#04 - Het spreekwoordelijke spel van de verantwoordelijkheid (met Mark van Vliet)
Welkom, welkom, welkom bij aflevering 4 van de Keep Talking podcast. En in deze podcast ga ik wederom in gesprek met een SISO en niemand minder dan de SISO van de gemeente Utrecht, Mark van Vliet. En in deze vierde aflevering komt de spanningen aan bod tussen enerzijds als security professional bepaalde doelstellingen hebben, ambities hebben, een bepaald tempo voor ogen hebben en aan de andere kant de verantwoordelijkheid te willen leggen daar waar die ligt, namelijk in de business, in de lijn zogezegd. En die lopen vaak in een ander tempo. En ja, hoe ga je daar als CISO mee om in de praktijk?
Speaker 1:Blijf je je vasthouden aan je eigen implementatieplan, je tempo, je ambitie of voel je je gedwongen of genoodzaakt of ben je gemotiveerd om je aan te passen aan het van die business waarvan je immers zei dat die het stuur in handen hebben. Daarover heeft Mark zeker een mening. Waar ligt nou de verantwoordelijkheid voor informatiebeveiliging? Waar ligt het eigenaarschap? Wat volgt is hopelijk een interessant gesprek en ik wens je veel luisterplezier.
Speaker 1:Hey, een hele goede middag Mark. Goedemiddag. Goedemiddag, ja leuk dat jij in de podcast bent. Ja, en ik weet natuurlijk wie Mark is, maar degene die luistert heeft geen flauw idee. Dus wie is Mark?
Speaker 1:Wie zit er tegenover mij?
Speaker 2:Mark is ondertussen 3 jaar. In februari volgens mij was anniversary SISO van de gemeente Utrecht. En 7 jaar alweer, of 6 jaar sinds 2017 in ieder geval. Dus dat is 6 jaar denk ik, security officer bij de gemeente. Origineel begonnen via mijn gastheer, Renco Schoenmaker.
Speaker 1:Ja, wij kennen mekaar inderdaad van lang geleden. Dat ik op een gegeven moment zei, hé, er is een leuke klus ergens in Utrecht en daarna is het eigenlijk heel hard gegaan dan.'
Speaker 2:Ja, ja, dat de werkgever waar via ik ingezet werd werd overgenomen en toen zei de gemeente Utrecht van 'nou kom maar voor ons werken' en daaropvolgend besloot mijn SISO af te zwaaien. Toen hebben we even een programmamanager gehad, maar toen ging die positie open. Heb ik als gek op gesolliciteerd. Was laatst in Londen bij de Garden conferentie, daar noemden ze het SISO anonimous, omdat al die siso's dezelfde last op hun schouders Die ken ik nu 3 jaar, dus het is een leuke, doch uitdagende functie.
Speaker 1:Je hebt eerder aan mij bekend dat je sinds je siso bent meer grijze haren hebt gekregen.
Speaker 2:Ja, beduidend, Zo in mijn baard als in mijn slaap is het echt hard gegaan in
Speaker 1:de afgelopen 3 jaar.
Speaker 2:Maar is dit nu bedoeld
Speaker 1:als toch wel een soort reclame van het is een belijdeniswaardige job? Je zou ernaar moeten streven of het moet ambiëren of probeer je juist de mensen te temperen nu?
Speaker 2:Nou ja, je moet denk ik weten waaraan je begint, tot op zekere hoogte,
Speaker 1:maar je
Speaker 2:moet ook gewoon wel een zekere passie voelen om dit te gaan doen en ik denk dat het een hele mooie positie is binnen een organisatie om dingen te veranderen en te verbeteren als je voorbereid bent op dat het wel echt een afscheid is van alleen maar, nou ja soms het leuke inhoudelijke wat informatiebeveiliging vaak in de start meebrengt en overgaat naar heel veel gesprekken met managers en leidinggevenden en en in ons geval, ik werk voor de stad Utrecht, de raad en het college en dat soort mensen, dat dat is wel een ander spelletje.
Speaker 1:Ja, er komt eigenlijk een hele dimensie bij waar je eerder eigenlijk nauwelijks mee te maken had die juist nu een groot deel van jouw tijd vraagt.
Speaker 2:Ja, vroeger ging het heel veel om de inhoud en gewoon het proberen met een team die zelf een verandering wil doormaken te kijken hoe doe je dat dan goed.
Speaker 1:Een team binnen een afdeling bedoel je dan waar je gepositioneerd Precies.
Speaker 2:Ik kwam emotioneel bij de bijstandsafdeling vandaan, werk en inkomen. Best groot, ik denk 5 600 man. Gebeurde heel veel
Speaker 1:dus constant
Speaker 2:was daar wel verandering maar dan stonden mensen aan je bureau van hey Mark hoe gaan we dit doen hoe gaan we dit goed inrichten en ja daar was ook zendingswerk te doen maar nou binnen deze functie moet je over de organisatie heen kijken naar oordeel vellen over hoe gaat het, hoe doet iedereen het en dat moet je vervolgens af gaan stemmen met hoger management. Is echt een ander spel. Dan komen ze nog steeds met die vragen overigens, zoals wat moeten we met TikTok, wat moeten we met cloud?
Speaker 1:Maar dat zijn dan nu andere mensen die met die vragen komen? Dat zijn misschien Diesel collega's die die vraag vanuit de bedrijfsvoering krijgen en zoeken naar houvast of richting?
