People X
Ik ben werkgever Aanmelden traineeship

We spraken Olaf van der Tier, enterprise security architect en CISO, hoofdtrainer in ons Security Traineeship. In een uitgebreid gesprek deelde hij zijn ervaringen en visie op informatiebeveiliging, en lichtte hij toe hoe organisaties en young professionals dit vakgebied het beste kunnen benaderen. Van de dagelijkse operationele praktijk tot strategische architectuur: in dit blog zetten we de belangrijkste inzichten uiteen.

Wat is informatiebeveiliging volgens Olaf?
“Wat betekent informatiebeveiliging volgens jou?” vraagt Olaf aan de trainees tijdens de introductiedag van het Security Traineeship. Volgens hem verschilt dat beeld sterk, afhankelijk van achtergrond en interesses. Sommigen komen uit politicologie en kijken vooral naar beleid en strategie, terwijl anderen al praktisch bezig zijn met security processen.

Volgens Olaf gaat informatiebeveiliging in de basis over het creëren van een veilige omgeving: procedures, processen en technische maatregelen die organisaties in staat stellen veilig te werken. “Dat is de basis waarop alles verder wordt gebouwd,” zegt hij.

Security Management: Van uitvoeren naar aantoonbaar veilig werken
Na de basis volgt security management. Olaf legt uit: “Het gaat hier om meten, toetsen, monitoren en aantonen dat de maatregelen die je treft ook echt werken. Hoe ga je bijvoorbeeld om met AI als organisatie? Welke afspraken maak je, en hoe borg je die?”

Voor young professionals betekent dit dat ze leren werken met meetbare resultaten, processen en beleidskaders. Organisaties krijgen inzicht in hoe zij controle en aantoonbaarheid kunnen realiseren over hun securitymaatregelen.

Security Architectuur: Denken op strategisch niveau
Een stap verder is security architectuur. Olaf: “Daar kijk je niet alleen naar de dagelijkse praktijk, maar naar hoe je als organisatie strategisch richt. Past alles wat we doen bij de koers en het beleid van de organisatie? Welke keuzes maken we voor de lange termijn?”

Een concreet voorbeeld dat hij noemt: AI implementeren om bepaalde functies te vervangen. De strategische beslissing ligt bij het bestuur, maar de security architect beoordeelt of dit veilig kan en welke risico’s beheerst moeten worden. Zo wordt beleid gekoppeld aan strategie en risicoanalyse.

AI en Security: Kansen en Risico’s
Olaf benadrukt dat AI veel kansen biedt, maar ook risico’s met zich meebrengt. Hij stelt zichzelf vragen als:

  • Welke gegevens mogen in AI-modellen worden gestopt?
  • Hoe voorkom ik dat hackers gevoelige informatie misbruiken?
  • Kunnen we AI veilig inzetten zonder dat het hallucineert of verkeerde besluiten veroorzaakt?

Volgens Olaf zijn er drie grote risico’s:

  1. Publiekelijk toegankelijk maken van informatie: Onbewust delen kan leiden tot datalekken, zoals bij een Nederlands ziekenhuis gebeurde.
  2. Onbedoeld toegang geven tot gevoelige gegevens: AI-tools vinden soms informatie die medewerkers niet zouden mogen zien.
  3. Hallucinaties en foutieve data: Blind vertrouwen op AI kan leiden tot verkeerde beslissingen.

Zijn advies: gebruik agents. Dit is afgeschermde, op maat gemaakte AI die alleen toegang heeft tot gecontroleerde datasets. Zo kan AI veilig, gecontroleerd en effectief worden ingezet.

Inventarisatie en Risicoanalyse: De eerste stap in een organisatie
Olaf legt uit dat het werk altijd begint met een inventarisatie: Welke risico’s en bedreigingen bestaan er? Wat is de impact op de organisatie?

Daarna volgt een proces- en applicatie-inventarisatie: hoe verlopen gegevensstromen, welke systemen en applicaties worden gebruikt, en waar zitten risico’s in deze processen? Voor organisaties betekent dit dat ze kunnen zien waar ze kwetsbaar zijn en waar maatregelen nodig zijn.

Olaf maakt daarbij gebruik van standaarden en raamwerken zoals ISO 27001 of NEN 7510, gecombineerd met tools zoals ISMS of de ISO-planner, om informatie gestructureerd vast te leggen en te analyseren. Het is ook de methodiek om de effectiviteit van het ISMS en Informatiebeveiliging te borgen, te monitoren en evalueren. 

Drie lagen van informatiebeveiliging
Volgens Olaf kent een organisatie drie belangrijke lagen:

  1. Information Security Officer (ISO): Richt zich op operationele uitvoering van beleid en adviseert het bestuur en strategisch management.
  2. Chief Information Security Officer (CISO): Tactisch niveau, verantwoordelijk voor security management en langetermijnplanning.
  3. Security / Enterprise Architect: Strategisch niveau, werkt samen met business- en data architecten aan richtlijnen, principes en langetermijnvisie.

“Deze gelaagdheid zorgt ervoor dat zowel dagelijkse uitvoering als strategische richting goed beveiligd zijn,” aldus Olaf.

Waarom dit belangrijk is voor young professionals en organisaties
Voor young professionals biedt het traineeship inzicht in alle lagen van security, van operationeel tot strategisch. Voor organisaties is het cruciaal om een samenhangend beleid, management en architectuur te hebben, zodat ze veilig én toekomstbestendig kunnen opereren.

Olaf benadrukt: “Informatiebeveiliging is een continu proces. Het gaat om inventariseren, implementeren, monitoren en bijsturen. Door best practices te gebruiken en technologieën zoals AI verantwoord in te zetten, kan een organisatie zowel veilig als wendbaar blijven.”

Actueel

People X 2

Wat doet Chris als BI-Specialist bij TU Delft?

Collega’s binnen de organisatie mee krijgen op het gebied van data. Hoe doe je dat? Chris van Nierop y Sanchez implementeerde daar Tableau Tuesday voor bij TU Delft.

Lees meer
Sdp December 2020 35

Wat doet Michelle als BI-specialist bij Pluryn?

Binnen de zorg is veel vraag om data inzichtelijk te maken. Zo ook binnen zorgorganisatie Pluryn waar Michelle van Delden als Business Intelligence Specialist werkt.

Lees meer
SDP December 21 (50 Of 52)

Uitdagende projecten als BI Consultant bij Pinkroccade Healthcare

Hoe verwerk je data in zorgvuldige rapporten met heldere inzichten? Dat zijn uitdagingen die ook binnen de zorgsector spelen. Simon Baijens vertelt hoe hij dit doet en met welke uitdagende projecten hij bezig is binnen het datavakgebied.   

Lees meer