak ze niet met een post-it op de laptops, ook al lijkt dit de meest praktische oplossing. Denk na vanuit je eigen portemonnee en eigen omgeving. Thuis draai je ook altijd de achterdeur op slot. Vertrouw niet zomaar mensen die je kantoor binnen komen of als je een mailtje ontvangt. Check bijvoorbeeld altijd of de afzender controleerbaar is. Het blijft mij verbazen dat ik in mijn dagelijkse werk nog steeds zaken tegenkom die met goed nadenken gewoon voorkomen of goed geregeld kunnen worden.

Wat is jouw persoonlijke missie?

Op zakelijk vlak is dit het adviseren van CISO’s, CIO’s, directies en raden van commissarissen over security vanuit een business perspectief. Vaak hebben zij de techniek al onder controle, er zijn namelijk genoeg tools te koop. Het gaat dus niet meer om productvraagstukken maar juist over management vraagstukken. Hoe zorg ik ervoor dat ik beveiligd ben en wat is voldoende beveiligd? Hoe maken we het risico draagbaar tegen acceptabele kosten? Daarnaast zou ik meer awareness rondom security willen creëren. Zodat het management dit ook weer kan doorgeven aan de werknemers.

“Het is echt een kwestie van opvoeden.”

Binnen de organisatie waarin ik werk zijn we daar heel erg mee bezig. We hebben iedere week een ‘security awareness’ dag. Er hangen elke week andere posters en worden we gevraagd of het wellicht weer tijd is om de wachtwoorden te veranderen. Op onze laptops hebben we een driedubbele toegangscontrole met encryptie op hardware, username en wachtwoord en ook nog een access card met pincode. Dat is erg extreem en wellicht onnodig voor sommige organisaties.

“Maar awareness kun je altijd trainen en daar moet je als bedrijf dus ook altijd mee bezig zijn. Alleen zo zorg je ervoor dat het een gewoonte wordt.”

Kijk maar naar peuters op het schoolplein, die corrigeren zichzelf en hun klasgenootjes. Voorwaarde hiervoor is wel om gewenst gedrag positief te belonen en van de nood(zaak) een deugd te maken. Als dat lukt, corrigeren mensen elkaar en ben je als ondernemer minder kwetsbaar. Deze benadering vraagt een andere manier van denken en die gedachtegang hoop ik over te kunnen brengen. Op directieniveau wordt bij iedere stap nagedacht over winst maken, maar niet over hoe het bedrijf beveiligd is. Terwijl veiligheid cruciaal is om überhaupt winst te kunnen maken. Daarom verwacht ik dat CIO’s en DPO’s in de toekomst aan CISO’s gaan rapporteren. Zo kan de CISO een risicoafweging maken en vanuit daar kan de koers bepaald worden.

Hoe zie jij de toekomst van security?

Bedrijven die inspelen op de angst van de mensen gaan erg succesvol worden. Mensen zijn bang op het moment, de angst reageert. Er zijn nog nooit zoveel legale virusscanners verkocht als dit jaar. En met de naderende vergrijzing en de generatie Z (in 2020 bestaat veertig procent van de grootste wereldmarkten uit deze jongeren) die security voor lief nemen of niet begrijpen, gaan we nog de nodige incidenten meemaken. Op bedrijfsniveau voorspel ik dat veel MKB-ers zich gaan verzekeren tegen het risico van cybercrime en de boetes van AVG (GDPR). Er zullen dus veel meer verzekeringen komen rondom bedrijfssecurity en de bedrijven die door data analytics deze risico’s berekenen, plukken hier de vruchten van. Op het gebied van security gaan we naar authenticatie die alleen maar persoonlijk verifieerbaar is. Dus bijvoorbeeld met persoonlijke kenmerken zoals DNA en handpalmaders (Palm Veins). Daarnaast is het belangrijk te beseffen dat er veel verschillende meningen zijn in het security domein en dat we eigenlijk vooral van elkaar kunnen leren.

Dit artikel is geschreven door Diane Kwakman & Britt Willemsen 

Author: Diane Kwakman

Diane Kwakman is team manager bij Tergos; een specialistische recruitment organisatie uitsluitend gericht op IT Infrastructure & Cyber Security. Zij interviewt op regelmatige basis prominente CISO’s en Security Managers over hun visie op security. dkwakman@tergos.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *