Vladimir Cibic werkt meer dan een kwart eeuw bij KPN in heel uiteenlopende rollen, waaronder als CIO. De laatste drie jaar is hij er CISO. Onlangs is hij genomineerd voor de CISO of the Year Award.
CISO’s staan flink onder druk de laatste jaren. Extern, vanwege de constant veranderende threat landscape, en intern, vanwege de zware verantwoordelijkheid de organisatie veilig en weerbaar te houden. Wat zijn jouw ervaringen?
“Ik denk dat het heel erg afhankelijk is van het bedrijf waarvoor je werkt. Het is een feit dat de rol van de CISO erg belangrijk is geworden. Maar het is ook hoe je organisatie ermee omgaat. Ik werk in een bedrijf waar security hoog op de agenda staat. We zijn in Nederland een van de vitale bedrijven en dan is het vanzelfsprekend dat je de aandacht en ondersteuning krijgt die je nodig hebt. Maar als je wel de security verantwoordelijkheid draagt en de organisatie nog niet zover is, dan is de situatie natuurlijk heel anders.
Het hangt ook af van de context waarin je acteert. Met de huidige geopolitieke situatie zie je wel dat steeds meer bedrijven zich ervan bewust zijn dat security hoog op de agenda moet staan. Aan de andere kant, regulering dwingt ons er ook toe.
Maar ik ervaar gezonde druk, omdat ons bedrijf er echt aandacht voor heeft.”
Er zijn grofweg twee soorten CISO’s: zij die hun wortels hebben in IT, en zij die bovenal een business-achtergrond hebben. Waar liggen jouw wortels?
“Ik heb het eerste deel van mijn carrière in de business doorgebracht, in allerlei verschillende rollen. Operations, processen, productmanagement en alles wat daarbij hoort. En het tweede deel van mijn leven ben ik CIO geweest. De reden waarom ik daarna de baan van CISO heb gekregen is dat ze iemand zochten die de combinatie kon maken tussen de business en de technologie van het bedrijf.
Ik ben dus eerder een business-gedreven CISO. Maar ik heb uiteindelijk wel techniek gestudeerd en IT als achtergrond. Ik ken de technologie van ons bedrijf heel goed, wat mij enorm helpt om de juiste keuzes te maken op het gebied van security.”
Hoe compenseer je voor eventuele hiaten in kennis en ervaring?
“Een: ik maak gebruik van de rest van de organisatie; ik weet niet alles zelf. Als je je eigen managementteam en je eigen [bedrijfs]onderdeel samenstelt, moet je ook mensen aannemen die kennis hebben die jij niet hebt. En het gaat niet alleen om inhoudelijke kennis, het gaat ook om capabilities en soft skills.
Het tweede is dat ik heilig geloof dat je op cybersecurity-gebied moet samenwerken, ook met de buitenwereld. Dus met andere bedrijven, kennisinstellingen en met de overheid. Want ik denk: op cybersecurity hebben we geen concurrentie. Dan mogen we anders samenwerken met elkaar. Door goede teams samen te stellen, met de juiste capabilities en kennis, en samenwerkingsverbanden op te zetten met andere bedrijven. En daar weer van te leren.”
Welke technologische en/of maatschappelijke veranderingen gaan volgens jou op middellange termijn een stempel drukken op de rol van de CISO?
“Laat ik beginnen met de maatschappelijke. De geopolitieke situatie in de wereld heeft een enorme impact op de rol van CISO. Eén, omdat het verergert qua dreigingslandschap. Als de Russen echt kwaad willen, hebben we als CISO’s echt een uitdaging, door alle aanvalskracht die ze hebben. Dat zag je ook in Oekraïne.
Aan de andere kant wordt de blik ook breder dan cyber alleen. Het gaat niet alleen maar om cyberveiligheid. Het gaat om de algehele weerbaarheid van je bedrijf: CISO’s worden daarop steeds meer aangekeken – ik in ieder geval wel. Fysieke beveiliging wordt een belangrijk onderdeel. Maar ook de stabiliteit en continuïteit van onze netwerken en diensten komt erbij. Dus het gaat om de algehele weerbaarheid van ons bedrijf. Als er wat gebeurt, hoe heb je dat dan geregeld? Dan wordt nu de CISO van het bedrijf aangekeken, terwijl deze er vijf jaar geleden echt alleen maar voor cyber was.
En als je kijkt naar technologie, zijn er eigenlijk drie zaken. Los van AI en quantum is er een enorme discussie rondom cloud, de rol van Amerikaanse techbedrijven daarin en hoe Europa zich opstelt. Hoe willen we daarmee omgaan? Hoe kijken CISO’s er tegenaan? Hoe veilig zijn we nu met onze data?
