Ben Krutzen: “Het is 2024, al dat handmatige gedoe kan echt niet meer”

Ben Krutzen, opgeleid tot theoretisch fysicus, belandde bijna per ongeluk in security en IT toen hij werkte bij Shell. Zijn laatste zes jaar was hij daar CISO, een rol waarin hij direct voor de leeuwen werd gegooid vanwege een incident. Gelukkig liep de situatie met een sisser af, maar hij was wel aan security verknocht.

Na een periode bij KPMG te hebben gezeten als partner risk consulting, stapte hij in 2020 over naar de rol van investeerder en steunde hij als angel investor bedrijven in de energietransitie. Bloed kruipt echter waar het niet gaan kan en al snel zag hij dat een van zijn bedrijven ondersteuning kon gebruiken bij informatiebeveiliging. Zo begon hij in 2021 ValueTracks, een boutique firma die organisaties bijstaat in het verkrijgen van inzicht in hun beveiligingsstatus.

Inmiddels hebben hij en zijn businesspartners ook een ander software bedrijf opgezet: Modelverse. Daarmee spelen ze onder andere in op een probleem dat ze zelf hebben ondervonden: security processen gaan gepaard met veel handmatig werk, wat veel tijd kost maar vaak niet veel inzicht verschaft.

We spraken met Ben over de tekortkomingen van veel governance, risk en compliance praktijken en wat er aan die processen zou moeten veranderen om bij te dragen aan wat er echt toe doet: het verkleinen van het aantal cyberincidenten.

Security audits en compliance leiden af van wat belangrijk is: beveiliging

Er wordt veel geld en tijd gestoken in compliance en audits. Ben betwijfelt echter of dat altijd de beste resultaten oplevert. Zo zegt hij: “Ik heb in mijn carrière veel bedrijven van binnen gezien; een aantal met een ISO- of andere certificering, maar ook anderen die geen certificaten hadden. Het is werkelijk verbazingwekkend dat je dan op het gebied van daadwerkelijk geïmplementeerde security maatregelen vaker nauwelijks een significant verschil ziet.”

“Het certificeringstraject heeft natuurlijk wel waarde, omdat je het certificaat met klanten kunt delen, het geeft de klanten vertrouwen en dat maakt het salesproces makkelijker. Maar helaas biedt een certificaat nog geen garantie dat security echt goed op orde is.”

Daarbij komt dat nog veel van de processen handmatig verlopen. Informatie en bewijs wordt handmatig verzameld en geanalyseerd. Daarbij ziet hij dat er nog veel met Excel-bestanden wordt gewerkt. “Al dat handmatige gedoe van het verzamelen van bewijs en dat auditors dan screenshots krijgen van e-mails… Het is 2024, dat kan echt niet meer. Dat kan je mensen niet vragen. Het is zeer demotiverend en foutgevoelig en al die auditors worden er zelf ook zeker niet blij van.”

Al dat handmatige gedoe van het verzamelen van evidence en dat auditors dan screenshots krijgen van emails… Het is 2024, dat kan echt niet meer. Dat kan je mensen niet vragen. Het is zeer demotiverend en foutgevoelig en al die auditors worden er zelf ook zeker niet blij van.

Ook zit er een mismatch tussen de IT'ers die verantwoordelijk zijn voor de compliance en de business. “Wat je vaak ziet bij IT-mensen is dat ze de systemen wel goed kennen, maar als je vraagt: “Wat gebeurt er als dit systeem uitvalt voor het bedrijf?”, dan kunnen ze dat niet beantwoorden. Ik spreek hier uiteraard in algemene termen, er zijn ook IT’ers die de business begrijpen, maar toch zie ik vaak dat IT-mensen erg operationeel en technisch zijn.”

In andere woorden zou je kunnen stellen dat audit- en complianceprocessen, ooit met de beste bedoelingen bedacht, in veel gevallen hun doel maar ten dele bereiken. Ze dragen onvoldoende bij aan het veiliger maken van de organisatie. Er ontbreekt dus een stukje innovatie als het gaat om de aanpak.

Hoe prioriteer je binnen cybersecurity?

Een gevolg van de beperkingen van de auditprocessen is dat het moeilijk is voor bedrijven om cybersecurityprojecten te prioriteren. “Wat je veel ziet in security is dat mensen aan de onderkant beginnen. We nemen ISO 27002 Annex A-lijstjes en gaan dan afvinken: heb ik dat?”

“We zagen een bedrijf actief in de zorg. Die moeten van overheidswege certificaten hebben, maar dan zien we dat ze al jaren zwakke wachtwoorden zonder tweede factor gebruiken. En dan denk ik: hoe bestaat het? Dat kan alleen maar als je niet rustig top-down nadenkt.” deelt Ben als voorbeeld.

