Marianne Schinkel: “Security ambassadeurs? Daar geloof ik niet in”

“Ik ben een beetje wars van het gebruik van ambassadeurs,” zegt Marianne, interim CISO bij Versuni (voorheen Philips Domestic Appliances, eigenaresse van Smartbit Security. “Je zet mensen eigenlijk in een rol waar ze niet altijd op zitten te wachten.” In plaats daarvan gelooft ze in het gebruiken van bestaande structuren. “Niet iets nieuws bedenken, maar gewoon de functionele structuur die er is.”

Met een achtergrond als developer en jarenlange ervaring als IT manager bij grote retailers als Jumbo en C1000, weet Marianne als geen ander hoe je security effectief kunt implementeren. Haar aanpak? Het betrekken van leidinggevenden, aansluiten bij de kernwaarden van het bedrijf en communicatie op maat.

Security awareness op maat

Hoewel er stemmen opgaan om vooral op technische innovaties te focussen, gelooft Marianne in een gecombineerde aanpak met inzet op awareness. “Je hebt echt iedereen nodig. Iedereen is van security.” Ze wijst echter wel bewust de aanpak met ambassadeurs af.

Haar awareness-aanpak is gebaseerd op een eigen filosofie die ze op Nyenrode ontwikkelde: “Je moet in de context van de medewerker staan.” Dit betekent dat communicatie wordt aangepast aan verschillende doelgroepen binnen de organisatie. “Een marketeer vraagt om een andere aanpak dan iemand van financiën. Daar moet je rekening mee houden in je awareness campagne,” legt ze uit. “Het heeft geen zin om over veiligheid met betrekking tot je laptop te communiceren op de werkvloer in een distributiecentrum.” Een op maat gemaakte aanpak vergt meer werk dan de standaard ‘check box’ security trainingen die vaak wordt gehanteerd, maar is volgens haar veel effectiever.

Deze filosofie vertaalt zich in een praktische aanpak waarbij leiderschap een cruciale rol speelt. “Als de CEO in zijn nieuwjaarsspeech het belang van security benoemt, dan resoneert dat,” legt ze uit. Door bestaande overlegstructuren te gebruiken en aan te sluiten bij de dagelijkse praktijk, creëert ze draagvlak zonder extra lagen van complexiteit toe te voegen.

De kracht van kleine stappen

“Met veel kleine stapjes maak je ook hele grote stappen,” benadrukt Marianne. Deze ‘bit by bit’ benadering past ze toe op alle aspecten van security. Denk aan Identity & Access Management implementaties, die je stap voor stap moet doen en waarvoor een lange adem nodig is. “De gebruiker moet blij zijn, dán maak je echt impact,” vertelt ze. Door te focussen op oplossingen die het werk makkelijker maken, creëert ze natuurlijk draagvlak voor security-verbeteringen. Denk aan Windows Hello en SSO-oplossingen.

“In Europa willen we altijd direct resultaat zien,” observeert Marianne. “Maar in security moet je wel lange termijn denken”. “We kunnen niet zomaar ons containerschip naar links sturen.”  Ze wijst naar Azië, waar bedrijven werken met plannen  die wel dertig jaar vooruitkijken. Dat laat zien dat het ook anders kan. 

Dit verschil in aanpak beïnvloedt hoe organisaties omgaan met beveiliging.  “Je innovatie moet je heel slim doen en je kunt maar één keer je schaarse pot met geld uitgeven,” benadrukt ze. Volgens haar draait alles om de juiste balans: snelle resultaten combineren met duurzame verbeteringen.

Reputatie op het spel

De noodzaak van gedegen security werd onlangs nog onderstreept toen een concurrent van de Airfryer negatief in het nieuws kwam.Uit onderzoek bleek dat  er meer data verzameld werd dan benodigd. Ze benadrukt dat dit niet om een Versuni-product ging: “Bij Versuni zijn we erg scherp op Privacy en het niveau van product security ligt erg hoog.”

Met producten in miljoenen huishoudens wereldwijd is de impact van security-incidenten potentieel enorm. “Je wil natuurlijk niet als Versuni in de krant komen te staan dat je Home ID-app niet veilig is,” zegt ze. Het risico dat een botnet-aanval via connected devices met computercapaciteit van miljoenen huishoudens wordt uitgevoerd, maakt de noodzaak van groei van security naar een hoger volwassenheidsniveau des te urgenter.

Innovatie voor de lange termijn

Voor echte innovatie is een lange termijn visie cruciaal. In de security-wereld wordt de volwassenheid van organisaties vaak uitgedrukt in ‘maturity levels’, waarbij level 1 het basisniveau is en level 5 het hoogst haalbare. “Het is heel moeilijk om boven een level 3 maturity te komen en te blijven in verband met alle veranderingen die we doen,” legt Marianne uit. Level 3 staat voor een ‘defined’ niveau, waarbij processen zijn gestandaardiseerd en gedocumenteerd. De constante technologische veranderingen maken het lastig om naar een hoger niveau te groeien, waarbij processen niet alleen gedefinieerd zijn, maar ook meetbaar (level 4) of zelfs continu verbeterend (level 5).

“Als je systemen efficiënt en overzichtelijk houdt, is het later makkelijker om aanpassingen te maken,” legt Marianne uit. Ze gebruikt haar ervaring als developer om dit te illustreren: vijf regels goed geschreven code zijn beter dan twintig regels die hetzelfde doen. Het gaat volgens haar om het maken van weloverwogen keuzes: “Je kunt je geld maar één keer uitgeven, dus je moet op de lange termijn denken.” Deze pragmatische benadering – eerst een sterke basis leggen en daarop voortbouwen – is volgens haar de sleutel tot duurzame security innovatie.

CISO paspoort

Marianne Schinkel is dit jaar voor zichzelf begonnen met het bedrijf Smartbit Security en werkt als interim CISO en programmamanager op het vlak van security. Momenteel is ze als interim Global CISO werkzaam bij Versuni (voorheen Philips Domestic Appliances), bekend van onder andere de Airfryer.

  • Versuni heeft ongeveer 6400 medewerkers, is in meer dan 55 landen aanwezig en verkoopt in meer dan 100 landen.
  • Marianne heeft 7 direct reports security specialisten. Dagelijks werken meer dan 30 security specialisten voor Versuni.
  • Ze was eerder CISO bij Jumbo Supermarkten en ANWB Groep.

Vergelijkbare berichten