Mijn Leeromgeving

Outvie zomeractie: Kies uit een Winkelcheque of een Bol.com cadeaubon t.w.v. €50,-* Bekijk de actie.

Betere informatiebeveiliging begint niet bij IT maar aan de top

Foto van Nathan Speekenbrink, Adviseur privacy en informatiebeveiliging, Absoluut Robuust

Nathan Speekenbrink, Adviseur privacy en informatiebeveiliging, Absoluut Robuust

Op 25 mei 2018, de dag dat de Algemene Verordening Gegevensbescherming (AVG) van kracht werd, ontving Nathan Speekenbrink zijn certificaat als Functionaris Gegevensbescherming bij Outvie (destijds IIR). Terwijl organisaties in heel Europa worstelden met strengere privacyregels, markeerde dat moment voor hem het begin van een nieuwe fase. “Toen de AVG inging, werd duidelijk dat databescherming geen tijdelijk vraagstuk was, maar een structureel onderdeel van organisaties.” Het vormde de basis voor zijn verdere specialisatie in informatiebeveiliging en cyber risk & compliance management.

Van IT’er naar specialist in cyber risk & compliance

Zijn loopbaan begon in de techniek. Hij werkte als systeembeheerder en programmeur en maakte daarna de stap naar de managementkant. Via verschillende rollen kwam hij terecht in de bibliotheeksector, waar hij zich bezighield met innovatie. In die sector heeft informatiebeveiliging de afgelopen jaren een duidelijke versnelling doorgemaakt en staat het steeds nadrukkelijker op de bestuurlijke agenda. Tegelijkertijd is het een omgeving waarin samenwerking en vertrouwen centraal staan. Dat is een kracht, maar maakt het soms ook lastiger om leveranciers stevig aan te spreken op beveiliging en verantwoordelijkheden. Professionals met een combinatie van kennis van privacy, informatiebeveiliging en cyberrisico’s zijn binnen de sector nog relatief schaars. Juist daardoor ontstond er steeds meer vraag naar zijn expertise.

 

Waarom cyber risk management in de praktijk vaak vastloopt

Na het volgen van aanvullende trainingen rolde hij een op ISO27001 gebaseerd framework uit binnen verschillende bibliotheken. Daar zag hij een probleem dat in veel organisaties speelt: risico’s worden wél benoemd, maar niet opgepakt. “Je brengt risico’s in kaart, je bedenkt mitigerende maatregelen… en vervolgens gebeurt er niks.” Die constatering was een kantelpunt. “Ik zocht naar een manier waarop je ervoor zorgt dat risico’s niet alleen op papier bestaan, maar ook daadwerkelijk worden opgepakt – en dan vooral door het bestuur.” Hier ontstond zijn behoefte aan verdieping in cyber risk & compliance management. Niet de technische kant, maar juist de organisatorische en bestuurlijke borging van risico’s.

“Een uitspraak die me is bijgebleven: IT-beveiliging is ‘Chefsache’. Als je geen steun hebt van boven, dan lukt het niet.”

Nathan Speekenbrink

Drie inzichten uit de opleiding

De opleiding gaf Nathan drie belangrijke inzichten:

  1. Informatiebeveiliging hoort niet bij IT, maar bij de top van de organisatie.
    “Een uitspraak die me is bijgebleven: IT-beveiliging is ‘Chefsache’. Als je geen steun hebt van boven, dan lukt het niet.” Dat inzicht veranderde zijn aanpak volledig. In plaats van risico’s te bespreken op operationeel niveau, richt hij zich nu direct op bestuur en directie. “Als zij het risico niet kennen, bestaat het simpelweg niet in hun werkelijkheid.” 
  2. Risico’s moeten eerlijk en scherp gepresenteerd worden.
    “Je hebt snel de neiging om dingen goed te praten. Maar juist door te laten zien hoe het écht is, creëer je urgentie.”
  3. Gedrag van medewerkers is net zo belangrijk als techniek.
    Risico’s spelen organisatiebreed. “Het gaat niet alleen om IT. Het gedrag van mensen moet aansluiten op wat je wilt bereiken met systemen. Anders werkt het niet.”

