Jordan van den Akker: “CISO’s zouden meer wakker moeten liggen van langetermijnproblemen”

Jordan van den Akker, CISO bij AET Europe, heeft het voorrecht dat de werknemers binnen het bedrijf al zeer goed op de hoogte zijn van security-vraagstukken, want security speelt een belangrijke rol in het aanbod van AET Europe. Awareness heeft daarom een  prominente rol binnen het bedrijf.

We spraken met hem over de grootste uitdagingen waarmee hij geconfronteerd wordt, de manier waarop AET Europe zich voorbereidt op cybersecuritydreigingen, en de rol die innovatie speelt binnen zijn team.

De CISO als interne consultant voor IT, security en kwaliteitsvraagstukken

Na het afronden van zijn master Crisis & Security Management aan de Universiteit Leiden in 2012 heeft Jordan verschillende functies bekleed in security consultancy. Ook bij AET Europe begon hij als business (security) consultant, een rol waarin hij waardevolle kennis opdeed over het implementeren van Digital Trust-oplossingen.

Toen de Security- en IT managers met pensioen gingen, werden hun functies samengevoegd in de CISO-rol, die Jordan op zich nam. “In mijn rol ben ik nu verantwoordelijk voor het waarborgen van alle IT-kwaliteit- en security vraagstukken binnen AET Europe,” legt Jordan uit. Hij speelt een sleutelrol bij het ontwikkelen van beleid, het implementeren van procedures en het leiden van het ISO-team.

Het CISO-team, onder zijn leiding, bestaat uit een mix van interne en externe specialisten. “We hebben een toegewijd team van ongeveer drie interne medewerkers, waaronder een privacycoördinator, een technische security specialist en een cloud engineer,” voegt hij eraan toe. Voor specifieke projecten werkt hij echter samen met meer mensen in de organisatie; het ISO-team bestaat bijvoorbeeld uit tien medewerkers verspreid over verschillende teams.

Als CISO probeert hij het overzicht te houden op alle security vraagstukken en zich niet te veel te focussen op specifieke technische oplossingen. Een valkuil die hij ziet voor CISO’s met een technische achtergrond is dat zij zich veel focussen op hun expertise-gebied. Zij hebben moeite om de relatie met de business te maken en focussen vaak op details.

“Ik zeg altijd voor de grap dat ik nu de interne business consultant ben die alleen maar IT, security en kwaliteitsvraagstukken doet”, zegt hij. “Ik ben goed in het stellen van eisen en het zoeken naar de functionele behoeften. “En op technisch vlak heb ik een security collega die echt tot in de detail weet hoe oplossingen geïmplementeerd moeten worden.”

De groeiende relevantie van de CISO-rol

Binnen AET Europe heeft Jordan als CISO een directe lijn met het bestuur. “Ik denk dat CISO steeds meer een C-level verantwoordelijkheid wordt. Security is eigenlijk toch een kwaliteitsvraagstuk. Hoe kunnen we het product nog meer verbeteren? Als CISO kijk ik met de securitybril, en vraag me af: hoe kan ik dit kapotmaken, of hoe kunnen anderen dit kapot maken?”

De situatie van Jordan kan bijzonder genoemd worden. “Ik heb de luxe dat ik in een organisatie werk waar het security awareness niveau al vrij hoog is. Dat eigenlijk iedereen er al over nadenkt, omdat het een onderdeel is van de oplossingen die we maken. Dat maakt het voor mij makkelijker als CISO. Soms moet ik mensen een beetje afremmen, in plaats van dat ik ze de hele tijd achter de broek aan hoef te zitten. Ik hoor vaak: Kan je even meekijken, want volgens mij is dit interessant.”

Hij vindt het wel essentieel dat CISO’s de link maken met de business. “Als je maatregelen neemt die echt enorm duur zijn, en daardoor de business bijna niet de rendabele service kan verlenen, dan ga je echt je doel voorbij. Je wil het zo organiseren met elkaar dat je samen naar het doel toe werkt en dat je ook klanten goed bedient. Je wil dan niet dat allerlei security-maatregelen dat in de wegzitten.”

“Daarom is het goed dat de CISO dicht bij het management zit. Dan kan je die afwegingen maken. Gebruiksvriendelijkheid is daarbij cruciaal, helemaal in een softwarebedrijf.”

CISO’s zouden wakker moeten liggen van langetermijn problemen

Hoewel de meeste CISO’s zich focussen op acute problemen – werknemers die wel of niet ingegaan zijn op phishing e-mails of een security alarm dat afging – zouden ze juist vaker over toekomstige problemen na moeten denken.

“Post-quantum bijvoorbeeld, daar denken veel mensen nog niet over na. Vaak zie je dat dat in de waan van de dag steeds wat vooruitgeschoven wordt. En daar lig ik soms weleens wakker van. Dat komt er allemaal aan en daar moeten we wel wat mee. En daar moet je als organisatie goed op voorbereid zijn.”

