#05 - IT-audits als uitgangspunt voor informatiebeveiliging (met Ozgur Dogan)
Hey leuk dat je weer luistert naar Keep Talking. Een podcast waarin ik in gesprek ga met security en privacy professionals uit het werkveld van voornamelijk de lokale overheid. En in deze aflevering ga ik in gesprek met de CISO van de gemeente Rotterdam. Dus ik ben Dogan. In het begin laat ik u nog een fragment horen wat ik live opnam tijdens het HAC010 evenement waarin ethisch hackers werden uitgenodigd om de gemeente Rotterdam te komen hacken.
Speaker 1:En daarna schakelen we over naar een later opgenomen gesprek waarin ik met Uske verder in ga op het audit perspectief op informatiebeveiliging. We beginnen vaak bij de plan do check act en in dit gesprek komen we eigenlijk tot de conclusie dat je prima ook de check act plan do cyclus zou kunnen hebben. Het leuke van deze podcast vind ik dat ik elke keer weer met totaal verschillende mensen aan tafel zit met totaal verschillende achtergronden. En in dit gesprek wordt zeer duidelijk dat Usdeur een audit achtergrond heeft. En dat dat ook de bril is waarin hij voornamelijk naar het vakgebied kijkt.
Speaker 1:En ik vind dat een hele interessante bril, een verfrissende bril. En ook wel een kansrijke bril. En die ga ik niet nog 1 keer bril zeggen, dan wordt het echt vervelend. En het leuke is dat je in zo'n gesprek dan vergeet dat je eigenlijk een podcast aan het opnemen bent, maar gewoon als liefhebbers van het vak zogezegd een gesprek hebt, een discussie hebt, ideeën uitwisselt en die manier hopelijk ook inspiratie kan bieden voor jou als luisteraar. Deze vijfde aflevering van de Keep Talking podcast is tevens de laatste aflevering van het eerste seizoen zogezegd.
Speaker 1:Na de zomervakantie pak ik de draad weer op met leuke interessante gesprekken, dus ik hoop dat je er ook dan weer bij bent. Voor nu veel plezier met deze aflevering. Hé Uske, goedemiddag. We zitten hier midden tijdens het HAC010 Hackevent. En ik heb even een paar minuten van jouw tijd.
Speaker 1:Hoe loopt het event? Ja,
Speaker 2:goed. Druk, druk, druk met in totaal, wat was het, om en nabij 63 ethical hackers. Of inclusief studenten.
Speaker 1:Dat is een flinke groep.
Speaker 2:Ja, ik zit als CISO binnen de jury en we hebben net een juryberaad gehad. Er zijn best wel al een aantal fijnelijks gevonden en even om je aan mee te nemen wat HAC 10 ook weer is. Het is een groot event. Onze derde editie als gemeente Rotterdam waarin wij met een groep ethical hackers, dat zijn eigenlijk dus de professionals die dagdagelijks dit werk En een grote groep studenten die recentelijk een masterclass hebben gehad op dit onderwerp. Die alle affiniteit hebben.
Speaker 2:Die worden ook begeleid om eigenlijk onze omgeving met een brede scope dit jaar. Dus we hebben de scope ook best uitgebreid.
Speaker 1:Dus de scope dat zijn alle systemen die ze mogen aanvallen zeg maar.
Speaker 2:Klopt, klopt. Waarbij ze dus eigenlijk continu zoeken naar spirituele kwetsbaarheden en die via een bepaald proces bij ons melden. Wat ik net zag best wel een aantal noemenswaardige findings.
Speaker 1:Krijg je dan niet spanning in je buik van die findings?
Speaker 2:Ja maar dat maakt ons weer veiliger en scherper en ik wil juist nog meer fijnings zien en straks in de juryberaad ook. Uiteindelijk moeten we dus een keuze maken van wat was het? De techie. Ja, meest technische. De meest techie,
Speaker 1:de gekste hack. Ja ofwel de meest creatieve.
Speaker 2:De meest ludieke, meest creatieve en de laatste was de hardste hack. Dus degene die met het meeste impact.
Speaker 1:Ja impact als in eigenlijk de schade die je toe kan brengen? Ja.
Speaker 2:En er zijn er wel een aantal die we net in die hoek hebben kunnen classificeren. Ja, voor de rest dus enerzijds educatief ook. Dus in de samenwerking met bedrijven IT Campus die met hogescholen en universiteiten samenwerkt. Dus een groepje sterk.
Speaker 1:Het is een co-productie eigenlijk tussen de gemeente Rotterdam en de IT Campus. Correct. Ja. En voor mij, dit is
Speaker 2:mijn tweede Hack nultine editie. Dit is de derde editie voor mijzelf persoonlijk. De tweede. Blijft spannend om sowieso in de tijd en de voorbereiding op zo'n event en en nu ja, maar gaaf om dit mee te maken.
