Abonneren
Delen
Delen
Embedden
Een gast in de podcast die stevige uitspraken niet schuwt: Julien Spronck. Maar pas op: het zijn geen praatjes. Julien is inmiddels een ervaren CISO die feilloos het gat tussen het compliance-beeld en de werkelijkheid signaleert. Renco en Julien praten ook over het belang afwegingen op het gebied van informatiebeveiliging (risico's, maatregelen) met het lijnmanagement samen te maken. En daar komen ook tompoucen bij kijken...
Op qeepposted.nl vind je alle podcastafleveringen, maar ook blogs, video's, handige links, opinies en trainingsdata. Meld je ook (gratis) aan om niets te missen.
Op qeepposted.nl vind je alle podcastafleveringen, maar ook blogs, video's, handige links, opinies en trainingsdata. Meld je ook (gratis) aan om niets te missen.
Makers en gasten
Wat is qeep talking?
Een maandelijkse podcast waarin Renco Schoemaker in gesprek gaat met uiteenlopende gasten over informatiebeveiliging en privacy. Het gaat daarbij vooral om het 'hoe' in de context van de (lokale) overheid.
Welkom bij een nieuwe aflevering van qeep talking. Een podcast waarin ik, Renco Schoemaker, in gesprek ga met uiteenlopende gasten over informatiebeveiliging en privacy bij de overheid. Het gaat mij tijdens die gesprekken vooral om de hoe vraag. Die blijkt namelijk veel lastiger te beantwoorden dan de wat vraag. Met deze praktische insteek hoop ik dat jij als luisteraar ideeën opdoet om succesvoller te zijn in je werk.
Renco:Zowel op het gebied van maatregelen als het managementsysteem waarbinnen die maatregelen worden genomen. En daar valt veel over te bespreken. Dus veel plezier en. Heb al menig podcast opgenomen in overheidsgebouwen. Ik heb ook al eens gepodcasten op mijn eigen zolderkamer.
Renco:Maar nu is een eigen primeur. Ik podcast bij iemand in de woonkamer. Een eetkamer. Slash eetkamer, ja. Nou, je hoort meteen de stem van de gasten in deze aflevering van qeep talking.
Renco:Tegenover mij zit Julien. Julien, kun jij jezelf kort voorstellen voordat we die hartstikke leuke inhoud induiken? Dank, Renco. Hallo, lieve kijkers, luisteraars, Julien Spronk.
Julien:Dit is een kamer van mezelf van mijn vrouw. En noodzaak note ons om dat even hier te doen. Dus daar hebben jullie mee te dealen. Maar dat is ons gelukt. Dus het gaat jullie ook lukken.
Julien:De inhoud in denk ik ongeveer 20 jaar ervaring in informatiebeveiliging in brede zin. Nu werkzaam bij Eraneos, een hele leuke club. Sinds 1 maand daarvoor was ik CISO en CPO bij DJI, Dienst Justituele Inrichtingen. Daarvoor zat ik bij Den Haag. Daar hebben wij elkaar leren kennen.
Renco:Daar kennen wij elkaar ook van.
Julien:Dus dat voelt als lang geleden, maar ook alweer niet. Is wel interessant hoe dat werkt. Daarvoor zat ik bij BDO en nog wat andere dingen gedaan. Maar ik heb de potentie dat ik wel iets snap voor me waar we mee bezig zijn. En daar heb ik ook nog een mening over.
Julien:Dus dat is mooi.
Renco:Ideale podcast gast, dacht ik.
Julien:Ik ga mijn best voor je doen, Renco.
Renco:En de eerlijkheid gebied te zeggen dat ik al eerder een keer pogingen had gedaan om jou in de podcast te krijgen. Juist vanwege deze unieke combinatie van eigenschappen. Alleen toen was dat lastig te combineren met jouw werk als CISO voor DJI. Dat was wat stond hè, die in een podcast iets vertellen over je werk en dat werk dan doen. Dat stond op gespannen voet met elkaar.
Renco:Dat staat het misschien nog wel.
Julien:Ja, vond ik dan, hè. Dan kun je overal van mening verschillen. Maar goed, ik denk mensen die mij kennen, die kennen mij ook zo. Ik ben nogal helder en soms doe ik grote uitspraken. Ik ben ook van de grote gebaren, dat vind ik ook leuk.
Julien:Maar mijn persoonlijke mening is als ik iets ga doen, dan doe ik het goed. Of ik doe het niet. Het ambtenaar zijn vind ik fantastisch mooi. Ik heb dat jarenlang met heel veel plezier gedaan. En daar horen verantwoordelijkheden bij.
Julien:En daar kon ik niet heel transparant over zijn. En nu kan ik dat iets meer denk ik. Dus ja, dat klopt.
Renco:Nou ja, en wat je al zei, ruime ervaring ook in het vakgebied. Je bent auditor geweest, is je aan de toetsende kant gezeten. Nou, in Den Haag hebben wij samengewerkt, was je senior ISO, information security officer. En nou, bij DJI dan en CISO en CPO. Klopt.
Renco:En dus 5 en een half jaar en nu een maand een nieuwe baan. Tegenover mij zit geen afgepeigerde Julienne.
Julien:Nee, zo voel ik me ook niet. En dit is bijna vrijdag, dus kan je nagaan. Als we dit opnemen in ieder geval. Nog volle energie. Ik heb ook een fantastisch jaar gehad bij DJI hoor.
Julien:Toen werd het weer tijd voor iets nieuws na vijfenhalf jaar. Wij hebben weer energie om er tegenaan te gaan. Dat is ook waar we het over gaan hebben. Dat is het leuke van informatiebeveiliging vind ik zelf. Dat het eigenlijk nog een heel jong vakgebied.
