Gemma werkt bij de Provincie Noord-Holland als CISO. Tijdens de bijeenkomst voor CISO's en OOV'ers eind mei gaf ze al een presentatie over het werk en de NIS2. De hoogste tijd om haar aan de tand te voelen via onze bekende interviewvragen, klik op lees verder voor het gehele interview!

1. Wat houdt je functie precies in en wat betekent dat in de praktijk?
Mijn rol heet CISO (Chief Information Security Officer) en in feite betekent dat, dat ik verantwoordelijk ben voor het proces waarbij we informatie & data risicomanagement faciliteren voor een organisatie.
Als illustratie: wat de CFO (Chief Financial Officer) doet voor het middel geld, doet de CISO voor het middel informatie en de onderliggende data. De organisatie mag zelf bepalen waar ze geld aan uitgeeft, als het maar volgens de kaders van het financiële proces verloopt en dat geldt hiervoor ook. Je mag binnen de door de CISO gestelde kaders ook zelf beslissen welke informatie en data je nodig hebt en waar vandaan, als je de risico’s aantoonbaar goed hebt gewogen en bewuste besluiten en maatregelen hebt genomen.

2. Wat is het ultieme doel binnen je functie? Waar sta je (als team) en waar wil je naartoe?
Los van wat er gewoon moet gebeuren, namelijk het proces van informatierisicomanagement up & running krijgen en mijn vurige wens dat het binnen organisaties beklijft wat die CISO nou eigenlijk echt voor je kan betekenen en dat ze die rol daarin ook passend invullen en faciliteren, heb ik best een groot ideaal. Hoe mooi zou het zijn als we op provinciaal niveau gewoon een soort van shared service kunnen bieden met best-practices voor beleid, het delen van risicoanalyses, advies/richtlijnen over de passende besturing in een organisatie, expertise over het borgen van cyber in Operationele Technologie (bruggen, gemalen, tunnels, verkeersregelinstallaties etc. etc,), ook wel Procesautomatisering? We hebben individueel beperkte resources en middelen en zijn dan ook nog bezig om eigen beleid te maken, zelf risicoanalyses te doen, zelf cyber in de Operationele Technologie te borgen etc. Why denk ik dan. Met zo’n aanpak kunnen we ons veel effectiever organiseren en daarbij makkelijker samenwerken om dingen echt voor elkaar te krijgen. Dat kan echt wel op een manier zodat iedereen zijn “couleur locale” houdt. En vanzelfsprekend, alles wat er dan op provinciaal niveau is, moeten we zeker aan gemeentes beschikbaar stellen.

3. Waar moet prioriteit aan gegeven worden bij de aanpak van cybercrime, wat jou betreft?
Eigenlijk terugkomend op het vorige punt: als we in onze rollen minder tijd verbranden met “vechten voor aandacht” en het begrip geland is dat je net zo met informatie/data moet omgaan als met geld, kun je effectiever integraal met elkaar samenwerken en vormen we een groter blok tegen de boze buitenwereld.  Dan krijg je TEAM werking: Together Each Achieves More :)

4. Welke cybercrime-case/werkervaring is jou persoonlijk het meest bijgebleven?
In de periode dat ik gedetacheerd was bij een publieke organisatie heb ik een nacht doorgehaald omdat op vrijdag einde middag bleek dat er “verdachte activiteiten” op het netwerk waren. Na wat contacten met de security partij bleek uiteindelijk om 11 uur ’s avonds dat zij “het ook niet meer wisten”. Uiteindelijk heb ik op verzoek van de CISO van de organisatie, die zelf een weekend weg was, de Amerikaanse verzekeraar gebeld en hebben we vervolgens 24 uur in een triage proces gezeten. Het is gelukkig goed afgelopen, en het was dodelijk vermoeiend maar ook ontzettend leerzaam. Wat mij ook is bijgebleven dat de 1^e persoon die aansloot van de organisatie zelf, pas op zaterdagochtend om 9 uur acte de présence gaf. Tot die tijd waren we alleen met de externen allemaal afkomstig van private organisaties, een mooi voorbeeld van een private/publieke samenwerking.

5. Heb je in je persoonlijke leven een cybercrime-ervaring meegemaakt?
Dat is gelukkig tot nu toe heel beperkt gebleven. Een hele goede vriendin van mij is slachtoffer geworden van What’s App fraude, het leek op een familielid die ze graag wilde helpen en vervolgens was ze 500 euro lichter. Wat mij daarbij bij is gebleven, dat je jezelf zo dom voelt, terwijl je gewoon keihard wordt opgelicht en slachtoffer bent.

6. Welke tip(s) heb je voor mensen om te voorkomen dat ze slachtoffer worden van cybercrime?
Besef dat ieder mens wel eens last heeft van het FOMO (Fear Of Missing Out) gevoel. Dat geldt niet alleen privé maar ook zakelijk. Zodra er ergens “druk” of “haast” achter zit, juist even niks doen. Of zoals Confusius al zei: Als je haast hebt, moet je gaan zitten. Bedenk: Wat is het ergste dat er kan gebeuren? Iemand wordt boos op je?  Nou jammer dan, je kunt dan goed uitleggen dat je een security maatregel hebt toegepast, degene die dat niet begrijpt, heeft zelf een probleem. Als tegenhanger hebben we trouwens inmiddels JOMO, de Joy Of Missing Out, best een leuke mindset!