Speaker 1:Ja, en straks als het goed is arriveert de wethouder om aan het einde rekening te nemen. Straks
Speaker 2:rond de wethouder Maarten Strijvenberg die zal zometeen de afsluiting doen en ja, het is prachtig om ook de bestuurlijke lagen ook hierin mee te nemen.
Speaker 1:Precies, niet alleen maar een techneuten feestje.
Speaker 2:Nee, nee, zeker niet. Voor mij is dit ook vanuit onze totale gemeente gaan we het ook intern publiceren, communiceren en daarmee ook toch die bewustwording en dat we dit ook durven en dat we dit ook kunnen. En dat we als we de kwetsbaarheden dus ontdekken dat we die ook gaan oplossen. En
Speaker 1:voor die ethisch hackers is er ook nog wel serieus geld te verdienen vandaag toch?
Speaker 2:Jazeker dus in deze derde editie hebben we een aantal prijzen uit de kast waarbij de de hardste hack, de eerste prijs daarvan is 1000 euro. Geen wisselgeld. Dat is geen wisselgeld waarbij voor de studenten hebben we cadeau bomen.
Speaker 1:We gaan het zometeen horen. Tenminste jij gaat het mede beslissen. Ik ga het horen wie er met de prijs geld naar huis gaande.
Speaker 2:In ieder geval Bedankt voor
Speaker 1:nu en veel succes nog.
Speaker 2:Yes, dankjewel.
Speaker 1:Ja, dus dat was live tijdens Hackmaal 10. En dan schakelen we nu over naar het gesprek wat we een tijdje later opnamen. Ja, een hele goedemiddag. Welkom in de podcast Keep Talking. En ik zit hier in een mooie kantoorruimte in Rotterdam en met mij aan tafel zit Usher Dogan.
Speaker 2:Yes. Wie is Usher Dogan? Ja, mooie vraag. Usher Dogan. Ik ben de CISO binnen de gemeente Rotterdam.
Speaker 2:En die rol inmiddels al bijna nu tegen de 3 jaar aan dus sinds 3 jaar de CISO binnen de gemeente. CISO, moet ik hem nog uitleggen waarvoor? Nee,
Speaker 1:ons publiek. Dat leggen we niet meer uit.
Speaker 2:Oké oké. Wat deed je
Speaker 1:daarvoor? Want je werkt al langer voor de gemeente Rotterdam. Klopt
Speaker 2:sinds 2009. Daarvoor afkomstig van bedrijfsleven ik heb hiervoor bij unirever gezeten misschien toch klein beetje terug opleiding hbo logistiek gedaan en uiteindelijk in het IT domein beland bij binnen binnen de de unilever een commercieel groot organisatie multinational wereldwijd opererend en daar echt in het IT project management een ding gedaan. Mooiste voorbeeld die ik altijd geef Calv Delft zat ik in de magazijn barcodes te laten werken met srp of bij unox-os met stinkende kleren thuis aankomen omdat je in de rookworst cabines van MFV Pro naar SAP zat te werken.
Speaker 1:Opgeklommen, zo klinkt het.
Speaker 2:Ja, diverse brede ervaring en uiteindelijk dus binnen de gemeente in het IT domein verder mijn ding gedaan en uiteindelijk misschien ook een mooi bruggetje voor dat onderwerp denk ik van vandaag in een Op een gegeven moment wordt het management gevraagd van Usguurs heb jij tijd en interesse om ons te helpen met een x aantal IT-audits wat nog niet lekker liep en toen met mijn brede ervaring maar dan geen specialistische achtergrond op audits op een moment daar in 2017 ingestapt.
Speaker 1:Oké.
Speaker 2:IT General Controls en de jaarrekeningcontrole.
Speaker 1:Ja, zeg altijd precies andersom. Ja. General IT controls. General IT controls.
Speaker 2:Ja, zijn verschillende namen. Dat zijn in principe de generieke IT-beheersmaatregelen.
Speaker 1:Maar het zijn ook altijd de beheersmaatregelen waar in het kader van de jaarlijkse controle op de jaarrekening door de financiële auditor ook naar gekeken wordt, toch?
Speaker 2:Klopt. En daarin zit bijvoorbeeld toegangsbeveiling, toegangsbeheer. Het stukje change management van hoe adequaat worden de wijzigingen vastgelegd en geregistreerd en goedgekeurd alvorens ze doorgevoerd worden naar de productieomgeving. Maar ook basismaatregelen, denk aan backup en recovery. En het laatste jaar ook een stukje cybersecurity zit er ook in.
Speaker 1:En even de zijstraat dan. Waarom wil die financial auditor, die moet iets vertellen over de jaarrekening. Ja. Of die getrouw is. Waarom vraagt hij door over dit soort zaken?
Speaker 1:Waarom is hij geïnteresseerd in IT general controls?
