“CISO is thuis in techniek en compliance én storytelling”

Uitzendbedrijf Randstad is aan het consolideren. Van oudsher een internationaal conglomeraat van 39 bedrijven met 39 IT-afdelingen en voorheen meer dan 60 grote en kleine datacenters, is het bezig een geïntegreerde multinational te worden. Het doel is meer gebruik te maken van het volume en de massa die het bedrijf in zich heeft en zo de effectiviteit te vergroten door standaardisatie, ook op IT- en security gebied.

Negen jaar geleden is Randstad begonnen om alle datacenters naar de cloud te brengen. Martijn Nykerk bestierde de securitykant van die beweging, met enerzijds een technische verantwoordelijkheid voor de centraal aangeboden IT-voorzieningen en anderzijds een beleidsverant­woordelijkheid voor de veiligheid van de applicaties die de verschillende Randstad-bedrijven bouwen, gebruiken en (laten) onderhouden op die infrastructuur.

Was er jaren geleden slechts één persoon die op global-niveau verantwoordelijk was voor security binnen Randstad, nu is dat een team van zestien mensen. Ondertussen is er ook een security-community opgebouwd die alle Randstad-bedrijven in alle landen omvat. “We hebben een heel stelsel aan CISO-rollen”, vertelt Nykerk. “Door de consolidatieslag worden IT en security echt een stuk centraler aangepakt en daar passen we de security-organisatie op aan. In de beweging van een regionaal ingerichte federatie van bedrijven naar een meer uniforme multinational zoeken we de balans, want de business blijft in de kern local for local.”

Nykerk: “We hebben nu een groot aantal CISO’s met losse verantwoordelijkheden. Ze komen vanuit de risk compliance-kant of juist vanuit de technische kant. Zelf denk ik dat de CISO een gecombineerde rol moet hebben en ik zie dat ook al verschuiven. Dat noem ik de hybride CISO, die een goede mix probeert te bewerkstelligen van compliance en de meer technische security. We gaan de policy-compliance georiënteerde kant harder aanzetten en ook meer naast de technische security zetten. Maar beide komen wel meer onder de verantwoordelijkheid van één persoon te vallen. Die persoon moet het juiste verhaal kunnen vertellen en het verhaal in balans ook kunnen verkopen. Het ene mag niet ten dienste komen te staan van het andere, omdat je beide echt nodig hebt.”

De verschuiving waar Nykerk aan werkt, loopt, maar zeer geleidelijk. “Verandering is een taai proces. En die taaiheid zit in de organisatie zelf: hoe die werkt en bij welke stakeholders je moet zijn. Ik chargeer nu een beetje maar de heel klassieke CISO is een tweedelijnsrol. Die kijkt hoe IT zijn werk doet op het gebied van security en geeft daar zijn mening over. Daarmee gaat hij verder. Dat is eigenlijk audit-achtig. Maar in de afgelopen 10, 15 jaar is de technologie op het gebied van security veel verder gegaan dan antivirus. Daarom is de CISO nu meer een rol voor iemand die ook de nodige kennis heeft van die technologie van beveiliging en die kan besturen.”

Wat het ook taai maakt, is dat er een spanningsveld kan ontstaan met de IT-afdeling die de CISO als bemoeial kan ervaren omdat security voorheen “iets van IT” was. “Bij Randstad speelt nog mee dat we een bedrijf zijn dat op het ogenblik door een digitale transformatie heen gaat en zichzelf daarin nog aan het uitvinden is.”

Dat proces kan echter wel degelijk versneld worden. “Door mensen te laten praten met mensen. Helder zijn in wat je nodig hebt en verwacht van elkaar. Bij security draait het bijvoorbeeld veel over kwetsbaarheden en het oplossen daarvan: wie is daar verantwoordelijk voor. Er is een soort spel rond het detecteren van kwetsbaarheden en het oplossen ervan. De IT doet de IT. Maar diezelfde IT draait een scanner-applicatie voor security en de bevindingen van die scan moet IT vervolgens zelf weer oplossen. En daaruit krijg je weer veel discussies. Je moet helderder durven praten over wie verantwoordelijk is.”