“Het gaat om de algehele weerbaarheid. Als er wat gebeurt, wordt nu de CISO aangekeken, terwijl deze er vijf jaar geleden echt alleen maar voor cyber was.”
Op korte termijn speelt AI een grote rol. Je moet je er gewoon goed op voorbereiden en in de race meegaan. Alleen is er wel iets nieuws bijgekomen waarvan we ons als CISO’s heel bewust moeten zijn. Het gaat niet alleen maar door aanvallen ondersteund door AI of hoe wij ons daartegen beveiligen met behulp van AI. Het gaat ook om de inzet van AI in je eigen bedrijf. Je creëert namelijk een aanvalsoppervlak, doordat je eigen AI aangevallen kan worden. Als je niet oplet, gaat iedereen in het hele bedrijf AI-modelletjes inzetten, maar daarmee vergroot je het aanvalsvlak enorm. Als het daar misgaat, weet je niet meer wát er misgaat. Dus je moet de eigen AI beveiligen en policies opstellen over het gebruik ervan.
Quantum-technologie speelt op de lange termijn. Je moet nú beginnen je hele encryptie-landschap te veranderen. Je hebt zeker vijf tot tien jaar nodig om dat op orde te brengen. Dat is wel een moeilijk gesprek, want de gemiddelde board kijkt een kwartaal vooruit. Data die vandaag gestolen is, kan over tien jaar ontsleuteld worden, daar krijg je in de toekomst last van.”
Wat draag je bij aan de maatschappij? Doe je iets aan het stimuleren van cyber ondernemerschap?
“Ik ben bij veel dingen betrokken. Ik vind dat ook leuk. Niet ieder bedrijf in Nederland heeft een afdeling van 200 mensen met de beste cyber-specialisten ter wereld. Ik probeer bij te dragen aan initiatieven die de BV Nederland vooruit helpen.
Een voorbeeld is de Circle of Trust: tien grote bedrijven die samenwerken met de overheid. Hoe kunnen wij kleinere bedrijven helpen veiliger te zijn? Daarnaast ben ik betrokken bij het Cyclotron-initiatief, een publiek-private samenwerking die moet leiden tot een platform waarbinnen informatie gedeeld kan worden over digitale incidenten en dreigingen.
“Je moet nú beginnen je hele encryptie-landschap te veranderen. Daarvoor heb je zeker vijf tot tien jaar nodig. Dat is wel een moeilijk gesprek, want de gemiddelde board kijkt een kwartaal vooruit.”
Ik ben ook gastdocent op het TIAS. Dat vind ik leuk, want ook toekomstige leiders wil je cybersecurity bijbrengen. Veelal zijn het leiders die niet in de security-wereld zitten maar er wel affiniteit mee willen hebben.
Ik hou van praten, dus ik sta vaak op podia. Dan probeer ik een echt praktijkverhaal te vertellen, vanuit mezelf. Want theorie is leuk, maar ik geloof er echt in dat, als je vertelt hoe je iets doet, dat je daarmee mensen triggert.
Met KPN organiseren we Kids Cyber Day, waar we proberen kinderen te interesseren voor cybersecurity, want uiteindelijk zijn het de kinderen van nu die in de toekomst cybersecurity-specialisten moeten worden.
En als laatste, dit heb ik voor onze toezichthouder gedaan, is hen helpen met de vraag hoe je bedrijven stimuleert met NIS2 aan de slag te gaan. Ik geloof namelijk dat als je NIS2 goed implementeert, je daarmee een goede basis neerzet voor de beveiliging van je bedrijf.”
Wat vind je van de twee andere kandidaten?
“Ik ken Florence, ik ben haar tegengekomen toen ik begon als CISO. Super leuke dame, ook heel enthousiast en goed in haar vak. Zij zit ook heel lang in het vakgebied. Ik kan me ook voorstellen dat er echt veel waardering is voor haar nominatie. Martin, de andere kandidaat, ken ik wat minder. Ik ben een beetje gaan lezen om te kijken waar de kandidaten staan. En de aanpak bij de TU Eindhoven is wel de aanpak zoals ik er ook in geloof. Je bent als CISO niet alléén verantwoordelijk voor de veiligheid. We zijn in ons bedrijf allemaal verantwoordelijk voor de veiligheid.”
Op 27 mei wordt de CISO of the Year Award uitgereikt op de tweede CISODAY. Heb je een rol in security? Dan kun je erbij zijn. Meld je hier aan of kijk op de event website voor meer info.