Julien:En we zijn met ons allen nog heel erg zoekende. Ik vind ook dat het net een andere slag op mag.
Renco:Daar. Daar komt die mening. Ik had hem al aan voelen komen.
Julien:Nou ja, die gaan we nog even inweken. Ik was nog op een andere denklijn. Ik, ik, dat is het mooie van dit vakgebied. Je krijgt er ook nog energie van, omdat we nog heel veel te bereiken hebben. En dat moet je leuk vinden.
Julien:Sommige mensen vinden het misschien ook niet leuk. Ik vind dat nog steeds een van de mooiste beroepen in de wereld. Plus ik kan niks met mijn handen, dus dan doen we dan maar iets met IT. Ja, zo simpel is het ook. Ja, ja, ja.
Renco:Maar goed, in IT kan je van alles doen. Waarom dan informatiebeveiliging? Ik bedoel als je dan tot de conclusie komt, hé, ik heb al of ik heb al zin in wat anders of het is tijd voor wat anders. Waarom dan hier blijven? Waarom niet, je kunt ook in de breedte opschuiven of in de lengte of in de diepte.
Julien:Ja, absoluut. Nou, kijk, toen ik mijn carrière begon, toen zat ik meer aan de functionele kant. Toen was ik EPD's aan het implementeren, dat soort zaken. Ook echt super interessant. En ik ben een beetje het informatiebeveiligingsveld ingerold juist omdat ik van die kant kwam.
Julien:Want ik snapte heel goed wat de operatie was. En ik zat met de lijndirecteur en zo. En dan zat ik ergens in de wachtkamer en dan las ik de brochure van we zijn NEN 7510 compliant. En ik denk oké. Nou, wat wat is dat dan?
Julien:En toen ging ik het lezen en toen dacht ik, nou, dit is de brochure en dit is de werkelijkheid zoals ik die heb en dan dat paste maar moeilijk op elkaar.
Renco:Oké.
Julien:En dat was een tijd dat langzaamaan een beetje de AVG begon te komen en ik denk nou dit wordt nog wel ingewikkeld, beste mensen. Want hoe gaan we dat nou bij elkaar krijgen? Dus zo is dat bij mij eigenlijk een beetje gaan rollen. En ondertussen leven we heel veel jaren later, maar eigenlijk dat fenomeen dat herken ik nog steeds wel in de operatie.
Renco:Hè. En met dat fenomeen, om dat even scherp te zetten, dat is de de het licht of wat tussen een gecertificeerd iets kan zitten of een geaudit iets kan zitten en hoe het ja, echt is of zo? Hoe hoe wil je dat ik dat verwoord?
Julien:Ja, dat daar kan ik mij helemaal achter scharen. Maar ik denk dat de compliance wereld versus wat echt daadwerkelijk op de werkvloer gebeurt. Dat is nu een vendiagram, zo zou je dat kunnen noemen. Dan zou je zeggen van ja, oké, je hebt 2 variabelen en dan heb je de overlap en wat er nog tussen ligt. In de ideale wereld wil je dat het natuurlijk gewoon 1
Renco:Ja, dat het geheel overlapt,
Julien:Dat het 1 mooie cirkeltje is, toch? En dat is een van de grote draden in mijn carrière dat ik dat heel leuk vind. Meen ik ook nog wel enig talent voor te hebben. Wat ik nu zie is dat die cirkel Om
Renco:die cirkels op elkaar te krijgen bedoel je dan?
Julien:Ja. Oké. Kijk, wat ik vaker als voorbeeld noem en ik vind dat zelf een goed voorbeeld. Want ja, dat heb je meestal als je zelf iets vindt.
Renco:Maak maar op.
Julien:Ik heb laatst bijvoorbeeld een filmpje gekeken op YouTube van wat doen piloten nu voordat ze opstijgen? Moet je maar eens een keer doen. En de kijkers ook. We gaan een keer aan. Dat is heel lang heel veel formulieren invullen.
Julien:Check, check, dubbelcheck. En koop piloot en de piloot roepen dingen al naar elkaar. Nou, de luchtverkeersleider heen en weer. En op een gegeven moment dan ben je dat 6 minuten aan het kijken en dan denk je zelf
Renco:Ja, er is nog geen vliegtuig van de grond.
Julien:Er is nog geen vliegtuig van de grond. Terwijl laten we wel wezen als jij in dat vliegtuig zit, dan denkt iedereen dat is logisch.
Renco:Ja, dus voelt eigenlijk best
Julien:Dat is goed.
Renco:Best oké. Dat is in dat is het niet is in verhouding met het risico wat we lopen als
Julien:Exact, exact. Ja. En dan vinden we daar logisch. Als jij een kind naar de opvang brengt idem dito, dan heeft ook niemand het over risicomanagement, toch? De verwachting dat dat iedereen naar VOG heeft is gecheckt.
Julien:Dan hebben we het ook niet over risicomanagement tot de directeur zegt ja, die ene griezel daar die is niet door de check gekomen, maar ik heb even een vinkje gezet, beste mensen.
Renco:Nou, liever niet nee. Toch?
Julien:Ja, ja, ja, Maar in de wereld waarin wij rondlopen en en dat weten we allebei. Daar gebeuren dat soort taferelen soms iets mee gemoeten. Ja, dat is maar compliance of dat is weer een checklist. En ik denk dat dat kan heel valide zijn, hè. Maar waarom is het dan zo dat we dat bij een vliegtuig niet accepteren en bij onze eigen wereld wel?
Julien:Nogmaals, dat kan heel valide zijn. Maar dan is voor mij de kernvraag niet de checklist of de Excel. De kernvraag is voor mij, waar wordt die nou zwart-wit?