Speaker 2:Ook een mooie verdiepende vraag. Want vanuit de jaarrekening wordt er vanuit de accountant controles uitgevoerd om de betrouwbaarheid te controleren en daar wordt een bepaald percentage van tevoren afgestemd, van dit is de foutgehalte. En om dat aantal zo laag mogelijk te houden en in ons geval bij de gemeente Rotterdam willen wij uiteindelijk systeemgericht gaan controleren. En om dat te kunnen doen, dat betekent dus dat bijna volledig op basis van de gegevens uit het systeem.
Speaker 1:Ja, maar dan moet je dus ervan op aan kunnen dat het systeem je de waarheid vertelt.
Speaker 2:Correct. Dus dan moeten de cijfers die je uit het systeem trekt, gebaseerd zijn op van tevoren goed gedefinieerde, in dit geval general IT controls. Dus dan moet die basis voldoende zijn. En ik schets altijd een driehoek waarbij de onderlaag de general artic controls IT-general controls maakt niet uit en daarboven heb je dan application controls
Speaker 1:Ik
Speaker 2:zit even naar de Nederlandse vertaling. Het is zo ingebakken ook vanuit de opleiding, kom ik zo meteen op terug, je hebt application controls maar ook de definitieve functionele controls vanuit de toegangs rollen. En daarboven kan je aanvullend nog manuele controles uitvoeren. Maar de gedachte hierachter is dat je dus uiteindelijk overstapt naar systeemgerichte controle, waardoor je dus niet meer zoals vroeger vaak gedaan werd facturen. Er werd steekproeven gedaan.
Speaker 2:Ja. Er werd handmatig alles doorgespit. Hiermee kan je dus wat minder manuren kaartjes.
Speaker 1:Je vlecht eigenlijk de focus dan, want je moet nog steeds dingen controleren, maar je gaat kijken of het onderliggende systeem betrouwbaar is, zodat je minder inhoudelijk, letterlijk, brieven uit de kast moet trekken of beschikkingen moet controleren. Daar leun je op de systemen.
Speaker 2:Correct. En daar hebben we binnen Rotterdam de ambitie om daar de systeemgerichte controle mogelijk te maken. En dit speelde dus even de aanloop naar de SISO-schap.
Speaker 1:Want dat zou mijn vraag zijn van waarom dan de stap naar de SISO? Ja, je moet gevraagd zijn.
Speaker 2:Ja, Dat heb ik dus 2 jaar lang, heb ik uiteindelijk vanuit een toen opgezette rol, Quality Assurance, heb ik IT Journal controls van waar we waren naar een hoger niveau kunnen krijgen met dank ook in de samenwerking met financial auditor. Ik heb ook toen voor het eerst kennis gemaakt met auditors. Met de accountant, aan tafel gezeten en van een kwam het ander ik zat ook ik kreeg meerdere dossiers onder mijn hoede denk aan de en cia stelsel en en digi daudit surgeret audit Ik zit even te graven of ik nog meer dossiers onder mijn hoede heb gehad. Dit waren even de belangrijkste maar daarna ja dus dat beviel goed en we zagen ook positieve successen, positieve resultaten waarbij de toenmalige CISO in de zomermaanden mij belde van Jos Guurs ik ga weg en toen ja stap gemaakt uiteindelijk gevraagd om het security domein te bestuderen en intern
Speaker 1:En hoe bevalt dat dan? Want de focus is wel denk ik verlegd. Ik kan me voorstellen dat een auditor wat meer een afgebakend vakgebied heeft. En een CISO, hoe ik die job ken, ja wij kennen elkaar natuurlijk goed, omdat we ook, full disclosure, we werken ook samen met elkaar. Omdat ik op dit moment aan een opdracht werk voor de gemeente Rotterdam.
Speaker 1:Maar als CISO ben je veel meer bezig ook met allerlei stakeholders en het bestuur of een wethouder. En nou ja, het is wel echt een andere job. Toch? Ja,
Speaker 2:jawel. Ik had al, omdat ik ook vanuit mijn vorige rol zat ik ook samen met de IT-directeur presentaties te geven tot aan de gemeenteraad en ik had al wat affiniteit met met hoog oogbestuur maar de dynamiek de overstap naar security was wel een grote overstap omdat enerzijds heb je te maken met een interne organisatie waar je duidelijk het beleid, strategie, richting moet meegeven. Anderzijds meer stakeholders, complexere organisatie, maar ook vanuit onze rol als gemeente Rotterdam hebben we ook een bepaalde rol, een zeggenschap richting de richting. Denk aan de BZK, VNG binnen de G4 gremie met Amsterdam, Utrecht en Den Haag. En of denk iets anders, even onze veiligheidsregio, regio Rijnmond.
Speaker 2:Dus daar hebben we ook een belangrijke rol. Daar kwamen dus veel meer bij kijken. En dat was uitdagend, leuk. Ik noem het altijd soms ratrace in het begin. Ja alles kwam op je af.
