Hidde Kylstra: “Je weet niet wat je niet weet”
“De omgeving verandert sneller dan wij processen kunnen bouwen,” zegt Hidde Kylstra, Information Security Officer (ISO) bij Beequip Equipment Finance. Cybersecurity ontwikkelt zich in een tempo dat organisaties dwingt om voortdurend hun aannames te herzien.
In dit gesprek verkennen we met Hidde hoe hij zelf wendbaar blijft. Hij vertelt hoe hij als eerste securitymedewerker bij Beequip aan de slag ging, welke stappen hij als beginpunt koos en waarom juist die volgorde werkt. Tegelijkertijd deelt hij wat hij andere securityprofessionals zou aanraden wanneer zij in een vergelijkbare situatie terechtkomen. Zijn kijk op wendbaarheid wordt daarmee concreet en zichtbaar in de keuzes die hij elke dag moet maken.
Over Hidde Kylstra
Huidige rol: Information Security Officer (ISO)
Achtergrond: Hidde is een veelzijdige securityprofessional die sinds 2015 ervaring opbouwde in awareness, GRC en operationele beveiliging en nu als Information Security Officer bij Beequip de beveiligingsstructuur van een snelgroeiende fintech vormgeeft.
Overzicht als startpunt voor wendbaarheid
Hidde begon bij Beequip met een eenvoudige vraag: waar staan we nu? “Eerst een maturity assessment en vanuit daar kan je prioriteren waar laaghangend fruit zit.” Niet omdat volwassenheid een doel op zich is, maar omdat je alleen kunt bewegen als je weet waar de knelpunten liggen.
Hij ziet hoe organisaties vastlopen in incidenten en productiedruk, waardoor structureel werk steeds blijft liggen. Daarom plant hij vooruit. “Binnen een half jaar wil ik een framework opzetten, zodat die strategische doelen worden behaald.” Overzicht geeft ruimte om te reageren zonder in paniekmodus te schieten.
Architectuur speelt daarin een belangrijke rol. “Met architectuurmodellering krijg je een goed overzicht van de businessprocessen en alle objecten in een enterprise.” Die visuele helderheid maakt security minder abstract en helpt teams begrijpen waarom keuzes worden gemaakt.
Meebewegen zonder grip te verliezen
Hidde ziet regelmatig dat securityafdelingen te voorzichtig worden. “Het is soms heel conservatief en nieuwe technologie schrikt af. Dan kan je een organisatie in de weg staan.” Volgens hem moet security geen rem zijn, maar een gesprekspartner. Dat begint bij duidelijke rollen. “Eigenaarschap moet liggen bij de mensen die de risico’s dragen.”
Hij werkt daarom niet vanuit strikte regels, maar vanuit principes die ruimte laten voor interpretatie. Afwijken kan, zolang het risico maar helder op tafel ligt. “We kunnen het risico accepteren, mitigeren of de keuze niet nemen.” Daarmee verschuift security van politieagent naar adviseur, zonder vrijblijvend te worden.
Dat meebewegen vraagt ook om communicatie. “Je bent als securityprofessional je geld waard als je in normale taal kan communiceren wat er nodig is.” Niet iedereen hoeft de techniek te snappen, maar iedereen moet de consequenties van een keuze kunnen begrijpen.
AI introduceert risico’s die we nog niet kennen
AI vormt volgens Hidde de grootste verschuiving in jaren. “Elk aspect van securityarchitectuur wordt beïnvloed door AI.” Niet alleen aanvallers profiteren daarvan, maar ook medewerkers. “Heel veel mensen gebruiken AI, ook als je denkt van niet.” Nieuwe tools maken het eenvoudiger om zelf applicaties te bouwen, maar de meeste businessmedewerkers hebben geen achtergrond in secure coding.
De aanvallende kant ontwikkelt net zo snel. “Phishing wordt echt superrealistisch in de toekomst.” Deepfakes, synthetische audio, autonome scripts; het is onmogelijk om alle varianten vooraf te voorspellen. En dat is precies zijn punt: “Bij een nieuwe transitie komen aanvalspatronen die we nog niet kennen.”
Daarom moet security anders gaan denken. Niet alleen zoeken naar bekende patronen, maar alert zijn op gedrag dat afwijkt. Niet alleen verdedigen, maar ook misleiding inzetten om aanvallers te herkennen. Wendbaarheid wordt belangrijker dan zekerheid.
Conclusie: cyberweerbaarheid betekent kunnen reageren op het onverwachte
Voor Hidde draait cyberweerbaarheid om het vermogen om snel te schakelen wanneer bestaande aannames niet meer kloppen. Overzicht, duidelijke verantwoordelijkheden en flexibiliteit vormen de basis. Technologie verandert te snel om volledige controle te hebben, maar je kunt wel zorgen dat je organisatie wendbaar genoeg is om nieuwe risico’s op te vangen.
“Je weet niet wat je niet weet. Bij elke technologische transitie ontstaan aanvalspatronen die we vooraf niet kunnen bedenken, net zoals ransomware pas groot werd toen iedereen naar de cloud ging. Het enige wat je kunt doen, is zorgen dat je organisatie snel genoeg ziet wat er verandert en daar direct op kan reageren.”
Het interview met Hidde maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.
