Van sales naar information security en een snelkookpan

Security is uiteindelijk een kwestie van vertrouwen, volgens Dennis Rijnbeek, Security Architect en Information Security Consultant bij KPN ICT Consulting. Maar dat vertrouwen moet wel verdiend worden. “Informatiebeveiliging is geen spelletje”, zegt hij. “Organisaties zoals de Belastingdienst of het UWV hebben enorme databestanden met persoonlijke gegevens en als het fout gaat kunnen de consequenties in het werkelijke leven heel ernstig zijn. Dat vat ik niet licht op.” Daarom hanteert hij in zijn opdrachten hoge standaarden en neemt niet direct genoegen met simpele antwoorden of in zijn beleving te snelle uitspraken als: ‘we hebben het risico geaccepteerd’. “Daar challenge ik mijn klanten echt op.”

Tien maanden buffelen

Dat hij in Information Security zou belanden had Dennis niet direct gedacht. Na zijn studie Commerciële Economie begon hij in sales. Als accountmanager verkocht hij namens KPN IT Security technologie, maar merkte hij al snel dat hij eigenlijk veel meer voelde voor de inhoud. “In gesprekken met klanten ging het daar vaak over en ik vond dat erg leuk en interessant”, vertelt hij. Toen is hij opleidingen gaan doen, CISSP en CISM om te beginnen. “Ik was uiteraard bekend met KPN CISO en op een dag heb ik de stoute schoenen aangetrokken en contact gezocht met Jaya Baloo, de Chief Information Security Officer. Of ze een half uurtje tijd voor me had om mee te denken over mijn pad naar inhoudelijk security professional. Daar was ze toe bereid. Toen bleek ook dat ze van me gehoord had – ik was tijdens de opleidingen als enige heelhuids door alle examens gekomen. Prompt werd ik uitgenodigd voor het bootcamp dat KPN CISO voor security professionals organiseert.” Deelnemers van het CISO bootcamp werken hands-on mee bij de CISO afdelingen: StratPol, voor strategie en beleid, de Senior Security Officers (SSO), het REDTeam met de ethische hackers, het Computer Emergency Response Team CERT en het Security Operations Center (SOC), het zenuwcentrum van waaruit KPN al haar netwerken monitort. Zo’n bootcamp is niet voor watjes. “Tien maanden lang heb je geen leven”, vertelt Dennis. “Jaya stelt hoge eisen. Het is een snelkookpan en je bent achter elkaar aan het buffelen, van ’s morgens vroeg tot ’s avonds laat. Je wordt direct in het diepe gegooid, je krijgt naast je werk een KPN-breed centraal project uit de CISO Top 10 en aan jou om alles tot een goed einde te brengen. Zo wordt vanzelf duidelijk of je de juiste mentaliteit en het vereiste niveau hebt. Het was afzien, maar ik heb ook zoveel plezier gehad. Ik zou het direct weer doen en ben dankbaar.”

Goeroe

Als Security Architect is Dennis niet de technische goeroe. “Ik vertaal business requirements naar veilige oplossingen, zorg voor aansturing van een proces waardoor integraal het noodzakelijke niveau van security geborgd wordt en ik bewaak na implementatie dit niveau over de keten als geheel. In verschillende lagen creëren we bijvoorbeeld een soort hindernisbaan voor aanvallers. Meerdere lagen in je beveiliging helpen als één maatregel faalt, maar bijvoorbeeld ook om aanvallers te ontmoedigen. Uiteindelijk is een hack voor een cybercrimineel vaak ook gewoon een economische som. Loont de inspanning de moeite?” Het begint met de juiste mindset. “Er wordt wel gezegd: de vraag is niet óf je gehackt wordt, maar wanneer. Ik ga nog een stap verder: preventieve maatregelen zullen uiteindelijk falen. Ga er maar vanuit dat je al gehackt bent. Daarmee verandert je focus en besef je dat detectie van aanvallers een noodzaak is. Het is zeer belangrijk dat hackers die eenmaal binnen zijn snel ontdekt worden en niet met de informatie de deur uit lopen.”

Innovatie in security

Ondanks alle waardevolle hulpmiddelen begint goede security met een goed beleid en die juiste mindset. Daar bewijst de consultant zijn waarde. De ontwikkelingen gaan hard en ook hier is de invloed van kunstmatige intelligentie (AI) zichtbaar. Maar hoe zet je dat in? Bruce Schneier zei over technologie: “If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.” Zo worden traditionele, gespecialiseerde devices vervangen door softwarelagen die meer intelligentie bevatten. “Je kunt sneller reageren door deze verbeterde detectie en door bijvoorbeeld één centraal punt in zetten om al het netwerkverkeer te inspecteren. Zicht op wat er door een netwerk gaat is elementair. Ik help klanten helderheid te scheppen in deze complexe materie en goede keuzes te maken, specifieke technologie is daarbij uiteindelijk slechts invulling”.

Kansen

Dennis heeft zijn bestemming gevonden. “Ik heb lang gedacht dat ik niet zo ambitieus was. Tot ik informatiebeveiliging ontdekte, toen bleek ik juist heel erg ambitieus te zijn. Het is bijna een roeping. Ik wil er alles van weten en tot de besten in mijn vak behoren.” Inmiddels beschikt Dennis ook over de GIAC-, GCIH- en GMON-certificaten van SANS. SANS is een wereldwijd gerenommeerd instituut voor Information Security training. Dat zij hem hebben uitgenodigd voor hun Instructor Development Programme en de SANS GIAC Advisory Board, is een ‘eer’ die niet veel professionals ten deel valt. “Voor mij is dat erkenning van befaamde specialisten en loon naar heel hard werken, daar ben ik best trots op.”

Bij KPN en nu specifiek KPN ICT Consulting krijgt hij de kans en ruimte om zijn fascinatie in de praktijk te brengen en zich doorlopend te ontwikkelen. “Ik heb natuurlijk zelf kansen gezocht en benut, maar KPN heeft mij ruimte en stimulansen geboden die je zelden aantreft. Daar ben ik dankbaar voor. Ik heb meer plezier in mijn werk dan ooit. Het oplossen van complexe securitypuzzels, met een duidelijke waarde voor de klant, bij een prettige werkgever en daar ook nog voor betaald worden. Wat wil je nog meer?”