Jeroen Prinse: “Het is aan ons om security inzichtelijk te gaan maken”
Met bijna twintig jaar ervaring is Jeroen Prinse een getraind security professional. Als freelancer werkt hij onder andere als CISO van het Nationaal Cyber Security Centrum (NCSC) en geeft hij trainingen aan voor risk-, audit- en security professionals. Ook maakt Jeroen de podcast re:invent security, waarin hij met leiders in de sector manieren onderzoekt om informatiebeveiliging opnieuw uit te vinden.
Jeroen beschrijft zichzelf als transformationele CISO, en ziet het als zijn taak de kloof tussen business en informatiebeveiliging te dichten.
Security moet geen gevoel zijn
Als security professional voelt Jeroen zich verantwoordelijk om security inzichtelijk te maken. “Security is vaak een gevoel. Veiligheid is een gevoel. Wanneer je gebruik maakt van MDR-oplossingen (Managed Detection and Response) kan je je snel veilig voelen, omdat je notificaties krijgt van dreigingen die geblokkeerd worden. Maar er hoeft maar iets te gebeuren, en je voelt je weer onveilig.”
De enige manier om dit gevoel aan te pakken, is om de effectiviteit, kwaliteit en efficiëntie van de genomen maatregelen te meten: Security Performance Engineering. “Organisatorische en technische maatregelen moeten getest worden. Effectiviteit, kwaliteit en efficiëntie moeten gemeten worden op regelmatige basis,” zegt Jeroen.
“Het is aan ons, als security-industrie, om deze verandering te bewerkstelligen. Zo kunnen bedrijven keuzes gaan maken op basis van de feitelijke informatie, in plaats van slechts een onderbuikgevoel.”
Innovatie door informatie
Daarnaast moeten security professionals zich meer richten op het beheersen van risico’s, in plaats van het proberen de risico’s geheel weg te nemen, zegt Jeroen. “Ik zie nu dat er nog te veel beleid wordt gemaakt, en security professionals te veel politieagent of scheidsrechter spelen.” Dit houdt innovatie tegen. “Wanneer we als industrie meer gaan nadenken over hoe we afgewogen risico’s kunnen nemen, kunnen we veel grotere stappen zetten.”
Leveranciers hebben hier een grote rol in te spelen, voegt Jeroen toe. “De meeste klanten weten niet wat ze willen of nodig hebben. Die denken slechts: ik wil inzicht krijgen in de kwetsbaarheden in mijn systeem. Als beveiligingssector moeten wij die behoefte in een bredere organisatorische context kunnen plaatsen, en met onze producten kunnen uitleggen waarom dat inzicht zo belangrijk is – en wat klanten er vervolgens als organisatie mee kunnen doen.”
“We moeten ons vak meer gaan zien als een dienst die we verlenen,” zegt Jeroen. “Wij hebben een bepaalde expertise die de rest van de organisatie niet heeft. Net als HR, net als legal, leveren wij een dienst. Dat betekent dat je ook moet gaan nadenken hoe je beveiliging aanbiedt op een manier die bruikbaar is, maar die organisaties ook in staat stelt om met beperkte middelen keuzes te maken over wat belangrijk is,” zegt Jeroen.
“Security biedt dus niet alleen maar beleid en advies, maar moet daadwerkelijke diensten aanbieden,” stelt hij.
Hij spoort de industrie daarom aan om na te gaan denken over hoe we dat inzicht kunnen geven. Hoe ga je rapporteren? Welke tools gebruik je? Als CISO of security professional moet je de bestuurders in je organisatie zo goed mogelijk in staat stellen de juiste keuzes te maken, zo stelt Jeroen.
Waar blijven de disruptors?
Jeroen mist bij veel leveranciers nog een stukje volwassenheid, zo zegt hij, iets wat innovatie soms in de weg staat. “Ik heb nu een paar recente voorbeelden gezien van producten of diensten waarvan ik denk dat ze veelbelovend zijn. Wanneer ik echter vragen ga stellen over bepaalde risico’s en keuzes, is daar nog weinig over nagedacht: startups zijn meer met hun product, marketing en sales bezig, dan met risicobeheersing en compliance. Terwijl dat toch een heel belangrijk onderdeel is.”
Hoewel er al veel innovatiekracht in de sector zit, blijft security toch vaak maatwerk. Dit maakt innovatie lastig schaalbaar: het is moeilijk iets te verzinnen wat voor alle organisaties werkt.
“Ik mis vooral innovatie in de manier waarop we security ‘doen’. De aanpak dus. We doen veel hetzelfde, maar het werkt niet. Kijk maar naar de toenemende investeringen, maar tegelijkertijd het toenemende aantal incidenten en de impact daarvan. Er is dus iets wat niet werkt. Security is té compliance-gedreven. Het is niet risico-gedreven, en al helemaal niet feitelijk weerbaar en aangetoond en getest.”
Een vraag die de industrie zichzelf dus voor kan leggen is: “Hoe kunnen we nou dingen op een betere manier aanpakken?”
CISO paspoort
Jeroen Prinse
Het Nationaal Cyber Security Centrum (NCSC) van Nederland, onderdeel van het Ministerie van Justitie en Veiligheid, verbetert de digitale weerbaarheid door cyberdreigingen te voorkomen, signaleren en bestrijden. Het Centrum ondersteunt overheden en vitale infrastructuren en werkt samen met nationale en internationale partners.
- Het totale aantal medewerkers van NCSC is bijna 500.
- Het beveiligingsteam bestaat uit 9 FTEs (en is groeiende).