#13 - Hoe een CIO kijkt naar informatiebeveiliging (met Rick van Denderen)
Hey welkom en leuk dat je luistert naar Keep Talking en je bent beland
Renco:in aflevering 13 waarin ik in gesprek ga met een CIO want al die gesprekken met informatie beveiligings liefhebbers zijn natuurlijk hartstikke leuk maar het is ook wel eens leuk om het perspectief van een CIO te horen in deze podcast. Tenminste dat was mijn reden om Rick eens te vragen en het leek hem hartstikke leuk om een keer te podcasten. Nou, het resultaat van dat gesprek dat hoor je in deze aflevering. En onder andere bespreken we met elkaar wat de nadelen zijn van een goede SISO. Dat klinkt natuurlijk raar, maar daar valt wel wat over te zeggen.
Renco:En graag maak ik vooraf alvast even reclame voor mijn nieuwsbrief Keep Post It. Ga naar keepetsafe punt nl en abonneer je daar via een van de vele buttons op de nieuwsbrief en ontvang 1 keer in de 3 maanden een overzicht van blogs, podcasts, links, vacatures, trainingsdata van alles en nog wat. Nou, genoeg intro, genoeg reclame. Hoogste tijd voor mijn gesprek met Rick. Veel plezier.
Renco:Leuk dat je weer luistert en dit keer luister je naar een gesprek tussen mij, Renco, die heb je vaker gehoord en tegenover mij zit Rick. En Rick is eigenlijk voor mij bijna ook nog wel een onbekende. Goedemorgen. Goedemorgen. Rick, kan je iets vertellen over wie jij bent en wat je doet voordat we de diepte van informatiebeveiliging induiken?
Rick:Yes, natuurlijk. Ik ben Rick van denderen. Ik ben 41 jaar, woon in Zwolle. Ben tegenwoordig werkzaam voor de gemeente Kampen. Doe ik nu ongeveer 5 jaar.
Rick:In eerste instantie, daar begon in 2019 als informatiemanager en enterprise architect. En ik ben sinds 1 oktober CIO van de organisatie. Cool. Ja, zeker. Een leuke uitdaging.
Renco:C in de titel is toch altijd leuk
Rick:hè? Daarom.
Renco:Wij als CISO's hebben dat ook, maar dat is een beetje voor de nep denk ik wel eens hè, want die C zit er dan in. Chief information security officer. Terwijl ik dan denk nou ja, zoveel chief rug is er niet altijd aan. Maar bij een CEO of een CIO of een CFO voelt het wat meer verdiend ofzo.
Rick:Nou ja, ziet de C-rol, daar zie je ook wat meer in organisaties, zeker in gemeentelijke organisaties komen. Je hebt ze natuurlijk in de commerciële wereld al lang. In de gemeentelijke organisaties kom ik ze nog niet zoveel tegen, maar ook de CEO rol is wel in opkomst.
Renco:Nou, daar ben jij een wapenfeit van. Ja, zeker. En wat doet een CEO nou eigenlijk dagelijks?
Rick:Nou eigenlijk inhoudelijk regie voeren over alles wat met ICT te maken heeft. Dus de koers uitzetten, beleid en strategie ontwikkelen, borgen dat er integraliteit is tussen wat verschillende ICT teams doen. En zorg voor de juiste afstemming met de gebruikersorganisatie, management en bestuur zodat we goed snappen waar de organisatie naartoe wil en zodat de organisatie ook goed snapt waar we vanuit ICT-beleid naartoe willen.
Renco:Oké, dus je bent ook wel zeg maar verwachtingen over en weer aan het managen.
Rick:Zeker, het is voor een groot deel ook de verbinding tussen de organisatie en de ICT-afdeling leiden. Je hebt natuurlijk binnen ICT een boel uitdagingen rondom architectuur, kosten, versazing, modernisatie. Ja de organisatie heeft een bepaalde koers, bestuurlijk worden de keuzes gemaakt. Het is toch met name zorgen dat dat bij elkaar gebracht wordt en dat ICT uiteindelijk ook de business versterkt en ondersteunt.
Renco:Nou, dat klinkt goed. En ben jij ook als CEO eindverantwoordelijk, hiërarchisch verantwoordelijk voor alles wat met IT te maken heeft of ben je beleidsverantwoordelijk?
Rick:Nee, ik ben beleidsverantwoordelijk. Ik ben niet hiërarchisch verantwoordelijk en ik heb ook niet de HR-verantwoordelijkheid voor de ICT-mensen.
Renco:Want ik ken gemeentes waarbij dat een gecombineerde functie is, waarbij je eigenlijk een soort directeur I&A bent, informatisering en automatisering en CIO bent. In de gemeente Kampen is dat dus anders georganiseerd. Er is iemand anders verantwoordelijk voor de IT-organisatie, hiërarchisch.
Rick:Klopt en dat is een bewuste keus geweest inderdaad. Ongeveer een half jaar geleden hebben we de ICT-afdeling opnieuw vormgegeven. Er is ook een nieuwe afdelingshoofd gekomen en eigenlijk hebben we toen besloten om de inhoudelijke verantwoordelijkheid en de HR-verantwoordelijkheid uit elkaar te trekken.
Renco:Dat was daarvoor niet zo?