Speaker 2:Ja, alles van dat het uit de politiek komt. Dus een raad hoort wat in de media en zegt wat gaan we ermee doen tot bestuurders die zeggen hey ik wil ergens wat mee tot inderdaad die zo of ook een fg die die komt met heden is een groot dossier hier moeten we
Speaker 1:wat mee.
Speaker 2:Je bent natuurlijk als siso denk ik ook wel een voelspriet voor je organisatie in de maatschappij, dus ik heb toegang tot veel meer informatie nu dan dat ik had toen ik een DISO was, decentrale security officer, wij noemen die binnen Utrecht DISO's.
Speaker 1:Nu is de C van
Speaker 2:centraal, chief,
Speaker 1:centraal, concern. Inderdaad,
Speaker 2:we zijn ook allemaal langs gekomen.
Speaker 1:Corporate kan ook nog.
Speaker 2:Corporate binnen een gemeente organisatie is niet zo gebruikelijk.
Speaker 1:Nee, wij
Speaker 2:zijn geen corporate organisatie, maar je moet het dus ook wel echt naar binnen halen. Men kijkt wel naar mij om bijvoorbeeld iets als de NIS2 of de Bio veranderingen of de NCA veranderingen die er allemaal aankomen. Ja, ik ben wel een primaire voelspriet richting de maatschappij om te zeggen jongens hier gebeurt wat, hier moeten we wat mee.
Speaker 1:Dat staan 2 richtingen op. De zin dat je een onderdeel zou kunnen uitmaken van een lobby om de richting waarop dat gaat landelijk mede te beïnvloeden. Dat is dus van de gemeente Utrecht naar buiten toe, maar andersom ook in welke vorm uiteindelijk komt die ook op de gemeente Utrecht af en wordt er naar jou gekeken van Mark hoe gaan we dit varkentje wassen binnen de gemeente Utrecht?
Speaker 2:Ja, en dan dus weer niet alleen inhoudelijk maar ook bestuurlijk en financieel gezien. Het speelveld van waar je als CISO naar kijkt van hoe gaan we dit managen is veel groter dan alleen maar het informatiebeveiliging gedeelte. Dan komt het organisatie technisch en het instrumentair.
Speaker 1:Je hebt 100 procent van je tijd te besteden, hoeveel procent van die tijd kan er nou snaam nog naar de inhoud gaan? Dit
Speaker 2:is wel een beetje een gewetensvraag en ook wel iets waar ik af en toe aan probeer te werken, maar een minderheid. Ik denk 10, 20, soms 30 procent als ik mijn agenda vrij te maken voor een onderwerp wat echt belangrijk is, maar ik zit toch wel heel veel in meetings. Zit heel veel in podcasts met met Renko Schoenwijn.
Speaker 1:Nou ja, misschien is dit deel 1 van een reeks hè, weten wij veel. Nou ja, ik heb, je refereerde er al aan. Ik heb ook voor de gemeente Utrecht gewerkt als consultant. Ik ben ook de DISO die al eerder aanhaalde. Wat jij bent geweest.
Speaker 1:Ik ben ook zelf DISO geweest, dus ik heb er enig gevoel bij. Veel gemeentes zullen niet een D variant hebben van een DISO. Die hebben een CISO en misschien nog een ISO. Soms noemen ze het ook een TISO, een technische security officer. Kan je iets vertellen over hoe de security organisatie in de gemeente Utrecht eruit ziet en uit componenten die
Speaker 2:wij zijn een beetje een vreemde eend in de bijt in ieder geval op G4 dus
Speaker 1:de 4 grote steden niveau
Speaker 2:want wij hebben voor het overgrote gedeelte de security en de privacy takken met elkaar verweven dus wij hebben zo'n 20 organisatie onderdelen als ik het zo uit mijn hoofd noem en daarin zitten IPM teams die de.
Speaker 1:Maar wat betekent dat IPM?
Speaker 2:De informatie en procesmanagement team.
Speaker 1:De I-kolom zeg maar, als ik het zo Precies,
Speaker 2:ja. Dus er zit een manager voor de informatieverandering in en die heeft in zijn team een aantal mensen zitten van record managers die zich met de het bewaren van informatie bezighouden security officers die dus en over de privacy en over de informatiebeveiliging gaan.
Speaker 1:En informatie adviseurs zitten ook in die zelfde club?
Speaker 2:Ja precies die zitten dus door de hele organisatie heen vervolgens hebben we binnen onze IT afdeling die heet Domstad IT hebben we een aantal security clubs zitten. Daar zit een meer tactisch team het expertteam gegevensbescherming die een beetje beleid maakt en die de verschillende voorzieningen binnen die IT-afdeling helpt met hoe richt ik nou een teams omgeving goed in en veilig We hebben dan nog een team dat heet IT4IT en dat doet een aantal dingen, wat het ook doet is onze security monitoring zaken monitoren. Daar zit een SOC achtig team in ook
Speaker 1:op het
Speaker 2:moment aan het uitbreiden en herstructureren zijn. Je ziet dat sommige plukjes dan ook nog binnen die voorzieningen zelf gedaan worden. Bijvoorbeeld onze voorziening werkplek doet wat meer aan eigen scanning dan andere die dus meer van IT4IT afhankelijk zijn.
Speaker 1:En de Domstad is dus de interne IT-dienstverlener? Precies. Oké, dus aan de ene kant hebben we de organisatieonderdelen waar eigenlijk decentraal een aantal posities zitten waaronder de DISO positie We hebben bij de interne ICT organisatie Domstad IT, daar zitten een aantal praktische en meer operationele security functies.
