Florence Mottay begon zo’n 25 jaar geleden als ethisch hacker en kwam uiteindelijk terecht in business-rollen. Uiteindelijk werd ze CISO bij Ahold Delhaize, gevolgd door Zalando in 2022. Onlangs werd ze genomineerd voor de CISO of the Year Award.

CISO’s staan flink onder druk de laatste jaren. Extern, vanwege de constant veranderende threat landscape, en intern, vanwege de zware verantwoordelijkheid de organisatie veilig en weerbaar te houden. Wat zijn jouw ervaringen?
“Ik werk al ongeveer 25 jaar in cybersecurity. Het vak heeft een behoorlijke transformatie ondergaan. We zijn van een ondersteunende functie op de achtergrond geëvolueerd naar een cruciale rol in de strategische discussie aan de top. En ik zie ook dat de CISO-rol de afgelopen tien jaar veeleisender is geworden.

Je moet veelzijdig zijn, je moet veel verschillende rollen kunnen vervullen. Je noemde twee dingen: extern en intern. Extern gaan de dingen ongelooflijk snel, en dat is ook geen verrassing. Cyberdreigingen zijn niet alleen complexer, maar ook sneller en geavanceerder geworden, vooral nu AI erbij betrokken is.

Het maakt snellere, gerichtere en moeilijker te detecteren aanvallen mogelijk. En dat betekent dat wij constant alert moeten zijn, dat we flexibel moeten zijn en dat we echt moeten investeren in threat intelligence en proactieve én reactieve verdedigingsmechanismen.

Intern vormt de andere kant van de medaille. We staan ​​ook voor een dubbele opgave: ja, we moeten de organisatie beschermen, maar uiteindelijk is ons doel als beveiligingsteam om de business te ondersteunen. Zo rechtvaardigen en presenteren we onze investeringen in security. Hoe kunnen we de business verder ondersteunen? En dat doen we terwijl we een beveiligingsbewuste cultuur cultiveren, zonder innovatie af te remmen.”

Er zijn grofweg twee soorten CISO’s: zij die hun wortels hebben in IT, en zij die bovenal een business-achtergrond hebben. Waar liggen jouw wortels en hoe compenseer je (eventuele) hiaten in kennis en ervaring?
“Dat is een goede vraag, want we zien allerlei profielen CISO worden. Ik heb een diploma in wiskunde en software engineering en ben mijn carrière in de VS begonnen als ethisch hacker, gespecialiseerd in het schrijven van exploits. Ik werkte voor een bedrijf genaamd SI Gov, dat overheidsgerelateerd werk deed.

Na een paar jaar werd ik gevraagd om de Europese tak van het bedrijf te openen, dat inmiddels een for-profit was geworden, rebranded als Security Innovation. Van de ene op de andere dag veranderde ik van een techie in de VS in een P&L-eigenaar in Nederland. Dat was een behoorlijke verandering, maar het werkte goed. Uiteindelijk heb ik daarna tien jaar lang vestigingen van informatiebeveiligingsbedrijven in Europa en het Midden-Oosten geleid. Daarna besloot ik een ‘volwassen’ baan te zoeken en CISO te worden.

“Ik omring me met mensen die allerlei vaardigheden en achtergronden meebrengen. Daardoor kunnen we ook zo’n breed blikveld hebben. Dat is anders gewoon niet mogelijk.”

Ik ben dus geworteld in beide werelden, de technische en zakelijke kant, maar eerlijk gezegd denk ik niet dat het uitmaakt, want wat ik in de loop der jaren heb geleerd, is dat het belangrijk is om sterke, diverse teams te bouwen. En dat is wat ik doe. Ik omring me met mensen die allerlei vaardigheden, achtergronden en expertises met zich meebrengen.

“Daardoor kunnen we ook zo’n breed blikveld hebben. Dat is anders gewoon niet mogelijk. Ik blijf ook op verschillende manieren op de hoogte; ik maak deel uit van diverse communities, ik spreek veel met collega’s, ik bezoek conferenties en ik zorg dat ik op de hoogte blijf van ontwikkelingen in de sector.”

Welke technologische of maatschappelijke veranderingen gaan volgens jou op middellange termijn een stempel drukken op de rol van de CISO?
“Ik denk dat AI en quantum computing belangrijke onderwerpen zijn die van invloed zullen zijn op de rol. En hoezeer we deze ook hebben zien evolueren, we hebben het er al eerder over gehad, ik denk dat de rol zich aanzienlijk zal blijven ontwikkelen en nog strategischer zal worden.

Neem AI vandaag de dag. CISO’s moeten zich nu al verdedigen tegen AI-gedreven bedreigingen, maar tegelijkertijd gebruikmaken van AI-gebaseerde beveiligingstools en governance. Het is een enorme leercurve geweest voor beveiligingsteams en CISO’s. En het zal waarschijnlijk nog verder gaan. Ik denk dat er al druk is, en dat die nog zal toenemen, voor explainable security, vanuit besturen en toezichthouders. En met AI in de mix wordt dat een nog grotere opgave.

