#27 - Wat brengt een CISO mee aan kennis, ervaring en vaardigheden? (met Ronald van der Zon)
Welkom bij een nieuwe aflevering van qeep talking. Een podcast waarin ik, Renco Schoenmaker, in gesprek ga met uiteenlopende gasten over informatiebeveiliging en privacy bij de overheid. Het gaat mij tijdens die gesprekken vooral om de hoe vraag. Die blijkt namelijk veel lastiger te beantwoorden dan de wat vraag. Met deze praktische insteek hoop ik dat jij als luisteraar ideeën opdoet om succesvoller te zijn in je werk.
Renco Schoemaker:Zowel op het gebied van maatregelen als het managementsysteem waarbinnen die maatregelen worden genomen en daar veel over te bespreken dus veel plezier en qeep talking Ik moet zeggen, het komt niet zo heel vaak voor, maar ik neem nu een tweede keer KeepTalking op in eenzelfde gebouw. Nou. Ja, mooi. Je hoort al, ik heb weer een gast gevonden die met mij wilde opnemen. Hartstikke leuk.
Renco Schoemaker:Ik zit weer aan de Turfmarkt 147 en tegenover mij zit, ik kan je beter zelf
Ronald van der Zon:zeggen, Ronald van der Zon. Ja, Ronald van Adviseur bij het NCSC.
Renco Schoemaker:NCSC, dus ik zit bij het CERT der CERT's in Den Haag in het episch centrum van Nederland. Ik krijg hier
Ronald van der Zon:een ongemakkelijk gevoel bij. Ja.
Renco Schoemaker:Ja, we halen gekkerdom een stokje. Leuk dat je in de podcast bent Ronald.
Ronald van der Zon:Dank je wel voor de uitnodiging.
Renco Schoemaker:Ja. Ja, dit is onze tweede of derde poging meen ik. Ik stond een keer onverhoopt op het perron met al mijn spullen. Toen reed de trein niet. Moesten we het opnieuw plannen, maar het is dan nu toch echt gelukt.
Ronald van der Zon:Precies. Het was lang wachten, maar eindelijk. Ja, daar zijn we dan.
Renco Schoemaker:We hopen ook allebei dat het na afloop dat we dan zullen zeggen het was het waard.
Ronald van der Zon:Gaan we zien.
Renco Schoemaker:Ja, gaan we zien ja. Voordat we de inhoud induiken, wat houdt jou bezig binnen het NCSC en misschien kan je ook kort iets vertellen over het NCSC zelf. Ik veronderstelt het luisteraars dat wel weten, maar voor de zekerheid.
Ronald van der Zon:Dat is goed. Nou, hou mij bezig met de advieskant. Dus iets minder met de CERT kant. En wat wij proberen te doen is organisaties helpen digitale weerbaarheid op niveau te krijgen. En dat doen we door het uitbrengen van beveiligingsadviezen In de vorm van good practices, best practices.
Renco Schoemaker:Een beveiligingsadvies is dat een soort chic woord voor een kwetsbaarheden waarschuwing?
Ronald van der Zon:Nou daar zit nog wel wat verschil tussen. Dus je kunt advies geven over een specifieke kwetsbaarheid en hoe daarmee om te gaan. Maar de bredere context daaromheen is ook vaak belangrijk. Dus je kunt het hebben over een specification kwetsbaarheid en hoe daarmee om te gaan. Maar het bredere patchmanagement of kwetsbaarhedenbeheer in brede zin, en daar maken we ook als NCSC vaak het onderscheid.
Ronald van der Zon:Dus we praten vaak over de warme fase en de koude fase. Dus in de warme fase dan heb je te maken met een kwetsbaarheid waar je nu wel of niet iets mee moet. En in de koude fase kun je werken aan de digitale weerbaarheid in algemene zin.
Renco Schoemaker:Ja, om ook goed voorbereid te zijn op de volgende kwetsbaarheid.
Ronald van der Zon:Precies die ongetwijfeld gaat gebeuren. Dat zijn de zekerheid
Renco Schoemaker:die we hebben in ons leven.
Ronald van der Zon:Ja, Ja, wat dat betreft. Oké. Ja, dus daar zit een beetje het verschil. En ik hou me dus met name bezig met die koude fase.
Renco Schoemaker:Ja, en als je nou in 1 zin moet omschrijven wat het NCSC doet. Hoe zou je dat omschrijven?
Ronald van der Zon:En dat ook nog in de tijd dat wij op weg gaan naar een nieuwe organisatie waarbij DTC ook onderdeel wordt van die nieuwe organisatie. Ja, DTC is het Digital Trust Center toch? Het Digital Trust Center inderdaad.
Renco Schoemaker:Wordt samengevoegd met het Nationaal Cyber Security Center.
Ronald van der Zon:Precies, waardoor we een hele grote brede doelgroep krijgen. Wat het de antwoorden van deze vraag ook lastig maakt.
Renco Schoemaker:Maar er is vast een gemeenschappelijke deler toch?
Ronald van der Zon:Denk dat dat zit in het organisatie in staat stellen hun weerbaarheid op orde te brengen. Dat is natuurlijk wat ik net ook al zei, maar dat is wel de kern. Of dat nou gaat om een incident, om een kwetsbaarheid in de warme fase, of dat het nou eens meer zit in die koude fase.
Renco Schoemaker:Ja, want ik heb, ik ben een trouwe lezer van jullie adviesproducten. In mijn werk heb ik wat minder te maken als, ja ik ben meestal bezig meer met de beleidsmatige kant. Dus ik heb wat minder te maken met de specifieke beveiligingsadviezen rondom individuele kwetsbaarheden. Maar ik ben niet vooral geïnteresseerd in de adviesproducten die jullie daaromheen maken. Ik zit meer aan de koude kant.
Renco Schoemaker:Dat klinkt een beetje onvriendelijk als ik dat zo over mezelf zeg. Alsof ik aangetrouwd ben.
Ronald van der Zon:Ja, ja, ja, ja, ja. Ja, daar zit wat in. Maar in deze context werkt dat anders denk ik.