Rick:Dat was daarvoor niet zo, maar de afdeling waarbij ons ICT onder valt valt ook organisatiebrede dienstverlening onder en dat is uiteindelijk de grote klus om bij 1 persoon te kunnen beleggen. Ja, en dan ook nog CIO zijn. En dan ook nog CIO zijn, ja. Dat is een dagtaak op zich.
Renco:Ja, dan wordt de spil of control wel erg groot.
Rick:Ja, precies. We hebben het over 60 man ongeveer op de afdeling. Plus nog het aansturen van het werk wat inhoudelijk bij een shared service center ligt. Dat is uiteindelijk te veel voor 1 persoon.
Renco:Dat is wel even een leuk bruggetje, want je gaf al aan dat je in Zwolle woont. Ik woon zelf ook in Zwolle, dus we zeiden net al van het kan in minuten uitgedrukt worden hoe lang je onderweg bent van jouw huis naar mijn huis. Maar het bruggetje is even dat de gemeente Zwolle zit in datzelfde Shared Service Center, wat jij net noemde. ONS, het is ons, maar het is gewoon ONS volgens mij.
Rick:Ze zeggen zelf ons, maar dat vind ik ernstig verwarrend, want dan hebben wij het over ons en zij hebben het ook over ons en dan neemt de verwarring toe.
Renco:Oké, dus chat service center, de ONS is volgens mij oorspronkelijk opgezet door Zwollekampen en de provincie Overijssel. Klopt. Dus jullie zijn ook lid van het eerste uur, zeg maar? Zeker weten.
Rick:Dat zijn we nog steeds inderdaad. Ondertussen zijn er meerdere gemeenten bijgekomen. Zwartewaterland, Dalfsen, Westerveld. Dus het wordt een breder samenwerkingsverband en daar ben ik blij mee. Ik denk dat er historisch nog wel eens erg veel opgelost wordt binnen gemeentelijke organisaties zelf waar je prima met elkaar de samenwerking op kan zoeken.
Rick:Het helpt ons ook echt om ook om slagen te maken in de modernisering van onze ICT.
Renco:In plaats van dat je het allemaal in de wiel gaat lopen uitvinden.
Rick:Precies, uiteindelijk zijn de uitdagingen waar een gemeente Zwolle of Dalssen zich voorziet, zijn natuurlijk niet heel anders dan die van een gemeente Kampen. Dus het is heel mooi dat we daar de samenwerking op kunnen vinden.
Renco:En wat zou dan voor die gemeente de aantrekkingskracht zijn geweest om later zich aan te melden, om zich bij te voegen bij dat Shared Service Center? Bijvoorbeeld, je noemde de gemeente Zwarte Waterland of Dalfsen, die hebben dat eerst zelf gedaan. Wat zou voor hun de aantrekkingskracht zijn om dan aan te sluiten?
Rick:Dat zou je aan hen moeten vragen, dat weet ik eigenlijk niet. Maar ik denk dat het ook gewoon te maken heeft met schaalgrootte en uiteindelijk als organisatie, als je ziet wat er op je afkomt aan uitdagingen, aan behoefte vanuit de organisatie, aan nieuwe wetgeving, als je dat allemaal als relatief kleine organisatie zelf probeert op te lossen, dan is dat bijna niet te doen. Dus ik denk dat het aansluiten bij dat soort samenwerkingsverbanden je gewoon heel erg helpt.
Renco:Dus er zit ook een zekere noodzaak in wel om goed te kunnen beleggen, goed te kunnen organiseren, mee te kunnen met alles wat er op je afkomt. Is die schaalgrootte in zekere zin voorwaardelijk?
Rick:Ik denk het wel en je ziet natuurlijk op allerlei vormen van samenwerking tussen gemeenten. Sommige gemeenten gaan ook bestuurlijk samen, sommige gaan ambtelijk samen. Dat klapt dan ook wel weer eens, dat is niet altijd succesvol.
Renco:Dat is wel grappig dat je het even noemde, want ik een podcast opgenomen met iemand vanuit de gemeente die werkzaam was voor de gemeente Ommen en de laatste aflevering, of de voorlaatste aflevering, was met de FG van de gemeente Hardenberg. Nou, Ommen Hardenberg is mooi voorbeeld. Het is een voorbeeld van een bestuurderssamenwerking die niet heeft gehaald. Ze zijn weer uit elkaar gegaan zogezegd. Maar goed, het is het proberen waard niettemin om elkaar te vinden.
Rick:Zeker weten, en nogmaals uiteindelijk hebben we allemaal ongeveer dezelfde uitdagingen als gemeente. Schaal grote daar gelaten. Daarop samenwerken is denk ik heel waardevol.
Renco:En een van die samenwerkingsterreinen is dan ook het onderwerp van deze podcast over het algemeen informatiebeveiliging. Informatieveiligheid
Rick:wordt ook
Renco:wel eens gebruikt, scheurt dicht tegen privacy aan. Ik vind het leuk om eens met een CEO te praten over dit onderwerp. Hoe kijk jij nou aan tegen dit vakgebied? Hoe weeg je dit ook tegen andere vakgebieden die ook in het domein van informatisering en digitalisering vallen? Hoe belangrijk is voor jou eigenlijk informatiebeveiliging?
