Martin de Vries (TU Eindhoven): ‘Niet concurreren op security’

Felix Speulman

9 mei 2025

Martin de Vries is sinds voorjaar 2021 jaar CISO bij de Technische Universiteit Eindhoven. Daarvoor werkte hij 22 jaar bij Rabobank in diverse (security)-rollen en was hij mentor voor startups en scale-ups binnen Rockstart en Startupbootcamp. Onlangs is hij genomineerd voor de CISO of the Year Award.

CISO’s staan flink onder druk de laatste jaren. Extern, vanwege de constant veranderende threat landscape, en intern, vanwege de zware verantwoordelijkheid de organisatie veilig en weerbaar te houden. Wat zijn jouw ervaringen?
“Je merkt dat security, informatiebeveiliging en cybersecurity steeds belangrijker worden, ook op board-niveau. Mijn ervaringen zijn positief. Ik heb niet het idee dat er hele zware druk uit de organisatie op mij wordt uitgeoefend. Er is heel veel support vanuit de board en het senior management.

Het heeft absoluut de aandacht. Er zijn regelmatig rapportages richting de board en dan wil men echt wel weten hoe het staat met de volwassenheid, met de risico’s. Men wil het naadje van de kous weten.”

Dat ligt misschien ook aan het type organisatie? Er is nogal wat IP te beschermen bij een technische universiteit? Is het inzicht dat dat heel goed beschermd moet worden, niet wijd verbreid?
“Nou, dat valt tegen. In die zin dat een universiteit er uiteindelijk is voor onderwijs en onderzoek. Een onderzoeker of een onderzoeksgroep bepaalt uiteraard wat en hoe ze onderzoeken. Wellicht niet tijdens het onderzoek, maar zeker daarna is het toch de bedoeling dat de resultaten gepubliceerd worden. Eigenlijk ligt er veel meer nadruk op het delen van informatie en kennis dan op het beschermen ervan.

Natuurlijk doen we onderzoek ook met partners – zoals ASML maar ook anderen – waarvan we de technologie moeten beschermen. En de overheid heeft natuurlijk een aantal regels opgesteld rondom het delen van kennis met andere landen. Het besef over wat je wel en niet kunt delen, ook inzake kennisveiligheid is wel groeiende. Maar we hebben wel met een cultuur te maken die in de basis graag dingen wil delen. Dus daar is wel een spanningsveld.

“Eigenlijk ligt er bij een universiteit veel meer nadruk op het delen van informatie en kennis dan op het beschermen ervan”

Uiteindelijk zijn er afspraken, ook op het gebied van security, die onderzoekers maken met een externe partner in het kader van een onderzoeksopdracht. Ik of mijn collega’s helpen daarbij. Om welk type onderzoek gaat het? Om welke data gaat het en hoe wordt die geclassificeerd? Daar kunnen we dan de juiste technische maatregelen treffen, of in ieder geval awareness brengen.”

Er zijn grofweg twee soorten CISO’s: zij die hun wortels hebben in IT, en zij die bovenal een business-achtergrond hebben. Waar liggen jouw wortels en hoe compenseer je (eventuele) hiaten in kennis en ervaring?
“Ik heb ooit technische bedrijfskunde gestudeerd. Differentiatie, informatica. Dan zit je eigenlijk al op de scheidslijn tussen de techniek en de business. Dat is eigenlijk altijd mijn werkveld geweest. Ik heb altijd de vertaling gemaakt tussen die twee werelden, waarbij ik voldoende kennis had van de techniek om die naar de business te kunnen vertalen en omgekeerd. Als ik kennis mis ga ik bij experts te rade. Maar ook bij de business, om inzicht te krijgen wat ze precies doen. En om uit te vinden hoe ik zaken beter over het voetlicht kan krijgen.”

Hoe zorg je in je team voor de juiste mix aan kennis en ervaring?
“Ik heb geen directe hiërarchische leiding over een team, want het security team zit in de IT-tak en rapporteert daar in de kolom. Maar je kijkt wel mee met de betreffende manager en bent een grote stakeholder. Dus je kijkt wel naar welke kennis en kunde nodig zijn binnen dat team en binnen andere teams. Dan gaat het zowel over expertise als over persoonlijke competenties.”

Welke technologische of maatschappelijke veranderingen gaan volgens jou op middellange termijn een stempel drukken op de rol van de CISO?
“AI en quantum computing. Dat zijn technologieën die een impact gaan hebben, danwel direct, danwel omdat ze processen en zaken faciliteren die invloed hebben op security. Met AI kun je veel betere phishing-emails schrijven, om een voorbeeld te noemen. Of je kunt een code-analyse doen om te kijken waar een zwakke plek zit. Op die manier gaat het iedereen helpen om dingen sneller boven water te krijgen dan wel om iets te maken wat je kunt gebruiken, zowel aan de goede kant als de slechte kant van het spectrum.

Voor quantum computing geldt hetzelfde, waarbij natuurlijk de directe dreiging al bestaat dat je versleutelde data kwijtraakt, die op een zeker moment wordt ontsleuteld en in de openbaarheid komt of gelezen kan worden door mensen die daar niet bij hadden moeten kunnen. Als het zover is, dan schat ik in dat we quantum technologie ook gaan gebruiken voor betere beveiliging.

