Wat doet een information security officer precies?
Als ISO ben ik verantwoordelijk voor de informatiebeveiliging binnen de organisatie. Informatiebeveiliging kent 3 deelgebieden: Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). Dat kan gaan over juridische, organisatorische of juist technische maatregelen. De kern van de functie is vooral adviseren, meedenken en controleren of het opleveren van bijvoorbeeld een nieuwe site, systeem of applicatie niet wringt met de informatiebeveiliging. Het belangrijkste doel is om uiteindelijk informatie op de juiste manier te beveiligen. Met informatie bedoel ik dan bijvoorbeeld: klantgegevens, koersgevoelige informatie of technische details over bepaalde systemen.
Wat vind je het leukste aan je functie?
Toch wel die adviserende rol. Kijken naar wie de stakeholders zijn, wat de belangen zijn en daar dan een totaaladvies over geven. Ik vind het leuk om met mensen te werken en mensen te verbinden die soms lijnrecht tegenover elkaar staan in een project. Dan kan ik mijn soft skills en hard skills combineren. Bijvoorbeeld als het een lastig thema is en je dan samen uiteindelijk tot een goede oplossing kunt komen. Of als bij afdeling X iemand bezig is om een heel nieuw proces op te zetten, terwijl dat bij afdeling Y al lang bedacht is. Ik koppel die mensen dan aan elkaar zodat het wiel niet opnieuw uitgevonden wordt. Maar het mooiste aan mijn werk vind ik toch wel dat je met een team van professionals één doel hebt, en dat is de organisatie veilig maken.
Waar ben je trots op?
Dat we bewustwording creëren bij medewerkers, dat sommige handelingen écht onveilig zijn. Bijvoorbeeld het delen van werkdocumenten in een WhatsAppgroep. Want waarom doen ze dat? Missen ze iets in de functionaliteit van het systeem of weten ze gewoon niet dat het onveilig is? Met techniek kun je heel veel, maar je moet ook de menselijke vertaling maken. Dat we dat bereiken, daar ben ik wel trots op.
Wat was je beeld van verzekeraars, voordat je bij een verzekeraar werkte?
Ik heb integrale veiligheidskunde gestudeerd en een minor cybersecurity gedaan. Vanuit een traineeship kwam ik bij deze verzekeraar terecht, waar ik vier jaar als cybersecurity analist bij het Cyber Defense Center heb gewerkt. Ik was verbaasd dat een verzekeraar zo ver was met cybersecurity en dat het Cyber Defense Center op Eredivisieniveau speelt binnen Nederland. Als leek denk je al snel: wat heeft een verzekeraar nou te verliezen? Maar het is veel complexer dan je in eerste instantie zou denken.
Wat heeft je verrast aan werken bij een verzekeraar?
Toch dat onze organisatie zo hoog in het rijtje staat. In de bankenwereld zijn verschillende spelers al heel ver, maar destijds verraste het mij dat wij daar ook tussen staan. Toen kwam ik er ook pas achter hoe complex en interessant de verzekeringswereld is en dat er ook veel raakvlakken met het bankwezen zijn.
Wat zijn je ambities, kun je nog doorgroeien?
Ik zit net in deze nieuwe functie, dus de komende tijd wil ik groeien in deze rol. Ik heb nu nog maar een relatief beperkt beeld, dat beeld wil ik uitbreiden. Daar zet ik de komende tijd op in. Het is makkelijk om je binnen de organisatie horizontaal te ontwikkelen. Je kunt stage lopen en er wordt met je meegedacht in je ambities. Zelfontwikkeling vinden ze ook belangrijk.
- Dagstart cluster pensioenen
- Mails beantwoorden en afspraken inplannen
- Wekelijkse security call
- Security overleg cluster pensioenen
- Lunch
- Kennismaken
- Project Shadow IT
- Overleg uitwerken
- Redactie overleg IT security
- Voorbereiden crisisoefening
- Mails beantwoorden en afspraken inplannen
- Decentraal security overleg
- Teambijeenkomst fysiek
- Lunch
- Project ongestructureerde data
- Bijpraten met collega
- Zaken uitwerken
- ISO overleg
- Mails beantwoorden en afspraken inplannen
- Dagstart cluster pensioenen
- Information Risk & Security Overleg
- Bijpraten collega
- Eurapco Webinar
- Lunch
- Bijpraten/demo PCSI project - Collaborative Fleet
- Presentatie control framework
- Zaken uitwerken
- Mails beantwoorden en afspraken inplannen
- Locatiebezoek bijpraten met collega’s
- Project Dataverlies/ dataretentie
- Bijpraten collega
- Security awareness overleg
- Lunch
- Stand van zaken ophalen project
- Mails beantwoorden en afspraken inplannen
- Business risico analyse sessie n.a.v. pentest
- Digital Operations Resilience Act (DORA) sessie
- Borrel
- Vrije dag