Renco:Maar als je zegt dat kan heel valide zijn, kan je daar eens een voorbeeld van geven waarin dat heel valide is om dus het zeg maar het belang van informatiebeveiliging te relativeren, af te wegen tegen iets anders wat zwaarder weegt.
Julien:Ja, absoluut. Er schieten sowieso scenario's door mn hoofd, maar ik kan ze niet allemaal delen. Ik denk toch binnen een overheidscontext kun je absoluut wel denken aan is in bepaalde omgevingen is een MFA dan wel keihard noodzakelijk in alle gevallen als iemand al heel veel checks en triple checks in een strikt afgescheiden fysieke omgeving heeft.
Renco:Ja, voelt een beetje als gebruiker pesten of zo.
Julien:Dan, ja, exact. Dus daarin, dus daarin vind ik ook echt wel, dan kun je pragmatische pet opzetten.
Renco:Maar goed,
Julien:In dit geval hoef je
Renco:het niet. Oké, maar zoiets even uitzoomen op het niveau van risico's. Dus je hebt een risicoanalyse uitgevoerd, breed of smal. Dat maakt even niet uit. En je komt tot de conclusie, nou we lopen serieuze risico's.
Renco:Net als dat die piloot zegt, we kunnen wel vliegen, maar dat is niet zonder risico's. Ja. Dat zeg je eigenlijk ook als je je risicoanalyse op het gebied van informatiebeveiliging hebt uitgevoerd. En dan kom je met een advies om die risico's terug te brengen naar een acceptabel niveau. Dat is dus niet 0.
Renco:Tot op een acceptabel niveau. Dat bereik je door een heel aantal maatregelen te implementeren die 6 minuten dan in jouw metafoor mooi vullen eigenlijk. Ja. En dan zegt die manager zeg ja oké, ik snap het. Ik begrijp ook wel hoe deze maatregelen bijdragen aan het terugbrengen van dat risico.
Renco:Maar ik wil het eigenlijk wel accepteren. Ik vind ja, ik vind dat jij dat risico wat drastisch inschat. Ik heb daar nog eens over nagedacht en ik zie eigenlijk dat niet zo. En daarmee trekt hij eigenlijk het tapijt onder je risicoanalyse vandaan. De grond onder jouw maatregelen valt weg op het moment dat iemand zegt, ja, ik duid dat risico anders.
Renco:Ja. Is dit ook wat jij jouw carrière Het is gebeurd. Gezichtsuitdrukking verraad in ieder geval dat dat het geval is.
Julien:Maar heel vaak was ik het er ook nog wel mee eens. Ik heb ook heel vaak geroepen voor joh, als CISO of wat dan ook, neem ik besluit aan. Maar als ik directeur huppeldepup was geweest, had ik heel wellicht een besluit meegenomen.
Renco:Ja, dus dat is wat jij bedoelt met dat valide kan zijn. Het verantwoordelijkheidsgebied van een directeur is breder dan het verantwoordelijkheidsgebied van een CISO.
Julien:Ja, wat mij, dus het gaat mij ook niet zozeer in mijn betoog niet zozeer om het besluit, want heel vaak snap ik dat wel.
Renco:Oké.
Julien:Waar het mij meer om gaat is dat dat besluit tot nu toe is in ieder geval mijn ervaring niet alle lagen heeft doorleefd. En dan bedoel ik ook, dat klinkt heel vaag, maar wat ik er ook heel praktisch mee bedoel is dat binnen heel veel organisaties wordt risicomanagement uitgevoerd op het niveau van een applicatie. Dat zul je herkennen en dat zullen veel mensen herkennen.
Renco:Ja, maar operationeel risicomanagement wat mij betreft.
Julien:En dat is, vind ik, ingewikkeld bij veel grote organisaties. Dan heb je het over honderden applicaties. En dan wordt gezegd, nou, wie is de applicatie eigenaar? Nou, dat is directeur die en die. Tientallen zo niet veel meer directeuren, die hebben allemaal een applicatie.
Julien:Maar als je dan je architectenpet opzet, want die heb ik dan ook graag op. En je gaat wat meer naar het OSI-lagen-model kijken bijvoorbeeld. Dan zeggen van ja, maar die applicatie daar kun je eigenaar van zijn. Maar via heel veel verbindingen gaat dat naar een andere laag en dan zit je in dat data warehouse. En dat data warehouse heeft eigenlijk geen eigen naam, hij heeft over data.
Julien:Maar dat soort risico's worden in mijn ervaring slechts heel zelden meegenomen.
Renco:Maar hier kun je mekaar ook murw op krijgen. Op het uit elkaar trekken van die verantwoordelijkheden. Ik heb daar ook al wat ervaring mee opgedaan in mijn carrière. Dan wil je, je wil eigenlijk scherp krijgen wat ligt nou waar. En ik ik word niet snel murw gepraat, maar op dit punt heb ik wel eens de handdoek in de ring gegooid.
Renco:Dat ik dacht ja weet je, ik blijf niet aan de gang. Ik heb vooral het gevoel dat niemand de handdoeken op wil pakken. Kan je dat zo zeggen? De handschoen op wil pakken. Ja.
Renco:En dan is het een beetje, je kunt natuurlijk heel lang vaag houden wat nou eigenlijk waar ligt. Dus ik kan af en toe wel ontmoedigend zijn vind ik.
Julien:Natuurlijk, maar dat is, ik bedoel als je dit vak doet dan wil je jezelf ergens ook een beetje graag pijn doen.
Renco:Anders had je wat anders moeten gaan doen.
