Yuri Bobbert is CISO bij de Nationale Nederlanden Group. Daarnaast is hij lector bij Hogeschool NOVI en onderzoeker aan de Universiteit van Antwerpen en Radboud Universiteit in Nijmegen. Wij kregen de gelegenheid hem een aantal vragen te stellen over zijn visie op cybersecurity en zijn CISO rol.
1. Wat vind jij de meest belangrijke aspecten bij de rol van CISO in een bedrijf als NN Group?
‘Het verbinden van het kenniscollectief. NN Group is de groepsmaatschappij waar de individuele units met haar labels samenkomen. NN is een groot bedrijf dat internationaal acteert. In de business units zit veel expertise die we maximaal willen benutten door meer horizontale kennisoverdracht te laten plaatsvinden. Een voorbeeld is cryptografie of scripting. Dat is expertise die niet elke security professional bezit. Dus als je dit in huis hebt, wil je deze expertise bedrijfsbreed inzetten.’
2. Als je de vraag kreeg om een nieuw informatiebeveiligingsprogramma te bouwen voor NN Group en vanaf nul zou moeten beginnen: welke elementen zou je dan eerst implementeren?
‘Ik ga starten met het vragen naar de meningen van belangrijke betrokkenen. Zo wordt duidelijker wat gebruikers ervan verwachten.
Daarna ga ik een duidelijke visie formuleren waarin de buitenwereld met de binnenwereld wordt verbonden. Dit is geen open deur, want de buitenwereld verandert sneller dan de binnenwereld. Primaire elementen zouden daarom zijn; het lerend vermogen van de security-organisatie én de security- professional. Traditionele IT wordt geïntegreerd met proces-gestuurde IT. Denk aan energiecentrales, bruggen, boten en zelfs auto's, maar ook lantaarnpalen en ander internet elementen die door software gestuurd worden. Daarom zou ik inzetten op security in de code, dus ‘by design’. Dat biedt tevens de kans om legacy-systemen en mainframes te migreren naar nieuwe software technologieën.’
3. De rol van CISO vraagt vaak om bruggen te bouwen en compromissen te maken. Wat vind je de meest waardevolle competentie, eigenschap of ervaring om dit te doen en waarom?
‘Bruggen bouwen vereist begrip van wat beide kanten van de brug willen en welke pilaren er nodig zijn om de brug voldoende sterk te maken. Mijn ervaring is dat je door bruggen te bouwen ook kredietwaardigheid opbouwt, die je weer goed kunt gebruiken bij het sluiten van een compromis. Als CISO ben je er niet om iedereen je vriend te maken en moet je standvastig zijn in je besluiten. Daarnaast moet je wel oor houden voor goede argumenten of gegronde bezwaren. Je hebt immers niet de waarheid in pacht. Belangrijke eigenschappen vind ik dan ook; luisteren, doortastend zijn, oprechtheid en netwerken. Een brug bouw je immers niet alleen maar met meerdere disciplines.’
4. Kun je een voorbeeld geven uit de praktijk waarbij het nodig was een compromis te doen?
‘Op gebied van security wil je eigenlijk geen compromissen sluiten als dat leidt tot concessies met als gevolg dat je genoegen moet nemen met een onveilige omgeving. Dat zou namelijk betekenen dat een CISO niet kan functioneren. Je maakt continue samen met je business de afweging tussen kosten en baten. Als je het een compromis wilt noemen, neem je genoegen met een bepaald niveau aan beveiliging die wel de assurance geeft voor een veilige dienstverlening.’
5. Wat geloof jij dat de kenmerken zijn van een effectief beleid?
‘Beleid is effectief wanneer het kort en bondig is geformuleerd en werkbaar is in de praktijk. Beleid wordt bij voorkeur ondersteund met visuals, wordt helder gecommuniceerd zonder té veel jargon. Het is gemandateerd door het hoogste orgaan (RvB, MT) en met instemming van toezichthouders. Dit beleid wordt bestuurd en beheerst door een professionele governance structuur en met passie uitgevoerd.’
6. Wat is jouw benadering voor het vinden van de juiste balans tussen de vraag van de mensen en de vraagvan het de organisatie als het gaat om ‘in control zijn’?
‘Controle en regie hebben is vele malen moeilijker dan ‘in control zijn’. Papieren ‘rule based’ exercities kunnen een CISO afleiden van de werkelijke dreigingen die niemand had voorspeld. Een CISO moet zich hiervan elke dag weer bewust zijn en ook anderen dit laten inzien.’
7. Wat zie jij als de grootste niet-technische security bedreiging voor de komende vijf jaar?
‘Rechtsvervolging, omdat het voor opsporingsdiensten en rechtsvervolgers steeds lastiger wordt om grensoverschrijdend onderzoek te doen. Dat wreekt zich als er meer aanvallen en dreigingen komen uit landen waar onze juridische arm niet reikt. Daarnaast kan Nederland meer techniek-afstudeerders gebruiken, zodat de visvijver voor rekrutering groter wordt dan India, Tsjechië, Roemenië en Japan.’
8. Geloof jij dat de CISO verantwoordelijk moet zijn voor het ontwikkelen van beleid, het selecteren van technologieën of een combinatie hiervan? Welke andere verantwoordelijkheden vind je dat onderdeel zijn van de CISO rol?
‘Een CISO richt zijn organisatie zo in dat zij een betrouwbaar beeld heeft van wat er buiten en binnen gebeurt, zodat de board kan beslissen om risico's te reduceren. De CISO zet technologie en automation in om processen efficiënter te maken en het beeld van de omgeving meer valide en betrouwbaar. Technologiekeuze is dus een middel om het primaire doel bereiken en die keuze wordt soms gemaakt samen met architectuur of IT delivery. Afhankelijk van het doel kan de lead in die keuze buiten de CISO liggen.’
9. Hoe definieer je de governance kant, en hoe is dat volgens jou gerelateerd tot een informatiebeveiligingsprogramma?
‘Een goede governance is nodig om programma’s succesvol te laten zijn. Uit onderzoek blijkt dat organisaties die IT governance expliciet opnemen in hun jaarverslag beter presteren dan organisaties die dit niet doen.’
10. Is er iets wat je denkt dat we hadden moeten vragen of wat je ons nog wilt vertellen?
‘Constante educatie is essentieel om het kennisniveau binnen de organisatie te onderhouden. Binnen NN Group bestaat een HR groeiprogramma dat medewerkers kunnen doorlopen en waarin veel uitwisseling kan worden gedaan tussen Business Units en afdelingen. NN Group bestaat uit een internationaal verzekeringsbedrijf, een vermogensbeheerder, een bank en een grote IT organisatie. Medewerkers kunnen daardoor in vele keukens kijken. Het security potential programma biedt afgestudeerden de kans op een groeipad door de organisatie, wellicht zelfs naar ons security center in Praag. Er zijn doorgroeimogelijkheden naar security architectuur, engineering, software ontwikkeling, infrastructuur, riskmanagement, investigatons en auditing. Doordat we professionals alle disciplines laten kennen, leren zij snel en veel in korte tijd. Als mensen naast hun werk een opleiding willen volgen kan dat ook. Zo hebben wij samenwerkingsverbanden met hogescholen en vooraanstaande universiteiten in binnen- en buitenland. Dit maakt dat NN een broedplaats is voor kennis, educatie en vakmanschap.’