Die nieuwe CISO’s vinden we moeilijk, maar mondjesmaat lukt het wel. Je wilt het liefst zeer ervaren mensen. Die tegen een senior ontwikkelaar kunnen zeggen ‘ik deed het vroeger ook zo’ en die ontwikkelaar kunnen overtuigen. Een mentorship-achtige rol. We willen hen NAAST ons, zodat de ontwikkelaar weet hoe het moet. Mensen uit mijn team staan nu als vooruitgeschoven post in grote projecten om al in een vroeg stadium voor te doen wat veiliger is. IT’ers staan daar ook echt voor open, maar zij zitten ook in een spagaat van veiligheid en onder druk van budget en tijd iets werkend op te leveren . Maar het is al een verbetering als iedereen zich bewust is van hoe goed eruit ziet en het eigenlijk niet meer “fout” wil doen.

In de ogen van Nykerk is het vertellen van het juiste verhaal, afgestemd op het publiek of audience waar je voor staat, de grote uitdaging voor CISO’s. “Daarbij moet je in je verhaal meebewegen met wat je audience op dat moment nodig heeft. Want uiteindelijk is IT - en security misschien nog wel meer - een high fashionable interesse. Iedereen vindt security heel belangrijk. Tuurlijk, het moet allemaal veilig zijn. Maar kunnen we nu met de echte ‘business dingen’ aan de slag? Eigenlijk willen we er niet over praten. Maar het moet wel geregeld worden.”

“Een interessante verandering die ook bij ons nu gaande is, is dat de focus verschuift naar de existentiële risico’s waar je met elkaar over moet durven praten. Wat als we straks helemaal geen IT meer hebben? Die risico’s probeer ik aanschouwelijk te maken. Zo van: Als dit gebeurt, dan is dit het effect. En dan kunnen we dit niet meer doen. Om dat te voorkomen, wil ik deze investering doen. Het is in mijn ogen een fragiel bouwwerk, want het draait om het vertrouwen tussen twee mensen, die elkaar aanvoelen. Dan is het een persoonlijk connectie-ding geworden, rondom investeringen die niet klein zijn. Die persoonlijke connectie is nodig om niet in een calculeer-modus te schieten. Want wat volgens mij niet werkt is heel erg te gaan zitten kwantificeren met elkaar. Als we niet meer kunnen payrollen, dan heeft dat grote gevolgen. Maar daar zitten heel veel variabelen in, als je dat in detail wilt calculeren, dan neem je nooit een beslissing.”

Maar wat is genoeg security? Het is de vraag die ongeveer alle CISO’s bezighoudt, zegt Nykerk. “Ik denk dat iedereen er wel een goed verhaal bij kan vertellen. Maar het verhaal ‘zo is het genoeg’ naar buiten toe, is een ander verhaal dan ‘zo is het genoeg’ naar binnen toe. Elk bedrijf wil naar buiten toe zeggen dat het genoeg is en dat je het goed voor elkaar hebt. En we vinden allemaal dat IT gewoon moet werken en dat security gewoon veilig moet zijn.”
De stap die Randstad volgens Nykerk maakt is compliance veel minder losstaand naar voren schuiven. “En ervoor zorgen dat we efficiënter kunnen aantonen dat we de security goed ingericht hebben, op een gestandaardiseerde manier. Als de grote banken hier op bezoek komen voor een security audit, hebben ze allemaal een eigen aanpak en invalshoek. Maar aan allemaal tegelijk voldoen, is erg kostbaar. Ook daar komt dan storytelling bij kijken: ‘wij doen het zo’. Is dat een goed verhaal, is de communicatie persoonlijk geworden. Heel interessant vind ik dat.”