Speaker 2:Ik weet nog dat met onze burgervader Talab zaten we in januari eigenlijk net dat ik die 2 3 maanden indien of als CISO zijnde fungeerde.
Speaker 1:Ja deze nieuwe functie ja.
Speaker 2:Op deze functie zat hadden wij al een eerste grote crisisoefening met korpschef en de wethouders erbij en dat was goed.
Speaker 1:Was er wel een soort ontgroening dan meteen?
Speaker 2:Was gelijk een ontgroening na de tweede derde maand en ja.
Speaker 1:Je noemde net die security organisatie binnen de gemeente Rotterdam. Rotterdam, zeg ik het goed? 16000 medewerkers, ambtenaren?
Speaker 2:Inmiddels bijna net als Nederland. 17. Heb ik er 17 jaar getekend? 17000 volgens
Speaker 1:17000. In ieder geval, het is een nogal grote organisatie. Hoe bestuur je dan, want er is 1 SISO, dus een kleine gemeente heeft 1 SISO, een grote gemeente heeft ook 1 SISO. Terwijl deze club is toch wat groter. Dus heb je ook, weet ik, een security organisatie nodig.
Speaker 1:Kan je eens wat vertellen over hoe die er in Rotterdam uitziet?
Speaker 2:Nou we hebben, ik doe het allemaal niet alleen. Gelukkig. Sinds dat ik aangetreden ben als CISO heb ik eigenlijk zo snel mogelijk een soort club, een CISO Office benoemd met een aantal collega's waarbij zowel intern maar ook als extern waaronder jouw rol nu ja dagdagelijkse vraagstukken maar ook denk aan beleidskaders denk aan het uitwerken het in uitvoering brengen van onze meerjarenplan. Want cyber security dat is niet een kortstondige trucje die je moet maar daar moet je dus de tijd voor nemen om dat goed in de organisatie te borgen. Vandaar dat we werken met een meerjarenplan.
Speaker 2:Dus binnen, ja ik word nu vanuit de SISO, SISO Office dus, bestaan we nu uit om en nabij 4 collega's.
Speaker 1:Dus dat zijn mensen die op strategisch niveau jou bijstaan om de gemeente te besturen en mee te helpen met de uitvoering.
Speaker 2:Klopt.
Speaker 1:En alles op het gebied van informatiebeveiliging.
Speaker 2:Ja, en daarmee ook de interne groepen. We hebben een club, groep security officers die dan meer in de lijn bij onze business units dat zijn termen die vanuit underdaver gebruikt werden maar binnen binnen onze binnen onze bedrijfsvoering dus in onze vakterm heet dat de clusters denk aan stadsbeheer van finance ophalen totale bestuur van de stad stadsontwikkeling maatschappelijke ontwikkeling zijn allemaal aparte clusters daarvoor hebben wij dus security officers in place die de affiniteit hebben met de clusters en die vertalen de beleidskaders die wij vanuit de CISO office opstellen door richting de clusters.
Speaker 1:Zij zijn de SISO van zo'n cluster, zou je kunnen zeggen.
Speaker 2:Ja, dat zou je kunnen zeggen.
Speaker 1:Want een cluster, dat lijkt een leuke schattige afdeling, maar dat zijn enorme
Speaker 2:Dat zijn soms afdelingen van 3000 ST's bijvoorbeeld bij concerns PCO.
Speaker 1:Ja, Bestuurs en Consteuning. Ja, klopt. Dus als je daar DISO bent, volgens mij is het er ook meer dan 1. Maar die moeten dus dat hele cluster adviseren, ondersteunen op het gebied van informatiebeveiliging.
Speaker 2:En daarnaast hebben we een groep collega's die ons helpen met de vertaling naar de interne omgeving. Denk aan MultiFactor Authentication. Ik noem dat vaak onze technische collega's die dan de doorvertaling maken naar de interne maatregelen.
Speaker 1:Ook op de technische infrastructuur. Ja.
Speaker 2:Dus denk aan de pentesten, begeleiding of het aansluiten op zijn intelligence threats platform en dat soort veranderingen in de toekomst. We hebben ook nog een eigen security operations center die dus dagdagelijks de omgeving scannen. Onze ogen en oren zijn naar buiten.
Speaker 1:Ja, dus ook allerlei kwetsbaarheden waarschuwingen. Screen, filteren, doorzetten, acteren. Ja. Interessant. Dus even samenvatten, er zijn eigenlijk 3 componenten.
Speaker 1:We hebben een aantal strategische mensen die in het Siso office jou ondersteunen. Correct. En dan hebben we eigenlijk aan de cluster kant, wat we meer de business of meer de organisatorische kant noemen. Daar zitten de security offices. Correct.