Julien:Dat weet ik ook niet. Het zal ergens zal een slimme psycholoog iets over onze beroepsgroep te zeggen hebben. En die zullen nog gelijk hebben ook. Maar je gaat dingen beter maken omdat je ergens doorheen moet. Ja, dat is
Renco:maar ik, ik onderbrak jou, want jij zei van, ik kan het besluit zelf, dat is ook niet wat jij ter discussie stelt. Je zegt, ik snap eigenlijk best wel, maar je maakt het punt dat het, dat de totstandkoming van dat besluit, dat dat niet alles goed doorleeft. Je zei dat heeft niet alle niveaus of
Julien:alle lagen goed doorleefd. Ik vind als ik in mijn carrière kijk naar het risicomanagement, wat voor ons echt een basis moet zijn voor waar wij besluiten over moeten nemen, Dan vind ik dat dat heel vaak niet echt alle risico's zijn. In diepte, breedte, techniek, mensen.
Renco:Maar we pretenderen dat dan wel.
Julien:Ik vind dat wij dat te veel doen. En voor mij wordt risicomanagement dan. Kijk, hebben dan risicomanagement gedaan. En dan komt de audit erbij en zeggen ja ik zie dat jullie risicomanagement hebben gedaan en wat ook allemaal is. Maar dat is nog niet een kwaliteitsindicator.
Julien:En we pretenderen met ons allen eigenlijk impliceren we dat stil uit van nee maar nu heb ik nu 5. Als je als als een directeur gaat krabbelen voor het risico dan dan zou een leek daarnaar kijken. Denken van maar dit is dan dit is het risico. Dit dit is alles. Ja.
Julien:En als vakidioot kijk ik er vaak naar en denk ik ja, dat is een substantie van alles. En ik denk ook wel dat je belangrijkste onderdelen hebt. En hier hoort hij over voor een CISO, want daar praat ik dan even vanuit nu. Dan wordt hij vanuit een tweedelijns verantwoordelijkheid wordt hij best wel ingewikkeld, heb ik gemerkt. Want kan zeggen van ja, ben ik het wel of niet mee eens.
Julien:Maar als het misgaat, laten we wel wezen, dan spring je heel snel van die 2 lijn ploep. Zit je in de eerste lijn, hè? Ja. Dan ga je.
Renco:Ja, in de zin dat ze je goed weten te vinden op het moment dat er iets misgaat, Dat er een aanval is of een of andere compromittering heeft plaatsgevonden. Dan weten ze heel goed het 6 nummer van de CISO in te typen. En dan word je eigenlijk aangesproken op een eerstelijns verantwoordelijkheid die je bij wijze of uit je functie helemaal niet hebt. Die ook bij het uitvoeren van die analyses en al het voorwerk ook niet had. Ja.
Renco:Maar dan in 1 keer wel krijgt.
Julien:Dat is mijn persoonlijke ervaring. En ik denk ook dat dat standaard uit het feit dat dat we nu in dat drielagenmodel opereren, waarbij die tweede laag per definitie tussen de eerste en de derde laag inzet.
Renco:Three Lines of Defence is waar je naar refereert,
Julien:Ja, ja, en dan ben je toch een beetje de vulling van de HEMA-tompouce. En ik hou heel erg van gebak, maar die tompouce, dus daarom doe ik hem Maar we weten allemaal als je op die tompouce gaat drukken, dan gaat die vulling als eerste, hop, dan gaat die naar buiten.
Renco:Ja, die heeft een kracht. Dan komt helemaal tot leven. Dat is
Julien:zwaartekracht, dat is natuurlijk een Renco. Maar en ik denk daar moeten we als gemeenschap, want dat is mijn pleidooi, daar moeten wij de komende jaren echt nog wel in gaan groeien. Want volgens mij zitten we niet op een weg die het onszelf niet makkelijk gemaakt. Ik zeg niet dat het een doodlopende weg is, dat is niet wat ik zeg. Wat ik zeg is willen wij echt nog volwassenheidgroei gaan bereiken.
Julien:Dan zullen we dan zullen we hier een scherper moeten gaan opereren.
Renco:Maar scherper dat kan je interpreteren als we moeten zuiverder zijn in het innemen van puur zuiver alleen die tweedelijns positie. Of zeg je dat het tekort juist ook zit in die tweedelijns positie zelf?
Julien:Nee, ik denk dat die nog meer lager is dan dat. Waar ik heel graag naartoe zou gaan en deze is niet eenvoudig maar complex qua techniek. Is dat je Ik zet weer even mijn architectpet op. Ik denk dat je dan ziezo dat het primair is om op bepaalde gebieden een tweedelijnsrol te hebben. Namelijk je bent kader stellend, je maakt beleid, bla bla bla, hartstikke goed.
Julien:Dat lijkt me helemaal duidelijk. Als iets misgaat, dan vind ik het ook nog goed dat je inspringt.
Renco:Vanuit het procesverantwoordelijkheid neem ik aan dan.
Julien:Ja, maar dan moet je wel heel goed gaan definiëren wat dat dan is en waar jij mandaat over hebt. En dat bedoel ik ook heel praktisch van heb jij het dan mandaat op die applicatie of op die infrastructurele laag? En hoe werkt dat dan? En hoe zit dat bij cloud applicaties?
Renco:Kan dat hebben vanuit een tweede lijn?
Julien:Nee, dat denk ik niet. Dus ik denk dat een CISO, om even vanuit die hoek te blijven redeneren, een gesplitste functie moet gaan krijgen. In vredestijd, tweede lijn punt. Prima. In oorlogstijd ook een stukje tweede lijnspunt, maar ook eerstelijns verantwoordelijkheden met mandaat van de hoogste bestuurlijke.
Julien:Want heel LinkedIn en zijn moeder heeft het nu over ja, want de bestuurder is verantwoordelijk bla bla bla. Nou, ik ervaar dat net iets anders. Denk dat we
Renco:die Dat staat er wel, maar we hebben misschien wat vraagtekens bij hoe dat ze beslag gaat krijgen.