Wat je heel veel ziet in security is dat mensen aan de onderkant beginnen. We nemen ISO 27002 Annex A-lijstjes en gaan dan afvinken: heb ik dat?

Wat eigenlijk volgens Ben gedaan zou moeten worden, is de vraag beantwoorden: “Wat zijn de risico’s van mijn organisatie ten gevolge van digitale activiteiten? Hoe goed kan ik me daartegen verdedigen? Waar zitten mijn zwakke plekken en hoe zou ik die willen verbeteren en in welke volgorde? En dat is allemaal gebaseerd op een redelijk hoog niveau overzicht van de systemen en de processen die je hebt. Wij noemen dat een top-downbenadering.”

“Vaak denken we bij innovatie aan techniek, aan technische innovaties. Die zijn ook belangrijk en daar moeten we ook echt iets mee. We hebben het vaak in security over dat de mens de zwakste schakel is, bijvoorbeeld als we het hebben over phishing-e-mails. Je zal toch technisch daar iets aan moeten doen. Want ook al doe jij het supergoed, als maar 5% van jouw mensen op een phishing-e-mail klikt, dan is dat nog 5% teveel. Dus het werkt gewoon niet, we hebben absoluut technologie nodig. Je hebt XDR-systemen, superbelangrijk en heel erg nodig, anomaliedetectie en dergelijke, maar je moet het ook ergens bij elkaar brengen. Eigenlijk meer een procesinnovatie die ervoor zorgt dat mensen de juiste discussies hierover hebben. Dat ze het gaan begrijpen op bestuursniveau, dat is geen technische innovatie.”

Als het je lukt om deze informatie inzichtelijk te maken, dan kan je de juiste prioriteiten stellen voor een bedrijf. Daarmee prioriteer je waar in de digitale omgeving van de organisatie de zwakke plekken zitten en wat dus als eerste opgepakt moet worden.

Automatiseer wat geautomatiseerd kan worden

Buiten het feit dat Ben de mogelijkheid zag om de risico management processen te innoveren, had hij ook een persoonlijke drijfveer. Als investeerder kwam hij in aanraking met een bedrijf dat aan een belangrijke technische innovatie in de energietransitie werkt. Een nieuw concept. Ze hebben heel waardevolle Intellectual Property, maar het IP werd niet goed beschermd, omdat niemand binnen de organisatie verstand had van security.

“Ik heb dat aangepakt zoals ik bij Shell altijd deed, dus niet veel praten over technische zaken, maar over wat er nu met je bedrijf zou kunnen gebeuren en wat voor maatregelen je nodig hebt om dat te beheersen. Daarvoor maakte ik een PowerPoint van tien slides of zo. Op een bepaald moment dacht ik: ja, nu moet je ophouden PowerPoints te maken, je moet dit automatiseren. Ik ben toen met het eerstvolgende project gaan meeprogrammeren, gewoon zelf in Power Platform van Microsoft. Tot mijn verbazing kon ik de opleveringen voor het project steeds faciliteren met het maken van de functionaliteit die we nodig hadden. Het is revolutionair hoe snel je met deze technologie dingen kan bouwen.” Inmiddels werken diverse andere security advies bedrijven met de Modelverse software.

Over Modelverse

Er zijn veel governance-, risk- en compliance-achtige systemen. Waarom besloot Ben om er daar nog één aan toe te voegen? “Omdat veel van die systemen een soort documentmanagementsystemen zijn met een laagje erbovenop. Een SharePoint als je geluk hebt, maar ik zie ook nog veel oude technologie waarin beleidsdocumenten en dergelijke worden bijgehouden die de basis vormen voor certificering.”

“Daarom heet ons product Modelverse, omdat we echt een compleet model van security hebben gebouwd in het systeem van +150 tabellen, met alle relevante relaties, want veel in security is aan elkaar verbonden.”

Tot slot

Ben’s aanpak toont aan dat de toekomst van security en compliance ligt in praktische innovatie en automatisering. Zijn werk bij Modelverse laat zien dat nieuwe technologieën en een hands-on benadering leiden tot effectieve en efficiënte oplossingen.

Ook is het belangrijk om op te merken hoe agile productontwikkeling kan zijn. Hij en zijn partners hadden behoefte aan een gebruiksvriendelijk systeem en bouwden dit zelf met een low-code oplossing. Door vanuit een echte behoefte te werken, wekt het product ook daadwerkelijk veel interesse in de markt op.

Vergelijkbare berichten