Martijn Eikelenboom: “Het kan bijna niet anders dan dat je mensen maar op hun blauwe ogen moet geloven”
“De industrie leunt helaas veel op het FUD-principe; fear, uncertainty and doubt. Het idee is dat als je mensen maar bang maakt, ze wel in actiemodus komen. Ik hanteer juist de stijl dat security vooral prioriteiten stellen is. We doen dingen wel, maar we doen ook zeker dingen niet als ze niet bijdragen aan onze risico’s.” stelt Martijn Eikelenboom, CISO bij Louwman Group.
Martijn is een pragmatische CISO te noemen. Vanuit zijn achtergrond als business security consultant bij Fox-IT weet hij “wat er in de wereld kan gebeuren,” en wat die risico’s betekenen voor zijn werkgever. We spraken met hem over hoe hij prioriteiten stelt, het ontbreken van echte innovatie in de sector en de grootste uitdagingen voor de security-industrie.
CISO says no
“In mijn consultancy-tijd zag ik vaak het ‘CISO says no’ principe. Als je langs een CISO gaat dan is het antwoord altijd ‘nee’.” Martijn doet er dan ook zijn best op om zelf niet zo te zijn. Hij wil juist laten zien hoe security kan bijdragen aan de bedrijfsvoering, in plaats van deze af te remmen.”
De grootste uitdaging van een CISO is volgens hem dan ook “het zoeken naar niet te veel, en niet te weinig doen. Je wilt echt de maatregelen nemen die bijdragen aan het verminderen van de risico’s de je organisatie echt loopt en niet theoretische risico’s. Daarbij is het altijd belangrijk om de business impact mee te nemen in de maatregelen die je neemt. Het is continu zoeken naar het optimum.
Als CISO heb je natuurlijk een makkelijke rol waarbij je kan zeggen: ik leg de organisatie een beleid op dat ze aan bepaalde standaarden en eisen moeten voldoen. Maar ik ondervind daar natuurlijk niet de budgettaire consequenties van. Ik vind dat een CISO die afweging ook mee moet nemen in zijn besluiten.”
Het zoeken naar de balans tussen kosten, gebruiksgemak en veiligheid
“Om maar een voorbeeld te geven: ik sprak met een externe stakeholder over de implementatie van een awareness pakket. De prijs daarvan is bijvoorbeeld €50.000, maar als je dat doorrekent naar de implementatiekosten en verlies aan arbeidsproductiviteit dan is het veel meer.
We hebben 4000 collega’s, en stel dat zij twee uur per jaar in cybersecurity getraind moeten worden – even los van het feit dat ik mijn twijfels heb over de effectiviteit van zo’n training. Die training zou neerkomen op 8000 manuren. Stel dat zij gemiddeld €50 per uur kosten, dan hebben we het over een verlies van arbeidsproductiviteit van 4 ton.”
Hij vindt het belangrijk om te zoeken naar de balans tussen kosten, gebruiksvriendelijkheid en veiligheid – security hoeft niet altijd een belemmering te zijn. Een voorbeeld daarvan is de implementatie van een nieuw wachtwoordbeleid.
“We hebben de best-practices van Microsoft en NIST uitgerold. Je hoeft dus niet meer periodiek je wachtwoord te veranderen, maar je moet één keer een heel sterk wachtwoord kiezen. Dat hebben we uitgerold in combinatie met biometrisch inloggen en een pincode gecombineerd met security monitoring op mogelijke account compromise. Het is gebruiksvriendelijker geworden, want mensen hoeven niet de hele dag dat wachtwoord in te typen.”
Innovaties ontbreken bij de fundamenten
Martijn is niet de grootste fan van innovaties in security. “Als ik kijk naar nieuwe cybersecurity producten dan is het ene AI-product nog beter dan het andere. Dat terwijl als ik een stapje terug zet dan zijn de kwetsbaarheden qua type, soort en categorie nog steeds hetzelfde als 10 tot 15 jaar geleden. Natuurlijk zijn aanvallers geëvolueerd en is het tempo versneld, maar ze doen nog steeds ongeveer hetzelfde.”