Julien:Ja, ik ervaar het tot nu toe anders. En ik denk dat een hele hoop mensen dat herkennen. Maar uiteindelijk en mensen binnen de organisatie zijn er ook, niet alleen maar, maar ook om een bestuurder te ondersteunen. En ik denk dat in heel veel gevallen het iedereen gaat helpen als je zegt van joh bestuurder, ik kan jou beter ondersteunen door daadwerkelijk mandaat van jou over te nemen met randvoorwaarden etcetera.
Renco:Wat checks en bellers is allemaal prima.
Julien:En dan moet je verantwoording over afleggen. Dat is iets wat nu op papier wel staat binnen rijkscontext is dat ook zo. Bij groot incident kun je dwingende aanwijzingen opleveren, et cetera, et cetera. Ik durf dat te zeggen, want ik heb ertussen gezeten. In de praktijk is dat razend complex.
Julien:En ik denk dat we toch echt met zijn allen die kant op moeten. Dat we dat verder moeten gaan ook professionaliseren.
Renco:En het klinkt tussen de regels door dat je zegt, ja, als we dat niet doen, dan blijven we eigenlijk hangen in een soort goedbedoeldheid, maar bereiken we niet het uiteindelijke doel, omdat daar dan een managementlaag tussen zit die vaak valide, maar oké, maar desalniettemin afwegingen en keuzes maakt die jou natuurlijk enorm in de weg staan in het bereiken van jouw doel, namelijk het veilig krijgen van al die bedrijfskritieke processen. Nou, definieer het maar, ABCDE.
Julien:Dat is inderdaad samenvatting van de afgelopen kwartier, denk ik. Ja,
Renco:en dan ga je nu, ben je consultant. Ja. Dus nu ga je dit gepassioneerde verhaal ga je natuurlijk in je consultancy opdrachten Zeker. Ik ben een denkbeeldige klant even en ik zeg joh, je CBW komt op me af en wij vallen daar onder. Ja.
Renco:Help.
Julien:Help. Dan zeg ik gaan we doen sowieso, want dat is leuk en daar zijn we voor. En eigenlijk blijft mijn stelling hetzelfde als wat ik net vertelde. Dat is mijn allereerste vraag gaat zijn, wat heb je nou en wie gaat daarover?
Renco:Dus Dan moet ik denken aan het NIST Cyber Security framework, het Identify stuk.
Julien:Ja, ik ben zelf, kijk, beroepsdeformatie, ik ben ook auditor. Dus ja, dan heb je veel met frameworks te maken. Maar kijk, zo'n framework is voor mij, dat is handleiding. Je krijgt een nieuw product, een televisie of een camera wat je hebt. En die handleiding lees je een keer en dat ding snap je en die doorleef je.
Julien:En als die op een gegeven moment een kwestie kwijtraakt, dan baal je misschien wel, maar je hebt hem niet meer nodig. Dat is mijn stelling. En dat is met die frameworks ook. En ik vind dat we daar een beetje in zijn doorgeschoten. Want als je nou echt de frameworks van de afgelopen 10, 15, 20 jaar geleden bekijkt, hoeveel nieuw staat er nou echt in, Renco?
Renco:Ja, maar is dat dan een minpunt, zeg je? Vind je dat de
Julien:Nou, mijn punt is meer dat ik die frameworks niet meer nodig heb en ze helpen me ook niet in mijn dagelijks leven.
Renco:Oké, het zit daar niet op vast zeg maar of je wel of geen succes boekt in je werk.
Julien:Kijk als ik voor een organisatie werk als consultant of intern, dat is voor mij, dat verandert voor mij ook qua gevoel niet heel veel. Dat zou ook raar zijn trouwens, ik, maar dat ben ik dan. Maar als ik dat framework nodig heb om mijn werk te doen, dan zou ik niet senior zijn. Is mijn stelling. Als ik hier een loodgieter inhuren voor iets en die moet het boekje erbij pakken, dan denk ik, ik weet niks van loodgieten als dat een werkwoord is, maar dan denk ik, Dus die analogie trek ik dan wel even.
Julien:Maar goed,
Renco:Oké, maar goed, dan vergeef me mijn voorbeeld van het Zeg ik met een knipoog. Mijn voorbeeld van het framework. Maar die klant die jij gaat helpen, heeft jou ingeschakeld. En die zegt, joh, ik zie van alles op me afkomen.
Renco:En we hebben gehoord dat jij daar, zoals je zelf ook al zei, duidelijke mening over. Wat die positie van die CISO moet zijn. Je hebt een klant die zegt, nou, ik sta open voor jouw ideeën, Julien. Zeg mij hoe dit moet. En dat is nou een soort, dus eigenlijk een soort greenfield situatie.
Renco:Wat, wat, hoe ziet dan de perfecte organisatie eruit?
Julien:De perfecte organisatie. De perfecte organisatie, dat is wel een goede vraag hoor Renco. De perfecte organisatie staat ervoor open om voordat je het ook überhaupt maar over IT en applicaties en systemen hebt, heel goed snapt wat nou hun processen zijn en daar een goed gevoel en een goed verhaal bij heeft. Oké, dat is
Renco:wat ze doen.
Julien:Ja, want uiteindelijk dat is, we leven bijna 20, 26. Het meeste IT wordt tot op heden nog steeds gebruikt om een business proces te vertalen in iets wat dat business proces in IT doet. Dus mijn stelling is ja, dan zul je moeten begrijpen en snappen wat dat proces nou is. Dus ik ben de perfecte organisatie die snapt dat en die heeft daar dus ook antwoorden op. Dat hoeft niet perfect te zijn of inhoudelijk helemaal 100 procent, maar in ieder geval wel een beeld bij.
