Stijn Hoogervorst (CISO) over het belang van informatiebeveiliging binnen NWO-I
Informatiebeveiliging wordt steeds belangrijker binnen NWO-I. Toenemende externe bedreigingen vragen een hoogwaardige beveiliging van (gevoelige) data. Hierop is de nieuwe CISO (Chief Information Security Officer) Stijn Hoogervorst aangenomen bij bureau NWO-I; om zijn technische expertise bij de NWO-instituten te beleggen, maar ook om kennis van wet- en regelgeving te delen en naar de praktijk te vertalen. Stijn maakt de redactie van Inside NWO-I wegwijs in de uitdagingen die hij als CISO binnen NWO-I aangaat.
De functie CISO is geheel nieuw binnen de NWO-I-organisatie en volgens het functieprofiel is diegene een spin in het web op het terrein van (cyber)security, nauw samenwerkend met de Information Security Officers (ISO's) van de instituten.
Stijn is dus het centrale aanspreekpunt op het gebied van informatiebeveiliging, adviseert hierover en maakt beleid, signaleert knelpunten en risico's en heeft als taak de bewustwording op dit thema te versterken. Hij noemt zichzelf ook wel een 'pencil pusher': "Ik zit niet zelf achter de knoppen van de techniek, maar ik geef vooral invulling aan de strategische richting die de organisatie opgaat, ik geef advies en stel beleidskaders vast; zo moet de organisatie het gaan doen. Ik zoek daarin naar de juiste balans tussen effectieve beveiligingsmaatregelen en dat we gewoon normaal ons werk kunnen blijven doen. Honderd procent veiligheid is een illusie en is ook niet het streven. Niemand wil door tig hoepels moeten springen om een e-mail te kunnen sturen. En zelfs als we dat zouden doen, dan zal het blijven voorkomen dat iemand 'door de detectiepoortjes' heen weet te komen. Ik houd me bezig met de kaders om dat zo veel mogelijk te voorkomen en om weerbaar te zijn als het toch een keer misgaat. Daarnaast houd ik ontwikkelingen in de gaten om tijdig advies te geven en bij te sturen. Denk daarbij aan het monitoren van actieve dreigingen en datalekken bij vergelijkbare organisaties in binnen- en buitenland". Menig collega zal dan denken aan ICT- en computerveiligheid, maar volgens Stijn gaat het verder dan dat. "Als NWO-I met een nieuwe leverancier onderhandelt, willen we weten of hun beveiliging op orde is. En wat dacht je van het weggooien van geprinte stukken met vertrouwelijke informatie? Ik ben dus ook verantwoordelijk voor het beleid over het vernietigen van de papieren stukken. Dus alles wat met beveiliging van informatie te maken heeft, komt bij mij terecht. En dat is breder dan alleen de technologie." Dat is precies wat hem zo aanspreekt in de rol als CISO, vertelt hij. "Ik vind het leuk dat ik met zo veel verschillende mensen en delen van de organisatie te maken krijg, van HR tot Communicatie om het stukje bewustwording te creëren, van de techneuten tot de recepties. Je moet dan zowel verstand hebben van de techniek als van de primaire processen van de organisatie. En daar moet je de juiste balans in zien te vinden."
Maatschappelijke trend
Over waarom er nooit eerder een CISO bij NWO-I was aangesteld, is Stijn duidelijk. “Grotere commerciële organisaties kenden de functie al langer, maar het is een recente maatschappelijke trend om als kennisinstelling ook een CISO in de organisatie te benoemen. NWO-I had hiervoor een kwartiermaker en nu ben ik aangesteld als vaste CISO om informatiebeveiliging in de organisatie verder te professionaliseren. De invoering van de AVG, meer incidenten in onze sector en toenemende druk vanuit Den Haag hebben daar ook allemaal een rol in gespeeld en de noodzaak van een CISO duidelijk gemaakt. Vroeger moest je mensen echt overtuigen van het belang van informatiebeveiliging. Nu ziet iedereen hacks om zich heen. We moeten als maatschappij gewoon meer met beveiliging doen en er is kennis en expertise nodig op dat gebied.”