Speaker 2:Er zijn nog 2 dan dan hebben we een CIO office, de strategen club van onze CIO daar zitten ook ik en mijn collega Ivo de Staal in dus zij is de chief privacy officer ik ben de chief information security officer en wij besturen samen het vakgebied wat we gegevensbescherming noemen.
Speaker 1:Dat is een term die ik natuurlijk ook in het jaarverslag voorbij zie komen. Een gebundelde term die wel een mooie vondst vind ik het wel.
Speaker 2:Daaronder zit dan nog een centraal team, wij noemen dat ook wel een groot gedeelte van het team bestaat uit vliegende DISO's.
Speaker 1:Een VDISO? Is steeds mooier.
Speaker 2:Als we niet nieuwe termen blijven en nieuwe afkortingen blijven verzinnen binnen de gemeente Utrecht, dan hebben we eigenlijk een dag niet geleefd. Dus elke dag een nieuwe afkorting en dat is geboren uit dat we zagen van hey we krijgen extra capaciteit, we hebben extra capaciteit nodig in de organisatieonderdelen, maar het zijn er 20, dus 20 mannetjes daar overal bij zitten is niet realistisch, dus we bouwen een centraal team die dan decentraal kan ondersteunen.
Speaker 1:Dus eigenlijk flexibel dan ook flexibel kan ondersteunen?
Speaker 2:Precies en daar zie je dat dingen aan vastgroeien dus daar zit ondertussen een bewustwordingspersoon in, zit een wat meer beleidsmatig persoon in en er zit ondertussen sinds februari wil ik zeggen een senior adviseur gegevensbescherming in die als taak heeft om al die decentrale mensen, ja hoe moet ik het zeggen, beter te begeleiden dan dat mijn agenda met die 10 tot 20 procent voor de inhoud toestaat.
Speaker 1:Dat moet eigenlijk voor jou wel een opluchting zijn geweest dat je in dat opzicht wat van dat soort werkzaamheden kan overdragen naar iemand. Want eigenlijk, of je dat nou aan toe kan of niet, maar tussen de regels door lag die taak eigenlijk die dan eerst ook bij jou.
Speaker 2:Ja, het is en heel jammer want ik moet zeggen het begeleiden van mensen vind ik leuk, het heeft me de laatste 3 jaar af en toe ook wel pijn gedaan dat ik dan gewoon zie dat ik daar onvoldoende aan toe kom en dat er heel veel vraag is en dat dat mensen het moeilijk hebben en dat beste ingeweten dingen doen waarvan ik denk als ik 10 minuten aan tafel had gezeten dan had het makkelijker gelopen.
Speaker 1:Dus
Speaker 2:dit is zeker een opluchting. Denk gewoon goed voor de kwaliteit van de organisatie en tegelijkertijd met oog voor dat wij het decentraal willen houden. Gemeente Utrecht is een decentraal opgezette organisatie dat heeft nadelen. Soms is het zeker op securitygebied makkelijker als je dingen naar je toetrekt en centraal kan zeggen zo gaan we het doen, maar het is in de filosofie van de gemeente dus dan heb je daarmee te dealen en op die manier proberen we dan de problemen die je ziet met een decentrale organisatie wat te verzachten zonder daar de krachten van te verliezen.
Speaker 1:Ja want het voordeel is denk ik dat die decentrale security slash privacy officers, ja die kennen hun organisatie onderdeel natuurlijk vrij goed. Daar maken ze onderdeel van uit. Ze horen ook echt in dat organisatie onderdeel. Dus dat is denk ik een groot pluspunt, maar ze staan daarmee weer verder van jou af. De zin jij en jouw team op concern niveau opereren en eigenlijk je noemde of ik je hebt het al genoemd of ik ga hem nu introduceren als je een bepaalde uitvoeringsagenda hebt.
Speaker 1:Je hebt als Cizo, je ziet het op je afkomen, je wil dat de organisatie in krijgen, dan zou dat makkelijker kunnen zijn als je iedereen zeg maar in 1 team hebt en eigenlijk ook hiërarchisch aanstuurt. Het is altijd ja wat is dan wijsheid? Aan de ene kant voeg je denk ik meer waarde toe door mensen decentraal te positioneren, maar ik kan me voorstellen dat het voor jou af en toe lastig is om dingen op korte termijn gedaan te krijgen omdat jij moet het doen met gebundelde capaciteit en expertise die eigenlijk op meerdere plekken in de organisatie is ondergebracht.
Speaker 2:Ja, tegelijkertijd ga je als je ze decentraal zet denk ik aanlopen tegen waar wij op zich ook tegenaan lopen maar je doet informatiebeveiliging nooit als een in je eentje als security kolom je doet het altijd met de business je gaat een autorisatie matrix niet opstellen achter een bureau tafel althans misschien wacht een bureau tafel maar op zijn minst met een manager die je kan vertellen wie waar bij mag.
Speaker 1:Onontbeerlijk ja.
Speaker 2:Dus ook als je het centraliseert, gaat altijd tegen aanlopen dat je dat je in de keten mensen nodig hebt naar wiens capaciteit je op zoek zal moeten.
Speaker 1:We hebben niet in de luxe in dat opzicht dat we een informatie desk kunnen maken waar iedereen zijn vragen op kan. Dat zou je best kunnen centraliseren. We hebben gewoon een office waar alles binnenkomt en dan gaan we al die vragen oplossen. Maar ja, moeten ik als security adviseur. Ja, we moeten ook de boeren op.