Rick:Ja, informatiebeveiliging is belangrijk. Het is bijna nooit een doel op zich, maar ik zie het als randvoorwaardelijk voor alles wat je wil bereiken, dat je dat op een informatieveilige manier doet. En het is denk ik wel een vakgebied in beweging. Ik vind dat informatieveiligheid of informatiebeveiliging verantwoordelijk is voor het leggen van een veilige basis onder de gebruikersorganisatie. Je moet zorgen dat je netwerk op orde is, dat er fysieke beveiligingsmaatregelen genomen zijn.
Rick:Dat is een soort basis waarvan je eigenlijk wil dat de gebruikersorganisatie daar verder niet zoveel van merkt. Moet gewoon goed geregeld zijn.
Renco:Maar zijn het dan niet gewoon verantwoordelijkheden van de ICT-afdeling en de facilitaire afdeling? Ja, voor een heel groot deel wel. Oké, ja zeker. Want
Rick:de CISO die Nee, dus en dat zijn ook prima de onderwerpen waar je ook in een shared service verband op kan samenwerken. Maar daarnaast zie je natuurlijk ook dat ICT niet langer meer alleen maar iets is van ICT afdeling, maar nauw verweven is geraakt met alles wat je als organisatie doet in je in je dienstverlening en je bedrijfsvoering. En dat betekent dat informatieveiligheid daarmee ook een integraal onderdeel wordt van alles wat je doet in de business.
Renco:Dat roepen wij, en noem ik dan even wij bedoel ik dan bij CISO's. Dat wensen wij maar wij ervaren dan niet dat dat altijd zo gevoeld wordt door die gebruikersorganisatie.
Rick:Dat is een uitdaging denk ik, en dat betekent denk ik ook dat je CISO-rol verandert van een rol waar je met name zelf de maatregelen neemt en beleid opstelt, je ook steeds meer adviseur van de organisatie wordt om te zorgen dat daar het bewustzijn is, eigenaarschap ontstaat en ook de digitale vaardigheden groeien om te zorgen dat de business daar ook zelf goede verantwoordelijkheid in kan nemen.
Renco:Oké, dat klinkt best wel als een taak die niet zozeer inhoudelijk te maken heeft. Daar kom je niet per se verder mee als je veel van IT-landschappen kent of weet hoe je bewustwording moet bereiken binnen je organisatie. Het voelt als je moet goed kunnen aansluiten bij die bedrijfsprocessen en eigenlijk het vakgebied informatiebeveiliging daarmee uitlijnen of daarmee in verband zien te brengen, zodat het gaat leven hopelijk dan voor die proceseigenaar. Dat staat ook wel allemaal in de bio, maar wordt hoor,
Rick:dat is wel een uitdaging. Je ziet in organisaties natuurlijk wel dat ICT soms nog steeds wordt gezien als iets van ICT-afdeling. Eigenaarschap voor processen wordt natuurlijk in de business vaak wel onderkend. Maar eigenaarschap voor de data, voor de applicaties en daarmee ook voor de informatieveiligheid, ja is nog wel eens een uitdaging.
Renco:Omdat men dat eigenlijk veronderstelt dat dat ook door diezelfde IT-afdeling geregeld wordt.
Rick:Ja, en toch vind ik dat wel bijzonder. Je kan de vergelijking maken bijvoorbeeld met de politie. Natuurlijk is de politie verantwoordelijk voor een stuk veiligheid op straat maar dat betekent niet dat je zelf niet je huis afsluit je fiets op slot zet. Sterker nog als jij je fiets niet op slot zet en hij wordt gestolen dan zegt je verzekeraar dat ze niet gaan uitkeren omdat je er niet goed op hebt gelet. Zo zit het ook wat mij betreft met de ICT in een organisatie.
Rick:Het simpele zet je je scherm even op slot, je laptop op slot als wegloopt bij je computer. Dat is iets wat nog lang niet altijd overal wordt gedaan, maar is wel een soort basisregel die ik analoog zie aan het op slot zetten van je fiets.
Renco:Ja, dus die eigen verantwoordelijkheid die mensen hebben.
Rick:Zeker. Ik denk dat als je kijkt naar de rol van ICT in brede zin van het woord. Vroeger was ICT natuurlijk een soort automatiseringsbolwerk. Op een gegeven moment is dat gaan schuiven richting ICT die echt ondersteunend is aan processen en aan de bedrijfsvoering.
Renco:Was dat dan daarvoor niet?
Rick:Nou ik denk helemaal in het begin niet. Helemaal in het begin had je het echt over hé, je had processen in de organisatie en je had automatisering. Dat waren 2 werelden. Dat waren 2 aparte werelden en dat is natuurlijk al lang niet meer zo. ICT is tegenwoordig ondersteunend aan processen.
Rick:Maar ik denk dat het tegenwoordig verder gaat en dat ICT tegenwoordig echt verweven is met bedrijfsvoering en met je dienstverlening.
Renco:Er wordt ook meer samen opgetrokken denk ik.
Rick:Zeker, gelukkig wel. En er is eigenlijk geen proces of dienst meer, ook niet in een gemeentelijke organisatie die uiteindelijk niet op de een of andere manier ook een ICT-component heeft. En daarbij zie je natuurlijk ook dat er zijn ontwikkelingen waarbij je niet meer uitgebreid allerlei programmeertalen hoeft te kennen om ICT applicaties in elkaar te knutselen.