Speaker 1:Hebben we daar volgens mij een kleine 10 van? Ja. 8, 19. We zijn wel met wat wijzigingen bezig. Ja, en dan hebben we nog een team van security managers en ook security mensen die, ja, Socers, zo heten ze niet, maar mensen die werken binnen het security operating centre.
Speaker 1:Dus we hebben 3 takken van sport. Een strategische tak en een business tak en een technische tak. Ja. Oké.
Speaker 2:En daarmee, zijn dat is als het ware de de in de vakterm heet dat een tweede lijn. Wij zijn enerzijds adviseren.
Speaker 1:Ik heb een echte auditor tegenover me zitten want je begint ook al. Ja maar dat is freelines of defensie.
Speaker 2:Ja dat heb ik net kort benoemd maar niet verder verduidelijkt. Ik ben ook naast dat ik op nu 3 jaar geleden op 1 september ben ik begonnen als CISO en 1 op september even teruggerekend 2021 ben ik ook begonnen met met de opleiding aan de Erasmus Universiteit de IT Advisory oftewel de RE opleiding dus elke vraag. Leuke combi. Het was zoals ik zei een ratrace enerzijds een uitdagende job met dynamische veranderingen en en de vrijdagen kom ik eigenlijk bijna tot rust op de schoolbanken te Erasmus in rotterdam met haar bijna soort ik vond het als een soort permanente educatie dus 2 jaar lang wel net de corona periode ook meegemaakt in die opleidingsperiode genoten van een mooie opleiding waarbij de enerzijds de audit aspecten om tot een goede auditor te komen. Maar ook de vakinhoudelijke aspecten van cloud, cyber.
Speaker 2:Dus verschillende topics en onderwerpen binnen die mijn vakgebied ook raakte kwamen daar aan bod. Vanuit wetenschappelijke onderbouwing werd dat op een vrijdag mei. Dus dat was.
Speaker 1:En je spreekt wel in de verleden tijd dus dat betekent dat het allemaal afgerond is
Speaker 2:ja toevallig dit jaar 17 april diploma met ja met mijn gezin ontvangst kunnen mogen nemen Misschien komt dat zo meteen aan bod. OT, Operational Technologi.
Speaker 1:Daar ging jouw onderzoek over.
Speaker 2:Daar ging mijn afstudeeropdracht over.
Speaker 1:Goed, hebben nu een beeld van de gemeente Rotterdam. Jouw functie, jouw job als CISO. Dat doe je gelukkig niet alleen, je hebt een security organisatie om je heen staan die je daarbij helpt. Maar je geeft al aan, ook vanuit je vorige functies bij de gemeente Rotterdam en in het bedrijfsleven daarvoor. En je hebt niet voor niets die opleiding natuurlijk gedaan, die RE opleiding.
Speaker 1:Volgens mij ambieer je niet om RE te worden, maar je bent wel een CISO met een bovengemiddeld audit verdieping in je rugzakken. Hoe helpt jou die in het uitoefenen van je job als CISO voor de gemeente Rotterdam?
Speaker 2:Sowieso helpt het mij, want ik zat net die vaktermen zoals de eerste lijn, tweede lijn, derde lijn. En dat zijn namelijk de vaktermen die ook de auditors
Speaker 1:Ja, kijk, kijk dat voor wie dat niet snapt of niet kent. Wat is de eerste lijn? Wie zijn dat? Wat voor functies?
Speaker 2:Nee, eerste lijn, dat komt eigenlijk het hele, dit komt vanuit het tree lines of defence en dat is afgelopen jaar anderhalf jaar geleden omgedoopt naar tree lines model.
Speaker 1:Oké.
Speaker 2:Ik ben even de afkorting kwijt van de amerikaanse ja het is het audit orgaan vanuit Amerika die adviseert dit voor de auditors in met name de interne auditors om zo hiermee omgaan en het wordt ook door accountants vaak ook gebruikt. De eerste lijn, ik vertaal het naar mezelf, vaak de business, de organisatie, denk aan lijn management, denk aan de teamleiders die een bepaald proces verantwoordelijkheid dragen zij zijn primair verantwoordelijk om risico's in hun proces te mitigeren en als ware eindverantwoordelijk daarnaast hebben we een groep ook in rotterdam een groep tweedelijnsfunctionarissen die dus de eerste lijn adviseren, helpen om die risico's te mitigeren.
Speaker 1:Ja, je mag niet, denk ik, misschien ook wel, maar mag je van een lijnmanager, een teamleider of een afdelingshoofd, mag je daarvan verwachten dat die inzichtelijk heeft en begrijpt en snapt wat die allemaal van verantwoordelijkheden heeft op het gebied van informatiebeveiliging. En zo zijn er waarschijnlijk nog een heel ander aantal andere disciplines te bedenken waar die ook voor aan de lat staat.
Speaker 2:Ja, denk aan privacy, informatiebeheer, archivering, integriteit,
Speaker 1:architectuur.