Speaker 1:We moeten ook die business helpen omdat ze ook niet altijd goed uitkomen en ook niet goed aan toe komen en dus het vergt een wat meer proactieve houding en dan is het wel winst als je dichtbij zit. Ja, ik denk
Speaker 2:dat dat ook wel echt het leuke is aan ons werk. Je mag constant en af en toe het uitdagen maar je mag constant mensen uitleggen van wij komen iets brengen wij komen probleem voor je oplossen soms weet je niet helemaal wat dat probleem is of goed eruit ziet of hoe diep het gaat dus daar komen we je bij helpen maar wij komen iets veranderen met jou en daar heb jij wat aan. Dat is meer dan alleen maar achter je bureau wederom hele hele academische problemen weg zitten werken. Het is heel erg mensenwerk en daarmee overtuigen, meenemen, uitleggen en een beetje een evangelist Dat moet je wel zijn. Zeker in mijn rol, maar sowieso in een security officer rol die zo gepositioneerd is als die DISO's bij ons dan moet je echt wel een beetje evangelist zijn.
Speaker 2:Dat is wel anders bij dat expertteam. Iedereen in die IT-afdeling snapt inherent het belang van die systemen veilig houden. Die manager aan Microsoft Teams die vindt het niet leuk als die een datalek heeft op Microsoft Teams en die snapt dat hij verantwoordelijk is.
Speaker 1:Dan heb je minder zendingswerk te verrichten wil je En
Speaker 2:dat zendingswerk in de in de business gaat best wel ver en dat zeker bij een bij een organisatie waar waar gedeelte van de management ook wat ouder is of of in ieder geval wat minder technisch gericht heb je gewoon best wel veel uit te leggen voordat mensen echt snappen van ja a hier ben ik van b dit is het probleem c
Speaker 1:ik moet ook echt er iets op doen. Ik kan niet alleen wat tot me nemen maar er wordt ook iets van mij gevraagd.
Speaker 2:En wat dan? En hoe bied je dan die mensen het comfort dat ze dat ook willen gaan doen met jou?
Speaker 1:En die mensen dan refereer je naar die lijnmanagers naar de afdelingshoofden, de directeurs?
Speaker 2:Ja ik denk alles van teamleiders die hun medewerkers aan moeten spreken op goed gedrag tot directieraadleden die beslissingen moeten nemen over hoe gaan wij om met allemaal ontwikkelingen zoals cloud beleid waar dan van de overheid beleid op komt waar wij dan wat mee moeten.
Speaker 1:Je mag een beetje smokkel mogelijk ook 2 zijn, maar wat is nou het lastigste onderdeel van jouw werk? In de zin dat je zo van nou dat was een taaie meeting ofzo maar als je nou even uitzoomt over een langere periode. Zei net bijna af, je bent nu ruim 3 jaar. Ziezo, als je nu achterom kijkt. Wat is nou het meest stekelige vraagstuk wat steeds weer oppopt in verschillende verschijningsvormen wat het minst goed gemanaged krijgt?
Speaker 2:Ja, ik zou zeggen prioriteiten stellen. Ik ken het bredere gemeentelandschap niet heel erg dus ik extrapoleer hier een beetje wat ik bij de gemeente Utrecht zie naar andere gemeentes, maar ik heb altijd wel het idee dat gemeentes voor een lastige opgave staan want je hebt heel breed dingen te doen. Je bouwt niet alleen auto's, je doet op allemaal facetten van de bijstand tot gezondheidszorg tot verkeersmanagement in de stad. Je moet van alles doen, heel veel.
Speaker 1:Je
Speaker 2:hebt ook beperkt budget, dus een gemeente moet moeilijke keuzes maken tegelijkertijd hebben ze een politiek speelveld boven zich dat scherpe keuzes maken niet altijd makkelijk maakt dus dus je zit al in een speelveld waar dat lastig is. Het is gewoon echt moeilijk om te zeggen dit gaan we wel doen en dit gaan we niet doen. Dan kom je er nog eens bovenop als informatiebeveiligingslaag van hey wij en niet alleen informatiebeveiliging het is informatiemanagement in de brede zin bij ons want wij hebben ook grote uitdagingen op bijvoorbeeld informatiebeheer en archivering en op vernietiging.
Speaker 1:Dat dat IPM wat je noemde. Je noemde een aantal functies eerder die daaronder vallen onder die onder dat team maar dat zou je kunnen zeggen dus dat samen is informatiemanagement.
Speaker 2:Daarbinnen moet je dan scherp gaan kijken wat ga ik wel en wat ga ik niet doen om er en daar moet je vervolgens goede afspraken over maken door de hele lijn heen zodat je die hele beperkte middelen die je hebt goed in kan zetten om daadwerkelijk iets aan verandering te bereiken want als je dat niet doet dan ben je constant water aan het trappelen op 30 dossiers in plaats van dat je op 5 dossiers daadwerkelijk meters aan het maken bent.
Speaker 1:Moet ook wel, tenminste uit mijn eigen ervaring is als je veel dingen tegelijk doet en je doet ze eigenlijk allemaal net niet goed genoeg, dat voelt ook heel onbevredigend. Ik moet dan direct denken aan het naïeve idee wat ik had dat toen ik kinderen kreeg dat ik dan dacht dat ik ook nog kon thuiswerken met als dit moet hopelijk voor een aantal mensen een aansprekend voorbeeld zijn dat je dan aan het einde denkt nou, ik was eigenlijk niet echt er voor mijn kinderen maar ik heb mijn werk ook niet fatsoenlijk kunnen doen. Dus het is een heel frustrerende combinatie. Dus als je op veel dossiers bezig bent en je rond nooit eens een keer wat af, heb af en toe die positieve feedback nodig. Toch een soort hormonen komen in de vrije, ik weet niet wat er dan gebeurt, ik wil gewoon dingen af kunnen strepen.
