Erwin van der Zwan: “Stilstaan is het ergste wat je kunt doen in dit vakgebied”

Erwin van der Zwan heeft ruim 25 jaar ervaring in de wereld van cybersecurity. Hij vervulde diverse rollen, met als specialisatie het beveiligen van industriële omgevingen. Zijn expertise en passie voor luchtvaart hebben geleid tot de oprichting van zijn bedrijf, QDMsecurity, dat vitale infrastructuren helpt om veilig hun doel te bereiken (QDM in de luchtvaart is een aanduiding voor het geven van een koers en richting naar een doel). Later heeft hij zich ontwikkeld tot CISO, en helpt hij bedrijven aan o.a. tijdelijke CISO capaciteit om een stevige basis neer te zetten. Hij heeft in al die jaren veel in de keuken van diverse organisaties kunnen kijken.
CISO as a Service
Erwin’s interesse in cybersecurity begon in de jaren 90 bij infrastructuur projecten voor klanten en ontwikkelde zich snel verder bij onder meer Siemens en Fox-IT, waar hij werkte aan projecten voor ministeries en vitale infra. Na een stopzetting van een groot project besloot hij zijn eigen bedrijf te starten. “Ik zag dat er altijd behoefte was aan sturing en koersbepaling in de vitale infrastructuur. Daarom begon ik QDM, om deze bedrijven te helpen veilig hun werk te doen.”
In de loop der jaren heeft Erwin zich ontwikkeld tot een cybersecurity adviseur en CISO en biedt hij dit aan als een dienst. “Veel organisaties zijn niet klaar om een fulltime CISO aan te nemen, daarom bied ik CISO as a Service (CaaS) aan. Dit concept was tien jaar geleden nog nieuw, maar nu zie je het steeds vaker in de portfolio’s van adviesbedrijven. De verantwoordelijkheden als externe CISO zijn niet anders dan die van een interne CISO. Het enige verschil is dat je er parttime bent, misschien twee of drie dagen per week, maar de taken en verantwoordelijkheden blijven hetzelfde.”
Innovatie in cybersecurity: begin bij de basis
Volgens Erwin is één van de grootste uitdagingen in de cybersecuritysector het gebrek aan goed opgeleide professionals. “De dreigingen en de digitalisering van de maatschappij nemen toe, maar we hebben simpelweg te weinig mensen met de juiste kennis en ervaring. Dit maakt het moeilijk om alle zwakke plekken in een organisatie aan te pakken. Veel organisaties hebben namelijk zelfs moeite om de top 10 best practices op security vlak op orde te krijgen. We willen allemaal met het nieuwste van het nieuwste bezig zijn, maar de basisinfrastructuur moet eerst goed zijn.
Bedrijven hebben nog zoveel te doen aan die basis. Ik ben al blij als ze de ISO-standaard van 10 jaar geleden als leidraad gebruiken en hebben geïmplementeerd. Maar aan de andere kant moeten we open blijven staan voor innovaties, zoals het gebruik van artificial intelligence om sneller aanvallen te detecteren en te reageren. Stilstaan is het ergste wat je kunt doen in dit vakgebied. Aanvallers gebruiken de nieuwste technieken en ze zijn in al die jaren steeds sneller en geavanceerder geworden. Dat is gewoon bijna een wetmatigheid.”
Vertrouwen in automatisering
Erwin benadrukt dat ondanks de beschikbare technologieën van de afgelopen jaren, veel bedrijven nog steeds terughoudend zijn in het volledig benutten van automatisering. “Vaak is het IT-landschap zo complex dat bedrijven niet precies weten wat er allemaal draait, wat leidt tot een angst om veranderingen door te voeren. Ik vind persoonlijk dat je gewoon door de zure appel heen moet bijten. Als je een fabriek hebt, zet je de internetverbinding maar even uit of schakel je datacenter los. Het is erger als ze – onverwacht – permanent niet kunnen werken.”
Stel duidelijke eisen aan leveranciers
Een goede samenwerking met leveranciers is volgens Erwin van groot belang. “Niemand kan vandaag de dag nog een eigen SOC draaien zonder hulp. Het is belangrijk om duidelijke eisen te stellen aan leveranciers, maar ook om hen te betrekken bij je interne processen. Als ze een belangrijke dienst aan jou gaan leveren, verwacht je ook dat ze hun security op een bepaald niveau hebben ingericht. Helaas is dit niet altijd het geval. Bedrijven kiezen voor een voorkeursoplossing of werken graag samen met bepaalde leveranciers voor hun diensten, maar ontdekken dat deze leveranciers geen solide security service bieden. Dan zie je dat organisaties soms zeggen: oké, we vragen het deze keer maar niet. Dat doe je bij de volgende leverancier wel. Maar zo innoveer je natuurlijk niet.
Grote organisaties beginnen langzaam maar zeker te eisen dat producten cybersecurity-gecertificeerd zijn. De Europese CRA wetgeving komt eraan om echt eisen te stellen aan secure producten op de markt. Toch is er volgens mij nog ruimte voor verbetering. Als een leverancier niet aan de eisen voldoet, is het misschien niet de juiste partner.”
Slotadvies
“Het is van belang dat je doelgericht te werk gaat bij innovatie. Wat zijn de echte dreiging scenario’s? Waar willen we tegen beschermen en waarom? Focus op de top vijf belangrijkste maatregelen in plaats van een lijst van 700 die in alle normen staan, maar die niemand kan gebruiken. Je moet in control zijn en compliant, maar het echte doel is om je kroonjuwelen te beschermen. Als je dat doet, ben je automatisch compliant en in control, zelfs als je niet aan elk specifiek vinkje voldoet.
In feite komt het allemaal neer dat je teruggaat naar de basis van het vakgebied. Het is geen innovatie in de traditionele zin van het woord. Het gaat erom dat je de bereidheid hebt om security doelgericht en praktisch aan te pakken. Alleen dan kunnen we de uitdagingen van vandaag en morgen effectief het hoofd bieden.”

CISO paspoort
Erwin van der Zwan
- 25 jaar ervaring in Cybersecurity
- Biedt CISO As A Service aan (CAAS)
- Heeft een expertise en passie voor luchtvaart
- Interessant feitje: QDM in de luchtvaart is een aanduiding voor het geven van een koers en richting naar een doel, vanuit daar is zijn gelijknamige bedrijf ontstaan.