Renco:Je hebt eigenlijk steeds meer bouwstenen tot je beschikking zou je kunnen zeggen.
Rick:Ja, dus je ziet ook een verschuiving van ICT richting de business met low-codeno code platformen, met het aanschaffen van SaaS toepassingen. Het is tegenwoordig natuurlijk eenvoudig, niet altijd wenselijk, goed wel eenvoudig voor iemand in de business organisatie om zelf een SaaS toepassing aan te schaffen.
Renco:Dus die hoeft helemaal geen gebruik meer te maken daarvoor van de dienstverlening van de interne IT-afdeling?
Rick:Nee, ik denk dat het goed is dat dat wel gebeurt, want er zijn een boel verantwoordelijkheden op het gebied van onder andere beveiliging, maar ook archivering en contractmanagement waarbij de ICT organisatie nog steeds een hele belangrijke rol speelt. Maar als je in het verleden een applicatie wilde aanschaffen dan moest je wel langs de ICT afdeling want dan moest ergens een stuk hardware draaien om het op te zetten.
Renco:En dat is natuurlijk niet meer.
Rick:En dat is niet meer dus dat betekent het wordt steeds eenvoudiger voor de business om daar verdergaande stappen zelf op te zetten. Maar dat betekent ook dat daar een verdergaande verantwoordelijkheid op het gebied van informatie veilig werken bij hoort.
Renco:En hoe verandert dat dan, zeg maar die ontwikkeling, hoe verandert dat ook jouw werk als CEO?
Rick:Dat verandert denk ik op dezelfde manier als wat ik net noemde rondom de CISO-rol. Namelijk dat je niet alleen maar meer zelf het beleid uitzet en bepaal hoe je dingen gedaan wil hebben maar dat je ook steeds meer die adviesrol richting de business organisatie moet oppakken. En je kan beleid neerleggen en je kan zeggen zo doen we het maar je hebt niet de hiërarchische macht gelukkig, om dat af te dwingen in de organisatie. Dus je moet er ook voor zorgen dat er in de business organisatie bewustwording ontstaat over de verantwoordelijkheden die mensen zelf hebben om op een informatieveilige manier om te gaan met de data die ons ter beschikking wordt gesteld door inwoners en ondernemers.
Renco:Ja, ja. Dus daarin heb je eigenlijk een vergelijkbare uitdaging als de CISO of andersom. CISO heeft een vergelijkbare uitdaging als de CIO.
Rick:Ja, Dus ik denk dat het ook belangrijk is dat je als CIO en als CISO daar nauw met elkaar in optrekt.
Renco:En zou je dan de CISO rol niet kunnen uitbesteden aan het Shared Service Center?
Rick:Dat vind ik een ingewikkelde vraag. Zou zeggen nee. Denk dat het zou kunnen, maar ik denk dat het belangrijker is om als CISO dicht op je gebruikersorganisatie te zitten dan dat je heel erg dicht op je uitvoerende IT-organisatie zit. Die brug moet je uiteraard ook kunnen maken, maar uiteindelijk zou ik het zwaartepunt richting de business willen leggen.
Renco:Ja, ik stel deze vraag wel met voorkennis hoor, want ik zag een tijdje geleden volgens mij een vacature voorbij komen bij ONS. Volgens mij zochten ze een TISO, een Technische Information Security Officer. En die zit natuurlijk, die doet precies dat, maar dan wel aan IT kant.
Rick:Precies, zeker. En ONS heeft natuurlijk ook een eigen verantwoordelijkheid voor alles wat daar bij het Search Service Center draait.
Renco:Er zit ook een eigen CISO functie. Precies.
Rick:Maar daarnaast heb je natuurlijk ook een counterpart nodig voor de CISO's vanuit de partnerorganisaties.
Renco:In de voorbereiding, Rick, jij iets treffend vond ik, toen ging het even over de positie van de CISO en de rol van de CISO en toen zei je nou als je een goede CISO hebt, dan is dat natuurlijk fijn, want je hebt een goede CISO, maar de paradox is dan dat dat in de hand kan werken dat die business juist in toenemende mate denkt het is geregeld, daar is die SISO voor. Dus moet je dan niet de goede SISO hebben? Bedoel
Rick:Nou, dat zou Daar zou ik niet een lans voor willen berekenen, maar ik zie die paradox inderdaad wel. Dat als jij ervoor zorgt als SISO alles goed geregeld is, dat mensen denken nou dat is prima belegd, daar hoef ik niet zoveel aan te doen. Denk ook in die zin wel eens dat een CISO misschien best een ondankbare rol is. Als je het heel goed doet dan is dat relatief onzichtbaar. Als het helemaal mis gaat ja dan mag je op het padje komen.
Renco:Dan ben je wel zichtbaar.
Rick:Zeker en kijk iedereen weet wat er is gebeurd bij bij Hof van Twente en andere organisaties met grote datalekken en hacks. Ransomware? Ja precies, en dan sta je op de radar. Zolang dat niet gebeurt en zolang mensen de perceptie hebben dat het goed is geregeld, voelt dat toch een beetje als ver van je bed soms.
