CIO Platform: Samenwerken is key

Sjoerd Peerlkamp (Manager IT Privacy en Security bij Alliander) en Joseph Mager (Information Security Officer bij NS) staan aan de basis van het document ‘Cybersecurity; waar begin je?’. Alert Online presenteert de whitepaper in zes korte artikelen. Beide gepassioneerde ‘cybercrime fighters’ leggen uit hoe het document tot stand kwam.

Samenwerken is key

Sjoerd Peerlkamp (Manager IT Privacy en Security bij Alliander) en Joseph Mager (Information Security Officer bij NS) staan aan de basis van het document ‘Cybersecurity; waar begin je?’. Alert Online presenteert de whitepaper in zes korte artikelen. Beide gepassioneerde ‘cybercrime fighters’ leggen uit hoe het document tot stand kwam.

“De faciliterende rol van de overheid helpt en stimuleert enorm.”

Hoe kwam ‘Cybersecurity; waar begin je?’ tot stand?

Joseph Mager, Information Security Officer bij NS: “Vanuit een vraag die leefde bij het CIO-Platform Nederland (dé vereniging voor chief information officers, hun 'peers' en IT-professionals van grote gebruikers van digitale technologie in Nederland, RED). Men vroeg zich af of we in staat waren om onze kennis en kunde op het gebied van cybercrime te bundelen. Ik ben er heilig van overtuigd dat samenwerking cruciaal is. We hebben te maken met serieuze hackers en ook zij werken tegenwoordig nauw samen. Bedrijven moeten wel samenwerken: grote én kleine bedrijven. We merken dat criminelen vaak kleinere bedrijven gebruiken als een opstapje om zo een groter bedrijf binnen te dringen. Menig groot bedrijf denkt dat de eigen ‘deuren’ digitaal op slot zitten, maar men vergeet dat er soms nog een ‘zijdeurtje’ open staat via een slordige toeleverancier.”

Sjoerd Peerlkamp, Manager IT Privacy en Security bij Alliander: “Aan de ene kant zien we in Nederland dat aanvallen complexer worden én toenemen. Anderzijds zien we organisaties, zoals Alliander, die juist sterk digitaliseren. Die combinatie geeft ons reden heel veel aandacht te besteden aan dit dossier. Samenwerken maakt sterker. Je ontwikkelt samen methodieken en leert van elkaars ervaringen. Binnen de energiesector delen we veel zaken: lopende initiatieven, maar ook dreigingen en incidenten zodat je gerichter kunt zoeken of een vergelijkbare aanval bij jouw bedrijf plaatsvond. Via het CIO Platform Nederland wisselen we allerlei informatie onderling uit. Zo bespraken we ook welke methodes we het beste kunnen gebruiken met z’n allen. Zoals het NIST Cybersecurity Framework waar vijf belangrijke pijlers vastliggen: identificeren, beschermen, detecteren, reageren en herstellen. Deze pijlers vormen een kapstok die handvatten biedt aan bedrijven en organisaties om evenwichtige maatregelen te nemen. Je wilt bijvoorbeeld voorkomen dat je alleen maar preventieve maatregelen neemt en dan niet goed genoeg voorbereid bent als het toch een keer misgaat.”

Joseph: “We hebben bewust voor dit raamwerk met de vijf thema's gekozen. Omdat het echt werkt. Voor een buitenstander maar ook voor partijen die al iets verder zijn.”

Sjoerd: “Wij gebruiken het raamwerk ook richting onze Raad van Bestuur als we uitleggen waarom we in bepaalde projecten investeren. Zo is het verhogen van bewustwording van je medewerkers heel wat anders dan het inrichten van een security monitoringsysteem, maar beide zijn belangrijk in verschillende pijlers. Je kunt dan niet het één doen of het ander, maar moet kiezen voor een gezonde mix van beide.”

Joseph: “Een ideale kapstok ook om te zien welke stappen je als organisatie kunt nemen. Enerzijds om je bescherming te verbeteren maar ook om te bepalen hoe je je afwegingen maakt voor het juiste effect.”

Sjoerd: “Met name voor partijen die wat verder van de materie staan, is het een goede kapstok. Het laat zien hoe breed het vakgebied is en je kunt relatief eenvoudig inzichtelijk maken waar je als bedrijf sterk staat en waar verbetering nodig is.”

Wat hopen jullie te bereiken?

Joseph: “Ons ultieme doel is dat we door kennisdeling beter gebruikmaken van de kansen die de digitale wereld ons biedt. Dat we de juiste dingen blijven doen zodat we als Nederland straks niet voor verrassingen komen te staan.”

Sjoerd: “Veel mensen realiseren zich niet hoe breed cybersecurity is en blijven vaak in een van die vijf pijlers hangen. Niet elk bedrijf zal dezelfde balans zoeken tussen de verschillende pijlers, maar uiteindelijk zal je altijd een gezonde mix voor jouw bedrijf en sector moeten vinden. Het ene bedrijf is sterker in preventieve maatregelen, de andere is beter in het opsporen van hackers en beperken van de impact.”