Speaker 1:Ik weet
Speaker 2:nog dat ik in mijn sollicitatiegesprek met mijn CIO toentertijd zat en dat ze vroeg waarom ga je dit doen en toen zei ik, omdat ik denk dat we waar we zitten in het verandertraject nu echt veranderingen aan het maken zijn, ik ook echt daar iets aan bij kan dragen en dat ik kan zorgen dat we dus over een aantal jaar een stap verder zijn gekomen dan dat we nu staan. Dus daarmee misschien niet zo raar dat de dingen in de organisatie die dat tegenwerken, dat dat wel constant mijn grote aandachtspunt is.
Speaker 1:Wat krijg jij dan bijvoorbeeld niet goed voor elkaar wat je wel zou willen? Waar stokt de uitvoering van jouw plannen?
Speaker 2:Wij hebben de afgelopen jaren gewerkt aan een aantal centrale kaders op basis van de ISO 27001 of de bio, dus dan moet je denken aan alles van toegangsbeveiliging tot encryptie tot logging en monitoring. Je ziet dat zeker de kaders die je dan decentraal op moet zetten, die krijg je lastig weggezet.
Speaker 1:De kaders die je decentraal moet opzetten.
Speaker 2:Dus laat ik dat iets concreter maken. Neem toegangsbeveiliging. Wat je graag wil, en ik weet het jongens, is een utopie, maar wat je graag wil is dat al je applicaties een autorisatiematrix hebben en dat het grootste gedeelte van je applicaties aan een centrale voorziening hangen die vervolgens die autorisatiematrix automatisch op basis van je HR-administratie in en uit zet.
Speaker 1:Dat klinkt goed.
Speaker 2:Vervolgens wil je dus ergens beginnen, gedeeltelijk met het onboarden van applicaties en het gedeelte met het aanmaken van die autorisatiematrixen. Dan wil je dat al die organisatieonderdelen zeggen: dit zijn mijn belangrijkste applicaties en langzaam ga ik daar al die matrixen voor bouwen.
Speaker 1:Ik heb zo'n gevoel dat we zo meteen op het moment gaan komen dat jij zegt maar in de praktijk gaat dit niet zo.
Speaker 2:In de praktijk gaat dit niet zo. Dus wat zie je? Je ziet dat er in de praktijk een aantal organisatieonderdelen zijn die zeggen hey ik zie dit probleem ik wil hier wat mee ik ga hiermee aan slag. Beste organisatie, centrale organisatie help mij want jij hebt een een of ander hoog over beleidskader geschreven dat kan ik niet je moet me helpen dat vertalen. Vervolgens zie je dat er andere organisatieonderdelen denken van hey daar is een mooie knikker ik ga even een andere kant op en daarmee bedoel ik dat ze bijvoorbeeld heel hard gaan werken aan de verkiezingen of heel hard gaan werken aan de NOW-regeling rond het rond coronasteun dus dus dat er gewoon andere prioriteiten zijn.
Speaker 1:Begrijpelijk ook wel. Moet ook gewoon soms natuurlijk. Soms is het ook misschien wel leuker. Daar kan ik
Speaker 2:niet in kijken. Daar ben ik ook niet per
Speaker 1:se van.
Speaker 2:Je krijgt als centrale security officer een taak mee om dit voor de hele organisatie geregeld te krijgen. Dan is het lastig om aandacht te geven aan de organisatieonderdelen die willen en de organisatieonderdelen die niet willen om daar dan iets voor te regelen. Dus in de praktijk ben je heel veel bezig met zorgen dat iedereen eens een keer wil beginnen.
Speaker 1:Maar wordt dan het tempo niet te veel bepaald door het organisatieonderdeel wat het langzaamst gaat of wilt?
Speaker 2:Precies, is ook de reden dat we in Utrecht een beetje van die wij kwamen van een lijn toen ik begon van maar we maken een centraal programma, daar zetten we een aantal onderdelen in waarin je moet gaan werken en vervolgens gaan we daar centraal op sturen. We zagen dat met dat security steeds volwassener werd steeds minder gebeurde aan die centrale zaken die moesten gebeuren, want het begin was het opzetten van risicomanagement, het uitvoeren van risicoanalyses,
Speaker 1:het
Speaker 2:bewust maken en dat wilde iedereen nog wel gaan doen want niemand had een goed idee van waar moesten ze heen en vervolgens had iedereen een beeld van hey ik heb hier eigen decentrale risico's waarmee ik aan de slag wil en vervolgens willen ze centraal ook nog dat ik dingen gaan En je zag dat er daarmee dingen begon te verwateren dus mensen hadden meer tijd nodig voor hun de problemen binnen hun eigen organisatie-onderdelen minder tijd over voor wat wij centraal zeiden en daarmee hebben wij op een gegeven moment bedacht wij gaan dit anders proberen aan te tillen.
Speaker 1:Maar ben je dan niet gewoon een slachtoffer van je eigen succes geworden? Want het klinkt als we hebben iets centraal opgezet eigenlijk is dat overgenomen, doorvertaald, vastgepakt vanuit die verschillende organisatie onderdelen. Jij hebt inmiddels je programma misschien uitgebreid of je wil een volgende stap zetten en die organisatieonderdelen zeggen ja maar ho ho wacht even, wij zijn echt nog druk met deel a van jouw plan. Dus in dat opzicht kan je, ik probeer even de silver lining te
Speaker 2:gaan Eens. Ik denk dat je dat het een probleem wordt als je dan vast blijft houden aan hey wij blijven centraal opzetten wat de volgende stap is voor jou en die blijf je moeten doen.