Renco Schoemaker:Ja. Dus ik ben dan een trouwe lezer van jullie publicaties. Ik vind ze altijd goed bruikbaar. Ik vind het ook prettig als jullie webversies maken van jullie publicaties. Dus dan hoef je niet per se PDF te downloaden, maar je kan gewoon in de browser.
Ronald van der Zon:Goed om te horen, want dat doen we ook nog niet zo lang.
Renco Schoemaker:Nee, het viel mij op dat jullie dat doen. En ja, ik vind dat leest lekker weg. Helpt, ja, hoe zeg je dat? Een pdf, ja, daar moet ik er al zoveel van doorworstelen. En als je dan een beetje wat meer vlot door zo'n webpagina heen kan klikken.
Renco Schoemaker:Ja ik weet niet. Het maakt toch wat laagdrempeliger. Ja. Dus ik zou zeggen blijf dat doen.
Ronald van der Zon:Nou gaan we zeker doen. We zijn momenteel ook nog bezig met onderzoek naar überhaupt hoe kunnen we onze adviezen wat effectiever en efficiënter of ook misschien in verschillende vormen naar doelgroepen toe brengen. Dus ja, dit soort geluid, dit soort feedback is super welkom. Hey, ik wil trouwens ook nog even opmerken dat ik bij het NCC werk, maar dat ik hier wel op persoonlijke titel zit.
Renco Schoemaker:Ja, ja, dat is zeker een goede opmerking. Maar alles wat jij zegt in deze podcast is niet per se, of nee, niet per se, is geenzins algemene standpunt of wat dan ook.
Ronald van der Zon:Precies.
Renco Schoemaker:Op persoonlijke titel. Juist. Goed, dat is even goed om helder te hebben. Anders gaan we jou van allerlei dingen aanvrijven. Ik ben nog wel even benieuwd hè, om je noemde net in een bijzin de samenvoeging met het DTC.
Renco Schoemaker:Hoe ik het altijd zag is de DTC richt zich eigenlijk op de commerciële bedrijven en het NCSC is er voor de Rijksoverheid en de vitale infrastructuur. Dus je hebt eigenlijk inhoudelijk doen ze dus een groot deel dezelfde dingen, maar de achterban is wezenlijk anders. Is dat een terechte samenvatting die ik nu geef? Zou jij het ook zo omschrijven?
Ronald van der Zon:Ja, het interessante is natuurlijk als je naar een wat grotere groep organisaties kijkt. Dat daar zo per definitie verschil zit tussen die organisaties in de mate waarin ze volwassen zijn op het gebied van cybersecurity. Dus aan de ene kant heb je gelijk. Er zit verschil tussen die 2 type doelgroepen. Aan de andere kant binnen die doelgroepen heb je ook een stukje variëteit.
Ronald van der Zon:Zeker. Nu kijken we eigenlijk naar de samenvoeging van die doelgroepen naar welke fases kan een organisatie zich in bevinden. En welke type adviezen passen er dan bij die specifieke fase.
Renco Schoemaker:En dan heeft het eigenlijk niet zo heel veel zin meer om nog een onderscheid te maken in die verschillende doelgroepen in de zin van commercieel of overheid. Je pakt eigenlijk de fasering als uitgangspunt.
Ronald van der Zon:Ja, ja, ik weet niet hoe jij dat ervaart, maar je zou bijna kunnen zeggen dat 80 procent van de cybersecurity adviezen, good practices die er zijn, helemaal niet sector specifiek zijn.
Renco Schoemaker:Nee, maar daar ben ik direct met je eens.
Ronald van der Zon:Ja.
Renco Schoemaker:Ja. Dus is er al een potje armdrukken geweest over welke naam dan dat die gecombineerde organisatie moet krijgen?
Ronald van der Zon:Dat weet ik niet en daar houd ik me ook echt niet mee bezig.
Renco Schoemaker:Het is wel bekend hoe de nieuwe organisatie gaat heten.
Ronald van der Zon:Volgens mij blijft het gewoon NCC geheten. De nieuwe organisatie is volgens mij de werkend vorm.
Renco Schoemaker:Denk ook dat NCSC, tenminste ja. Ik ben natuurlijk niet neutraal, want ik zit in die overheidssector als consultant. Maar voor mij is het NCSC niet een hele grote naamsbekendheid. Het zou bijna jammer zijn om die weg te gooien. Maar anderzijds zouden misschien commerciële bedrijven exact hetzelfde zeggen over DTC.
Renco Schoemaker:Dat weet ik niet. Ik kwam in aanraking met de defensieorganisatie. Daar heb je dan in plaats van het NCSC heb je het DCSC. Ja. Had ik daar weer nooit van gehoord.
Renco Schoemaker:Maar dat is dan weer dat defensie equivalent van het NCSC denk ik dan.
Ronald van der Zon:Ja, dus het heeft te maken met hoe we binnen de overheid dingen in het verleden hebben georganiseerd en de ambities om nu op sommige plekken organisaties samen te voegen. Ja, nogmaals is niet iets waar ik met mijn pers mee bezighoud, maar wel onderdeel van uitmaken.
Renco Schoemaker:Ja, leuk, ja. En het onderwerp, nou dat bereiden we altijd een beetje op hoofdlijnen voor. Ik vind altijd gesprek moet zo natuurlijk mogelijk gaan, maar we hadden ons voorgenomen om het te hebben over waar staat nou eigenlijk een CISO primair voor aan de lat. Dus hoe, jullie schrijven adviesproducten, daarmee probeer je onder andere die CISO maar ook andere functionarissen probeer je te ondersteunen, een beetje de goede kant op te stimuleren.
Ronald van der Zon:Ja en dat was ook naar aanleiding van een gesprekje dat we hadden op LinkedIn. Naar aanleiding van een post van jou. Waar ik op had gereageerd. En toen kwamen we volgens mij, het was niet echt een discussie.
Renco Schoemaker:Nee, het was wel zo van hey, hier zouden we een podcast opname allemaal kunnen organiseren. En een paar maanden later zitten we hier.
Ronald van der Zon:Ja, ja, dat was leuk. Dus inderdaad, volgens mij is dat een beetje uitgangspunt. Ja, en ook bijvoorbeeld.
