“Wat op de universiteit wordt doordacht, kan heel goed passen in de praktijk”
In gesprek met Prof. Dr. Yuri Bobbert
Evenals een jaar geleden ontmoeten we elkaar in het Postillion Hotel langs de A12. Destijds ging Yuri Bobbert nog op in zijn opdracht als CISO bij Nationale Nederlanden. Nu geniet hij nog even van een relatief lege agenda, die vanaf 1 oktober weer overvol zal raken. Dan begint hij aan een nieuw avontuur bij de cybersecurity specialist ON2IT, of zoals ze zichzelf typeren: zero trust innovators.
De palmares van Bobbert vormen een indrukwekkende lijst. Nadat zijn eigen bedrijf B-ABLE opging in DPA in 2014, werkte Bobbert achtereenvolgens als CISO bij het UWV, Nationale Nederlanden en nu dus bij ON2IT. Naast deze veeleisende functies doceert en leidt hij aan de Antwerp Management School van de Universiteit Antwerpen de Information Risk, Security en Assurance master. Hij begeleidt zijn studenten – veelal mensen die als CIO, CISO of consultant werkzaam zijn – met verschillende (promotie)onderzoeken[1]. Ook is Bobbert (co-)auteur van diverse boeken over cybersecurity. Tijdens ons gesprek komt dit raakvlak tussen de wetenschap van databeveiliging en de praktijk steeds terug.
Acht vragen
Een maand vóór zijn komst bij Nationale Nederlanden spoorde CIO Amir Arooni Bobbert aan zijn doelen op papier te zetten. “Ook wilde hij dat ik acht kernvragen beantwoordde”, blikt Bobbert terug. “Vragen als: Op welke manier voorkom jij DDOS aanvallen en hoe vermijd je complexiteit in jouw oplossing? Of: Welke vorm van security test automatisering zou jij toepassen op de infrastructuurcomponenten (netwerk, OS, firewalls enzovoort)? Wat is jouw best practice uit jouw eigen ervaring en wat heb je daarvan geleerd? Dat vond ik echt heel slim, want zo formuleer je je eigen plan. Dat plan heeft hij later wel wat aangescherpt natuurlijk, maar die vragen dwingen je om heel effectief na te denken over wat realistisch gesproken haalbaar is, waar je de nadruk op wilt leggen enzovoort. Onlangs las ik ze weer eens terug om te toetsen of ik echt wel blij was met het resultaat. Een aantal zaken is niet gehaald en op heel veel punten hebben we meer bereikt. Bij NN kon ik eigenlijk het model dat ik daarvoor bij het UWV heb ontwikkeld – qua governance, besluitvorming, awareness enzovoort – opnieuw doen. We hebben ruim 4000 mensen getraind van RvC tot operatie. Voor alle achttien Business Unit hebben we Security Officers aangesteld, nieuwe control standaarden uitgerold, security architectuur geïmplementeerd en heel veel technische security verbeteringen doorgevoerd middels moderne cloud technieken. Ook hebben we middels de Design Science Research aanpak (red: zie voetnoot 1) een technologie ontwikkeld die de DevOps manier van werken ondersteunt en de bureaucratie voor onze engineers terugdringt. Die technologie, die we LockChain[2] hebben genoemd – met een knipoog naar Blockchain – is inmiddels breed uitgerold. Dankzij deze technologie en de zeer talentvolle mensen binnen NN, hebben we de totale spend aan security administratie, met de helft kunnen terugbrengen. Ja, ik ben wel tevreden.”
LockChain
Alle CISO’s kampen met het probleem van het voeren van een goede en bruikbare administratie. LockChain lost dat op door één bron van waarheid voor security te creëren. Het brengt die onoverzichtelijk grote bak met excel- en wordbestanden, waarvan er duizenden in een organisatie rondzwerven, samen in één scalable repository. Het wordt voor de CIO stukken gemakkelijker om de digitale transformatie te besturen met behoud van zichtbaarheid, zekerheid en vertrouwen. Het helpt de Chief Risk Officer bij het verkrijgen van real-time betrouwbare inzichten omtrent informatiebeveiliging en cyberrisico’s over de waardeketens en derde partijen. Voor de CISO betekent het een hogere mate van zekerheid omtrent de implementatie van beveiligingsmaatregelen, terwijl hij het overzicht behoudt op het digitale ecosysteem. En de DPO of FG ten slotte krijgt end-to-end inzichten in de stroom van persoonlijke data met de zekerheid van privacy-by-design. Kortom, LockChain verbetert de volwassenheid van BIS aanzienlijk.