Renco:Waar ik zelf wel eens last mee heb, is dat informatiebeveiliging kost geld. Je neemt maatregelen en die zijn niet gratis over het algemeen. Maar de baten zeg maar is dat hoe je dat eigenlijk moet verkopen als je het moet uitdrukken in euro's dan dan ga je uit van het hopelijk dan fictieve scenario. De gemeente Hof van Twente heeft nu de feitelijke cijfers, maar anders moet je uitgaan van geraamde cijfers. Je zegt nou als dit gebeurt, dan zijn dit de kosten die daarmee samenhangen en dan kan je die investering daartegen wegzetten en dan hopelijk slaat de balans dan goed uit.
Renco:Maar het uitdrukken in euro's van de nut en noodzaak van informatiebeveiliging vind ik echt een lastig onderdeel van mijn werk. Het is een soort verzekering. Stopt geld in iets om te voorkomen dat er iets gebeurt waarvan je niet zeker weet dat het überhaupt ooit zou gebeuren of zal gebeuren.
Rick:Ja, die worsteling herken ik heel erg. En kijk bij een verzekering is het in ieder geval nog zo dat je betaalt en op het moment dat er iets kapot gaat bijvoorbeeld, dan krijg je uitbetaald. Dus kan je zien wat het je heeft opgebracht. En bij informatiebeveiliging is het hopelijk zo dat als je goed doet en het geld goed besteedt, dat je ontsnapt aan een aantal hele vervelende incidenten. Alleen het probleem is dat je waarschijnlijk niet weet dat je op die manier daaraan ontsnapt bent.
Renco:Ja, dus hoe toon je nou op een gegeven moment aan dat die investeringen die gedaan zijn ook hun opbrengsten hebben gehad?
Rick:Dat is heel lastig uit te drukken en ik denk dat dat sowieso niet geld uit te drukken is. Dat zou mijn doel ook niet zijn. Ik zie wel dat in organisaties er steeds meer besef komt, op basis van dit soort incidenten, die natuurlijk wel bekendheid hebben gekregen, dat dit echt iets is wat je gewoon te doen hebt met elkaar en wat je niet moet onderschatten. Maar je kan in lastige gesprekken over geld uitkomen, want ja, wanneer besteed je genoeg? Wanneer besteed je te veel, wanneer te weinig?
Renco:Als CEO zult ook die vraagstukken natuurlijk op je bord krijgen.
Rick:Ja, daar is uiteindelijk geen Ik heb daar nog geen harde methodiek in ontdekt om daar een oplossing in te vinden. Dus dat blijft de balans proberen te vinden. Samen optrekken met andere organisaties natuurlijk vanuit partnerverband om de kosten in ieder geval binnen de perken te houden. Maar wel uiteindelijk ook vanuit je CISO en informatiebeveiligingsverantwoordelijkheid je hard te maken voor de maatregelen waarvan je vindt dat ze nodig zijn om de ergste incidenten te voorkomen.
Renco:Maar als jij nou bericht leest over de gemeente Hof van Twente, word je daar onrustig van? Denk je dan, want ik heb wel eens gemerkt, dat is de achtergrond bij mijn vraag, heb wel eens gemerkt dat als ik dan presentaties geef en ik pak actuele voorbeelden, ook nog gemeentelijke voorbeelden, dat ik dan nog niet altijd het shock effect teweeg breng dat ik eigenlijk gehoopt had. Shocken daar bedoel ik vooral mee 'it is real' zeg maar. Als je getroffen wordt dan is het alsof alle stoelpoten onder je vandaan gezaagd worden. Een tijd geleden had ik een presentatie van iemand van de IT-afdeling van de gemeente Antwerpen.
Renco:Die zijn natuurlijk gehackt en die vertelde de impact daarvan. Dat is niet te beschrijven wat daar gebeurd is en de kosten en de effort die erin moest om het hele IT landschap weer opnieuw op te bouwen. Als ik dat dan schets, dan denk ik nou nu moet iedereen direct zien waarom Hiervoor doen we het tenminste, om dit te voorkomen en dat lukt niet altijd.
Rick:Nee, en snap dat probleem, maar misschien is het net als met roken en drinken en de nadelige gezondheidseffecten, dan is het ook heel makkelijk om te denken, nou dat zal mij niet overkomen.
Renco:Ja, dus
Rick:kansinschatting. Ik denk dat dat lastig is. Ik denk ook wat dat betreft, je niet alleen moet inzetten op het voorkomen van incidenten maar ook op het mitigeren ervan of op het wat doe je op het moment dat je wel getroffen wordt. Ja,
Renco:we wel populair volgens mij noemen, digitale weerbaarheid, hoe gaan we om? We nemen heel veel maatregelen om te voorkomen dat we getroffen worden maar we bereiden ons er tegelijkertijd ook voor dat we getroffen worden.
Rick:Ja, en ik gebruik wel eens de uitspraak in de organisatie dat het niet de vraag is of we getroffen worden maar wanneer. En daarin heb je natuurlijk altijd nog gradaties maar we zijn ook aan het kijken hoe we dan in ieder geval kunnen zorgen dat onze dienstverlening door kan blijven draaien, hoe we onze data terug kunnen krijgen, hoe we ervoor kunnen zorgen dat er geen gevoelige data naar buiten gaat. Helemaal voorkomen of je dat lukt kan je natuurlijk nooit garanderen, je kan wel van tevoren nadenken over de maatregelen die je neemt om de gevolgen in ieder geval zo klein mogelijk te houden.
Renco:We zitten eigenlijk een beetje op het vakgebied van business continuity management.