Dus komt er een moment waarop CISO’s tot op zekere hoogte AI-governance officers zullen moeten worden. En aangezien we het over AI hebben… het is iets waar we veel over praten en nadenken. Bij Zalando hebben we al een paar jaar geleden ons AI-beveiligings-framework ontwikkeld en sindsdien verbeterd. Dus voor ons is het belangrijk om dat te kunnen implementeren, zodat onze teams kunnen innoveren en dat veilig kunnen doen. Maar natuurlijk is het slechts een eerste stap, er is meer te doen.

Er is ook quantum computing. Daar zitten twee aspecten aan. Ten eerste lopen gevoelige gegevens vandaag de dag al risico, omdat veel aanvallers aanvallen uitvoeren waarbij ze ‘nu oogsten en later ontcijferen’, meestal op zeer gevoelige documentatie. Medische dossiers, bedrijfsgeheimen of overheidsgeheimen. Ten tweede duurt het nog een paar jaar, maar we moeten ons wel nu al voorbereiden op de overstap naar quantumveilige cryptografie. We hebben daar al naar gekeken en we werken samen met partners die al bezig zijn [op dit gebied]. We volgen de regelgeving ook nauwlettend – en we beginnen goede vooruitgang te zien.

Dit draagt ​​bij aan de nieuwe petten die de CISO zal moeten gaan dragen. We moeten ons blijven aanpassen aan de taal van de business en deze blijven spreken. De CISO van de toekomst is deels cyber defender, deels strategie-diplomaat, governance officer en nog steeds een cruciale leider binnen het bedrijf. Ik zeg altijd dat een CISO een business executive is die gespecialiseerd is in cybersecurity, en ik denk dat dat zo zal blijven, alleen dan met meer petten op.”

Wat draag je nog meer bij aan de maatschappij? Doe je iets aan het stimuleren van cyber ondernemerschap?
“Voor mij is cybersecurity altijd al een maatschappelijk probleem geweest. Ik ben 25 jaar geleden begonnen en ja, het is geëvolueerd, maar het is nooit de verantwoordelijkheid van één bedrijf geweest; dat kan ook niet, omdat het veel breder is. En dus moeten we allemaal ons steentje bijdragen.

Bij Zalando hebben we ons sinds mijn komst met verschillende dingen beziggehouden. Ik ben erg trots op de bewustwordingscampagne over cybersecurity die we hebben opgezet – Cyber ​​Fabric genaamd. We zorgen ervoor dat we elk thema behandelen via verschillende vormen van voorlichting, zodat we al onze medewerkers kunnen scholen en hen de tools bieden om zichzelf te verdedigen. Dat doen we om Zalando te beschermen, maar ook zodat mensen zo zichzelf en hun dierbaren kunnen beschermen.

“Ik geloof dat er al druk is op het gebied van explainable security vanuit zowel besturen als toezichthouders. En met AI in de mix wordt dat een nog grotere opgave.”

We maken deel uit van Deutschland sicher im Netz (DSiN), een non-profitorganisatie die valt onder het Duitse ministerie van Binnenlandse Zaken en die consumenten en kleine bedrijven helpt veilig door de digitale wereld te navigeren. We werken samen op organisatieniveau, maar we werken ook samen met Zalando-medewerkers door vrijwilligerswerk te doen. Een van onze activiteiten is ouderen helpen begrijpen hoe ze veilig online kunnen winkelen en dingen veilig online kunnen doen.

We promoten daarmee veiligheid, maar het is ook geweldig omdat het ouderen in staat stelt langer zelfstandig te blijven. We werken ook samen met overheidsinstanties, niet alleen in Duitsland, maar ook in andere Europese landen, om de publieke sector te ondersteunen.

It takes a village, en in dit geval is iedereen nodig om onze gemeenschappen te beschermen. Parallel aan en meer in het verlengde van het aspect van ondernemerschap dat je noemde, ben ik ook adviseur van de Paladin Capital Group, een investeringsmaatschappij die cybersecurity-bedrijven in een vroeg stadium financiert met innovatieve ideeën. Nogmaals, met het idee om cyber, de publieke sector en commerciële bedrijven te blijven beschermen.”

Wat vind je van de andere twee kandidaten?
“De concurrentie is sterk. Beide kandidaten zijn al meer dan 15 jaar actief in de Nederlandse security community. We zitten zelfs samen in branchegroepen en onze paden hebben elkaar zeker een aantal keer gekruist. Beiden zijn ongelooflijk actief en worden zeer gerespecteerd. Voor mij is het een grote eer om samen met hen in aanmerking te komen voor de prijs, en ik wens hen beide ook veel succes.”

Op 27 mei wordt de CISO of the Year Award uitgereikt op de tweede CISODAY. Heb je een rol in security? Dan kun je erbij zijn. Meld je hier aan of kijk op de event website voor meer info.