Automatisering
Cybersecurity bij grote corporates die nog veel eigen software hebben draaien, is iets groots, maar toch bijzaak. Bij nieuwe, kleinere organisaties is het klein, maar wel core business. We spreken in onderzoeken over ‘techborn’. Bobbert legt uit dat bij een organisatie als ON2IT iedereen het vak van Business Information Security (BIS)[3] ademt. “Los van die focus heerst er ook een visie die automatisering omarmt. Bij veel grote bedrijven met een rijke geschiedenis en een waslijst aan overnames wordt nog veel handwerk verricht op oude systemen en met oude manieren van werken. Techborn bedrijven slepen die geschiedenis niet achter zich aan. Daarom kunnen die techborns in principe met relatief gemak iedere business opstarten die ze maar willen. Ik geloof dan ook in AI hacking, automatisering en robotisering. Het manuele handelen gaat veel te traag in deze tak van sport waar je heel erg snel moet kunnen acteren. Je zult een beweging moeten maken. Het verbaast mij dan ook niet dat onderzoek van Deloitte uitwijst uit dat de helft van alle C-level executives inclusief CISO’s af wil van het Security operating center. Dat willen ze liever uitbesteden, omdat je het niet langer allemaal zelf kan blijven doen. Er is al heel veel technologie beschikbaar, vaak afkomstig uit Israël, die zaken op het gebied van cyber security automatiseren, zoals geautomatiseerde kwetsbaarheidsmanagement of geautomatiseerde risk kwantificatie.”
Lifeline
Zijn werk aan de Universiteit van Antwerpen omschrijft Bobbert als zijn ‘lifeline’. “Daar toets ik alles wat ik tegenkom. Loopt het nog ver genoeg vooruit op de toekomst? Zijn de mensen goed geëquipeerd? Op de universiteit, de avant garde en de denktank, vindt alle theorie plaats en wordt alles heel erg goed doordacht. Zo zijn we nu bezig met een onderzoek naar risk quantification. Welke risico’s zijn er en hoe kan je die kwantificeren, zodat je de juiste maatregel treft en je de ‘biggest bang’ voor jouw ‘buck’ behaalt. Wat op een plek als de universiteit wordt doordacht kan heel goed passen in de praktijk. LockChain is oorspronkelijk bedacht tijdens mijn promotieonderzoek met de universiteit. Dankzij de beschikbare middelen, bevlogen mensen als Nese Ozkanli en een samenwerking met de Open Universiteit konden we dat bouwen bij NN. Inmiddels is de applicatie levensvatbaar en maakt het zich op voor de volgende fase.”
Boeken
Reeds aan het begin van ons gesprek diept Bobbert een kloek boek op uit zijn tas dat hij aan mij geeft. Hij schreef Critical Success Factor For Effective Business Information Security samen met Talitha Papelard. Zij is Director Business Security bij Northwave en deed onder Bobberts supervisie haar onderzoek aan de Universiteit van Antwerpen. “Het boek beschrijft de kritische succesfactoren voor het verankeren van je cybersecurity”, legt hij uit. “Hierin hebben wij de best practices en lessons learned van het afgelopen jaar van CISO’s verzameld. Dat is enerzijds vanuit de theorie van wat zou je moeten hebben en anderzijds vanuit de praktijk. In dit boek staat alles wat je als CISO zou moeten weten en ook waar jouw organisatie over moet beschikken om het goed te verankeren.” Het boek bevat ook enkele interviews met CISO’s.
Even later verschijnt een aanmerkelijk kleiner boekje op tafel, Cybersecurity in 60 minuten uit de serie Digitale trends en tools. Dit schreef Bobbert samen met Melvin Boersma die zelfstandig adviseur is in Business Information Security. Het is een laagdrempeliger en commerciëlere uitgave, met name bedoeld voor de RvB of RvC. “Door dit boekje te lezen weten ze waar ze op moeten letten als het over cybersecurity gaat, en welke vragen ze moeten stellen aan een CIO of CISO om hun toezicht of sturing uit te oefenen. Al deze boeken gebruiken we ook op de Universiteit van Antwerpen. Studenten willen nu eenmaal vaak ook praktijkverhalen.”