Rick:Ja, zeker.
Renco:Is dat een onderdeel wat in kampen in de portefeuille zit van de CIO of van de CISO?
Rick:Of ergens tussenin? Nee, ergens ertussenin zou ik zeggen. Laten we het een gedeelde verantwoordelijkheid noemen.
Renco:Ja, dat is wel de reden waarom ik het vraag. Eigenlijk iets te is voor de CISO. Je hebt al best wel een groot vakgebied af te dekken en business continity management is daar wel een flink hoofdstuk in. Al doet de bio dat niet helemaal vermoeden, maar als je kijkt naar de hoeveelheid werk die erin moet, omdat je natuurlijk nadrukkelijk samen met die business moet optrekken daar vooral, dus het gaat behoorlijk wat tijd kosten. Dus vanuit die optiek is het een vrij omvangrijk deel van die bio en dan past dat niet altijd bij de CISO.
Renco:Maar ja, het zit wel heel dicht aan tegen informatiebeveiliging, het gaat over verstoringen, crisisherstel.
Rick:Zeker, maar ik denk wel dat business continuity management uiteindelijk breder gaat dan alleen informatieveiligheid. Je hebt het ook over het omvallen van een leverancier, het plat liggen van een omgeving waardoor je geen paspoort of rijbewijs meer kan uiten. Een virus? Precies, coronapandemie-achtige situaties. Uiteindelijk gaat het erom dat je met zo min verlies zo snel mogelijk je dienstverlening weer up en running kan krijgen.
Renco:Ja, en dat je natuurlijk van tevoren goed hebt nagedacht over die volgordelijkheid van het herstel. Zeker. Dat je bij de belangrijkste zaken begint hè.
Rick:Ja, en uiteindelijk is informatieveiligheid daar een belangrijk onderdeel van, maar ik denk dat het verder gaat.
Renco:Maar dan ben ik wel even benieuwd naar hoe doe je dat dan in de constructie met zo'n partner als zo ONS? Want die bedient natuurlijk meerdere gemeenten en jij kan een specifiek idee hebben over bij een grote crisis wat dan de volgorde moet zijn van het herstel van dienstverlening en voor een deel ben je ook afhankelijk van ONS denk ik, worden applicaties gehost. Maar de gemeente Dalfsen heeft misschien andere wensen.
Rick:Klopt, en dat kan tot uitdagingen leiden, maar het helpt ook om daar gezamenlijk naar te kijken en uiteindelijk probeer je daar toch de consensus in te vinden en over het algemeen kom je daar wel uit. Het is natuurlijk tegelijkertijd wel zo dat in een ICT landschap wat continu verder verzaast, je eigenlijk steeds minder het steeds minder een zaak is om alleen met een shared service center te praten. Als jij je applicaties bij 10 verschillende leveranciers hebt draaien, dan moet je naar een soort regievoering gaan waarbij je met meerdere partijen en leveranciers afspraken probeert te maken over het weer kunnen herstellen van je dienstverlening.
Renco:Ja, precies. Dus die scope ligt sowieso al veel breder dan alleen, aanhalingstekens, ONS in dit geval. We nemen deze podcast op in, want het is maart, dus ik ik loop al wat jaartjes mee in de gemeentelijke wereld, dan heb je zo'n zo'n cyclus die noemen we dan NCA hè, de jaarlijkse verantwoordingscyclus waarin gemeentes dan aan de aan de toezichthouders vanuit het Rijk als het gaat om digi d en SUNET en ook de basisregistraties verantwoording afleggen. Dat het veilig is allemaal en tegelijkertijd ook is het idee dat je verantwoording aflegt aan je gemeenteraad. Als toezichthoudende, als hoogste orgaan eigenlijk in de organisatie.
Renco:Toezichthoudende orgaan, het orgaan wat ook over de over de centen gaat. Ja. We zitten eigenlijk een beetje in de vooravond van de agendering bij het college als ik het zo inschat. Hoe loopt dat in Kampen?
Rick:Nou daar sta ik eigenlijk wat op afstand. We hebben gelukkig hele goede mensen die zich daar uitgebreid mee bezig houden. En dat is natuurlijk ook een jaarlijks terugkerende verantwoordelijkheid. Het zijn uitgebreide audits die toch ook wel weer de vinger op de zere plek leggen. Verantwoording is belangrijk maar uiteindelijk vind ik het nog belangrijker dat je als uitvloeisel van audit weer bewust bezig bent met wat hebben we nou eigenlijk te doen met elkaar en op welke vlakken hebben we nog verbeteringen door te voeren.
Rick:Dus ik vind het bewustzijnseffect van zo'n audit vind ik nog wel belangrijker dan het feit dat we hem uiteindelijk langs een college in het bestuur moeten halen ter verantwoording. Maar goed, ook bewust natuurlijk op dat
Renco:niveau kan je natuurlijk
Rick:bevorderen Ja, daar is het ook een
Renco:mooi middel in. Ja, want eerder in het gesprek gaf je al aan van een van jouw taken is ook het verwachtingenmanagement dus het management, de IT-organisatie, maar ook het bestuur. Het bestuur kom je dan ook tegen in die verantwoording, maar heb je dan ook vanuit andere vakgebieden, want informatiebeveiliging valt dan onder jouw verantwoordelijkheidsgebied, maar dat verantwoordeligheidsgebied reikt wat verder dan alleen maar informatiebeveiliging. Zijn er ook vanuit andere vakgebieden soortgelijke verantwoordingslijnen die tot aan het bestuur reiken? Dat vind ik er niet heel voor de hand liggend aan.
