Ardie Kleijn: “Ik ben tegen baselines. Je doet wat iedereen doet, maar dat wil niet zeggen dat het goed is.”
Ardie Kleijn heeft een rijke geschiedenis in de wereld van informatiebeveiliging en vervult momenteel de rol van CISO bij het Kadaster. Met een loopbaan van meer dan 25 jaar in dit vakgebied, heeft hij flink wat ervaring opgedaan. Hij heeft posities bij Rijkswaterstaat, Raad voor de Kinderbescherming, Transavia en de Politie gehad, waarbij hij inzichten op heeft gedaan over de uitdagingen van beveiligingsbehoeften in zowel de publieke als private sector. Het belangrijkste volgens Ardie? “In beweging blijven.”
Ardie’s loopbaan en filosofie
In het begin van Ardie’s carrière switchte hij ongeveer elk jaar van baan. “Iedere baan was leuk, maar na een jaar wist ik het wel.” Deze reeks ervaringen hielp hem om de informatiebeveiliging vanuit diverse invalshoeken te bekijken, wat cruciaal was voor zijn begrip van de verschillende behoeften van elke organisatie waarvoor hij werkte. Zijn filosofie is dat terwijl normen nuttig zijn, ze niet blindelings gevolgd moeten worden zonder aanpassing aan de specifieke context van de organisatie.
“Waar ik van hou in dit vakgebied en waar ik voor pleit is simpelweg ‘beweging’. Uiteindelijk heeft iedere organisatie beweging nodig. Als je stil blijft staan, dan loop je vanzelfsprekend achter met alles, of het nu informatiebeveiliging is, of integrale beveiliging, of überhaupt je processen. Daar wil ik graag aan toevoegen dat ik tegen de interpretatie van baselines ben. "Je doet wat iedereen doet, maar dat wil niet zeggen dat het goed is voor jou," legt Ardie uit. Baselines worden blind gevolgd in plaats van met verstand als referentiekader gebruikt. Hij betoogt dat hoewel standaarden en normen als NEN en ISO een nuttig startpunt kunnen bieden, ze niet altijd toereikend zijn om aan de specifieke eisen en risicoprofielen van een organisatie te voldoen.
"Je kunt een betonnen boot bouwen en daar een ISO-normering voor krijgen. Hij zal alleen nooit varen."
Afstappen van traditionele meldingsprocedures
Of Ardie ooit wakker ligt van zijn werk? Absoluut niet. Hij legt uit: “Ik weet dat geen enkele organisatie voor de volle 100% veilig is, dat bestaat niet. Ik vind dat een CISO ervoor kan zorgen dat hij niet wakker ligt, door de beveiligingsrisico’s in business taal te communiceren met managers en hen verantwoordelijk maken voor het oplossen. Ik heb een boek geschreven, How to Create a Risk-Aware Culture & Empowerment, waar ik nieuwe methodes heb ontwikkeld en de belangrijkste is eigenlijk dat alle medewerkers verantwoordelijkheid dragen voor informatiebeveiliging (empowerment). Hoe zet je dat in werking? Wanneer mensen zich comfortabel voelen, en in ons vakgebied veilig voelen, zorgt dat niet per se voor vooruitgang en innovatie. Dat gebeurt pas wanneer ze zich oncomfortabel voelen in ons vakgebied door te beseffen dat hun situatie niet veilig is, dan komt er beweging en gaan mensen weer op zoek naar het terugbrengen van de balans.”
Ardie benadrukt het belang van empowerment en effectiviteit in informatiebeveiliging door medewerkers verantwoordelijkheid te geven voor hun acties, waarbij hij afstapt van traditionele meldingsprocedures. "In principe veranderen de risico's voor de organisatie niet zo frequent; het is de manier waarop deze risico's zich manifesteren die verandert. Vooral veel in de techniek verandert, wat nieuwe aanvalsvectoren introduceert. Mensen de vrijheid geven zelf te handelen. Door mensen autonoom te laten bepalen welke dreigingen het meest relevant zijn en die op te lossen krijgen we een korte lus die snel verbetering brengt. Ik zorg ervoor dat dit proces soepel verloopt en als iemand de verkeerde beslissing neemt, neem ik de verantwoordelijkheid op me. Wij geven hen de ruimte om zelf beslissingen te nemen over hoe ze met deze dreigingen omgaan. Als ze een deur zien die openstaat, verwacht ik dat ze die sluiten zonder het te vragen. Ze hoeven niet te vragen of ze actie moeten ondernemen – ik vertrouw erop dat ze dat doen.” Deze benadering elimineert de vertraging die normaal gesproken gepaard gaat met meldingsprocessen, waardoor risico's binnen enkele minuten worden aangepakt in plaats van weken. Ook versterkt dit het vertrouwen en de verantwoordelijkheid binnen het team.
Het belang van aanpassingsvermogen
Reflecterend op de toekomst van cybersecurity, benadrukt Ardie het belang van aanpassingsvermogen: "De grootste cybersecuritybedreigingen van dit moment, zoals ransomware, vereisen dat we niet alleen reactief zijn, maar ook proactief plannen en onze verdediging aanpassen aan het voortdurend evoluerende bedreigingslandschap." Zijn aanpak bij het Kadaster is gericht op het behoud van operationele continuïteit, ongeacht de uitdagingen die zich voordoen. Ook benadrukt hij de tweedeling in de benadering van cybersecurity:
"Er zijn twee werelden. De groep mensen die bezig zijn met vinkjes zetten, compliance, en dan is er een groep die gelooft in procesinnovatie, risico’s oplossen."
Ardie hoort bij de groep die gelooft in procesinnovatie en daarom sluit hij af met een oproep tot constante beweging en innovatie binnen de sector: "Uiteraard is in beweging blijven voor iedereen anders en het ligt ook aan de organisatie waar je voor werkt. Ik denk wel dat dit van groot belang is, dit is mijn vorm van innoveren.”