Ferdinand Uittenbogaard: “Security is een kwaliteitsaspect, geen doel op zich”
Ferdinand Uittenbogaard is een ervaren Interim CISO met een bewezen staat van dienst in het verbeteren van de informatiebeveiliging binnen organisaties. Van huis uit is Ferdinand jurist, waardoor hij extra gevoelig is voor regelhiërarchie. Wetgeving, eigen beleid en best practices verhouden zich tot elkaar – een kwaliteit die niet iedereen vanzelfsprekend heeft.
Momenteel werkt hij bij een ZBO, waar hij verantwoordelijk is voor het verbeteren van de security en het implementeren van een Information Security Management System (ISMS). Ferdinand meet de voortgang daarvan met behulp van een Capability Maturity Model (CMM). Met een scherp oog voor detail beheert hij de beveiligingscompliance voor inkoopprocessen, met name gericht op ISO-naleving in de cloud. Door zijn militaire achtergrond vindt hij heldere lijnen en duidelijke communicatie een randvoorwaarde voor élke activiteit. “Als die lijnen niet duidelijk getrokken zijn kan je niet sturen.”
Bestaande IT-systemen compliant maken werkt niet
Bij Ferdinands huidige opdracht is alle IT uitbesteed, waardoor hij zich meer met andere zaken bezighoudt. Daarbij kun je denken aan Governance, TBV’s (Taken, bevoegdheden, verantwoordelijkheden) en het bestuurbaar maken van deze uitdagingen. Hij legt uit: “Nu ik zo dicht bij het bestuur sta, zie ik veel meer wat de uitdagingen van de bestuurders zijn. Die mensen dragen de last van de organisatie op hun schouders. Ze willen graag, maar het moet behapbaar zijn en vertaald worden in zaken die ze aan kunnen sturen.”
Ferdinands taken als interim CISO zijn voornamelijk gericht op de tweede lijn, wat inhoudt dat hij zich bezighoudt met toezicht en controle. “Dat vind ik ook goed, omdat hier alle IT is uitbesteed als dienst. We laten geen systemen beheren, we nemen alleen ICT-diensten af,” legt hij uit. Een groot deel van zijn werk bestaat uit het waarborgen van compliance. Zijn aanpak om nieuwe ICT-initiatieven vanaf het begin compliant te maken, werpt vruchten af. “De grootste voldoening komt voort uit het feit dat de CIO mij vertrouwt. Toen ik nieuw binnenkwam, heb ik aangegeven dat het nooit werkt om bestaande IT compliant te krijgen. Te veel effort, te weinig resultaat.”
Het prioriteren van beveiligingsinitiatieven binnen overheidsorganisaties vereist een specifieke aanpak. Ferdinand benadrukt het belang van duidelijke communicatie en governance.
“Mijn militaire achtergrond zorgt ervoor dat ik governance, rapportage en ‘command & control’ heel belangrijk vind. Heldere lijnen en duidelijke communicatie zijn een randvoorwaarde voor elke activiteit.”
Security als kwaliteitsaspect
De balans tussen bedrijfsdoelen en cybersecurity inspanningen zijn volgens Ferdinand cruciaal. “Security is een kwaliteitsaspect. Security is geen doel op zich. We kunnen niet alles doen. Ik heb de 80/20-regel zelfs in het beleid opgenomen.”
“Het is beter om risico gestuurd met 20% van de maatregelen 80% van de risico’s af te dekken dan plompverloren alle BIO maatregelen van A tot Z in te voeren.”
Ferdinand is zich bewust van de grotere cybersecurity bedreigingen, zoals digitale soevereiniteit en platformverval. “Op macro niveau is dat digitale soevereiniteit. Alle grote techbedrijven zijn niet-Europees. Gelukkig komt er steeds meer politieke aandacht voor dit vraagstuk.” Hij wijst ook op het risico van platformverval (Enshittification), een trend waarin grote platformen steeds meer waarde voor zichzelf willen behouden. “Kijk bijvoorbeeld naar de huidige zoekresultaten van Google of alle reclame van YouTube. Ook Microsoft is geen charitatieve instelling. Hun desktopmonopolie belooft niet veel goeds.”
Security wordt een commodity
Volgens Ferdinand wordt security steeds meer een commodity. “Dit wordt ook steeds meer geïncorporeerd bij Microsoft. Het is niet mogelijk om alle verschillende niche security tools te managen en efficiënt en effectief in te zetten. Mede dankzij het nieuws en de doorlopende Whatsapp fraude is iedereen wel bewust dat security geen FUD nieuws is. De zero footprint en remote desktop oplossingen leveren nog wel eens klachten op. Maar eenmaal uitgelegd in risico’s voor de gegevens van de organisatie zijn mensen vaak snel om.”
Diversiteit is cruciaal
Als ervaren professional mist Ferdinand diversiteit in securityteams. Diversiteit is belangrijk. Er valt een wereld te winnen als niet alleen witte mannen van boven de 50 (C)ISO worden. En er wordt beter samengewerkt in diverse teams. Ferdinand blijft zich inzetten voor diversiteit én het verbeteren van de cybersecurity branche. Hij sluit af: “Security is een fantastisch vakgebied. Ik kijk elk weekend uit naar het begin van de werkweek!”
CISO paspoort
Ferdinand Uittenbogaard
Bij een reorganisatie in 2016 werd Ferdinand’s CISO-office omgekleed. Dat was voor hem de aanleiding om als ZZP-er aan de slag te gaan. Voor hem was dit een goede keuze, omdat hij bij veel verschillende organisaties een kijkje in de keuken neemt en daar veel van leert. Naast zijn interim CISO rol, is hij actief als reservist bij Defensie. Ook is hij vrijwilliger bij DIVD én geeft hij les bij de Security Academie.
- CISO sinds 2016
- Belangrijk als interim CISO: goed letten op de borging van processen. Het is belangrijk dat processen goed blijven draaien als je het stokje overdraagt.
- Een minimaal team heeft één CISO en twee ISO’s (en daarmee plaatsvervangend CISO) dit is belangrijk voor de continuïteit in de organisatie.