Van hackathon naar cybersecurity manager: hoe een toevallige ontmoeting tot een succesvolle carrière leidde

“Hoe meer technologie we gebruiken, hoe groter de cybersecurity-risico’s worden,” stelt Rabab Laarabi, cybersecurity manager bij EY. Deze gedachte vormde zeven jaar geleden haar motivatie om te kiezen voor een carrière in cybersecurity, een keuze die vandaag relevanter blijkt dan ooit.

In dit interview deelt Rabab haar weg van master student Business Information Management naar haar huidige rol als cybersecurity manager. Ze bespreekt de actuele ontwikkelingen in cybersecurity, zoals de recente implementatie van DORA (Digital Operational Resilience Act), de toenemende dreigingen vanuit AI-toepassingen, en toekomstige uitdagingen zoals quantum computing binnen de financiële sector.

Van hackathon naar cybersecurity expert

Tijdens haar master Business Information Management raakte Rabab gefascineerd door cybersecurity. Haar deelname aan een EY hackathon, bedoeld om technische vaardigheden te versterken, leidde onverwachts tot een kans op een carrière in consultancy. “Het was niet gepland, maar bleek uiteindelijk een perfecte match,” zegt ze over deze wending.

Hoewel haar aanvankelijke interesse lag in de technische aspecten van cybersecurity, zoals ethical hacking, kwam ze terecht in een cybersecurity-team gericht op de financiële sector, waar juist haar brugfunctie tussen business en IT belangrijker bleek dan technische vaardigheden. Dit sloot uitstekend aan bij haar achtergrond en interesses.

Strategy, Risk & Compliance voor de financiële sector

In haar huidige rol adviseert Rabab financiële instellingen zoals banken, verzekeraars en pensioenfondsen over cybersecurity-strategie, beleidsontwikkeling en compliance. “Mijn werk draait vooral om het begeleiden en uitvoeren van security-implementaties, verbeteren van cybersecurity processen en het ontwikkelen van effectieve beleidskaders. Daarnaast voer ik ook regelmatig gap assessments uit op basis van wetgevingen en internationale standaarden zoals DORA, ISO 27001 en het NIST Cybersecurity Framework,” legt ze uit.

“Een cruciaal aspect hierbij is third-party risk management: ‘Uitbesteding neemt steeds meer toe, waardoor organisaties afhankelijker worden van leveranciers, terwijl ze zelf eindverantwoordelijk blijven voor hun diensten en de bijbehorende risico’s. Het is essentieel om leveranciers goed te monitoren en duidelijke afspraken te maken over beveiligingsmaatregelen. Zeker met nieuwe regelgevingen zoals DORA wordt het steeds belangrijker om inzicht te hebben in ketenrisico’s en deze actief te beheersen.”

Van consultant naar manager

De stap van consultant naar manager bracht voor Rabab nieuwe uitdagingen én inzichten met zich mee. “Als consultant kon ik me volledig op de inhoud richten en wilde ik alle details volledig begrijpen voordat ik advies gaf,” vertelt ze. “In mijn rol als manager moest ik leren een nieuwe balans te vinden: enerzijds blijf je inhoudelijk betrokken, maar anderzijds ben je nu ook verantwoordelijk voor het aansturen van projecten en teams.”

Deze rolverandering vereiste een bewuste aanpassing in haar werkstijl: “Ik moest leren delegeren, vertrouwen op mijn team en vooral strategisch sturen op hoofdlijnen zonder de verbinding met de inhoud kwijt te raken.” Inmiddels heeft ze deze balans gevonden en voelt ze zich comfortabel in haar rol als manager.

De evolutie van cybersecurity wetgeving

De afgelopen twee jaar heeft Rabab als manager bij EY intensief gewerkt aan de implementatie van DORA bij financiële instellingen. “DORA verplicht financiële organisaties om hun digitale operationele weerbaarheid structureel te versterken. “Dit betekent dat instellingen hun ICT-risico’s effectief moeten identificeren, beheersen en monitoren om ernstige operationele verstoringen en cyberincidenten zoveel mogelijk te voorkomen,” legt ze uit.

Volgens Rabab moeten organisaties voorkomen telkens nieuwe kaders te ontwikkelen voor afzonderlijke regelgeving of technologieën zoals NIS 2, AI of quantum computing: “Een geïntegreerd en flexibel cybersecurity-framework biedt organisaties veel meer voordeel, omdat het makkelijker kan worden aangepast aan nieuwe regelgeving en technologische ontwikkelingen.”

De afbeelding bij dit artikel is afkomstig van Leaders in Finance, een podcast waarin Rabab uitgebreid heeft toegelicht hoe DORA in de praktijk werkt.