Speaker 1:Ja dus je moet eigenlijk differentiëren je moet eigenlijk onderscheid maken tussen een club die misschien sneller kan of sneller wil. Dat weten we dan niet altijd natuurlijk. Maar feit is dat er een verschil zit in het tempo wat mensen kunnen en willen lopen. Daar wordt jouw job wel wat lastiger van, ik. Want je moet daar dus accepteren dat daar Tenminste, ik stel me zo voor dat je dan als je die directeuren bij elkaar zou zetten, ik zeg het wat oneerbiedig hè, maar het zijn er wel 20 hier zelfs.
Speaker 1:Dus dan is het natuurlijk leuk als iemand zegt: nou, ik heb dit, ik heb dit gedaan en ik heb dit gedaan. Dan zegt ook iemand niks, want die heeft eigenlijk niks gedaan, weet je wel. Als je dat dan dat dat proef je dan toch van die had dus ook iets moeten doen, maar als je zegt ja, dat is een soort gedifferentieerde aanpak, dan ja, dan kom je er ja, om het maar zo te zeggen, kom je er ook makkelijker mee weg om dan dus niks te doen, want dat zou ook een effect kunnen zijn. Ja, we hebben een gedifferentieerde aanpak en wij lopen minder hard. Dus ja, wij zijn er nog lang niet en dat is oké.
Speaker 1:Maar dat is voor jou misschien wel helemaal niet oké.
Speaker 2:Ja, dat is precies inderdaad je moet gaan schakelen je moet een andere manier gaan bedenken om mensen aan te sturen. Gelukkig hoef je dat niet helemaal zelf te doen want er zijn hier ook modellen voor. Ik was vorig jaar op een garder conferentie die daar een heel model had over hoe kan je nou inzichtelijk gaan maken voor je hogere management wie hoe hardloopt, op welke problemen ten opzichte van de risico's die ze daadwerkelijk oplopen.
Speaker 1:Dat wel goed.
Speaker 2:Maar voordat je dat
Speaker 1:geïmplementeerd hebt ben je ook verder.
Speaker 2:Wij hebben dus wel gedacht van hey we gaan een stap maken van centraal zegt je moet dit naar centraal zegt je moet over een aantal centrale risico's. We hebben een centraal risicolog met daarop een 8 verschillende hele grote brede punten. Daar moet je er een paar van meenemen in jouw jaarplan. Vervolgens mag je daar je eigen risico's mag je daarbij
Speaker 1:doen. Die zijn specifiek voor het organisatie en
Speaker 2:dan wil ik dat je zegt wat je gaat doen en vervolgens dus je moet op die, er zijn er dit jaar 4 geweest, moet op die 4 centrale risico's zeggen of je er wat aan gaat doen en wat je eraan gaat doen en welke capaciteit je eraan besteedt net zoals de rest en vervolgens moet je wat je daarin staat moet je uit gaan voeren en dat is jouw opgave voor dit jaar vervolgens neem ik alles wat in al die centrale decentrale plannen geschreven is neem ik mee dat gaat met een sausje vanuit de CISO en de Chief Privacy Officer naar het management en dan gaan we daar het gesprek voeren over 'lopen die directeuren hard genoeg'.
Speaker 1:Dus je bent eigenlijk wat minder voorschrijvend geworden, het ambitieniveau mag meer bepaald worden door de directie zelf van het organisatieonderdeel.
Speaker 2:In gesprek met de centrale directieraad. Dus de centrale directieraad heeft onder de gemeentesecretaris die heeft natuurlijk bepaalde ambities die zal daar bepaalde dingen voor moeten doen.
Speaker 1:Er is een zekere bandbreedte. Je kunt niet zeggen mijn ambitie is dat ik 0 doe.
Speaker 2:Nee, dat kan totdat je dus in het realisatie gesprek met je met je bedrijfsdirecteur een aantal themadirecteuren op directieraad niveau, het goed is vindt daar dan het gesprek plaats over hoe dat gaat en daar moeten wij moeten daar de informatie voor leveren. Ik denk ook dat binnen het model waar wij zeggen in zaken als de ISO van hey de lijn is verantwoordelijk, zij hebben het geld, zij hebben ook uiteindelijk de benefits van al deze zaken, hun applicaties werken. Ik denk dat je wel zuiverder richting dat model gaat binnen zo'n soort stelsel. Dat je niet meer gaat zeggen van je moet dit doen alleen dat je wel duidelijk gaat maken als je dit niet doet dan zijn dit de consequenties. En dat gesprek over of die consequenties acceptabel zijn moet tussen de lijnmanagers plaatsvinden maar jij moet daar weer de handvatten en inhoud en de de backing voor geven zodat ze dat gesprek kunnen voeren.
Speaker 2:Wat betekent het nou als we ons autorisatie beheer niet op orde hebben? Maakt dat uit? Hoe erg is dat? Zitten daar daadwerkelijk incidenten onder of of is het toch altijd maar een beetje ja het zou moeten volgens het boekje maar als we het niet doen gaat er niks mis? Dat soort duiding.