Julien:En wat jij denk ik wel zal herkennen is dat als je nu veel organisatie binnenloopt en je vraagt van wat doe je, dan is het antwoord heel vaak applicatief gericht. Wat op zich logisch is, maar
Renco:Kan je eens een voorbeeld geven? Hoe bedoel u? Je zegt als je organisatie binnenkomt en je vraagt wat doe je, dan is antwoord vaak applicatief gericht. Je daar eens een voorbeeld van noemen dan?
Julien:Als je, ja, dat kan ik wel als je een organisatie binnenloopt en je vraagt van hoe loopt je inkoopproces, dan zeggen ze nou dat doen we met die tool. Welke dat dan ook moge zijn.
Renco:Het antwoord wordt primair geduid met langs de lijnen van een informatiesysteem wat het proces faciliteert.
Julien:En dat koppelt met iets anders en dat draait in de cloud. Wat op zich allemaal supergoed en valide is, maar dat is maar 1 kant van de medaille. De andere kant van die medaille is van, maar wat als je het hebt over risicomanagement dan, hè, dan ik val terug op mijn betoog van net, dan dan heb je het over applicatieve risico's of IV risico's of dat soort risico's, maar je hebt het het met name ook over risico's die helemaal niks met IT te maken hebben.
Renco:Maar dan zou je, dan ben jij dus hartstikke blij met die Cyberbeveiligingswet, want die heeft het over onderbreking en van dienstverleningsprocessen en bedrijfskritieke processen. Die hangt naar mijn idee terecht, wat mij betreft, ons vakgebied op eigenlijk aan business continuity management. Je zegt, dat is waar je het op uit moet lijnen zeg maar. We hebben het ook wel eens, in het voorgesprek hadden we het ook even over business IT alignment. Ja.
Renco:En als ik cursus geef dan en we hebben het over examenvragen dan zeg ik ook wel eens gekscherend als er ergens het woord aligned business alignment staat dan is dat altijd het goede antwoord. Toch? Je hebt misschien ook wel CISM gedaan of zo. Dus we hebben daar wel de mond van vol. Maar ja, het begint wel bij dat die business dan niet op voorhand al gedefinieerd wordt langs de IT-as.
Renco:Want dan wordt het ook moeilijk alignen. Want dan zijn we eigenlijk al in de definitie getrokken.
Julien:Nee, maar daar ben ik ook heel mee met je eens. Mijn stelling, nu wordt de cirkel alweer een beetje vierkant zeg maar. Dit is ook allemaal supervalide. Mijn stelling is eigenlijk gewoon tweeërlei, namelijk 1, het is super logisch dat het in die norm staat. Alleen ik heb die norm daar niet voor nodig, want het is best practice.
Julien:En norm is in mijn ogen niks anders dan een best practice, maar dan gecodificeerd. Dat is toch stelling 1. En stelling 2 is, dat dit gebeurt is hartstikke goed, maar tot nu toe, en dat zal iedereen herkennen denk ik, wordt die CISO pas aan het laatst betrokken van, we hebben het nu uitgedacht en jij moet nog even zorgen dat het secure is of cyberveilig of welke woord je ook maar wil hebben. Terwijl digitaal weerbaar. Die informatiebeveiligingsclub, want het gaat dus zeer zeker niet alleen om die CISO, want dat is ook maar gewoon een functionaris, maar de meeste organisaties hebben gelukkig ondertussen een clubje van slimme mensen die dat doen.
Julien:Die moeten gewoon helemaal aan de voorkant betrokken zijn. Omdat zij juist in mijn ogen heel goede, hele zinnige dingen hierover kunnen vertellen.
Renco:Maar verkopen wij dit, want dit is natuurlijk gewoon security bij design. Iets breder misschien wat abstracter, wat meer strategisch aangevlogen. Maar waarom zijn wij er niet, waarom slagen wij er niet in om dit te verkopen? Waarom hebben wij die positie niet? Waarom worden wij pas te laat gebeld?
Renco:Wat doen we dan niet goed?
Julien:Nee, ik was nog niet in jouw podcast geweest, Renco. Nou ja, eerlijk, dat is een goede vraag natuurlijk. Waarom dat
Renco:Dat is ook een vraag aan mezelf. Wat doen wij nou niet goed om die plek die we al heel lang menen te moeten hebben, maar we hebben hem niet.
Julien:Ja, dat is een hele goede, daar heb ik geen sluitend antwoord op natuurlijk. Nee, maar ik heb daar wel, daar liggen vele variabelen ten grondslag, maar ik valt ook echt terug op mijn betoog van vanuit een tweede lijn doe ik dat in die zin ook niet goed, want Ja, je rent achter die auto aan en als die stopt, dan denk je van oké, nu heb ik die auto gevangen, maar wat ga ik nu doen dan? Ik bedoel, ja, dat is ingewikkeld.
Renco:Maar je loopt ook over het risico dat die compliance invalshoek, waar Secury toch wel vaak onder gehangen wordt, dat die als puntje bij paaltje komt, uitgelijnd naar die bedrijfsprocessen. Dus ik denk, ligt daar dan niet ergens het antwoord op mijn eigen vraag van zojuist, dat we onvoldoende in staat blijken om ons vakgebied te definiëren langs die bedrijfskritiek processen en de risico's daarop. En ik zeg hiermee niks nieuws, maar toch denk ik ja, ook al is het niks nieuws, dat kunnen we dan kennelijk nog steeds niet goed genoeg.
Julien:Ja, nou ja, kijk, ik val even terug op mijn vliegtuig analogie. Ik heb het een keer meegemaakt. Toen zat ik in het vliegtuig en toen kwam die poot in de ether en die zei beste mensen, we mogen nog niet vertrekken, want er brandt een lampje. En ik zie dat niks aan de hand is, maar zolang dat lampje brandt gaan wij niet vliegen. Weet je wat er gebeurde?