Renco Schoemaker:Het zegt ook iets over de positionering van die CISO. Want als die bepaalde verantwoordelijkheden heeft, dan moet die ook de plek in de organisatie natuurlijk hebben en het mandaat hebben om dat ook te kunnen realiseren. Ja. Dat is nog wel eens lastig. Mijn achtergrond is, voor alle duidelijkheid de gemeentelijke wereld.
Renco Schoemaker:Ik heb afgelopen 10 jaar, gewoon 11 jaar inmiddels voor gemeentes gewerkt. Ken die wereld als geen ander, maar tegelijkertijd moet ik zeggen dat er de andere overheidsorganisaties die ken ik niet. Nauwelijks. Ik geef ook trainingen dus dan kom je nog eens een keer ergens. Dus dat is wel interessant om eens een kijkje in de keuken te nemen bij andere overheidsorganisaties.
Renco Schoemaker:Maar als jij nou het zou moeten samenvatten Ronald, wanneer is een CISO voor jou succesvol in zijn werk?
Ronald van der Zon:Ik heb daar een korte en een wat langer antwoord op. Doe ze allebei. Eerst de korte. Het korte antwoord is als die SISO in staat is om goed geïnformeerd risico besluitvorming om dat te faciliteren. In de meeste organisaties is de CISO zelf niet de risico eigenaar, maar ligt dat bij het management, bij de bestuurder.
Ronald van der Zon:En daarmee heeft hij een adviserende rol. Nou goed en die moet hij dan als dusdanig goed invullen.
Renco Schoemaker:Dit was het korte antwoord?
Ronald van der Zon:Dit was het korte antwoord.
Renco Schoemaker:Ja. Wil je eerst een lang antwoord geven of mag ik hier al een vraag over stellen?
Ronald van der Zon:Stel je anders in die vraag, dan kom ik wel zo meteen bij waarom dit dan toch soms misgaat en lastig is.
Renco Schoemaker:Ja, nou daar gaan we zeker een resterend deel van de opname over vol kunnen praten denk ik, want dat is wel de harde werkelijkheid. Maar ik ben even benieuwd, de omschrijving of het korte antwoord wat je net gaf, waarom noemen we de CISO dan niet risicomanager?
Ronald van der Zon:Ja, dat vind ik eigenlijk een hele goede. En ik zou daar niet persoonlijk gelijk op tegen zijn. Het heeft denk ik mee te maken dat we naarmate we wat meer zijn digitaliseren en IT binnen organisaties de intrede deed, we het nog nodig vonden om dat ook te verbijzonderen. En daar specifieke aandacht voor. Risicomanagement te verbijzonder.
Ronald van der Zon:Nee, IT, IT security, cybersecurity. Ja. En want informatiebeveiligers of beveiligers in brede zin. We stonden eigenlijk altijd al binnen organisaties.
Renco Schoemaker:Er is alleen een domein bijgekomen zou je zeggen.
Ronald van der Zon:Er is op dat moment een domein bijgekomen inderdaad. Dus we waren altijd al delen van de organisatie bezig met bijvoorbeeld informatiebeveiliging. Daar werd het cyber component aan toegevoegd. Ja. En dat was denk ik ook, en dan kom ik gelijk even bij het lange antwoord.
Ronald van der Zon:Dan pak ik, dat is het. Dat heet denk ik, zijn oorsprong. Dit is mijn persoonlijke beelden van hor. Dus ik weet niet of dit helemaal waar is. Maar als je terugkijkt in het verleden.
Ronald van der Zon:Dan hadden we, hadden organisaties, en dan heb over misschien wel 15 jaar geleden, misschien 20 jaar geleden, had elke organisatie zo zijn eigen systeembeheerder. En die systeembeheerder die bepaalde, die had verstand van IT, de rest van de organisatie eigenlijk niet of heel beperkt. En die bepaalde ook min of meer hoe die organisatie IT kon gebruiken.
Renco Schoemaker:Want hij of zij zat aan de knoppen.
Ronald van der Zon:Hij of zij zat aan de knoppen, installeerde al die machines en het was allemaal nog niet zo gedigitaliseerde samenleving als waar we nu in leven. Dus dat was een beetje hoe dat werkte. De NT4 tijd 0 veel network voor de mensen die dat nog kennen. Maar dat is inmiddels aardig veranderd. Inmiddels begrijpen organisaties heel goed hoe ze eigenlijk IT zouden willen gebruiken en wat daar de voordelen van zijn.
Ronald van der Zon:En stellen daar ook allerlei eisen aan. En we hebben dus met elkaar die transitie gemaakt van IT'er, een systeembeheerder die best wel veel te zeggen had over hoe die organisatie IT gebruikte, naar een digitaal tijdperk waarbij die organisatie veel meer die rol vervult.
Renco Schoemaker:En IT moet dan maar leveren.
Ronald van der Zon:En IT moet dan maar leveren.
Renco Schoemaker:Waar maken. Precies.
Ronald van der Zon:En wat je dan ziet is dat we eigenlijk door die ook wel een klein beetje vastzitten in die oude situatie. Dus we hebben als IT security professionals vaak best wel een heel groot verantwoordelijkheidsgevoel. En mijn hypothese is dat dat zijn oorsprong heeft in het verleden. Dus we gaan soms ook nog wel een klein beetje op die stoel van die risicoeigenaar zitten. En aan de andere kant zie je dat de risico eigenaarschap, right governance van de bestuurders, dat dat ook vaak beperkt of onvoldoende wordt ingevuld.
Ronald van der Zon:Omdat ze misschien ook nog een beetje leunen op dat oude paradigma.
Renco Schoemaker:Ze voelen zich misschien niet, ten diepste helemaal niet de eigenaar van die risico's. Denken van nou die horen niet bij mij.
Ronald van der Zon:Ja, zo'n term als regel dat voor mij. Dat is iets wat ik heel vaak hoor.
Renco Schoemaker:Ja, daar heb ik een IT-organisatie voor.
Ronald van der Zon:Precies, ja, ja. Terwijl ze dus op dat moment als je zoiets zegt niet helemaal beseffen dat ze eigenlijk de risico-eigenaar zijn en zij daar besluiten op te nemen hebben.