Generaal zonder leger
De functie van CISO evolueert continu, constateert Bobbert. “Eigenlijk wil je haar of hem toerusten met tools (techniek), maar vooral met een mindset. Volgens de grote onderzoeksbureaus is de security spend binnen de it-budgetten de afgelopen 15 jaar gestegen van 4 naar 22 procent. Dat lijkt mij overdreven. Je ziet weliswaar dat het belang van cybersecurity toeneemt, maar tegelijkertijd willen ook bestuurders weten hoe zij de ‘biggest bang’ voor hun ‘buck’ kan krijgen. Zij willen niet meer maar minder uitgeven per jaar. In dat opzicht wordt de CISO steeds meer een bedrijfskundige die moet nadenken over welke opties het meeste rendement opleveren. Sommige CISO’s hebben voornamelijk een adviserende rol, en zijn eigenlijk een generaal zonder leger. Andere CISO’s zijn in de lijn verantwoordelijk en hebben een staf en middelen. In die rol ben je veel meer een manager en ben je alleen succesvol als je goed kunt orkestreren door andere skills en expertises in te zetten zoals financieel, samenwerkingsvormen, supply chain en juridisch. Enkele interviews uit het boek over Critical Succes Factors gaan in op die orkestratierol, waarbij de CISO bijvoorbeeld KPI’s definieert op de gemiddelde tijd om een uitbraak te detecteren en in te dammen. De rol van de CISO schuift op naar die van Chief Information Security Orchestrator. Neem bijvoorbeeld cyber economics, dat is echt een vak apart; hoe schrijf je een businesscase, hoe reken je de returns uit? Een CISO met lijnverantwoordelijkheid moet deze en alle andere facetten van bedrijfskunde goed vatten, zodat hij de juiste prioriteiten kan stellen. Doe je dat niet dan val je ten prooi aan het FUD-monster. De helft van mijn inbox is spam over Fear, Uncertainty & Doubt. Laat je niet gek maken. Het is de kunst om die overdaad aan ‘moeten’ en ‘haast’ en ‘noodzakelijk’ terug te rationaliseren naar wat werkelijk nodig is, naar het kader van jouw grootste risico’s en de mogelijke financiële impact. Of zoals Jaya Baloo het noemt: seperate the sense van the nonsense.”
SOC-as-a-Service
Bobbert herhaalt nog eens het belang van automatisering. Als voorbeeld noemt hij dat de patchcycli grotendeels geautomatiseerd kunnen worden met tooling. “Alleen”, voegt hij daaraan toe, “veel auditors begrijpen deze manier van werken niet. Die willen het fysieke logboek van de patchcyclus inzien. Maar ja, als je jouw SOC echt ‘as-a-service’ hebt draaien, is dat eigenlijk helemaal niet meer nodig en zit de bewijslast in de code. Deze code uitlezen en kunnen interpreteren is voor veel auditors nog een brug te ver. Zonder voortschrijdende automatisering blijft de CISO iemand die over de snelweg rijdt met beslagen ramen en een dashboard dat maar voor de helft functioneert. Hij ziet dus niet wat de andere verkeersdeelnemers doen en heeft geen idee wat hij zelf eigenlijk doet. Je wilt een goed dashboard ontwikkelen zodat je precies weet welke meters voor jou belangrijk zijn. Dat deel is grotendeels generiek voor vrijwel iedere CISO.”
Betrokkenheid
Bij ON2IT, waar het zero trust principe wordt gehanteerd, heerst een compleet andere security-cultuur dan bij Bobberts vorige werkgevers. “Bij zero trust vertrouw je niemand en verifieer je vooraf. Dat betekent dat jouw netwerk in de basis al is gesegmenteerd, en op applicatief niveau kijk je wanneer een applicatie afwijkt van de norm. Maar het is heel lastig om die filosofie in een SOC van een grote corporate te krijgen. Bij NN was het mijn missie om ervoor te zorgen dat anderen minder hard op de rem trapten. Dat zal ik bij ON2IT niet hoeven doen. Mijn grote voordeel blijft dat ik de theorie uit Antwerpen kan combineren met de praktijk. Zo staat er in ons boek een top tien van kritische succesfactoren. Omdat daar steevast discussie over ontstaat is Talitha nu bezig met haar PhD onderzoek van wat die kritische succesfactoren nu in het echt betekenen voor een CISO. Een van die factoren is bijvoorbeeld betrokkenheid van de business. Ja, eh, dat zegt iedereen, maar wat betekent dat nu concreet? Moeten ze dan schouderklopjes gaan uitdelen, of moeten ze gewoon geld geven en hoeveel dan, of is het van ik zet mijn handtekening achter dat ik jou eeuwig trouw ben. Over die betrokkenheid hoef ik mij bij ON2IT minder zorgen te maken.”
[1] Voor zijn onderzoek steunt Bobbert met zijn studenten veelal op Design Science Research methodologie. Met deze ontwerpgerichte onderzoekaanpak verken je een probleem in de praktijk (Environment) en gebruik je de wetenschap ( Knowledge Base) om het probleem te duiden, te begrijpen en uit te leggen. Je gebruikt de ontwerpcirkel (Design Cycle) om een methode/instrument te maken en te evalueren wat dit probleem kan oplossen. Dit kan dus een technologie, proces of raamwerk zijn of een nieuwe werkmethode. Deze DSR aanpak houdt de balans tussen praktijk en theorie levend, zodat je direct een impact kan maken door problemen op te lossen.
[2] http://lockchain.mystrikingly.com
[3] Bobbert spreekt expliciet over BIS omdat de business aan zet is, niet IT noch de cyberspecialisten. De business is de data-eigenaar (asset owner) en zal eigenaarschap en leiderschap moeten tonen in de bescherming hiervan.