Julien:Helemaal niks. Iedereen denkt ja, zolang dat lampje niet brandt, wij gaan niet vliegen.
Renco:Ja, al ofwel dat wordt prima geaccepteerd.
Julien:Dat werd prima geaccepteerd. Waarom? Maar dat zat niet in de hoofden van ons als passagier zat dat niet in het risicodomein. Dat was het domein van functionaliteit. Dus dat is eigenlijk denk ik samenvat mijn hele punt.
Julien:Wij moeten risicomanagement in die zin is super moeilijk en divers. En dat is ook heel goed. Maar we moeten het veel meer Risicomanagement moet samen gaan vallen met die functionaliteit. Wij moeten gewoon zeggen van het moet gewoon op die manier werken. Punt.
Julien:En dat is moeilijk, dat snap ik. Maar op het moment dat je de discussie met de bestuurders en de gebruikers van de organisatie hebt over het feit dat het op die manier goed gaat, omdat dat ook in hun eigen belang is, dan zit je ook, dan ben je niemand tegen. De bierkaai aan het vechten, dan drink je samen een biertje, zal ik maar zeggen.
Renco:Dat klinkt in ieder geval al een stuk beter. Ja. Maar het is geen makkelijke opgave.
Julien:Nee, maar dat
Renco:Maar heb je ook niet beweerd,
Julien:Nee, dat is zeer zeker geen makkelijke opgave. Want soms zal dat ook niet lukken natuurlijk. Maar het is wel leuk. Ja. En daar gaat het ook om.
Renco:Ja, ik vind, ik moet nog denken aan wat je net zei over die frameworks. Het is allemaal goed dat we die er zijn. Maar als jij ingeschakeld wordt nu bij een opdrachtgever en het eerste wat je doet is je klapt dat framework uit, dan verraadt dat ook een beetje dat je die houvast zelf nog nodig hebt. Heeft iets met zijn senioriteit te maken. Dan denk ik, fair point.
Renco:Dat vind ik wel een goeie.
Julien:Het hoort er ook bij natuurlijk.
Renco:Ja, je kunt dingen ook structureren en overzichtelijk maken met behulp van een framework. Ook juist naar een doelgroep die wat minder affiniteit heeft met het vak. Dus zo'n framework dient natuurlijk wel meerdere doelen. Maar ja, ben jij nou onderaan de streep wel of niet blij met die Cyberbeveiligingswet? Daar ben ik nog wel even benieuwd naar.
Julien:Dat is een hele goeie.
Renco:Denk jij nou we gaan erop vooruit of denk je nou dit is allemaal verspilde moeite?
Julien:Nou, nee.
Renco:Dat zijn de 2 opties die je hebt, Ja,
Julien:nee, maak het maar lekker binaire daar ook vanuit. Nee, als je me dwingt te kiezen, dan ben ik er wel blij mee, omdat dit natuurlijk wel een hele goed awareness component is om het nog wel eens een keer even scherp te maken.
Renco:En dan ben je wel bescheiden door het zo te definiëren ben je wel bescheiden over de de wat je denkt dat het zal gaan brengen. Want dat je zou kunnen zeggen ja een groot incident op de landelijke televisie is ook een goed awareness ding. Terwijl het ene is een nieuwsitem en het andere is een nieuwe wet.
Julien:Ik denk niet dat de CBW of de NIS2 of welke acroniem je ook maar gaat gebruiken in die zin. Straks gaan ook de AVG weg herijken. Dat op zich gaat het verschil niet maken. En zou ook wel raar zijn, want dat heeft het in het verleden ook niet gedaan. Het zijn er wel allemaal stapjes in de volwassenheidgroei.
Julien:Kijk, als je aan mij vraagt van wat gaat wel het verschil maken. Ja, ik ben ook niet het IBib orakel of zo. En ik ben ook zeer zeker niet, ik zit hier ook niet dat ik zeg van nou, ze moeten iedereen nu een boete gaan geven, bla bla bla. Ik ik zoek het dus juist veel meer en dat is ook mijn pleidooi in het feit dat dat gelukkig heeft de IB club en de privacy club en en ik pak dat heel vaak samen.
Renco:Je was ook CISO en CPO.
Julien:Ja, heb ik dan ook echt resultaten behaald waar ik heel trots op ben. Juist omdat ik dat samen hield. En dan hield ik het uit het normatieve. En dan had je echt het goede gesprek. En dan had je het over risico's zonder het risicomanagement connotatie.
Julien:En dan snappen mensen ook waar het over gaat. En dan heb je het dus Ik denk dat dat is het beste gesprek wat je met een bestuurder kan
Julien:hebben. Is dat je het over het besturen kan hebben en niet over de risico's en dat soort zaken.
Renco:Ja, maar dan voelt het nog nog weer als iets wat moet. Iets wat we jaarlijks weer doorlopen moeten hebben. Niet omdat dan daar een kans wordt gezien om daadwerkelijk te doorvoelen van hoe verhoudt informatiebeveiliging zich nou tot mijn, de processen waarvoor ik aan de lat sta. Maar dan is het meer ja, we hebben weer een jaarlijkse sessie. Nou, inderdaad, dat moet even, want als dan de volgende toezichthouder komt, dan kunnen we laten zien dat we dat keurig gedaan hebben.
Julien:Ja, klopt. En kijk, wat ik zelf heel mooi vond om mee te maken, vond ik echt heel goed, is dat ik hang deze filosofie aan, dat is ook echt wel wie ik ben en dat doe ik overal. Daar kun je mee eens zijn of niet en dat is prima. Maar ik krijg wel vaker dat mensen zeggen ja maar en de auditors dan. Met de auditors ging dat altijd heel goed omdat zij dit ook willen.