Renco Schoemaker:Dan zou je kunnen zeggen nou, oké. Dus is het dan ook een probleem?
Ronald van der Zon:Nou ik denk het wel. Ja. Ja want dan heb je dus IT security professionals die proberen het risico management proces vanuit hun rol waar ze eigenlijk niet verantwoordelijk voor zijn proberen te faciliteren. Dus te compenseren eigenlijk. En dan heb je de bestuurder aan de andere kant die dat misschien wel heel fijn vindt.
Ronald van der Zon:En dat ook graag zo in stand houdt.
Renco Schoemaker:Precies. Ik stelde mij een vraag ook vanuit het perspectief van die bestuurder. Die kan denken, nou ik ben prima content met deze situatie.
Ronald van der Zon:Nou hartstikke goed. Hou zo. Ja, ja, met natuurlijk wel weer burn-outs in onze branche als gevolg.
Renco Schoemaker:Ja, dus jij zegt nou, dat is niet een situatie die wij in stand zouden willen houden. Wij, daar bedoel ik dan mee de mensen vanuit de IT security. En waarom niet? Je noemt burn-outs, met andere woorden zwaar werk of moeilijk werk of lastig werk.
Ronald van der Zon:Ik denk soms ook frustrerend werk kan ik me zo voorstellen. Want je uiteindelijk ben je vaak niet degene die echt het besluit kan nemen. Dus je bent constant aan het beïnvloeden. En als dat niet lukt dan levert dat vast ook veel frustratie op. En dat is heel vermoeiend.
Ronald van der Zon:Ja en daar kan je echt wel moe op strijden denk ik.
Renco Schoemaker:Ja dat denk ik ook. Dat denk ik ook. Ja. Dan zou je nog, maar dan zou je, ja ik ben nu even advocaat van de duivel, ik hoop niet dat je dat erg vindt, maar dan zou je gewoon kunnen zeggen nou oké, dat is inderdaad wat minder leuk voor de CISO, maar ja, dat is nou eenmaal hoe het is. Ik bedoel, nog andere argumenten te bedenken anders dan dat de baan van de CISO er minder leuk van wordt?
Renco Schoemaker:Andere argumenten te bedenken waarom die bestuurder niet akkoord zou moeten gaan met hoe deze verantwoordelijkheden dan nu verdeeld zijn.
Ronald van der Zon:Ja, nou die bestuurder is verantwoordelijk voor het realiseren van de organisatie doelstelling. Daar staat hij voor aan de lat. En daar heeft hij een afweging te maken in effectief functioneren van de organisatie en dat efficiënt en kostenefficiënt aan de ene kant.
Renco Schoemaker:Doelen moeten bereikt worden.
Ronald van der Zon:Precies, doelen moeten bereikt worden. Aan de andere kant hebben we ook nog veiligheidsbelangen. Het moet ook nog een beetje veilig. En dat kost ook geld, mensen, middelen. En die balans tussen hoe veilig gaan we dit doen zonder dat we daarin doorschieten en dus nog wel concurrerend blijven.
Ronald van der Zon:Of te weinig doen en daarmee allerlei andere risico's lopen. Dat heeft natuurlijk alles te maken met je risk appetite, je risicobereidheid als organisatie.
Renco Schoemaker:Ja, dus dat balanceren tussen de ene kant. De wetenschap dat je altijd een zekere vorm van risico's loopt, maar dat terug naar 0 brengen vergt een onevenredige en misschien ook wel onrealistische inspanning. Precies. En aan de andere kant kun je het ook maar niet op zijn beloop laten. Daarvoor hoef je eigenlijk alleen maar de krant te lezen of de nieuwswebsites te raadplegen.
Renco Schoemaker:En dan kun je zien wat er gebeurt als je het, nou dan wil ik overigens niet zeggen dat iedereen die het nieuws haalt dat hij er met de pet naar gooit, maar ik denk wel dat je kunt zien dat het zin heeft om hier energie en geld in te steken.
Ronald van der Zon:Als je het in een bepaald spectrum bekijkt, als je niks doet aan IT beveiliging, IT security, dan weet je zeker dat je organisatie doelstellingen niet gaat halen.
Renco Schoemaker:Kwestie van tijd.
Ronald van der Zon:Kwestie van tijd, precies. Maar als je naar de andere kant van het spectrum kijkt, dus overdadig gaat beveiligen, over beveiligen. Dan heeft dat ook negatieve gevolgen voor het realiseren van je organisatie doelstelling.
Renco Schoemaker:Ja, want die resources die je daar insteekt kan je niet ergens anders insteken.
Ronald van der Zon:Precies. Doe maar 1 keer. Precies en die wordt net even iets minder flexibel kan ik me zo voorstellen.
Renco Schoemaker:Dus die bestuurder die zou vanuit dit perspectief aan de knoppen aan de stuur moet willen zitten.
Ronald van der Zon:Precies want dat was natuurlijk de vraag. Ja precies dus die balans tussen zoals we die net schetsen. Daar staat die bestuurder voor aan de lat. Hij of zij zou degene moeten zijn die dat bepaalt. En daarin goed gefaciliteerd moeten willen worden door iemand als een CISO.
Ronald van der Zon:Om die goed geïnformeerd te maken.
Renco Schoemaker:Ja. Ja dus als we dan nog even terugpakken naar die vraag wanneer is een CISO nou succesvol, wanneer doet die nou zijn werk goed. Dan is het die bestuurder van de relevante informatie voorzien om deze afweging, tussen je risicobereidheid, of eigenlijk mondt die uit in de risicobereidheid, als je dat goed faciliteert, heb je een belangrijke aspect te pakken van een succesvolle CISO.
Ronald van der Zon:In mijn overtuiging. Ja. Dus dat zou er in de praktijk uit kunnen zien dat je een aantal scenario's schetst en daar de voor en de nadelen van die scenario's bijgeeft. En zodoende de bestuurder de kans geeft om te kiezen uit die verschillende snuides die jij ziet.
