Gemma Jansen: “Security is geen bijzaak. Het is de ruggengraat van de bedrijfsstrategie.”
Veel bedrijven hebben nog steeds geen idee van de werkelijke waarde van hun CISO. Te vaak wordt de CISO gezien als de persoon die ‘de boel dicht draait’ in plaats van de strategische leider die helpt risico’s te managen en de organisatie vooruit te helpen. Gemma Jansen, een CISO met een ongebruikelijke achtergrond en scherpe visie, daagt het traditionele beeld van de CISO uit. Ze geeft aan: “De echte uitdaging voor een CISO is niet om simpelweg ‘veiligheid’ te garanderen. Het is om mensen te verbinden, risico’s te begrijpen en technologie te operationaliseren op een manier die het bedrijf daadwerkelijk vooruit helpt.”
De procesmatige CISO
Gemma’s carrière begon in een onverwachte hoek, namelijk in het toerisme. Ze kwam in de ICT-wereld terecht via een reisorganisatie en breidde zich uit naar grotere bedrijven zoals Ziggo en Buma Stemra, waar ze zich verder ontwikkelde in procesmanagement en programmamanagement. Vervolgens rolde ze bij Buma Stemra in de security. Na een opleiding en praktische ervaring werd haar duidelijk dat security niet alleen een technisch vak is, maar juist een kwestie van het organiseren en borgen van een relatief nieuw proces, dat vraagt procesmanagement en samenwerking. Zeven jaar geleden nam ze voor het eerst de rol van CISO op zich, met als missie de organisatorische kant van beveiliging te integreren in bedrijfsstrategieën. Momenteel werkt ze als CISO bij het Interprovinciaal Overleg. Gemma begrijpt dat het vakgebied vaak nog onbekend en daarom soms nog onbemind is en zij is daarom niet bang om weerstand tegen te komen maar juist vastbesloten de governance en samenwerking rondom security naar een hoger niveau te tillen door juist het gesprek, en het juiste gesprek, aan te gaan.
Risico’s beheren en mensen betrekken
Gemma geeft duidelijk aan: “De grootste uitdaging voor een CISO is het gebrek aan strategische governance. Te vaak worden we gezien als een soort IT-monniken die zich bezighouden met technische details of die de ISO27001 kunnen opdreunen, terwijl we juist een cruciale rol spelen in het begrijpen en managen van bedrijfsrisico’s. In plaats van altijd te waarschuwen voor gevaren, moet je kijken naar wat de business nódig heeft. Je moet ook bereid zijn risico’s te accepteren als dat in het belang van de organisatie is. Risico’s zijn overal, maar ze moeten wel bewust worden genomen.”
Ook de menselijke kant mag niet onderbelicht worden volgens Gemma: “In 2024 is de belangrijkste factor waar we mee te dealen hebben de mens. Mensen maken de organisatie en diezelfde mensen hebben verschillende motivaties, en het is belangrijk hen op hun niveau te betrekken bij security. Je moet mensen op een manier meenemen die past bij hun werk. Dit is niet altijd makkelijk, op operationeel niveau is dat makkelijker dan op tactisch én strategisch niveau.” Gemma ziet haar rol als een bruggenbouwer die, ondanks verschillende niveaus van technische kennis, iedereen op één lijn krijgt. "Het is belangrijk dat mensen begrijpen waarom bepaalde maatregelen nodig zijn en wat hun rol in het proces is.”
In plaats van door de organisatie gezien te worden als een noodzakelijke, maar onzichtbare functie, roept Gemma op tot een verschuiving in de mindset van bedrijven. “Security is geen bijzaak. Het is niet ‘gewoon een IT-kwestie’. Als een CEO niet inziet dat Security de solide basis van het bedrijf borgt en daarmee een driver voor het realiseren van de bedrijfsdoelstellingen is, dan heeft die CEO het nog niet begrepen.”
Grote leveranciers zijn niet altijd de beste keuze
Als het gaat om innovatie in security, is Gemma duidelijk: “Innovatie is geweldig, zolang je maar niet je hele organisatie vol stopt met tools die niemand begrijpt. Tools zijn niets waard zonder duidelijke processen om ze te integreren. De cybersecuritysector zit vol met innovaties, maar het grootste probleem blijft dat technologie vaak wordt ingevoerd zonder dat een bedrijf de basisprocessen goed op orde heeft en/of de behoefte niet in kaart heeft. AI, machine learning, SIEM-systemen: allemaal fantastisch. Maar als je geen solide, goed gedefinieerde processen hebt om die tools effectief te integreren, dan werk je jezelf tegen.”
Volgens Gemma heeft de publieke sector enorme problemen met innovatie, en dat komt vaak door rigide aanbestedingssystemen. “Overheidsinstellingen zitten vast in logge processen die ze verhinderen echt te innoveren. Alles wordt geblokkeerd door aanbestedingen en juridische hindernissen. Het gevolg? Aanbestedingen worden een doel in plaats van een middel. Ze gaan doorgaans voor de grote, bekende namen, omdat dat makkelijker lijkt. Maar dat betekent niet dat ze de beste oplossing hebben.”
Gemma gelooft dat kleinere spelers in de security sector vaak flexibeler zijn dan grote, gevestigde bedrijven. “In grotere organisaties zit je vast aan procedures en regeltjes die je soms niet vooruit helpen. Kleine spelers kunnen vaak sneller inspelen op veranderingen,” zegt ze. Hoewel ze het belang van grotere, gerenommeerde leveranciers erkent, benadrukt ze dat kleinere, gespecialiseerde bedrijven vaak meer waarde kunnen bieden. “Het is belangrijk dat je als organisatie snapt wat je nodig hebt en dat je een samenwerking aangaat op basis van partnerschap, niet alleen als klant,” legt ze uit.
De toekomst van de security sector
Volgens Gemma moet de security sector vooruitkijken, maar wel met een realistische en doelgerichte aanpak. "De toekomst is niet alleen afhankelijk van technologie, maar ook van hoe we die technologie implementeren en hoe we samenwerken," zegt ze. "Innovatie moet gefocust zijn op wat werkt voor de organisatie, niet wat de nieuwste trend is."
Succes in dit domein komt niet alleen van technologie, maar van de mensen die ermee werken en de manier waarop organisaties risico's managen. Gemma ziet de CISO als een strategisch leider die zich bezighoudt met risicomanagement, governance, en de menselijke kant van security. Door een balans te vinden tussen technologie, processen en de menselijke factor, kan security écht impact maken.