“Reken jezelf niet rijk als je technische controls hebt opgezet,” aldus Sanne Rog
“Het idee van veel regelgeving is: je moet wendbaar en weerbaar zijn en exit strategieën hebben. Maar als je daar elke keer invulling aan moet geven, dan krijg je geen tijd om het echt uit te voeren.” aldus Sanne Rog, CISO bij BNG Bank. Het is een vooraanstaande, maar onbekende, Nederlandse financiële instelling voor de publieke sector.
De financiële sector staat bekend om zijn strenge wet- en regelgeving op het gebied van security. Dat is niet altijd het meest stimulerend voor innovatie, maar het maakt wel dat de CISO-rol nooit saai is. Daarnaast kreeg ze bij BNG Bank, na bij onder andere Fox-IT en Computest security-ervaring opgedaan te hebben, de kans om het team op te bouwen.
Ze heeft een doelgerichte aanpak, en heldere blik op hoe security ingericht moet worden bij een bedrijf. We spraken met Sanne over hoe het testen en opvolging van het beveiligingsbeleid eigenlijk nog wel belangrijker is dan de technische set-up. Maar ook over de rol van wetgeving voor awareness (bewustwording) en hoe het ook innovatie kan afremmen. Sanne vertelt over wat CISO’s kunnen en moeten doen om innovatie tóch te stimuleren.
Het belang van cyber-stress-tests
Wat de positieve kant is aan wetgeving? “Het bewust worden dat oefenen wel écht key is. Iedereen roept dat altijd, maar nu word het wat meer afgedwongen.” aldus Sanne Rog.
Eén van haar grootste uitdagingen? Niet AI of quantum, maar ‘vechten’ tegen het idee “dat als je technische maatregelen hebt genomen, dat je dan goed zit. Terwijl als er iets fout gaat, het vaak een samenspel is van mens en proces. Je moet jezelf dus niet rijk rekenen als je technische control hebt opgezet.”
Sanne lost dit probleem op door veel te oefenen. Ze gaat er vanuit dat het bij elk bedrijf wel eens fout kan gaan, en dat security-teams ook die instelling moeten hebben. Daarom doet ze veel simulaties, zoals een ‘assume breach’. “Alle technische oplossingen hebben gefaald, hoe gaan we dit nu oppakken?”
‘Ja maar het ging verder toch best wel goed?’ Nee, wat heb je te verbeteren en hoe ga je dat oppakken?
Sanne gaat ervan uit dat het een keer gaat gebeuren, en richt zich daarom veel op detectie en response. “De website ligt er uit: wat gaat iedereen dan doen in de keten? Hoe soepel verloopt de communicatie naar stakeholders?”
Wel benadrukt ze dat het belangrijk is om na het doorlopen van bepaalde scenario’s ook de resultaten te bespreken en conclusies te trekken. “Wat je niet moet verliezen is, je hebt het geoefend en bent tot de conclusie gekomen ‘we hebben hier en daar dingen te verbeteren’. Het is oppassen dat die ideeën voor verbetering dan niet in een la verdwijnt. Zo van: ‘ja maar het ging verder toch best wel goed?’ Nee, wat heb je te verbeteren en hoe ga je dat oppakken?”
Wat CISO’s kunnen doen om innovatie te stimuleren
Hoewel Sanne veel kijkt naar innovatie in de aanpak van incidenten en de rol die mensen daarin spelen, besteed ze ook bewust aandacht aan technische innovatie. Je zou bijna kunnen zeggen dat ze het wel ziet als haar verantwoordelijkheid als CISO om in gesprek te blijven met kleine bedrijven.
“Soms hoef je geen producten van ze af te nemen, maar je kan je wel laten inspireren waardoor je andere vragen gaat stellen aan mogelijke leveranciers. Dat gaat bij hen niet de boel draaiende houden, want ze moeten natuurlijk wel verkopen, maar door hen binnen grotere organisaties een podium te geven om wat te vertellen denk ik wel dat je daardoor ruimte voor ze creëert.”
Ze ziet vooral veel ruimte om te innoveren op systemen die niet direct in het centrum van security zitten. “Van monitoring snap ik dat je gaat voor een betrouwbare partij – of misschien is betrouwbaar niet de juiste term. Het gaat dan om de meest constante detectie waarde.”
Er is ruimte voor kleine bedrijven om echt aan de slag te gaan met innovatie zoals het bedoeld is, out-of-the-box. Dus niet XDR of AI.
Waar dan wel in geïnnoveerd kan worden? “Ik denk bijvoorbeeld aan het attack surface management. Daar wil je eigenlijk juist die innovatieve partijen hebben die op een slimme manier zien wat er van buiten naar binnen komt, of welke dreigingen en exposure je aan de buitenkant hebt. Dat hoeft niet per se ingericht te zijn zoals monitoring met MDR en XDR. Dat is een andere manier van kijken naar de buitenkant en hoe je wordt aangevallen. In deze situaties wil ik een innovatieve partij.”
“Er is ruimte voor kleine bedrijven om iets te doen met innovatie zoals innovatie is bedoeld, dus niet het strooien met termen als AI en XDR maar innovatie concepten die helpen in de cyberweerbaarheid van bedrijven. XDR en AI zijn vooral turbo-taal termen.”
Tot slot
Samengevat, benadrukt Sanne Rog het belang van een goede balans tussen technische maatregelen en menselijke factoren in de beveiliging. Het regelmatig testen van beveiligingsprocessen helpt organisaties om beter voorbereid te zijn op incidenten en om voortdurend verbeteringen door te voeren. Het is cruciaal dat leerpunten uit deze tests niet worden genegeerd, maar worden gebruikt om de veerkracht van de organisatie te versterken.
Daarnaast ziet Sanne kansen in samenwerkingen met innovatieve, kleinere bedrijven. Deze partners kunnen nieuwe technologieën en inzichten bieden die helpen om beveiligingssystemen te verbeteren. Het is essentieel om hen een platform te bieden en hun innovaties te integreren om zo een veerkrachtiger en toekomstbestendiger beveiligingsbeleid te ontwikkelen.
CISO paspoort
Sanne Rog
BNG Bank is een Nederlandse bank die zich richt op het financieren van (semi-)publieke instellingen, zoals gemeenten, provincies, onderwijsinstellingen en zorgorganisaties. Op basis van activa is het de vierna grootste bank van Nederland. De Nederlandse staat bezit 50% van het bedrijf, terwijl de rest in handen is van gemeenten en provincies.
- Het totale aantal medewerkers van BNG Bank is bijna 500.
- Het beveiligingsteam bestaat uit 12 FTEs.
- Sanne is bijna een jaar werkzaam als CISO.