Renco Schoemaker:Ja. Nou en die cyberbeveiligingswet die zet eigenlijk een grote streep onder dit hele scenario. Die dicht expliciet deze taak toe aan het bestuur van een belangrijke en essentiële entiteit onder de NIS 2.
Ronald van der Zon:Ja, ja daar wordt risico eigenaarschap, risco governance wel veel beter in benadrukt. En je ziet het ook in allerlei andere frameworks. Het nieuwe NIST cybersecurity framework 2.0. Zeker. Daar is ook governance aan toegevoegd.
Renco Schoemaker:Ja, zesde functie.
Ronald van der Zon:Precies, precies, precies. Dus je ziet wel dat dit steeds meer tractie krijgt.
Renco Schoemaker:Ja. Wat ik dan nog wel eens lastig vind ook vanuit mijn eigen werkervaring is dat CISO's niet per se risicomanagers zijn. De zin dat ze het vakgebied risicomanagement, er zijn nog best wel CISO's, even 1 stap terug, best wel CISO's die vanuit de techniek eigenlijk ook analoog eigenlijk, de historie die jij net schetste, die vanuit de techniek zijn doorgegroeid in een CISO functie. Ja. En eigenlijk deze vaardigheden, ja laat ik voor mezelf spreken, ik ben niet gespecialiseerd in risicomanagement.
Renco Schoemaker:Ik heb daar nooit een opleiding ofzo in gehad. Ik heb dat nooit op school gehad dat vak. Ja. Dus dat is het nog wel. Ik snap wat je zegt maar er zit ook aan de aan onze eigen kant zullen we maar zeggen aan de aan de beveiligers kant, informatie beveiligers kant nog wel een gat tussen wat er misschien nodig is.
Renco Schoemaker:Ja. Om dat wat jij net vertelde om dat goed te faciliteren. Ben ik met je eens. En met wat ik aan boord heb. Wat we hebben, wat we kunnen, wat we weten.
Ronald van der Zon:Ja en het mooie daarvan. Riscomanagement en de kennis die je daar mogelijkerwijs aan ontbreekt die kan je opdoen. Ja zeker. Vorige cursussen opleidingen enzovoort. Maar wat daar natuurlijk bij hoort is ook een stukje soft skills.
Ronald van der Zon:Adviesvaardigheden. Want nogmaals als je die bestuurder wil faciliteren dan moet je ook hetgeen wat je de theoretische kennis die je hebt opgedaan moet je kunnen overbrengen. Ja. En dat zit hem in communicatieve vaardigheden.
Renco Schoemaker:De kunst van het weglaten.
Ronald van der Zon:Ja, van het leggen. Daar hadden we het in de aanloop naar deze podcast nog inderdaad over. Ja, precies. Dus is goed kunnen schakelen in verschillende situaties. De behoefte aan de andere kant goed aanvoelen.
Renco Schoemaker:Ja. Ja en ik merk, ik ben wel eens betrokken ook bij het werven van het vullen van vacatures. En dan heb ik mezelf wel eens horen zeggen. Het laatste wat je net beschrijft. De vaardigheid om goed aan te voelen hoe je de boodschap moet overbrengen.
Renco Schoemaker:Dat dat eigenlijk moeilijker bij te leren is met cursussen dan bijvoorbeeld leren hoe risicomanagement in elkaar steekt. Ben je het daarmee eens? Of zie je dat anders?
Ronald van der Zon:Ja, ik denk dat ik het daar wel mee eens ben. Sommige mensen gaat het van nature wat makkelijker af natuurlijk. Andere wat moeilijker. Ja. Ik zat wel te denken, er is trouwens een heel een oud maar goed boek over die adviesvaardigheden.
Ronald van der Zon:Dat is de trusted advisor van David Mazer. Ik weet niet of je dat boek kent. Het is echt een klassieker. Dat gaat helemaal in op, dat woordje trusted advisor, dat geeft al aan. Het gaat ook over het bouwen van een vertrouwensband tussen degene die je probeert te adviseren en jou als adviseur.
Renco Schoemaker:Ja, dus dat kan dat bestuur zijn of een directie. Precies. Het managementteam. Ja. Het stelt een beetje aan hoe je gepositioneerd bent.
Renco Schoemaker:Ja. Want we hebben natuurlijk CISO's, we hebben ook ISO's en TISO's. Gister hoorde ik nog een nieuwe term, een decentrale CISO, een D-CISO. Ik dacht geweldig, nog meer letters achter mekaar. Ja.
Renco Schoemaker:Maar goed, waar je ook gepositioneerd bent in de organisatie, uiteindelijk heb je allemaal advies uit te brengen naar een manager, een lijnmanager die over de middelen gaat. Die ook de beslissingsbevoegdheid en het mandaat heeft om in die afweging, die eerder schetste, te zeggen, nou we gaan wat meer naar links of we gaan wat meer naar rechts.
Ronald van der Zon:Ja, ja, ja en wat dan, wat ik bijvoorbeeld in de praktijk vaak fout zie gaan, en misschien is dat interessant om eventjes op in te zoomen, is bijvoorbeeld de risicodiscussie rondom commercieel cloud gebruik.
Renco Schoemaker:Ja, ja, ik zag net jouw laptop en daar zaten stickers op. Ja, dat viel op. Dat viel mij op. Rijks cloudbeleid en wat stond er dan meer op?
Ronald van der Zon:Ja, dat heeft te maken. Die stickers zitten daar inderdaad op omdat als je naar het publieke debat kijkt dan is dat vaak een hele binaire discussie over commercieel cloud gebruik. Ja, dat moet je gewoon niet willen. Dat is vaak aan de ene kant Zeker nu.
Renco Schoemaker:Was een paar jaar geleden wel anders, maar.
Ronald van der Zon:Soevereiniteit en autonomie. Versus aan de andere kant mensen die met een wat meer commerciële inslag die zeiden ja het is veiliger, het is goedkoper, het is flexibeler.
Renco Schoemaker:Ja, wij kunnen daar met onze eigen Europese producten niet in de duur komen.