Hebben jullie zelf tips voor mensen die dit artikel lezen?

Sjoerd: “Hou het zo simpel mogelijk en pak het model erbij. Vervolgens maak je voor jezelf op 1 A4’tje een inschatting over hoe jouw organisatie het doet op elk van de onderwerpen. Als vanzelf ontstaat er dan een soort heat map. Zo van: daar zitten nog de rode plekjes die we moeten verbeteren en daar hebben we onze zaakjes goed voor elkaar.”

Joseph: “Bewustwording is en blijft cruciaal binnen je organisatie. Hoe meer aanknopingspunten er zijn des te beter kun je erover in gesprek met elkaar.”

Waar komt jullie passie voor dit werk vandaan?

Joseph: ”Ik kom oorspronkelijk uit de IT-wereld. Ik ontwikkelde programma’s, wilde daarin steeds meer resultaat bereiken en rolde vanzelf deze wereld van cybersecurity binnen. Een echt vak. Eentje waarin je niet snel raakt uitgeleerd. Ook omdat het steeds belangrijker wordt. Dat maakt het extra aantrekkelijk. Constant ben je bezig met welke dreigingen er gaande zijn. Daar komt bij dat er ook steeds meer weerklank ontstaat bij bedrijven en organisaties. Tien jaar geleden was er minder bewustwording, tegenwoordig staan mensen en bedrijven veel meer open voor cybersecurity.”

Sjoerd: “Ik begon ooit aan de ‘andere kant van de tafel’. Ik deed hacktesten. Ik probeerde voor mijn werkgever zwakheden bij bedrijven aan te tonen. Ik raakte gefascineerd over het feit dat we steeds dezelfde type fouten tegenkwamen. Ik wilde dolgraag de overstap maken om problemen niet alleen op te sporen, maar juist op te lossen of te voorkomen. Ik ben nog altijd blij met mijn overstap. Het helpt als je een sterke achtergrond hebt in de IT-wereld, zodat je snapt welke zaken eenvoudig op te lossen zijn, of waarom het toch lastiger is dan je zou denken. Inmiddels is er ook wetgeving die bedrijven in de vitale sector verplicht om passende cybersecurity-maatregelen te nemen: de Wet Beveiliging Netwerk- en Informatiesystemen. Dat geeft alleen maar aan dat dit onderwerp steeds belangrijker wordt en dan is het mooi dat je minder ervaren bedrijven via zo’n publicatie van het CIO Platform Nederland een aantal handvatten kunt geven waar ze zouden kunnen beginnen voor een gezonde balans.”

Hoe groot zijn de verschillen in het vertrekpunt van bedrijven?

Joseph: “Een feit is dat het elk bedrijf - klein of groot - redelijk wat tijd kost om alle fases goed te doorlopen. Dat vraagt de nodige inspanning. Vandaar het belang van een raamwerk. Het biedt een dashboardfunctie waarmee je zelf kunt bepalen waar je staat. Je kunt ook beter overleggen met andere bedrijven en helpt elkaar waar nodig.”

Samenwerken is key...

Sjoerd: “Samenwerken is zeker key. En de belangrijke rol die de overheid daarin speelt. De overheid, in de vorm van het Nationaal Cyber Security Centrum (NCSC), faciliteert de samenwerking voor de vitale infrastructuur. Tijdens overleggen komen bijvoorbeeld alle partijen binnen de energiesector samen. We bespreken met elkaar welke incidenten we eventueel hebben gehad, wat we daaruit kunnen leren, maar we kijken ook naar eventuele nieuwe dreigingen. En hoe we die zouden kunnen tegenhouden. En het NCSC is geen toezichthouder die kijkt of we de boel op orde hebben, maar werkt intensief mee en bekijkt hoe de samenwerking het beste op gang blijft. Een heel mooie rol voor de overheid.”

Joseph: “Je wapenen tegen cybercrime kun je echt niet alleen als organisatie. Zoals we al zeiden: samenwerken moet. Dat de overheid een faciliterende rol speelt, helpt en stimuleert enorm. Dat creëert extra vertrouwen. Heel belangrijk.”

Sjoerd: “Heel veel taken binnen cybersecurity zijn gebaseerd op dat vertrouwen. Je bespreekt onderling allerlei vertrouwelijke zaken en stelt je kwetsbaar op. Dat moet ook. We staan eigenlijk allemaal - klein en groot - voor dezelfde uitdagingen. Dan is het belangrijk om van elkaar te kunnen leren zoals binnen het CIO Platform Nederland. Maar we moeten er natuurlijk voor waken dat de hele wereld meeleest. Daar moeten we een passende balans in vinden.”

Verder lezen? Lees hier deel 1 "Cybersecurity: waar begin je?" uit de reeks.