Van risicorapport naar echte actie

Een concreet voorbeeld van hoe hij deze inzichten toepast, is zijn aanpak van risicoanalyses. Waar hij eerder voorzichtig begon, draait hij het nu bewust om. “Ik zet risico’s standaard op rood. Niet om te overdrijven, maar om de impact zichtbaar te maken.” Vanuit dat startpunt gaat hij in gesprek met proceseigenaren en stakeholders. “Tijdens die gesprekken stel je bij. Maar door eerst de ernst te laten zien, krijg je aandacht en betrokkenheid van het bestuur.”

 

Deze aanpak zorgt ervoor dat risico’s niet langer in een Excel-sheet blijven hangen, maar daadwerkelijk leiden tot actie. “Dat is uiteindelijk waar cyber risk management om draait: zorgen dat er iets gebeurt.”

 

Het belang van risicobewustzijn en meldcultuur

Een ander belangrijk thema is cultuur. Tijdens de opleiding werd duidelijk hoe groot de invloed is van de organisatiecultuur op informatiebeveiliging. “Je kunt in een omgeving werken waar risico’s niet bespreekbaar zijn. Dan wordt het heel lastig om je werk goed te doen.” Het creëren van een meldcultuur – waarin fouten en risico’s open besproken kunnen worden – ziet hij als een cruciale volgende stap. “Daar ben ik nog steeds mee bezig in de praktijk. Maar het besef dat dit nodig is, is al een grote stap vooruit.”

 

Praten met de juiste mensen: top-down aanpak

Misschien wel de grootste verandering in zijn werk is met wie hij het gesprek voert. De opleiding gaf hem niet alleen inhoudelijke kennis, maar ook handvatten om dat gesprek goed met het bestuur te voeren. Een belangrijk onderdeel daarin is het bepalen van de risk appetite. “Dat is geen IT-keuze, maar een bestuurlijke.” Hij gebruikt daarbij onder andere een risicobereidheidsmatrix als gespreksstarter. “Je legt het simpel voor: waar wil je staan als organisatie? Kies je voor maximale zekerheid, dan beperk je vaak ook innovatie. Geef je meer ruimte, dan accepteer je ook meer risico. Daar moet je bewust een keuze in maken.”

 

Dat soort gesprekken zorgt voor beweging. Op het moment dat directie en bestuur hun positie bepalen, ontstaat er eigenaarschap. “Zonder eigenaarschap blijven risico’s hangen en gebeurt er niets. Nu maak ik veel explicieter wie waarvoor verantwoordelijk is.”

 

Praktijkgerichte opleiding cyber risk & compliance management

Wat deze opleiding volgens hem onderscheidt, is de directe toepasbaarheid. “Het raakt echt aan de praktijk. Je neemt dingen mee die je de volgende dag kunt gebruiken.” Hij waardeert vooral de bredere insteek. “Veel opleidingen zitten sterk op de IT-kant. Hier kijk je juist breder, bijvoorbeeld ook naar operationele technologie (OT). Dat was voor mij een nieuwe wereld, maar wel heel relevant.” Voor hem zit de waarde vooral in de vertaalslag naar de organisatie. “Het helpt je om risico’s niet alleen te begrijpen, maar ze ook bestuurlijk te agenderen en te borgen.” Voor professionals die zich willen ontwikkelen in cyber risk management, informatiebeveiliging en compliance, is het een opleiding die goed aansluit op de praktijk waar je in werkt.

De driedaagse opleiding Cyber Risk & Compliance Management is speciaal ontwikkeld voor ICT-managers, Privacy officers/FG’s, Manager servicedesk, Compliance managers, IT adviseurs/ consultants, IT Auditors die zich bezighouden met cyber risk, cyberweerbaarheid en complice. Kijk voor meer informatie over het programma en tickets op de website.

Download de brochure

Share

Getagged
Outvie logo