Ronald van der Zon:Precies, precies. En dan is dat een heel binair geproduceerd discussie waar je ook niet heel veel, waar het gaat om, want zo kwamen we erop, risico besluitvorming, heel veel aan hebt. Maar als je hier een beetje op uitzoomt, waar gaat het nou eigenlijk over? Het gaat niet per se over die cloudtechnologie an sich. Het risico zit hem eigenlijk meer in de leveranciers afhankelijkheid in brede zin.
Ronald van der Zon:Ja. Dus als jij soevereiniteit wil nastreven als organisatie, je vindt het belangrijk of het gaat om veiligheidsredenen, dan moet je goed kijken naar oké, als ik nu dat wil doen, dan moet ik misschien ook naar mijn on prem situatie kijken. Want ook daar kleven leveranciers afhankelijkheden aan.
Renco Schoemaker:Ja, moet even toegeven dat ik me daar ook wel eens aan bezonnigd heb. In de zin dat ik de huidige situatie eigenlijk altijd, dat dat je vertrekpunt wordt. Alsof dat de 0 situatie is. Ja. En daar zit je het tegen weg hè, als we dan naar de cloud zouden migreren, wat zijn dan de risico's?
Renco Schoemaker:En toen ben ik ook wel eens door een collega daarop gewezen. Die zei ja, denk ik wel realiseer je wel dat de huidige situatie niet de 0 situatie is. Aan die huidige situatie kleven ook al allerlei nadelen en risico's. En het zou eerlijk zijn om als je deze 2 scenario's naast elkaar legt, dan moet je ook eerlijk zijn over de over de huidige, over het huidige landschap. Dat is niet perfect.
Ronald van der Zon:Precies, want ik kan me nog herinneren dat voor dat cloud echt een grote discussie werd, maakten we ons binnen cybersecurity vaak druk over telemetrie data.
Renco Schoemaker:Ja, ja. Microsoft die zou bijvoorbeeld in het Windows gebruiken allerlei telemetrie data.
Ronald van der Zon:Is een lastig woord hè?
Renco Schoemaker:Ja. Ja inderdaad. Ja ik struikel er even over,
Ronald van der Zon:maar goed.
Renco Schoemaker:Over de lijnen naar de VS sturen en die telemetrie. Precies. En
Ronald van der Zon:in huidige claud discussie of claud dialoog hoor je dat niet meer terug bijvoorbeeld.
Renco Schoemaker:Nee, terwijl je zou kunnen zeggen dat is het in het kwadraat. Want alles wat je daar doet vindt plaats op die server van die cloud aanbieder.
Ronald van der Zon:Ja, maar als ik nu dus een besluit moet nemen als bestuurder over wel of niet commercieel cloud gebruik. Dan zou ik wel graag ook dat telemetrie risico op mijn netvlies willen hebben. Want dat is wel onderdeel van die besluitvorming denk ik. Ja.
Renco Schoemaker:En het lijkt me lastig als bestuurder, en daarom noem je denk ik net ook de term trusted advisor. Het lijkt me, die bestuurder die heeft niet zoveel kennis van deze zaken. Die heeft een heel groot verantwoordelijkheidsgebied en die leunt natuurlijk op zijn of haar adviseurs. Wij, jij, ik of in ieder geval de SISO er dan een van is. Maar die bestuurder weet natuurlijk ook niet goed wat die SISO eventueel niet noemt.
Renco Schoemaker:Ja. Dat lijkt me eigenlijk lastig aan bestuurder zijn. Je moet varen op het advies van je specialisten. Ik zou ook zeggen totdat het tegendeel bewezen wordt, ga er alsjeblieft vanuit dat diegene kundig is en overal over nadenkt.
Ronald van der Zon:Ja.
Renco Schoemaker:Maar het is best wel lastig om zo'n punt wat jij net maakt over die telemetrie data, ja als dat niet meegewogen wordt, ja dan moet je hopen als bestuurder dat dat in je route voordat het op jouw bureau ligt, dat er anderen zijn die die kritische vraag gesteld hebben. Maar ja, die zekerheid.
Ronald van der Zon:Maar dit probleem geldt natuurlijk niet alleen voor cybersecurity. Als bestuurder moet je zo per definitie zorgen dat je ook op juridisch vlak of
Renco Schoemaker:don't knowled.
Ronald van der Zon:Dat is het. Goed geïnformeerd wordt. Dus dat is een brede uitdaging. Ja, dat denk ik ja. Ja, dat denk ik ook ja.
Ronald van der Zon:Ja, dus wat dat betreft is dat niet een specifiek cybersecurity uitdaging.
Renco Schoemaker:Je weet niet wat je niet weet en je moet in zekere zin kunnen vertrouwen op de degelijkheid en het proces wat onder zo'n advies ligt.
Ronald van der Zon:Helemaal mijn vakgebied, maar dan kom je misschien bij je weer met competentie management, kennis management, je werving.
Renco Schoemaker:Ja, dat zijn wel al dingen die natuurlijk mee samenhangen. Ja. En als jij vooruit kijkt Ronald, je zegt dat risicomanagement is een belangrijk proces om te faciliteren als CISO. Je moet dan trusted advisor worden van je bestuur of je directie. Wat je ligt natuurlijk eigenlijk aan wat voor soort organisatie je bent.
Ronald van der Zon:Ja, dat verschil.
Renco Schoemaker:Zo zit termen een beetje door elkaar. Hoe zie jij dat als je de toekomst probeert in te kijken? Gaan we die kant op? Zijn dat goede voortekenen die die kant opgaan? Of zeg je nou nee, daarvoor maken we nou als NCSC natuurlijk al die adviesproducten om dat een beetje bij te sturen.
Ronald van der Zon:Ja, ik denk wel dat het aardig die kant op begint te gaan. Je ziet het onder andere ook in beleid en regelgeving zoals het nieuwe bio, NIS2, we hebben het net ook over NIST cybersecurity framework 2.0 gehad. Dus daar maak ik wel uit op dat als je kijkt naar de manier waarop risico eigenaarschap en risicomanagement daarin geborgd wordt, Ja, dat dat steeds vaker een topic wordt.
Renco Schoemaker:Ja, het wordt een dominante onderwerp in ons vakgebied.