Speaker 2:Ja dat zijn tevens ook de tweedelijns rollen. Dus die vraag was van mag je dat van hem verwachten? Ja nee En dat is ook wat we dagdagelijks als security keten proberen te doen. Dus met onze stakeholders, denk aan afdelingsbijeenkomsten, Podien pakken, om hen mee te nemen van wat betekent het eigenlijk? Wat betekent het voor jou als afdeling.
Speaker 1:Maar dat is dus ook kennelijk een taak van die tweede lijn om die eerste lijn mee te nemen en te informeren en te adviseren dat ze ook weten dat ze verantwoordelijkheden hebben.
Speaker 2:Correct. En dat doen wij niet alleen met, overigens ik heb iemand belangrijks net niet genoemd bij het benoemen van het hele security organisatie. We hebben ook nog een collega collega's die met awareness bezig zijn. Die vallen, die zijn op een andere plek geproduceerd, die vallen onder de verantwoordelijkheid vanuit het Case Office. Daarmee proberen we het bewustzijn op het gebied van cybersecurity binnen Rotterdamsen op diverse lagen steeds verder te vergroten.
Speaker 1:Ja, dat is de interne campagne die al jaren loopt, de Blijf alert campagne. Ja, ja. Oké, maar ik ga je toch nog even vragen. We hebben de eerste lijn gehad, tweede lijn gehad. Dat zijn wij,
Speaker 2:als securitymensen. Dat zijn wij, de adviseurs op het gebied van security, maar ook onze collega's binnen Rotterdams dat apart georganiseerd, de privacy officers.
Speaker 1:Ja, oké. En
Speaker 2:daarnaast kom je in de lijn, de derde lijn, en dan heb je te maken met de onafhankelijke auditors. Binnen Rotterdams hebben we te maken met financial auditors.
Speaker 1:Onafhankelijk, betekent dat dan dat ze niet bij de gemeente Rotterdam mogen werken? Of wat bedoel je met onafhankelijk?
Speaker 2:Dat is een goede. Je de hele volgens mij heet dat het IAA model. Je hebt zelfs ook nog een vierde lijn maar de derde lijn wordt vaak gezien als de interne auditors. Ja oké sorry. Dus financial auditors.
Speaker 2:We hebben ook nog groep concern auditors die dus breed kunnen auditen. Maar je hebt ook nog een vierde lijn waarbij de externe auditors. De derde en vierde lijn dat zijn de in mijn woorden vaak de controleurs.
Speaker 1:Die zijn onafhankelijk in de zin dat ze geen enkele bemoeienis hebben.
Speaker 2:Zij hebben niet een directe rol met de eerste, tweede lijn. Zij komen, zij kijken, zij adviseren.
Speaker 1:Ze zeggen eigenlijk gewoon van dit is het huiswerk wat je moet doen, leg het daar voor mij klaar. Klopt. Ik kom langs en ik ga kijken of je het allemaal goed gedaan hebt.
Speaker 2:Correct. Maar we hebben dus interne collega's, de interne auditors, de financial auditors die dus primair voor de jaarrekening hun controles doen. Ja. En we hebben ook nog binnen Rotterdam een groep auditors die breed kennis en inzetbaarheid hebben gedaan.
Speaker 1:Dat zijn ook dus IT-orders, dat zijn de mensen die dezelfde opleiding misschien gehad hebben als die jij gehad hebt?
Speaker 2:Ja, dus in beide afdelingen hebben we IT-RA gecertificeerde collega's die dus dezelfde opleiding ook hebben.
Speaker 1:Oké en hoe helpt dit zeg maar dit apparaat of dit model jou als CISO? Wat heb je eraan? Even oneerbiedig gezegd.
Speaker 2:In andere woorden je vraagt van wat doen audits? Hoe helpen die?
Speaker 1:Ja, hoe helpt het jou? Jij wordt ergens op afgerekend of ergens op aangesproken. Hoe zet jij audits in? Hoe laat je die voor jou werken?
Speaker 2:Ik roep vaak ook dat audits leiden uiteindelijk tot verbetering. Ik bekennen dat ik ook aan de andere heb gezeten. Dus toen ik net begon met ja het voelt nooit fijn om een audit volledig te ondergaan en met wat bevraagd worden, bekende vragen en veel huiswerk soms.
Speaker 1:Veel
Speaker 2:huiswerk, hier staat vaak 2 0 achter daarmee bedoel ik vaak hebben ze al een bevinding in hun hoofd en dan wordt dat dan hebben we ook nog de hoor wederhoor proces nou het het is omdenken het is het is in het begin het is iets wat wat je wat je ook nog niet dagdagelijks doet als als manager of als dus dit komt dit komt maar
Speaker 1:maar is het dan omdenken omdat het veronderstelt dat het niet de gebruikelijke manier is hoe mensen denken. Is dan gebruikelijk als je moet omdenken? Wat moet er?