Renco:Het bestuur opereert op een ander abstractieniveau, zal ik het maar zeggen, dus die zal wel iets willen vinden of moeten kunnen vinden van informatiebeveiliging, maar is niet zo heel gebruikelijk. Ik zie het niet om me heen gebeuren in aanpalende vakgebieden. Ik noem even informatiebeheer, privacy, architectuur. Daar zie ik niet mijn collega's ook met dergelijke informatie richting het bestuur gaan.
Rick:Nee, ik denk dat ict in brede zin van het woord een relatief beleidsarm domein is. Zeker als je het afzet tegen openbare orde en veiligheid of beleid binnen een sociaal domein.
Renco:Wat is dat dan beleidsarm? Kan dat eens concreet maken? Wat bedoel je daarmee?
Rick:Nou, bedoel ik mee dat uiteindelijk een bestuur erop mag vertrouwen dat je als ICT-organisatie op een volwassen en professionele manier zorg draagt voor een goede ICT die goed de organisatie en het bestuur ondersteunt. Ja. En het bestuur heeft daar denk ik relatief minder keuzes in te maken tenzij Maar het
Renco:moet het gewoon doen zeg maar.
Rick:Nou ja het moet het doen. Is een soort basisvoorwaarde om je werk goed uit te kunnen voeren. En zolang het niet te veel geld of gedoe oplevert, wil je er toch ook vooral niet al te veel last van hebben.
Renco:Er wordt ook niet gerapporteerd over de fysieke beveiliging misschien, hetzelfde bestuur, vanuit hetzelfde argument. Dat die panden de deur open en dicht gaan, zeg maar, anders kan ik niet naar binnen.
Rick:Of daarover gerapporteerd wordt, durf ik eigenlijk niet te zeggen. En je ziet wel in algemene zin dat er wel meer interesse ook begint te ontstaan bij colleges en raden over hoe hebben wij de ICT eigenlijk ingericht, hoe gaan wij om met modernisering, hoe gaan we om met verzaging, vanuit regievoering, vanuit kostenperspectief. En het is goed denk ik om daar ook bewustzijn over te creëren bij het bestuur en om ze daar ook in mee te nemen. Maar uiteindelijk is het ook een vakgebied waarbij ICT-professionals de ruimte wil geven om dat op een goede manier in te richten.
Renco:Ja, ik vind het wel een mooie term, beleidsarm vakgebied. Die heb ik nog niet zo eerder gehoord, maar ik snap nu wel wat je ermee bedoelt. Dus ik ik het woord commodity gooit mij te binnen eigenlijk net. Het is een beetje als ik heb lang geleden lang geleden heb ik marketing gestudeerd. Hadden het ook over commodities, benzine en melk weet je dat zijn Ja, die kan ik overal halen.
Renco:Het maakt niet zo heel veel uit of ik nou bij Shell tank of bij BP. Ja, die auto die rijdt er gewoon op zeg maar. Ik stel er ook niet te veel vragen over. Ik heb er ook niet te veel gevoelens bij of zo. Als marketeer probeer je dat natuurlijk te beïnvloeden.
Renco:Ik kan me voorstellen dat dat ook het gevoel is wat een raadslid kan hebben bij ICT. Ja, tot
Rick:op zekere hoogte. En dat zorgt natuurlijk ook wel eens voor wat ingewikkelde discussies op het moment dat je het hebt over informatiebeveiliging. Want informatiebeveiliging helpt natuurlijk over het algemeen niet om het gebruiksgemak van je toepassingen te vergroten. En dan kan je nog wel eens in situatie komen dat, het kost geld, maar, mensen kunnen er last van hebben.
Renco:Ja, het is beperkend. Het kan
Rick:beperkend zijn. Dus in die zin is het denk ik altijd zaak om de balans te vinden tussen de informatieveiligheidsmaatregelen je wilt nemen en het gebruiksgemak van de toepassingen die je aanbiedt.
Renco:En zie je dat dan als een verantwoordelijkheid die zie je het afwegen van die 2 tegen elkaar zie je dat voornamelijk als een verantwoordelijkheid van jou als CIO om dat te wikken en te wegen, zeg maar en dat je eigenlijk van de CISO dan verlangt om een lans te breken voor de beste oplossing op het gebied van informatiebeveiliging en dat jij dat afweegt. Of zeg je: Ik vind het eigenlijk wel belangrijk dat een CISO ook al meeweegt in hoeverre dit redelijkerwijs beperkend is of niet?
Rick:Nou, ik vind dat dat besef eigenlijk door de hele ICT-organisatie heen moet gelden. En het is wel goed om ook in afwegen, want het is natuurlijk niet 1 afweging, er zijn natuurlijk 100 kleine afwegingen door de tijd heen. Het is goed om ook in overleggen en en afstemming dat soort perspectieven tegenover elkaar te zetten om te zorgen dat allebei fatsoenlijk meegewogen worden. Ik denk dat je als CISO of als informatiebeveiliging verantwoordelijke uiteindelijk niet de taak hebt om te zorgen voor de theoretisch allerbeste beveiligingsmaatregel maar moet zorgen voor die maatregel waarmee je bereikt dat er op de meest informatie veilige manier wordt gewerkt. Ik ben ervan overtuigd dat als mensen niet in de gebruikersorganisatie niet snappen waarom maatregelen genomen worden en de resulterende toepassingen onwerkbaar vinden, kunnen ze altijd een manier vinden om er buiten te werken.