Binnen AET Europe gaan ze pragmatisch om met die ontwikkelingen. Zo hebben ze een innovatie-lead die deze thema’s op de agenda zet, en die met werkgroepen nadenkt over wat nieuwe ontwikkelingen voor het bedrijf zullen betekenen.

“Bij AET Europe hebben we een aantal innovaties benoemd waarvan wij denken dat die door gaan zetten, zoals post-quantum, AI, Cloud  en attribuut-gebaseerde authenticatie. We hebben daarvoor expertgroepen gemaakt. Dat houdt in dat een aantal medewerkers van verschillende afdelingen zich kunnen opgeven voor zo’n groep en dat die samen gaan kijken naar één van deze onderwerpen, naast hun normale werk. Het is een soort van leren en verdiepen. Eens in de zoveel tijd presenteren zij hun bevindingen aan de rest van de organisatie.”

Hoeveel data wordt er door bedrijven opgeslagen?

Een onderwerp dat voor AET Europe-specifiek speelt op dit moment is het attribuut-gebaseerd authenticeren. “Wij denken dat de fysieke wereld en de digitale wereld veel meer één wereld worden. Dat zie je nu eigenlijk al veel meer. Sinds Covid zie je al een soort sprint naar locatie-onafhankelijk werken en ervaar je communicatie op afstand mogelijk is.”

Hij voegt daaraan toe: “Wij verwachten dat het in de toekomst makkelijker wordt om dat soort attributen, dus iets wat bij jou of bij je bedrijf hoort, digitaal met anderen te delen. Het delen van diploma’s van opleidingen, bijvoorbeeld, of je Covid-certificaat, je hypotheek en dat je kan aantonen dat jouw huis écht van jou is. Wij verwachten dat dat de toekomst gaat worden. Dat dat veel meer versmelt met elkaar.”

Jordan stelt dat de discussie over privacy, trust en data steeds meer zal toenemen, en dat bedrijven zich daaraan moeten aanpassen. “Mensen zijn zich steeds meer bewust van het feit dat ze gehackt kunnen of gaan worden. Dus zij gaan zich steeds meer afvragen welke data ze waar hebben staan. Is het nodig dat bedrijven specifieke data hebben? Bedrijven kunnen zich afvragen of ze niet teveel informatie verzamelen.”

Dat zal leiden tot een soort digitaal paspoort, of een soort ‘wallet’. Individuen kunnen daarin informatie opslaan, en beslissen met welke partijen ze bepaalde informatie willen delen. “Moet een bedrijf bijvoorbeeld een kopie van een paspoort bewaren? Of kunnen ze zeggen dat ze dat één keer checken, en daarna alleen een bevestiging opslaan? Dat vinkje zou in dit geval hetzelfde bewijs moeten geven dat jij een echt persoon bent.

Het belang van meer samenwerking tussen CISO’s

Een laatste belangrijke verbetering die Jordan noemt voor de security-markt, is het onderling delen van kennis. “We hebben veel gehad over techniek en de rol van de CISO, maar ik denk dat wat ook belangrijk is, en wat je nog onvoldoende ziet, is dat je als CISO onderling informatie met elkaar deelt. Er is vaak een soort geheimhouding van onze eigen set-up en problemen.”

“Als je wat meer open bent en je ervan uitgaat dat we toch allemaal wel een keer gehackt worden, dan zou je veel comfortabelere informatie met elkaar kunnen gaan delen. Ik denk dat heel Nederland daar veiliger van zou worden. Het belang van netwerken waarin dat soort gesprekken kunnen plaatsvinden zal toenemen; dit soort gesprekken zijn gewoon heel noodzakelijk.” Jordan werkt daarvoor als vrijwilliger met de organisatie Connect2Trust, een non-profit organisatie die de overheid en het bedrijfsleven bij elkaar brengt om cyberdreigingen te bespreken.

CISO paspoort

Jordan van den Akker

AET Europe is een softwarebedrijf in de security sector (digital trust), gespecialiseerd in digitale identiteiten en trust frameworks, zoals Public Key Infrastructure (PKI). Hun innovatieve platform ConsentID fungeert als een platform voor vertrouwde rechtsgeldige handtekeningen en voor het beheer van digitale identiteiten, in lijn met de Europese eIDAS-verordening. Hun oplossingen voor digitaal vertrouwen binnen de sectoren: defensie, gezondheidszorg, industrie, financiële en overheden. AET Europe is gevestigd in Arnhem en heeft kantoren in Servië en Portugal.

• Het totale aantal medewerkers binnen AET Europe is 60
• Het beveiligingsteam bestaat uit 3 FTEs.
• Jordan is 2 jaar werkzaam als CISO.
• Interessant feitje: “Wist je dat als je in Servië als burger wil communiceren met de overheid, dat je dan het systeem gebouwd door AET Europe gebruikt? Dit kan gaan van het aanvragen van een rijbewijs tot aan belasting aangifte. Allemaal vanuit een trusted consentid platform: eUprava.”