Dat terwijl innovaties in de fundamenten van security, zoals het bijhouden van patches, het doen van updates, netwerksegmentatie en sterke wachtwoorden ontbreken. “In mijn ogen leg ik daar liever mijn focus op, want dat kost gewoon veel tijd en energie en draagt wezenlijk bij aan de security fundamenten, maar het is wat minder sexy en hip.”
Wat ontbreekt er in de industrie
Martijn zoekt de grootste uitdagingen niet in AI, de cloud of quantum computers, maar in communicatie. Zijn executive board vraagt hem vaak hoe ze het doen op het gebied van security. Maar hoe beantwoord je die vraag? “Je kan uitleggen wat de risico’s zijn, wat er in de praktijk gebeurt en hoe je de weerbaarheid van de organisatie inschat, maar we investeren ook geld. Betekent dit dat we het volgend jaar beter doen? En als je dat vindt, hoe toon je dat aan?”
Er ligt dus een grote uitdaging bij het kiezen van de juiste security-oplossingen, en het beoordelen hoe die écht bijdragen aan het verhogen van de veiligheid van het bedrijf.
Een bijkomende uitdaging is dat hij steeds vaker een verschil ziet in hoe naar security wordt gekeken. Je hebt de meer technische en praktische insteek, vaak security professionals met (technische) kennis die weten hoe hackers te werk gaan en wat er in de praktijk mis gaat.
Aan de andere kant zijn er meer compliance-gerichte aanpakken die kijken naar hoe goed je in control bent van je security maatregelen. Theoretisch zouden deze elkaar erg kunnen versterken, maar praktisch spreken mensen uit beide werelden elkaars taal vaak niet.
“Helaas heb ik te vaak gezien dat de compliance aanpak niet resulteert in een adequate weerbaarheid van een organisatie. Het hebben van enig niveau van technische kennis vindt Martijn daarom van groot belang om organisaties veiliger te maken, maar dat is uitdagend voor bedrijven die niet voldoende omvang hebben.”
“Hoe toon je nu aan dat jij of een leverancier secure is? Dat vind ik een heel moeilijk onderwerp om mee om te gaan. Het kan bijna niet anders dan dat je mensen maar op hun blauwe ogen moet geloven. Uiteraard kan je pentesten doen, volwassenheidsmetingen doen of compliance certificeringen halen, maar deze metingen zijn vaak arbitrair of een momentopname of tonen de effectiviteit niet aan. Ik denk vaak: hoe laat je zien dat wat je doet effectief is? Dat geldt zowel voor mijn eigen rol, maar ook als leverancier-zijnde.”
Ten slotte
Toch ziet Martijn een hoopvolle toekomst voor de security-industrie. Hij gelooft dat met de juiste mindset en samenwerking er echt vooruitgang geboekt kan worden. Het gaat niet alleen om technologische oplossingen, maar ook om effectieve implementatie binnen organisaties. Innovatie hoeft niet altijd groots te zijn; vaak zit de winst in kleine, pragmatische verbeteringen die gezamenlijk een groot verschil maken.
Door continu te streven naar een balans tussen kosten, gebruiksvriendelijkheid en veiligheid, kunnen we samen bouwen aan een veerkrachtigere en veiligere digitale toekomst. Elke stap vooruit, hoe klein ook, draagt bij aan het grotere geheel, en met een proactieve en positieve benadering kunnen we de uitdagingen aan en zorgen voor een veiligere werkomgeving voor iedereen.
CISO paspoort
Martijn Eikelenboom
Louwman Group is een familiebedrijf, opgericht in 1923, en is een van Nederlands grootste mobiliteitsaanbieders. Het bedrijf is actief in de automotive sector met automerken zoals Toyota, Lexus, Morgan en Suzuki. Daarnaast is het bedrijf actief in zorghulpmiddelen, financiële dienstverlening, fietsen en innovatieve mobiliteitsdiensten. Louwman Group is ook bekend vanwege het gelijknamige museum in Den Haag, dat een van de oudste privécollecties van historische auto’s ter wereld huisvest.
- Het totale aantal medewerkers binnen Louwman Group is 4000.
- Het beveiligingsteam bestaat uit 3 FTEs.
- Martijn is 2,5 jaar werkzaam als CISO.