Renco:En dus bereik je dat doel van het managementteam?
Rick:En dus bereik je je doel niet. En dan kan je nog mooie bijvoorbeeld beveiligde mailomgeving hebben bedacht. Maar als mensen hem gaan vermijden en hun Gmail of Hotmail gaan gebruiken, heb je uiteindelijk als die zo denk ik niet bereikt, wat je hoopt te bereiken.
Renco:Ja, soort schijnveiligheid hè. Je kunt dan ronkende verhalen zou je kunnen vertellen over de oplossingen die je allemaal geïmplementeerd Ja,
Rick:dan wordt het een soort cover your ass methode. Ja, kijk, wij hebben ons werk goed gedaan, wij hebben iets heel veiligs Uiteindelijk is denk ik de organisatie daar niet mee geholpen. Dus als de organisatie die toepassingen tot zijn beschikking heeft waarmee ze op een werkbare, informatieveilige manier kunnen werken, en dan wil ik niet zeggen dat ze er nooit eens last van zullen hebben als je met multifactorauthenticatie weer eens moet inloggen. Ik snap dat dat irritant kan zijn. Maar als je mensen aan boord weet te houden en toch op een veilige manier laat werken, dan denk ik dat je uiteindelijk het meeste effect voor je organisatie hebt bereikt.
Rick:Ja, daar kan ik het
Renco:alleen maar mee eens zijn. Tot slot nog 1 vraag, Rick. Na uitsmijter. Afgelopen week, meermalen in het nieuws, dat we toch wel al te gretig in Nederland gebruik lijken te willen maken van de cloudoplossingen van Microsoft. Ja, de mail die Exchange Online en onlangs eind vorige week was dat volgens mij de EDPB die de Europese Commissie op de vingers stikt omdat alles maar gewoon in de cloud wordt gezet.
Renco:Nou, dat onderwerp versazing hé, de dingen in de cloud zitten kwam al een aantal keren voorbij hier. Ik heb in de 10 jaar dat ik dit werk doe alleen nog maar bij gemeenten gewerkt die allemaal bezig waren met migreren naar de Microsoft Cloud op wat voor manier dan ook. Dus dat was voor mij heel herkenbaar. Hoe lees jij dat soort berichten?
Rick:Ja, ik probeer dat soort berichten niet te lezen vanuit een soort paniek van de waan van de dag. Maar ik denk dat het een lange termijn uitdaging is om na te denken, en dat gaat natuurlijk veel breder dan een gemeentelijke organisatie, over welke mate van digitale autonomie heb je nodig of wil je hebben richting de toekomst als land, Europa. De vraag is natuurlijk op het moment dat je afscheid neemt van Microsoft cloud, wat zijn je alternatieven? Ja, een andere Amerikaanse cloudleider waarschijnlijk. Precies.
Rick:En in Europa hebben we daar natuurlijk misschien toch wel een beetje de bal laten liggen de afgelopen jaren, daar een Europees alternatief tegenover te stellen. Of zelfs een Nederlands alternatief. Je kan natuurlijk allerlei eisen stellen bij overgang naar zo'n Amerikaanse cloud ten aanzien van bijvoorbeeld de fysieke locatie waar zo'n datacenter dan moet staan. Maar ja of dat je uiteindelijk vrijwaard van inmenging van een buitenlandse overheid als die daar echt reden toe ziet is toch een beetje koffiedik kijken.
Renco:Ja je krijgt daar nooit helemaal 100 procent zekerheid over.
Rick:Nee en dat gaan wij als organisatie of ik als CIO ook echt niet oplossen. Maar ik denk wel dat dat iets is waar we maatschappelijk in Nederland en Europa met elkaar een visie op moeten gaan vormen.
Renco:Ja, is eigenlijk een groter vraagstuk. Zeker. Rick, dank je wel voor je tijd. Ik vond het leuk om eens met je van gedachten te wisselen over dit onderwerp.
Rick:Zeker, hartstikke leuk.
Renco:Eens te horen hoe een CIO kijkt naar informatieveiligheid. Hartelijk dank en wie weet, nou ja, tot de volgende pubquiz denk ik dan.
Rick:Ja, lijkt mij goed, lijkt mij leuk.
Renco:Die hebben we helemaal niet genoemd, maar we hebben 1 keer meegedaan aan het pubquiz en die hebben we gewoon tegen alle verwachtingen in gewonnen.
Rick:Ja, dus misschien moeten we het daar maar bij laten. Het kan alleen maar minder worden.
Renco:Bedankt, tot ziens. En jij natuurlijk bedankt voor het luisteren naar weer een nieuwe aflevering van Keytalking. Intussen ben ik natuurlijk de volgende afleveringen al aan het bekokstoven en ook dat belooft weer een leuk en interessant gesprek te worden over een heel ander onderwerp met ook weer een heel ander soort gast, dus ik hoop dat je er over een maand weer bij bent. Tot dan!