Speaker 2:Nee, maar in het geval van het casuïstiek ITGC, ik kom in de spraak door jou, generieke ITGC controles. Zo'n beheerafdeling die is dagdagelijks niet met Oldes bezig. Die doet zijn ding, hun primaire focus is op dat moment zo goed mogelijk de applicatie beheren. Tot de wens behoefte tot aantoonbaarheid verandert wel, heeft invloed in de manier van vastlegging. Manier van,
Speaker 1:zou misschien een keuze maken. Zonder die auditstok achter de deur. Waarom zou je eigenlijk al dat papier digitaal willen schaffen?
Speaker 2:Alleen, dat was dus toen ik in 2017 bij de afdeling dat proces verduidelijkte. Waarom heb ik heel veel tijd moeten steken, nut en noodzaak van audits. En op een gegeven moment ben ik er ook zelf in geloven want dankzij die audits heeft de afdeling wel inmiddels een kernteam van quality dat noemen ze de careteam Ik weet even niet waarvoor de after woord is. Release management. Ze hebben echt, ze hebben hem, ze zijn dankzij de veranderingen die we hebben doorgevoerd op het gebied van jaarrekeningcontroles, zijn ze anders naar kwaliteit aan het kijken.
Speaker 2:Er werd de beslissingen die bij een bepaalde verandering, want we hebben als Rotterdam enerzijds grote hoeveelheid aan mensen maar ook grote hoeveelheid geld in euro's wat er in onze systemen gaat dat betekent dat elke wijziging elke verandering in toegangsrechten dat moet gewoon gedegen geborgd. Eigenlijk is dat wat onze accountant auditors ons adviseren.
Speaker 1:Maar is dat aan het omdenken dat je als beheerder bijvoorbeeld, om even bij jouw voorbeeld te blijven, dat je niet dat als een bedreiging ziet van, hé, iemand komt kijken of ik mijn werk wel goed doe, maar dat je het als een kans ziet om Ja,
Speaker 2:om de kwaliteit van je dagdagelijks proces te verhogen. Dus eigenlijk, hebben nu het momentum bereikt dat ze nu met borstpoppenrij roepen van oké kom maar op Otzer want ik heb mijn proces degelijk. Ik heb al mijn risico's gemitigeerd.
Speaker 1:Dat is wel gaaf toch? En
Speaker 2:dit afgelopen 2 jaar was ik dus 2 en half jaar zat ik op dat CISO domein waarbij binnen dat CISO-office heb ik dus een collega die hier met mijn oude rol eigenlijk mee bemoeit ik kan het met trots terugkijken van wat we daarin hebben neergezet.
Speaker 1:Dus dat gedachtegoed en ook die ervaring, die positieve ervaring, die neem je mee in je job nu als CISO?
Speaker 2:Met dat RE studie achter de rug. Ja, ik vind het aantoonbaarheid, dingen vastleggen. Het moet ook niet uren werk zijn voor diegene. Maar dat we dingen duidelijk gestructureerd opslaan.
Speaker 1:En als ik dan even denk naar de welbekende plan, do, check, act Dan kan je zeggen, ik begin bij de P. Ik maak een jaarplan. Dus cluster X zegt, dit is ons jaarplan. Dan zit informatiebeveiliging, ziet er zo uit. En we gaan dit en dit doen.
Speaker 1:Dan gaan we naar de do fase, gaan we het uitvoeren. Vervolgens gaan we nog een keer checken of we het gedaan hebben. Vergeten we ook nog wel eens misschien. En dan bijsturen, de act fase. Dan begin je weer bij het plan.
Speaker 1:Jij zegt, als ik je goed beluister, waarom zou je bij die P beginnen? Waarom gelijk ook niet een check? Waarom gewoon de thermometer erin?
Speaker 2:Ja dat helpt. Kijk de omgeving waar wij zitten we zitten een overheidsinstantie gemeente ik kan hoog en laag springen om een bepaalde werkwijze met een afdeling door te voeren maar op moment dat het vanuit een financial audits of de accountant iets wordt aanbevolen dan heb je wel het hoger bestuur in 1 keer mee.
Speaker 1:Dan heb je de aandacht zeg maar.
Speaker 2:Dan heb je de aandacht. Moet ook behapbaar zijn. Je kan dit ook gebruiken om de neuzen dezelfde kant op maken. Waardoor je dus eigenlijk begint in jouw voorbeeld met dat check. Je kan parallel met die fit cap analyse met de bevindingen hapklaar de verbeteringen die je moet doorvoeren.
Speaker 1:En fit cap dat wil zoveel zeggen als het gat tussen waar je zou moeten zijn.
Speaker 2:Waar je volgens de normenkaders moet zijn
Speaker 1:versus waar je volgens
Speaker 2:de auditor op dat moment bent. Dat bedoel ik met FitCap. En dan heb je dus eigenlijk een to-do-listje die je omzet in een plan. Dus eigenlijk eerst de check. Dan de plan.