Het zijn allebei technologieën die aan beide kanten van het spectrum hun invloed gaan hebben, maar wel fundamenteel, denk ik, de manier waarop wij dingen doen, gaan wijzigen.

“Ik heb altijd de vertaling gemaakt tussen twee werelden, waarbij ik voldoende kennis had van de techniek om die naar de business te kunnen vertalen en omgekeerd”

Daarnaast zitten we natuurlijk ook in een veranderende geopolitieke situatie. Daar zie ik wel een grotere dreiging ontstaan, waarbij je met de neus op de feiten gedrukt wordt.

Al deze ontwikkelingen gaan zeker een stempel drukken op de rol van de CISO – het gaat uiteindelijk over risk management. Die risico’s moet je duiden. En je moet adviseren hoe de organisatie daarmee om moet gaan. Intern werk ik samen met een aantal collega’s met verschillende disciplines. Ik heb bijvoorbeeld vergelijkbare collega’s voor kennisveiligheid, fysieke veiligheid en privacy. Dus je hebt een heel team waar je dat samen mee doet.

Maar het gaat op een gegeven moment de organisatie overstijgen. Dat is ook de reden waarom we binnen de universitaire en de educatieve sector samenwerken. Dat is ook wat je als CISO bij andere organisaties ziet, en ook binnen de CISO community. Omdat je met elkaar die ontwikkelingen in de gaten kunt houden. Zo kun je elkaar ondersteunen en van mekaar leren. Dat heb ik al gemerkt toen ik bij Rabobank werkte: je concurreert niet op security. Je bent bezig elkaar te helpen, om de verbinding te zoeken, kennis te delen.”

Wat draag je nog meer bij aan de maatschappij? Doe je iets aan het stimuleren van cyber ondernemerschap?
“Wat ik heel belangrijk vind, is dat we de informatie die we hebben, dat we die delen, dat er communities zijn waar je met elkaar kunt sparren, kennis kunt uitwisselen en dergelijke. Ik deed dat al toen ik bij Rabobank werkte. Ik had als focus onder andere innovatie, zowel security innovatie als ‘secure innovatie’: innovatie op het gebied van informatiebeveiliging maar ook hoe je op een veilige manier innoveert. Vanuit de Rabobank ging ik gesprekken aan met startups, om hen te begeleiden.

Toen ik voor de universiteit ging werken, werd ik deel van het universitaire CISO-netwerk. Daar ben ik sinds afgelopen januari voorzitter van. Ik ben ook lid en mede-voorzitter van een groep CISO’s in de Brainport-regio – de Eindhoven Cyber Security Groep. Ik probeer zo veel mogelijk mijn steentje bij te dragen.”

Wat vind je van de twee andere kandidaten?
“Ik ken ze niet echt persoonlijk en inhoudelijk. Ik heb wel een paar keer presentaties van Vladimir gezien – inhoudelijk goede zaken. Van Florence weet ik dat ze bij Ahold vandaan komt en nu bij Zalando werkt. Ik heb weinig inhoudelijke kennis over beiden. Maar als je puur naar hun staat van dienst kijkt, dan zijn het hele goede CISO’s.”

Op 27 mei wordt de CISO of the Year Award uitgereikt op de tweede CISODAY. Heb je een rol in security? Dan kun je erbij zijn. Meld je hier aan of kijk op de event website voor meer info.

Beeld: Vincent van den Hoogen

Gerelateerde artikelen

Meer artikelen

Florence Mottay (Zalando): ‘CISO’s zullen vele petten moeten gaan dragen’

Florence Mottay begon zo’n 25 jaar geleden als ethisch hacker en kwam uiteindelijk terecht in business-rollen. Uiteindelijk werd ze CISO bij Ahold Delhaize, gevolgd door Zalando in 2022. Onlangs werd ze genomineerd voor de CISO of the Year Award.

Vladimir Cibic (KPN): ‘Onze blik is breder dan cyber alléén’

Vladimir Cibic werkt meer dan een kwart eeuw bij KPN in heel uiteenlopende rollen, waaronder als CIO. De laatste drie jaar is hij er CISO. Onlangs is hij genomineerd voor de CISO of the Year Award.

‘We willen in een paar jaar dominant worden in de metrologie’

Nearfield Instruments is genomineerd voor de Tech Hero Award. Het bedrijf maakt baanbrekende machines plus software voor de halfgeleiderindustrie, die deze oplossingen inzet voor foutdetectie en metrologie. “We zijn in twee jaar tijd van startup in scale-up modus gekomen”, zegt IT-manager Ahura Qavami Tehrani.

‘Door een remote-first mindset hebben we veel meer toegang tot talent’

Mews, maker van een snelgroeiend, cutting-edge hospitality platform dat gebruikt wordt door een op de drie hotels in Nederland en ook in Europa en de rest van de wereld onstuimig groeit, is genomineerd voor de Tech Hero Award. CEO Matthijs Welle: “Ik word er heel gelukkig van dat we impact hebben met simpele oplossingen die het reizen beter maken.”

Felix Speulman

Gerelateerde artikelen

Florence Mottay (Zalando): ‘CISO’s zullen vele petten moeten gaan dragen’

Vladimir Cibic (KPN): ‘Onze blik is breder dan cyber alléén’

‘We willen in een paar jaar dominant worden in de metrologie’

‘Door een remote-first mindset hebben we veel meer toegang tot talent’

Artikelen

Programma’s

Overig

ITexecutive