Ronald van der Zon:Ja, ja, ja. En wat ik wel altijd grappig vind, is dat als je kijkt naar dat beleid en regelgeving, Of naar dat soort frameworks. Dat er mij toch altijd heel erg sterk doet denken dat het allemaal zijn basis weer vindt in de ISO normen. Ik weet niet of jij dat gevoel ook hebt, maar of het dan gaat om NIS2. Of de nieuwe bio.
Ronald van der Zon:Daar staat een exositiet ook in. Precies precies. Maar eigenlijk de dingen zoals we die in ISO eigenlijk altijd al hadden bedacht. Zorg voor een ISMS. Information security management system.
Ronald van der Zon:En kies daar vervolgens 27002 passende maatregelen bij. Die zijn optioneel.
Renco Schoemaker:Ja, onderdruk dat wel eigenlijk. Dat is risicomanagement. We zijn een deel van die specifieke sausjes. We hadden vroeger natuurlijk in allerlei overheidslagen hadden we allemaal unieke normenkaders gemaakt, unieke aanpakken gemaakt en dat raken we zo langzamerhand wat kwijt. Het wordt steeds uniformer en het schuift ook steeds dichter op naar hoe die normen eigenlijk al jaren bestaan.
Ronald van der Zon:Precies, precies. En ook niet zo gek denk ik, want in het verleden deden we dat anders. Dan hadden we best wel technische voorschrijvende maatregelen. En dat werkte misschien ook best wel een tijdje goed, omdat IT landschap ook niet zo heel erg divers was. Dat zag daar over het algemeen best wel volgens de oude kasteelmuren definitie uit.
Ronald van der Zon:Ja, ja. Maar dat is vandaag de dag natuurlijk totaal anders. En ja, als je naar sommige IT-oplossingen kijkt dan is data portabiliteit een groot probleem, maar bij andere oplossingen weer niet. Hetzelfde geldt voor service portabiliteit. Ik zie dat de opname gestopt is.
Renco Schoemaker:Klopt, de video wel, maar de audio loopt vrolijk door. Oké.
Ronald van der Zon:Waar was ik ook nog gebleven? Ja, beheersmaatregelen. Ja, dus die technisch voorschrijvende maatregelen die werken denk ik in de huidige stand, in de huidige tijd veel minder goed.
Renco Schoemaker:Dus er is ook meer noodzaak, urgentie om zo'n risicomanagement proces in te richten.
Ronald van der Zon:Precies, precies. En daar, nou ja, meer en vaker maatwerk te leveren. Toegepaste risicoanalyses uitvoeren en dan daar besluitvorming op te vormen. Ja.
Renco Schoemaker:En toch kan de verleiding er zijn om als CISO vooral incidenten te managen. Crisissen te managen als het wat grootschaliger wordt. Ik bedoel als je het hebt over wanneer ben je nou een succesvolle CISO in de ogen van een bestuurder kan dat ook inhouden. Nou, Ronald stel je voor dat jij CISO bent of ik, stel je voor dat ik Sisu ben, als mijn shit hits de fan, dan staat Ronald daar, weet je wel. Daar kan ik van op aan en die managet dat en daar ben ik hartstikke tevreden over.
Renco Schoemaker:Gouwe vent, er komen allemaal complimenten jouw kant op. Ja precies. Omdat je op het moment, hier op de moment, laat jij zien dat jij kan managen zo'n crisis. Dus er is wel een zekere verleiding in het werk om je te richten op het succesvol managen van incidenten en crisis waar ik uiteraard hoop dat je niet te veel van hebt, maar om dus die langere wat taaiere, mijn tekst, maar langere taaiere processen zoals bijvoorbeeld het risicomanagement en hoe neem je daar positie in als CISO, Want niet elke organisatie beschikt al over een risicomanagement proces waar je zo in mee kan. Dus als het er niet is, ga je het dan zelf opbouwen, neerzetten.
Renco Schoemaker:Ja. Dat is heel ander werk dan incidenten manager of crisis manager.
Ronald van der Zon:Helemaal met je eens ja.
Renco Schoemaker:Ik vind het toch wel lekker om af en toe met je vuurwerk te hebben toch in je werk.
Ronald van der Zon:Nee dat is natuurlijk zo. En wat dat betreft heb je dus als dit ook onderdeel is van jouw taak als CISO. Heb je eigenlijk 2 rollen inderdaad. Incident management en risicomanagement waar je een rol in speelt. Dat kun je bijna zien als 2 losse elementen.
Ronald van der Zon:Waarbij het natuurlijk wel zo is dat als jij je risicomanagement goed op orde hebt je hebt mooie dingen als in je sms ingericht en een zoom breach principe geadopteerd en ga zo maar door. Dat jij het in geval van een incident als crisismanager ook veel makkelijker hebt.
Renco Schoemaker:Ja, want dan heb je wel het een ander van tevoren al uitgezaald. En hoef je niet alleen maar
Ronald van der Zon:met patiënt
Renco Schoemaker:te rennen en te vliegen.
Ronald van der Zon:Precies, precies. Want dan heb je draaiboeken. Dan heb je, nou goed, het protocol. Dan zijn taken en verantwoordelijkheden duidelijk. En dit is natuurlijk ook waarom zo'n oefening als Icidoor bijvoorbeeld ook heel belangrijk zijn.
Ronald van der Zon:Dat je dat soort, nou ja, tot besef komt dat misschien dat soort draaiboeken ook nog aan verbeteringen onder heeft zijn.
Renco Schoemaker:Nou ik vind dit wel een hele spontane plug voor mijn net deze week gepubliceerde blog. Die gaat over de evaluatiepunten van Isidor 4. Nou daarom stond die was
Ronald van der Zon:die ook top op mijn ding.
Renco Schoemaker:Dat is de enige verklaring. Oké maar ik hoor jou zeggen indirect van nou je moet als CISO die verleiding om zeg maar met de ja om succesvol te responden. Dus jij zei eerder moest ik net aan denken koude fase en warme fase. Adviesproducten voor de koude fase en warme fase. Incidenten zitten eigenlijk in die warme fase hoek en het risicomanagement proces neerzetten.