Speaker 1:Ja. En dan ga je uitvragen.
Speaker 2:Eventueel bijsturen. En dat mooie is daarmee kom je dus steeds stapjes in een hogere volwassenheid.
Speaker 1:Vanaf nu wordt het gewoon de check act. Yes doe. Check. Ik struikel er wel over maar even oefenen. Ja wat ik
Speaker 2:soms ook de term die ik gebruik continuous improvement dus dat je dus dankzij die audits continu ook met verbetering meezingen. Met de kanttekening moet het ook behapbaar zijn. Voor wie behapbaar? Bijvoorbeeld wij of ik als CISO Office, wij ondergaan een divers aantal audits per jaar vanuit verschillende domeinen. Waar ik ook in geloof is dat ik vaak wil omgaan met informatie die wij verstrekken.
Speaker 2:En graag dat de audits onderling ook samenwerken. Denk aan de NSA, Digid Audit. Daar worden een aantal documenten op gevraagd die we al eerder vanuit de jaarrekeningcontrole hebben moeten opgeven.
Speaker 1:Dus zou je eigenlijk willen dat die ene auditor niet het werk van die andere auditor over gaat doen?
Speaker 2:Overgaat of andersom. Juist dat ze hun werk met elkaar goed delen zodat we daar profijt van hebben, dat we niet dezelfde vragen nog een keer krijgen. Dus dat is ook een verandering die we aan de derde, vierde lijn kant willen. Dus dat, ik zeg het net, vierde lijn dat triggert me op, ja we hebben binnenkort met onze huisaccountant binnenkort het gesprek over IT-ontwikkeling maar daar is cybersecurity ten opzichte van de afgelopen jaren steeds meer een belangrijk aspect. Je ziet duidelijk dat er een, mede omdat er ja uiteindelijk kan een ransomware, een cyberincident, effect hebben op de betrouwbaarheid van de jaarrekening.
Speaker 2:Dus de behoefte vanuit de accountant, ook op het gebied van cyber, neemt steeds meer toe.
Speaker 1:Dus die wijdt daar eigenlijk steeds meer woorden en aandacht aan. En we hebben natuurlijk in Europees verband, hebben we ook nog de NIS 2 die eigenlijk in de pijplijn zit. Klopt. Of die eigenlijk een wettelijke verankering geeft in het belang en de urgentie van informatiebeveiliging en de verantwoordelijkheden die bestuurders en eindverantwoordelijken daarin te nemen hebben. Dus ja, je nog werk zoekt voor de toekomst, dan kan je zeggen nou stap in het security domein.
Speaker 1:We hebben voorlopig nog wel wat te doen.
Speaker 2:Correct.
Speaker 1:Zijn er nog vacatures bij de gemeente Rotterdam?
Speaker 2:Om de zoveel tijd komt er wel een golf van vacatures. Maar wat je zegt NIS 2, de Europese wetgeving wat op ons afkomt, er is toch wel het een en ander onbekend. Maar we zijn nu aan het voorbereiden van hoe we de mogelijke impact van zo'n wetgeving, hoe we dit eigenlijk in het voordeel van ons kunnen gebruiken. Zoals ik net eerder zei, orders leiden tot verbetering of verandering. Ons geval wetgeving leidde ook wijziging verandering.
Speaker 2:Dus ik probeer als op dit moment hem ook aan te grijpen om de organisatie hierin beter te helpen. Maar ook door verantwoordelijkheid op de juiste plek te beleggen.
Speaker 1:Ik vond het in ieder geval heel interessant om te horen hoe het in het Rotterdamse eraan toegaat, maar ook hoe jij als CISO, vind ik, overtuigend uiteenzet waarom het vertrekpunt van een audit eigenlijk heel logisch is. Maar ik proef ook dat het daarbij wel belangrijk is om iedereen goed mee te nemen in dat omdenken. Dat continuous improvement. Om te voorkomen dat mensen het echt vooral als een bedreiging of een diskwalificatie zien. Het is een vertrekpunt en dan volgt een verbeterplan uit.
Speaker 1:Daarmee kan je concreet aan de slag en zo worden we elke keer een stukje beter. Je wel. En jou als luisteraar wil ik natuurlijk ook hartelijk bedanken voor de tijd en aandacht die je hebt gegeven aan deze aflevering en misschien ook wel aan eerdere afleveringen. Leuk dat je luistert. Misschien wil je zelf ook wel een keer als gast in de podcast optreden.
Speaker 1:Neem dan vooral contact met mij op en misschien kunnen we dan iets organiseren. En als je zeker wil weten dat je die volgende aflevering niet gaat missen, dan adviseer je te abonneren op de podcast dat kan je doen in je favoriete podcast app of door gewoon de rss feed in te lezen in je favoriete applicatie ja, fijne vakantie en tot in het najaar.
