Martijn de Hamer is waarnemend CISO Rijk en voorzitter van de CISO of the Year Award-jury. Dat is dit jaar voor de eerste én de laatste keer: hij neemt, als plaatsvervangend CISO Rijk, sinds eind vorig jaar de rol van Aart Jochem waar tot de start van Justin Broeders op 1 juni. Ik sprak hem over zijn achtergrond, het selectieproces voor de CISO of the Year Award en het digitale-soevereiniteitsdebat.
De Hamer heeft een minder gebruikelijk pad richting cybersecurity afgelegd. Afgestudeerd in de Engelse Taal en Letterkunde, is hij net na de eeuwwisseling bij Capgemini gaan werken, in een tijd waarin cybersecurity bijna nergens een zelfstandige functie was. Hij is door toeval in het vak gerold: “Tijdens een van mijn eerste opdrachten daar liep ik per ongeluk tegen een informatiebeveiligingsincident aan binnen de unit waar ik werkte. De rest [van mijn collega’s] zag de urgentie minder en toen ’was ik er in een keer van’. Security was onzichtbaar, het werd vooral duur en vervelend gevonden.”
Hij moest in die tijd wel het belang van cybersecurity binnen zijn organisatie verkopen, vertelt De Hamer, ofschoon hij er óók alle ruimte voor kreeg. Dus hij beet zich erin vast en ontwikkelde zich tot specialist. Uiteindelijk werd hij na een kleine vijf jaar uitgezonden naar Govcert, dat later het NCSC werd. Daar kwam hij in 2007 in dienst en vervolgens was hij er jarenlang actief in verschillende rollen, waaronder hoofd van het NCSOC.
In 2018 maakte De Hamer een zijstap: hij werd data protection officer bij de Hogeschool van Amsterdam. “Een heel mooie instelling. Alleen zat er geen informatiebeveiliging in mijn rol. Als functionaris voor gegevensbescherming moet je op je handen zitten: daar ben ik niet zo goed in.” Een kleine vier jaar later stapte hij daarom over naar het ministerie van Onderwijs, waar hij departementaal CISO werd. En een jaar geleden is De Hamer gestart als formele plaatsvervanger van de CISO Rijk.
Kun je iets vertellen over hoe het selectieproces verlopen is en je indruk van de drie genomineerden?
“De indruk die ik heb van het proces en van de kandidaten is dat er echt zorgvuldig is gekeken naar hun achtergrond, door een multidisciplinair team aan juryleden. Er is heel breed gekeken naar wat dit voor CISO’s zijn. Wat brengen ze mee? Hoe vullen zij hun rol in? Want je hebt natuurlijk een heel scala aan interpretaties van de CISO-functie. Je moet dat ook nog zien in de context van het soort organisatie en haar volwassenheid. En waar binnen de organisatie de CISO die rol uitvoert.”
“Er is ook echt gekeken naar wat we van een CISO verwachten: de organisatie meenemen, leiderschap tonen, bestuursleden zó kunnen informeren dat zij snappen wat de juiste acties zijn en die ook laten uitvoeren. Maar het gaat ook over de volwassenheid van de CISO [en hoe deze met het bestuur omgaat]. Mijn indruk is dat daar drie heel sterke kandidaten uit zijn gekomen.”
Er is nogal wat aan de hand in de wereld. Dat vertaalt zich natuurlijk ook in een verhoogde druk op de CISO en op de manier waarop hij of zij zich intern verhoudt tot de organisatie. Je bent enerzijds gebaat bij een wat afstandelijke, beschouwende rol, maar je moet natuurlijk wel op incidenten reageren. Het lijkt mij moeilijk dat met elkaar te verenigen.
“Eens, dat denk ik ook. Het is ook een heel diverse rol. Aan de ene kant ben je aan het afstemmen, want je moet nu eenmaal het beleid formuleren waar de organisatie zich aan te houden heeft. Dat zijn de wat langere lijnen. En tegelijkertijd, als er wat gebeurt, ben je in één keer met de actualiteit bezig. Dat betekent dat je moet snappen wat een incident inhoudt. Je moet met de beheerafdeling kunnen praten en snappen wat zij zeggen. En je moet dat in een crisismanagementteam op zo’n manier kunnen vertellen dat de rest van de tafel snapt waar je het over hebt.”