Speaker 1:Voelt iemand echt dat beveiligingsmaatregelen daar tijd en geld en energie in menskracht insteken? Mensen zelf het gevoel als we dat doen, dan voorkomen we reële problemen. Dan gaan we risico's die echt heel een grote kans hebben om zich te manifesteren, die reduceren we door er middelen op in te zetten en op het moment dat dat een theoretische gedachte oefening blijft en een soort compliance saus krijgt, Ja, ik vind het dan niet raar dat mensen niet enthousiast weglopen met zo'n idee. Vind het wel heel consequent van je dat je zegt ja die bio staat eigenlijk vol met de lijnmanager dit, lijnmanager dat, de lijnmanager zus en de lijnmanager zo en dan kan je eigenlijk aan de andere kant niet gaan zeggen ja dit moet je doen en dit moet je doen. Als ik naar die lijnmanager ben, ik heb net mezelf 387 keer bij wijze van spreken in die bio teruggelezen en toch lijk jij nu de regie te nemen of waar ik toch van was?
Speaker 1:Dan moet je het uit elkaar trekken, dan faciliteer jij het afwegingskader zou je kunnen zeggen. Maar je geeft de ruimte terug aan die lijnmanager. Maar dan de keerzijde van die medaille is wel dat je tot op zekere hoogte ook moet accepteren dat daar dan dus keuzes gemaakt worden die jij als liefhebber, als echte informatiebeveiliger, waar jij moeite mee hebt. Dat je denkt, ja, dat wordt dus niet gedeeld. Ik vind dat super belangrijk en een directie oordeelt anders.
Speaker 2:Ja, dat is heel moeilijk maar ik denk dat je dat gedeeltelijk altijd hebt totdat je naar een organisatie gaat waarin je zegt security is zijn eigen kolom heeft zijn eigen budget en heeft een macht om een afdeling binnen te stappen en zeggen nou is het klaar je stopt ermee, trek de stekker totdat je dat soort structuren op gaat tuigen zal je er altijd moeten accepteren dat jij niet de keuze hebt over het geld en niet de keuze hebt over wat er echt gebeurt. Je houdt jezelf ook een beetje voor de gek. Zou
Speaker 1:je dat willen? Zoals je net beschrijft dus een eigen kolom met een eigen budget en meer dwingende kracht om in te grijpen of iets gedaan te krijgen. Zou je dat willen?
Speaker 2:Het gaat weer terug naar waar ik mee begon toen jij me vroeg hoe de gemeente Utrecht georganiseerd. We hebben een decentraal model en we proberen daar de problemen een beetje van te managen. Aan het eind van de dag heb je een model, maak je daar een keuze voor en zitten daar voor- en nadelen aan. Zou het mij prettig lijken soms dat ik die dat ik die macht heb en dat mag. Nou daar komen ook allemaal verantwoordelijkheden mee bij en waar je tegenaan loopt.
Speaker 2:Dus als je de macht weghaalt bij De Lijn dat je dus ook dat De Lijn vervolgens niet gelukkig gaat zijn met wat er gaat komen. Dat zie je eigenlijk altijd als het centraliseren, als we het nieuwe applicatie ontwikkelen, centraliseren en daar onze gebruikers niet bij betrekken. Wat gebeurt er? We bouwen een mooie applicatie voor doet aan alle richtlijnen en kaders die we geschreven hebben. Gebruikers kunnen er niet mee werken.
Speaker 2:En dat zie je op dit soort dingen ook gebeuren. Ik ben echt bang dat als ik ik zeg geef alle macht maar aan Mark dat er gewoon niks meer gaat gebeuren. Want ik kan vanuit mijn functie dan ook niet gaan zeggen laat het maar doen. Ik denk dat dat een van de belangrijke punten is. Ik kan die afweging niet maken tussen het bedrijfsbelang en het securitybelang.
Speaker 2:Ik ben immers aangesteld voor het securitybelang. Dat is mijn baan. Terwijl die manager in de lijn bij ons dan, hoe het in onze mandaatregister staat, is verantwoordelijk voor allebei. Die is verantwoordelijk voor de beveiliging en voor het uitvoeren van zijn taak. Daarmee als er iets misgaat, is het ook bedoel, gaan ze ook naar de CISO kijken, begrijp me niet verkeerd.
Speaker 2:Maar dan is die lijnmanager wel zelf aansprakelijk. Zeker onder iets als de NIS 2 worden hogere managers zo meteen zelf aansprakelijk voor dit soort zaken. Gewoon juridisch gezien.
Speaker 1:Dus eigenlijk die NIS 2 die onderstreept wel het model zoals het nu is. Je hoeft de boel niet op de schop te doen. Het zet eigenlijk een dikke streep onder de organisatorische keuze die al eerder gemaakt was en dat is dat die directies van die organisatieonderdelen verantwoordelijk zijn voor de hele tent en dus ook integraal voor security en privacy.
Speaker 2:Ik denk ook dat bestuursaansprakelijkheid gedeeld uit NIS2 is voor mij nog niet helemaal uitgekristalliseerd op gemeentegebied. Wie wordt dat dan precies? Maar ik kan me ook voorstellen dat je je organisatie zo zet dat op directieniveau bijvoorbeeld een Ciso mag, een andere C-titel verantwoordelijk is voor het hele bubs van security en dan daar ook alle macht voor heeft. Dus ik denk niet dat dat per se de modellen allebei binnen zo'n zo'n te persen zijn maar dat dit wel zuiver is binnen zowel de NIS als binnen de bio om het zo te gaan doen. Ik denk ook echt wel dat je dat die af.
