Print:

‘Informatiebeveiliging? Dat is een doorlopend veranderprogramma!’

Rence Damming , Chief Information Security & Privacy Officer

LinkedIn profiel

‘Steeds meer mensen zijn met elkaar verbonden via het internet. Via het web wordt meer en meer gecommuniceerd en enorme hoeveelheden informatie uitgewisseld. Tegelijkertijd zien we dat de dreigingen op het internet toenemen. Er is een enorme stijging in cybercriminaliteit en deze wordt met de dag groter.’ Dat zegt Rence Damming, Chief Information Security & Privacy Officer bij Pon. We vroegen Rence naar zijn kijk op security leadship anno nu en wat deze ontwikkelingen betekenen voor de rol van de informatiebeveiliger binnen organisaties.

‘Deze ontwikkelingen hangen ook samen met de technologische innovatie die wereldwijd exponentieel groeit. Cybercriminelen gaan op zoek naar zaken die waarde hebben. Je ziet inmiddels ook dat organisaties die voorheen niet per definitie een target waren, dat nu toch geworden zijn. Dat komt omdat deze criminelen niet doelgericht op zoek gaan naar specifieke partijen die ze kunnen hacken, maar naar kwetsbaarheden in het algemeen. Deze kunnen overal zitten, ook bij ogenschijnlijk minder interessante ondernemingen. Zo hebben veel organisaties vandaag de dag bijvoorbeeld last van ransomware.’

CISO: ga het gesprek aan

‘Voor de rol van de CISO betekent dit dat deze op een andere manier wordt geacht na te gaan denken. De traditionele wijze waarop security tot op heden werd aangevlogen, dus vooral vanuit een beleidsperspectief, is niet voldoende meer. Het is heel belangrijk om op zoek te gaan naar je eigen risicoprofiel, naar je eigen kwetsbaarheden. Van de organisatie welteverstaan. Probeer vanuit een leiderschapsrol te kijken naar dit gebied en er een businesscase van te maken die je ook intern kunt uitleggen’, aldus Rence. ‘Dat betekent dus ook juist dat je mensen niet per se bang moet maken voor de gevaren online, maar dat je vooral wilt kijken naar wat de toegevoegde waarde van securitymaatregelen is. Neem de mensen in je organisatie daarin mee, zodat ze begrijpen waarom er bepaalde beslissingen genomen worden. Dan verloopt de discussie plots anders, omdat je inhoudelijk kunt gaan praten over wat je met elkaar kunt doen om schade te voorkomen. Samen kun je vervolgens kijken naar wat dan passend beleid is. Wanneer je dit open en transparant aanpakt is je organisatie meer bereid om de handen uit de mouwen te steken.’

Continue IT-discussie

‘Het is sowieso een gesprek dat continu voortduurt. Zo kun je aan het begin van het jaar een roadmap opstellen voor jezelf, maar ontkomt je er niet aan om steeds te kijken naar wat je focusgebied is. Het betekent continu keuzes maken. En in die keuzes zul je elke keer je operatie en je bestuur mee moet nemen, anders wordt het een beleid vanuit een ivoren toren. En we weten allemaal hoe dat werkt. Of liever gezegd hoe dat niet werkt. Maak het vooral ook meetbaar, het gaat erom dat je een

Return on investment (ROI) kunt aantonen. Een ROI die praktisch laat zien wat de maatregelen opleveren. En dat vereist een heel ander soort manier van leidinggeven. Laat daarbij vooral het traditionele top-down management los, maar ga naar een situatie die zich meer kenmerkt als bottom-up. Samen met je business ga je kijken naar wat de feitelijke risico’s zijn als het gaat om weerbaarheid’, zegt Rence. ‘Wanneer je een wat introverte informatiebeveiliger bent, dan was je tot nu toe prima in staat om de zaken allemaal netjes te organiseren en een heel duidelijk en helder beleid te schrijven. Dat is nog steeds prima, maar anno nu gaat het erom dat je ook in staat bent om de boodschap te verkópen. Je hoort wel eens zeggen dat de mens de zwakste schakel is in de wereld van ICT. Ik denk juist dat de mens de belangrijkste schakel is, je moet deze mens immers meenemen, anders werkt de technologie sowieso niet goed. Feitelijk is informatiebeveiliging niets anders dan een doorlopend veranderprogramma.’

De invloed van corona op de veiligheidsstrategie

‘Of de coronacrisis op dit moment om een aangepaste veiligheidsstrategie vraagt? Niet per definitie wat mij betreft. Ik denk dat de zichtbaarheid van security leader groter is dan voorheen, ook omdat steeds meer mensen (digitaal) thuiswerken. Je krijgt vooral te maken met andere beveiligingsrisico’s. Zo is het bijvoorbeeld belangrijk om te werken met multi-factor authentication, end to end encryption en ook om heel bewust om te gaan met het delen van informatie. Als het goed is, kun je impact maken als CISO. Natuurlijk kun je af en toe een keer een audit doen en een mooi framework schrijven. Maar waar het écht om gaat is de vraag welke impact je maken wilt? Wat mij betreft zijn mensen in deze rol visionairs. Zij werken vanuit een helder en goed uitgedacht toekomstperspectief. En ze zijn in staat om de rest van de organisatie daarin mee te nemen. Ook nu. Misschien wel juist nu.’

 

Meer weten over informatiebeveiliging, cybercrime en security leadership? Volg dan onze 6-daagse opleiding informatiebeveiliging of de 3-daagse Masterclass Ransomware: detectie, respons, preventie.