“Ik denk ook dat dat ook een van de redenen is waarom het vak [in de praktijk] zo divers wordt ingericht. Elke CISO heeft een eigen achtergrond. De een komt uit de technische hoek, de ander uit de controllerhoek, of uit de hoek van het toezicht. De een heeft een bestuur dat meer afiniteit met het onderwerp [cybersecurity] heeft, de ander een bestuur dat meer uitleg nodig heeft.”
“Er is echt gekeken naar wat we van een CISO verwachten: de organisatie meenemen, leiderschap tonen, bestuursleden zó kunnen informeren dat zij snappen wat de juiste acties zijn en die ook laten uitvoeren”
“Ook als er geen incidenten zijn, zijn er wel zaken die opeens politieke aandacht krijgen. Of er gebeurt iets waar de media over schrijven. En dan heb je misschien niet eens een rol in crisismanagement, maar eerder een rol waarin je moet uitleggen wat iets doet met het dreigingsprofiel van de organisatie. Dus je bent op meerdere borden aan het schaken. Je moet dat fijn vinden, je moet het aankunnen.”
Ik denk dat een groot ego niet helpt, je moet veel kunnen incasseren?
“Ja, dat klopt. De CISO-rol wordt nog wel eens verenigd met afdelingshoofd. Dan moet je echt heel goed je prioriteiten [op orde] hebben. En dan moet je ook je mensen beschermen: zij zijn het echte kapitaal. Als je team niet sterk is, kun je ook geen sterke CISO zijn. Dus dat vraagt ook nog andere vaardigheden van je.”
In Europa speelt er een soevereiniteitsdiscussie. Het ziet ernaar uit dat het pragmatisme waar Nederland altijd zo sterk in was niet meer toereikend is. Links en rechts wordt er geschreeuwd om actie. Kun je daar iets over zeggen?
“Als CISO ben je continu bezig met risicomanagement en inschatten waar de risico’s zitten. Digitalisering is een-op-een verweven met je kerntaken. Als een niet-Europese aanbieder daarop invloed zou kunnen uitoefenen… dan doet dat iets met je risicoprofiel. Dus er moet beoordeeld worden of het acceptabel is of niet. Daar gaat het bestuur over, dat moet zeggen of iets een acceptabel risico is en wat het mag kosten. Gelukkig is er de Cyberbeveiligingswet, die gaat daar voor heel veel organisaties en sectoren iets betekenen. Want een bestuurder moet betekenisvolle betrokkenheid hebben bij het inschatten van risico’s.”
“Maar op het moment dat bepaald wordt dat het niet acceptabel is dat een niet-Europese dienstverlener kan ingrijpen in de kerntaken, moet je migreren. Daarvoor moet je een plan B hebben. En dat vraagt ontvlechting van een dienstverlener. Afhankelijk van het type dienst vraagt dat heel veel tijd en dat maakt het echt complex. Er zijn natuurlijk politieke overwegingen en het gaat om geld. Maar de overheid kán uitzonderingen maken op de normale aanbestedingsregels bij zaken die raken aan de nationale veiligheid, aan de hand van de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO).”
“Wat niet erg helpt, denk ik, is dat er een paar heel bekende, grote tech-aanbieders zijn. Niet heel veel organisaties hebben onderzocht wat bruikbare en levensvatbare alternatieven binnen Europa zijn. Wat ik wel mooi vind, is dat Sleeswijk-Holstein voor een [Europese] tech-stack heeft gekozen waar 40.000 ambtenaren mee werken.”
“Dus de alternatieven zijn er. Het ontbreekt alleen aan de durf om over te stappen. Daar moet aan gewerkt worden. Er zijn nog veel beslissers die hun gebruikers geen moeilijke stappen willen aandoen. Maar ik denk dat eindgebruikers wendbaarder zijn dan we ze inschatten.