Julien:Die auditor wil ook aantoonbaarheid achteraf. Ik kom even terug op mijn handleiding connotatie, maar ik heb die handleiding niet nodig om het richting een externe uit te leggen hoe jouw camera werkt of mijn tv of wat dan ook.
Renco:Ze helpt misschien ook nog dat je zelf een audit achtergrond hebt waardoor je die taal denk ik ook bovengemiddeld spreekt.
Julien:Nou ja, dat is ook wel, ik ben de RE opleiding gaan doen juist om die taal te gaan spreken, want ik noemde dat al, ik zat aan de functionele kant en dan stond op een gegeven moment een RA of een RE naast mij, letterlijk naast het bureau die zei ja, ik wil een extractie van die tabel. En ik zei oké, maar waarom dan? Ja, ik wil bewijsvoering dat dit en dit. Ik zei, ik snap jouw vraag, maar dan heb je deze tabel niet nodig. En dat ontaarde me meestal tot moeilijke gesprekken bij het koffiezetapparaat.
Renco:Tussen jou in die auditor of tussen jou je leiding
Julien:Nou, die koffie was gewoon ook heel vaak niet zo heel jofel, maar Maar en op een gegeven moment toen dacht ik van joh, weet je wat, ik kan tegen het systeem gaan vechten of ik ga kijken wat het systeem nou is.
Renco:Ja, precies.
Julien:En dan snap ik ze. En ik ben blij dat ik dat heb gedaan, want ik, ja, lang verhaal kort. Ja, dat heeft mij heel erg geholpen. Ik kan dat niet per se iedereen aanraden, dat moet bij je passen. Maar ik heb daar heel veel geleerd vanuit audit optiek.
Julien:En die is ook best wel, ja, ik vind die valide. Ik bedoel, ik vind als wij als overheid onszelf en de rest van de organisatie verplichten om iets te gaan doen. Toon dat maar even aan ook. Dat lijkt mij best wel eerlijk.
Renco:Ja, nou dat zal, daaraan zal die CBW wel bijdragen links of rechtsom. Maar het gaat niet ons punt oplossen dat dingen misschien aan de business kant onvoldoende door full te worden beleefd worden. Omdat we toch een beetje een soort kwaliteitsaspect of randvoorwaarden blijven. Ja. Wat we zelf ook vanuit die normatieve kanten eigenlijk ons vakgebied dan maar benaderen.
Renco:Omdat je ook wel gewoon meerwaarde wil bieden aan de organisatie. En wil ik laten zien dat we erop vooruit gaan en dat het veiliger wordt. En dan de meeste lijn benadering stimuleert ook dat je gewoon aan de slag gaat met alle maatregelen. Maar ja, daardoor heb je niet automatisch goed die aansluiting met die business. Nee.
Renco:Tot slot, nog even terugkomend op jouw punt over die CISO. Jij zegt, nou, tweedelijns positie. Ik heb ook wel, spreek ook wel mensen die zeggen nou die CISO die zou gewoon naast de FG moeten zitten. Dan zeg ik nou dat volgens mij niet. Want dan ga je de strategische tweedelijns positie, dat wordt dan een lege stoel.
Renco:Want daar kan je automatisch niet meer zitten als jij op de derde lijn stoel gaat zitten. Ten eerste ga je dan ook nog in concurrentie komen met de FG, want die heeft ook een wettelijke taak op het gebied van toezicht op IB. Dus ga jij daarnaast zitten, maar dan laat je die andere stoel, die adviesplek, die laat je leeg. Dus opschuiven naar de derde lijn lijkt mij raar. Jij zegt eigenlijk, nou ik betoog het tegenovergestelde.
Renco:Je moet juist meer opschuiven. Niet helemaal, je zegt niet van ga van 2 naar de eerste lijn. Want dat roept ook weer vragen op. Wat is dat dan voor soort functie? En waar zit je dan gepositioneerd?
Renco:Maar je bent wel duidelijk in jouw standpunt. Dat het met alleen tweedelijns bevoegdheden, die redelijk als puntje bij paaltje komt, vrijblijvend zijn. Dat dat, daar gaan we de oorlog niet meer winnen.
Julien:Dat is mijn stelling ja.
Renco:Eigenlijk moet jou gewoon over een jaar of over 2 jaar moet ik jou nog een keer in de podcast hebben. Kijken of dat een beetje bij jouw nieuwe klanten zonder ze allemaal bij naam te noemen, maar of je dat gedachtegoed een beetje verkocht krijgt.
Julien:Ja, laat het doen.
Renco:Ja. Ben ik oprecht benieuwd naar.
Julien:Ja. Neem jij tompoucen mee?
Renco:Ja, ja, ik moet wel zeggen dat ik vanaf nu niet meer normaal een tompouce kan eten. Want dan neem ik zo'n hap en dan loopt die room er aan 2 kanten uit. En dan denk ik dat ben jij Renco.
Julien:Ja, dat moet je niet willen. Sorry.
Renco:Hey dank je wel voor je tijd en wie weet tot de volgende keer.
Julien:Dank je wel.
Renco:En daarmee is deze aflevering van qeep talking alweer afgelopen. Leuk dat je luisterde en hopelijk heb je wat bruikbare ideeën opgedaan die je kan toepassen binnen je eigen werk. Op mijn site qeepposted punt nl vind je naast deze podcast ook blogs, video's, handige links, opinie en trainingsdata. Abonneren is gratis en zo gepiept en op die manier ontvang je nieuwe content direct in je mailbox. In de volgende aflevering ga ik weer in gesprek met een andere gast en ik hoop dat je dan ook weer luistert.
Renco:Tot dan!