Actuele thema’s
Op de vraag waar Stijn zich nu mee bezig houdt, verschijnt er een bescheiden lach op zijn gezicht. "Op dit moment heb ik 25 dossiers liggen en er is wel sprake van een spanningsveld. Daarin probeer ik nu echt focus aan te brengen. Ik heb namelijk zelf geen mandaat om iets te doen, maar heb echt een adviesrol. Het omschrijven van de methodiek om met cyberrisico’s om te gaan, staat nu hoog op de lijst. Niet elk risico kunnen of willen we nu oplossen, het zou te veel ten koste kunnen gaan van andere doelen die we hebben. Dan moet de juiste persoon binnen de organisatie dat risico – en de eventuele consequenties - accepteren. Dat is dan een keuze. Het is aan mij om duidelijk te maken hoe groot risico's zijn, te zorgen dat over de gepaste behandeling geadviseerd wordt en dat we kunnen identificeren wie de eigenaren van de risico’s zijn. Ik werk ook aan allerlei beleidskaders, zoals voor wachtwoorden en inloggen. Dat je bijvoorbeeld 2-factor authenticatie moet hebben, dus dat je ook op je telefoon moet bevestigen dat je inlogt, om veilig te kunnen inloggen. Dat is een erg effectieve maatregel die ik iedereen, ook in de privésfeer, zou adviseren. Het houdt meer dan 99 procent van de cyberaanvallen tegen. En ik adviseer over het opstellen van goede wachtwoorden, want automatische scripts pakken wachtwoorden op die op meerdere plekken gebruikt worden. Je zult je verbazen hoe vaak wachtwoorden zoals 'corona2020!' gebruikt worden of dat wachtwoorden op andere plekken zijn uitgelekt. Kijk bijvoorbeeld maar eens op https://haveibeenpwned.com/ hoe vaak je zelf in datalekken bent voorgekomen. Denk ook aan het vaststellen van beleidskaders rondom het maken back-ups, versleutelingen, inkopen van tools/systemen, netwerkbeveiliging en hoe je veilig gebruik kunt maken van de openbare wifi op een congres. Daarnaast ben ik nu bezig met de implementatie van SURF SOC, een systeem om onze netwerken te monitoren op cyberaanvallen en met een bewustwordingsprogramma. Meer dan genoeg om me drie dagen in de week mee bezig te houden."
Informatiebeveiliging bij de instituten
Stijns werk staat niet op zich en hij heeft dan ook zeer frequent contact met de informatiebeveiligers bij de NWO-instituten. “Wij stimuleren de instituten om een ISO in dienst te nemen, om het centrale beleid van NWO-I tot uitvoering te brengen. Ons advies moet namelijk vertaald worden naar de lokale situaties. Je hebt dan echt verlengstukken van de instituten nodig om het beleid tactisch concreet te maken. Nu heb ik veelal contact met de ICT-managers die verantwoordelijk zijn voor de ICT-inkoop en -veiligheid. Ik woon het ICT-manager overleg bij en geef ze updates over security. Op strategisch niveau houd ik contact met de instituutsmanagers: zijn jouw risico’s onder controle?” Gelukkig bemerkt hij dat de behoefte aan informatiebeveiliging er ook echt is op de instituten. En hij vertelt dat de instituten op het Sciencepark nu gezamenlijk aan het werven zijn. “Dat we hiermee bezig moeten zijn, is bij iedereen duidelijk. We voelen dat we er iets mee moeten. Mijn werk is om ervoor te zorgen dat de instituten hun werk straks goed en efficiënt kunnen doen en dat we volgens dezelfde richtlijnen werken, maar wel met voldoende ruimte voor de eigen situatie. Ieder instituut is anders. Ik bouw als het ware een gereedschapskist voor ze op, en zelf draaien ze aan de knoppen. Overigens wisselen wij ook zeer regelmatig kennis uit met de ICT-collega’s van NWO-D. En ook met de leden van SURF, de coöperatieve vereniging van Nederlandse onderwijs- en onderzoeksinstellingen, werken wij veel samen.“
Borgen van beleid en kennis
"Informatiebeveiliging is een continu proces", zegt Stijn. "Je bent er niet met een eenmalige interne campagne over het beveiligen van je informatie. Het is mijn rol om ervoor te zorgen dat het veilig omgaan met informatie systematisch gebeurt en dat de werkprocessen om dat te realiseren onderdeel worden van het werk en daarmee worden geborgd. Dat doe ik niet alleen. Ik trek heel nauw op met de collega's die zich bezighouden met privacy en kennisveiligheid, omdat er zeker een bepaalde mate van overlap zit in onze werkvelden."
Over Stijn Hoogervorst
Stijn Hoogervorst (30) is op 1 april jl. in dienst gekomen bij bureau NWO-I als Chief Information Security Officer en hij rapporteert aan de coördinator ICT van NWO-I. Stijn studeerde informatica aan de Universiteit Utrecht en Business Information Systems aan de TU Eindhoven. Eigenlijk wilde hij het liefst hacker worden na zijn afstuderen. Nu zijn professionele carrière toch een andere wending nam, neemt hij in zijn vrije tijd/als hobby af en toe deel aan 'Capture the flag' hack-wedstrijden. Ondanks dat Stijn nu vooral stukken schrijft, blijft hij in zijn hart wel een techneut en heeft hij van alles in zijn huis geautomatiseerd. In zijn vrije tijd houdt hij zich verder bezig met bordspellen, vechtsport en houdt hij van het leren van nieuwe talen, zoals Spaans. Stijn reist met regelmaat naar Santiago (Chili), waar zijn vriendin woont.
Meer ICT-ontwikkelingen binnen NWO-I: bewustwordingscampagne AVG, open data- en softwaremanagement, en kennisveiligheid
Aan een aantal thema's zullen we in de volgende issues van Inside NWO-I aandacht besteden. |
Tekst: Melissa Vianen
Nieuwsbrief Inside NWO-I, oktober 2022
Op de NWO-I website vind je het archief van de nieuwsbrief Inside NWO-I.