Speaker 2:Kijk, aan het eind van de dag, sorry dat ik mezelf onderbreek, aan het eind van de dag doen we security niet voor securities zeker. We doen security zodat de bedrijfsvoering door kan blijven gaan. Afweging met de bedrijfsvoering, dat is echt wel heel erg belangrijk. Wat je alleen ziet is dat die managers die bedrijfsvoering wel beter snappen dan die security. Daar hebben wij een hele grote taak om hun mee
Speaker 1:te nemen. Dat was de vraag die mij opkwam nog van pakken ze het ook aan. Je gaat eigenlijk een heel eind mee, dus je laat een deel van misschien je ideale security doelstelling, tempo, weet ik veel ambitie, daarvan zeg je joh ik moet in de eerste plaats aansluiten bij die business. Dat is zij worden er veel meer verstand van, ze zijn er ook verantwoordelijk voor. Dus het is logisch dat ik me bij hen aansluit.
Speaker 1:Meub bedoel ik in brede zin de security kolom al even bij. Pakken zij het ook aan? Voelen zij dat ook zo? Het gaat er niet om een bepaald onderdeel bij naam te noemen, helemaal niet. Maar in mijn ervaring staat natuurlijk dat primaire proces met stip op 1 en terecht.
Speaker 1:Dat kan dienstverlening zijn naar een burger of wat dan ook. De randvoorwaarden zou je kunnen zeggen is informatiebeveiliging. Maar wat is jouw ervaring? Het ook overgenomen? Lukt het om van een moetje naar een willen te kunnen komen?
Speaker 2:Ik denk dat er 2 dingen over te zeggen zijn althans dat ik er 2 dingen over zou willen zeggen. De eerste is dat de gemeente dan ook weer een interessante mengelmoes is van verschillende dingen die we doen en dat je ziet dat in die mengelmoes verschillende bloedgroepen dat heel verschillend oppakken. Dus ik ga 1 onderdeel bij naam noemen, omdat die het goed doen. Dat is volksgezondheid. Je ziet dat binnen het gezondheidsdomein er gewoon heel veel aandacht is voor veiligheid van gegevens.
Speaker 2:Waarom? Het zijn medische gegevens, zij hebben allemaal beroepscodes, er zit heel veel intrinsieke motivatie bij die mensen om dat doen. Dus dat gebeurt hier en daar wel degelijk alleen niet overal hetzelfde en het risicoprofiel is ook niet overal hetzelfde dus het hoeft niet overal gelijk. De tweede is security is niet zo oud. Ik was wederom op die Garden conferentie waar ze zeiden dat de eerste Ciso was uit de jaren 90 of 80 van de vorige eeuw.
Speaker 2:De eerste CFO ergens op papier was uit 1400. Dus die CFO's weten precies wat ze moeten doen. Die CISO's hebben vaak nog amper een idee. Dus het is ook niet zo raar dat daar nog heel veel op te voeden is.
Speaker 1:Meer een zoektocht ook, gezamenlijke verkenning van wat is nou jouw werkgebied en waar begint dat van mij en waar eindigt dat van jou?
Speaker 2:Ja, en dat is niet altijd makkelijk. Je refereerde net, je komt toch ook uit de inhoud en de techniek en je wil het eens een keertje goed doen en je wil het eens mooi neerzetten en om dan in dit spel te belanden is af en toe lastig en ook wel af en toe frustrerend, maar het is ook mooi om met zo'n organisatie dan de reis te kunnen maken van we gaan dit belangrijker vinden. Je ziet dat echt wel bijvoorbeeld onze hoofd bedrijfsvoering, een van de directieraadleden is net afgezwaaid en je zag wel dat in zijn afscheid praatje informatiebeheer en beveiliging kwamen echt als primaire punten van de afgelopen jaren terug. Daar komt heel anders aandacht voor dan dat er was en dat is niet zo raar want de maatschappelijke context verandert hier ook heel snel over.
Speaker 1:Het is wel goed om natuurlijk af en toe daar even zo bij bepaald te worden van hey, dat is toch eigenlijk wel een heel verschil als we zo'n afscheidspraatje 5 jaar geleden zouden hebben gehad, dan ging het niet over informatie en nu wel.
Speaker 2:Ja, je ziet dat dat verandert en je ziet dat dat op de ene plek sneller gaat dan de ander en dat het ook afhangt van wat de afdeling doet, welke mensen daar zitten, hoe zij opgegroeid en opgevoed zijn, maar daar komt dan denk ik ook jouw rol als professional naar voren dat je dat je juist erin slaagt die afdelingen mee te nemen en dat lukt ons ook niet altijd. Ik bedoel het zijn hele mooie gevleugelde woorden ga lekker professioneel iedereen tuigen dat ze dit moeten doen en dan sta je voor die manager en die zegt ik heb hier helemaal niks mee te maken ik ga het niet doen. Gebeurt binnen de gemeente Utrecht niet, het is een voorbeeld. Maar ja dat is wel de opgave en dat dat moet je denk ik als security officer en ook als CISO aan willen en als je dat niet aan wil dan denk ik dat het dat je meer naar bijvoorbeeld een security operations center interessanter kan zijn waar je gewoon dichter op de techniek zit en een kwetsbaarheid gewoon een kwetsbaarheid is en en iets anders gewoon iets anders is.
Speaker 1:Dat kan ik goed volgen. Super interessant. Wij zouden dit nog wel even volhouden denk ik.
Speaker 2:Ik zeg altijd ik kan hier een heel dagvullend college over praten.
Speaker 1:Ik vond het heel interessant. Leuk dat je de tijd nam om met mij hierover in gesprek te gaan. Hartelijk dank. Jij bedankt. Nou, wie weet tot ziens.
Speaker 1:Zeker. En jij bedankt voor het luisteren naar deze vierde aflevering van de Keep Talking podcast. Voor de zomer komt er nog 1 andere aflevering en daarna is het even zomerbreak. Tot de volgende.