Renco Schoemaker:Al dan niet met behulp van de adviesproducten van het NCC. Ja. Dan zit jij in die koude fase. Dus eigenlijk diezelfde, datzelfde onderscheid.
Ronald van der Zon:Precies, precies.
Renco Schoemaker:En een goede CISO doet dus beide.
Ronald van der Zon:Inderdaad. En begrijp me niet verkeerd. Die warme fase dat is ook inderdaad een hele dankbare fase. Die organisatie is er enorm bij geholpen als jij dat incident op een effectief efficiënte manier weet af te ronden. Zeker.
Ronald van der Zon:Is
Renco Schoemaker:Maar dan scoor je wel vrij vertaald. Dan scoor je wel punten mee.
Ronald van der Zon:Dan scoor je punten mee. Precies, precies. Vaak ook een beetje ego strelend en zo. En er komt veel adrenaline vrij. En dat is allemaal hartstikke Wat gaaf.
Ronald van der Zon:Hartstikke gaaf. Hartstikke mooi inderdaad. Maar het gevaar is natuurlijk wel dat als het daarbij stopt en je blijft van incident naar incident lopen, dat je en je mitigeert dat ook nog eens elke keer, dat je bijvoorbeeld een vals gevoel van veiligheid kunt creëren. Ja als er een incident komt dan dekken we dat wel. En dat lossen we op en dan gaan we even een avondje door en is het gefixt.
Ronald van der Zon:Maar als je niet uitzoomt en even kijkt naar je bredere risicopalet en hoe dat dan in je IT security architectuur. De maatregelen die je daarin had moeten treffen of die daar ook daadwerkelijk in getroffen zijn en hoe effectief het dan daadwerkelijk is. Ja dan krijg je eigenlijk de situatie dat je misschien de voordeur netjes op slot hebt gedraaid. En dat ze het incident allemaal prima kunt beheersen. Maar eigenlijk niet beseft dat de achterdeur nog wagenwijd openstaat en het doucheraampje en ga zo maar door.
Ronald van der Zon:En dan is het een kwestie van tijd dat dat natuurlijk op dat vlak wel een keertje fout gaat. Ja. Wij
Renco Schoemaker:zouden dit nog wel even volhouden. Ja. Ronald, interessant. Ja, leuk. Ik ga toch afronden.
Renco Schoemaker:Ja? Ja, nou
Ronald van der Zon:doen we dat.
Renco Schoemaker:Ik leer dat die CISO de verleiding moet weerstaan om vooral te shinen. Wat ook mooi is, maar niet alleen maar om te shinen op die momenten dat er incidenten crisis zijn. Ja, dat wilde ik alleen nog toevoegen. Dat ik dacht toen je dit vertelde net, dacht ik als je vooral incidenten heel succesvol kunt managen, dan heb je waarschijnlijk niet het NIS cybersecurity framework geïmplementeerd, want dan zit je vooral aan de protect kant, terwijl ja, je kunt, je hebt nog heel veel andere functies in dat framework. Ja.
Renco Schoemaker:Vind zelf dat framework wel elegant om dat uitzoomen wat je net beschreef, dat zou je aan de hand van dat framework kunnen doen om te kijken, hey hoe zit ik op die andere security functies? Heb ik daar eigenlijk de boel ook wel zo volwassen of doe ik daar eigenlijk ad hoc maar wat?
Ronald van der Zon:Helemaal eens, helemaal eens, helemaal eens. Nu met dat governance wat daar centraal in wordt gesteld is die wat dat betreft heel compleet.
Renco Schoemaker:Ja, precies. Dat was een hele mooie update omdat er toch een aantal dingen onder dat identifyive spoor zaten die daar een beetje ondergeworteld waren voor mijn gevoel.
Ronald van der Zon:Ja hier zit trouwens ook nog heel even een klein risicomanagement element in hè. Want je ziet soms in discussies dat er overdanig veel aandacht is voor juist preventieve maatregelen. Hoe het de kosten, wat het kost voorkomen dat iets gebeurt. En daarbij is er dan vaak weer weinig aandacht voor de andere fases. Detecteren en reageren en herstellen van incidenten.
Ronald van der Zon:Terwijl dat vaak assoom breach principe onvermijdelijk dat het een keertje fout gaat en je daar ook in staat moet zijn om daar op te kunnen reageren. Nou goed andersom is ook vaak waar als je meer crisis gedreven bent. Ja dan heb je misschien het hele incident respons proces redelijk in de vingers. Misschien een beetje op ad hoc niveau. Maar zou je misschien iets meer moeten werken aan je preventieve veiligheid?
Renco Schoemaker:Ja, ja, vind dat het wel echt het mooie aan het framework. Dat het functies allemaal naast elkaar, ideologie aanbrengt en zegt je moet eigenlijk op alle terreinen, dan moet
Ronald van der Zon:je wat doen. Ja, het maakt de security architectuur compleet, ja.
Renco Schoemaker:Oké, maar risicomanagement beste CISO's die luisteren, dat is de toekomst.
Ronald van der Zon:Zo is dat, zo is dat. En wij hebben daar aardig wat recent ook over gepubliceerd op onze website.
Renco Schoemaker:Zeker, ja. Dus gaat dat lezen. Ronald, ontzettend bedankt voor je tijd.
Ronald van der Zon:Ja, leuk om hier mee te
Renco Schoemaker:horen. Eigenlijk andersom. Ik ben bij
Ronald van der Zon:jou aanwezig. Dat is waar.
Renco Schoemaker:Ja, dank voor je gastvrijheid en we gaan elkaar weer op LinkedIn tegenkomen. Hartstikke goed. Graag gedaan. En daarmee is deze aflevering van qeep talking alweer afgelopen. Leuk dat je luisterde en hopelijk heb je wat bruikbare ideeën opgedaan die je kan toepassen binnen je eigen werk.
Renco Schoemaker:Op mijn site, qeepposted punt nl vind je naast deze podcast ook blogs, video's, handige links, opinie's en trainingsdata. Abonneren is gratis en zo gepiept en op die manier ontvang je nieuwe content direct in je mailbox. In de volgende aflevering ga ik weer in gesprek met een andere gast en ik hoop dat je dan ook weer luistert. Tot dan.
