"Audittrail is laagdrempelig, integer, helder
en transparant. Het duurzame resultaat bij
de klanten staat centraal. Ik kwam van een
veel grotere organisatie, een multinational. Het
contrast kan bijna niet groter zijn: veel meer
persoonlijke contact, snelle besluitvorming,
meer eigen verantwoordelijkheid."

Herman is consultant Informatie beveiliging bij Audittrail

Wat trok je oorspronkelijk aan in het vakgebied van informatiebeveiliging, en hoe is je interesse in de loop der jaren geëvolueerd?

Mijn eerste contact met informatiebeveiliging kwam vanuit een onderzoek naar de kwaliteit (vooral volledigheid en integriteit) van informatie dat ik als adviseur informatie management bij het ministerie VROM uitvoerde. Een EDP-auditor hielp mij daarbij. Daar zag ik dat hij als beoordelaar van informatiebeveiliging ook naar integriteit van data kijkt en 'en passant' ook continuïteit en vertrouwelijkheid meeneemt. Ik dacht meteen, dat is interessant!

Kun je een specifiek moment of project beschrijven waarbij je het meeste hebt geleerd over informatiebeveiliging, en wat die ervaring zo leerzaam maakte?

Bij een ander (volgend) project was de te beantwoorden vraag hoe houd je de kwaliteit van informatie(voorziening) op orde. De oplossing lag in de geest van die tijd vooral in het toepassen van het ITIL-model. Bij het doorvoeren van dat model mocht ik mij buigen over het onderdeel securitymanagement. Daar ontdekte ik dat securitymanagement een wereld op zich is. Ik heb toen een cursus bij Jan van Praat gevolgd (inleiding EDP auditing). Nog onwetend dat hij een autoriteit is op dit vakgebied in Nederland. Dat is inmiddels alweer 32 jaar geleden. Wat was daar leerzaam aan? In alles wat je doet in de ICT en informatieverwerking speelt het aspect informatiebeveiliging een rol.

Ik kwam van een veel grotere organisatie, een multinational. Het contrast kan bijna niet groter zijn: veel meer persoonlijke contact, snelle besluitvorming, meer eigen verantwoordelijkheid.

Waarom heb je ervoor gekozen om bij onze organisatie te werken, en wat onderscheidt ons volgens jou van andere consultatiebureaus op het gebied van informatiebeveiliging?

Audittrail is laagdrempelig, integer, helder en transparant. Het duurzame resultaat bij de klanten staat centraal. Ik kwam van een veel grotere organisatie, een multinational. Het contrast kan bijna niet groter zijn: veel meer persoonlijke contact, snelle besluitvorming, meer eigen verantwoordelijkheid. Wat mij het meeste bevalt: ‘end-to-end' verantwoordelijkheid bij projecten of als security officer as a service. Dat wil zeggen niet alleen een deel of een aspect regelen, maar alles van idee tot beleid, van maatregelen selectie tot evaluatie van de werking en (als je uiteindelijk zover komt) tot het coördineren van externe toetsing in een certificeringstraject.

Wat zijn volgens jou de grootste uitdagingen en kansen in de informatiebeveiliging op dit moment, en hoe blijf je op de hoogte van de laatste ontwikkelingen en bedreigingen?

Heb je even...? De grootste uitdaging van vandaag is misschien de nummer 2 of 3 van morgen. Als je dit vraagt hebben we net Crowdstrike calamiteit achter de rug. Dus patchmanagement stijgt met stip. Of is het in dit geval releasemanagement? Met de informatie de we nu hebben waarschijnlijk wel: tijdens het releasen is het hier goed fout gegaan. Wij hadden deze keer geen klanten die geraakt werden. Maar nog geen week later volgde het bericht van de BSOD vanwege een Microsoft update. De grootste uitdaging is de hoeveelheid potentiële dreigingen, de hoeveelheid kwetsbaarheden én de doorlopende en toenemende snelheid waarbij in ontwikkeling zijn. AI gaat nieuwe risico's in informatiebeveiliging en privacy creëren. Tegelijkertijd verwacht ik ook dat AI gaat helpen bij de verdediging tegen nieuwe dreigingen.

Om goed op de hoogte te blijven heb ik sinds begin dit jaar besloten om niet meer te slapen, zo kan ik het nog redelijk bijbenen 😉.

"Wij bij Audittrail zijn ook van het (tijdelijk) doen, voordoen noemen we dat. Daarna gaan we het 'samendoen' om te eindigen in 'zelf doen'. "

Wat is het verschil tussen advies geven en (in de praktijk) implementeren van maatregelen?

Ik blijf als consultant niet alleen langs de kant roepen hoe het zou moeten en hoe iemand anders dat dan moet doen. Wij bij Audittrail zijn ook van het (tijdelijk) doen, voordoen noemen we dat. Daarna gaan we het 'samendoen' om te eindigen in 'zelf doen'.

Welke persoonlijke en professionele vaardigheden vind je essentieel voor een succesvolle carrière in informatiebeveiliging, en hoe heb je deze vaardigheden ontwikkeld?

Inlevingsvermogen en begrip van de business van de organisatie staan voor mij op nummer één. Dat is dus nog helemaal geen (technische) informatiebeveiliging, maar veel meer het begrip over wat een organisatie doet, hoe ze dat doen en welke rol informatie en ICT daarbij speelt.

Als je daar snel inzicht in hebt kan je ook snel met belangrijke spelers binnen de organisatie schakelen over welke informatiebeveiligingsrisico's (vanuit de business geredeneerd) belangrijk zijn én welk type maatregelen door de business geaccepteerd worden en uitgevoerd kunnen worden.

Basiskennis over ISO 27001/27002, NIST, risicomanagement e.d. is natuurlijk óók essentieel. Een klant verwacht bijvoorbeeld wel dat jij kan uitleggen hoe je cryptografie at rest of in transit moet doorvoeren.

Hoe je deze vaardigheden ontwikkeld? Leren en doen. 'Al doende leert men' is bij informatiebeveiliging voor mij niet goed genoeg. Je moet regelmatig in de boeken duiken en Webinars, seminars en cursussen volgen om je kennis op peil te houden.

Tegen potentiële kandidaten zou ik zeggen: Informatie beveiligen is niet zoiets als vloggen. Je moet je goed in de materie verdiepen voordat je aan klanten werkende oplossingen kan aandragen.

Solliciteer en word ook een Audittopper!

Vacature overzicht