Suzanne: ‘Vertel eerst iets over jezelf. Hoe ziet jouw carrière er tot nu toe uit, in een notendop?’ Stef: ‘Dat begon twaalf jaar geleden bij de start van mijn carrière. Zo groen als gras met een hbo-diploma op zak, ontmoette ik een gevestigde naam uit de Nederlandse IT-audit community, professor Ronald Paans. Hij bood me de kans om de postdoctorale studie IT-audit aan de VU te doen en daarnaast ervaring op te bouwen in de praktijk. Na vijf leerzame jaren met intensieve opdrachten bij verschillende bedrijven, besefte ik dat mijn passie niet in de derde lijn ligt. Bij UWV kreeg ik de mogelijkheid ervaring in de tweede lijn op te doen als adviseur in een securityteam dat dicht tegen de Raad van Bestuur van UWV was gepositioneerd. Die rol heb ik ruim vijf jaar vervuld. In mijn huidige rol manage ik het Security Operations Team van het Cyber Defense Center (CDC) bij UWV. Werken in de eerste lijn is het allerleukste wat ik tot nu toe heb gedaan. Het is heel interessant om de “concrete realiteit” te ervaren van de processen en werkzaamheden. Dat is een totaal andere wereld dan die van beleid en normenkaders. Ervaring in alle drie de lines of defense kan ik iedereen aanbevelen’, aldus Stef.

In de tussentijd werkte Stef, naast zijn werk voor UWV, aan het onderzoek Digital Security Governance: From the Basement to the Boardroom. Stef hield daarvoor 75 interviews, voornamelijk met chief information security officers (CISO’s) en chief information officers (CIO’s), maar ook met security professionals van diverse grote organisaties in Nederland. Hij onderzocht verschillende DSG-implementaties en keek onder andere naar succesfactoren, maar ook naar elementen waar organisaties tegenaan lopen bij het implementeren van DSG.

Suzanne: ‘Vertel meer over je onderzoek. Hoe ben je bijvoorbeeld tot de onderzoeksvraag gekomen?’

Stef: ‘Tijdens mijn carrière heb ik altijd erg interessant gevonden om te zien hoe bestuurders aankijken tegen informatiebeveiliging. Waar een security professional soms de organisatie in brand ziet staan, is hetzelfde issue voor een bestuurder slechts één van vele uitdagingen op dat moment. Ik vond dat spanningsveld en allerlei vraagstukken rondom governance die hieromheen hingen fascinerend. Vanuit deze interesse is de basis gelegd voor de onderzoeksvraag van het promotieonderzoek. Zowel professionals als bestuurders hebben een mening over security governance en inrichtingsvraagstukken. Maar snappen zij eigenlijk wel wat zij zeggen? Kunnen zij de uitspraken ook onderbouwen? Waarom zorgen bepaalde governance structuren voor meer “veiligheid” dan andere, en wat zijn nu echt effecten en uitkomsten van bepaalde security governance mechanieken?  Uiteindelijk was het professor Abbas Shahim die mij in 2018 de mogelijkheid heeft gegeven om te starten met het promotieonderzoek bij het Amsterdam Business Reserach Institute (ABRI). Het was het begin van een hele intensieve, maar mooie reis aan de Vrije Universiteit (VU) Amsterdam.’

‘DSG wordt steeds meer benaderd als een strategisch thema’

Suzanne: ‘Kun je nog iets meer vertellen over waarom je onderzoek zich specifiek richt op Digital Security Governance?’

‘Het is een interessante tijd’, antwoordt Stef. ‘Organisaties moeten zich continu aanpassen, ze worden steeds meer digitaal gedreven en daarmee verandert ook nut en noodzaak van security. Als er iets misgaat door een cyberincident, raakt het in een sterk gedigitaliseerde omgeving niet alleen IT, maar de hele onderneming, met grote impact op de bedrijfsvoering als gevolg. Dat is een fundamenteel verschil in dit digitale tijdperk versus het meer analoge. Nog niet alle bestuurders begrijpen deze impact van security op hun digitale processen grondig genoeg. Dat uit zich nog altijd in bijna dagelijks nieuws over succesvolle cyberaanvallen. Kortom, ik ben van mening dat de digitale context sterk invloed heeft op de manier waarop je security moet behandelen. Daarom was digital de essentie van mijn onderzoek.’

Stef nuanceert dit vervolgens: ‘Overigens is dit geschetste beeld inmiddels (ruim 6 jaar na de start van het onderzoek) wel veranderd. DSG wordt steeds meer benaderd als een strategisch thema. Organisaties zijn steeds vaker intrinsiek gemotiveerd om te reageren op een stevig groeiend cybersecurity dreigingsbeeld (dat desastreuze impact kan hebben op de bedrijfsvoering). Dit komt zeker ook door verschillende externe factoren zoals toenemende wet-en regelgeving, hogere eisen in de Business 2 Business relaties, opstelling vanuit cliënten en burgers richting bedrijven etcetera. Toch is er zeker nog werk aan de winkel.’

Hoe organiseer je Digital Security Governance effectief?

Het viel Stef bij de eerste verkenning in de literatuur direct op dat er nog weinig is geschreven over digital security governance en hoe je dat organiseert. ‘Eerdere onderzoeken waren heel praktisch en weinig empirisch onderbouwd. Daarom was mijn inzet vooral om data te verzamelen en standpunten rondom dit onderwerp verder te onderbouwen. Uiteindelijk heb ik in mijn onderzoek 75 CISO’s en CIO’s geïnterviewd. Aanvullend is die data gecodeerd en vanuit verschillende theoretisch concepten beschouwd. Mijn onderzoek wil invulling geven aan het begrip DSG met als uiteindelijk doel om meer grip te krijgen en beheersing te vergroten.’

Gevraagd naar een voorbeeld, vertelt Stef: ‘Uit de interviews werd duidelijk dat organisaties ook niet het gouden ei hebben gevonden hoe je effectief je security governance realiseert. In de interviews werden in plaats van concrete voorbeelden van effectieve security governance, vooral issues, problemen en spanningsvelden naar voren gebracht als verklaring waarom de security governance niet succesvol was. Verdere duiding van deze problemen of goed begrip van waarom spanningsvelden bestaan en hoe je ze op moet lossen ontbrak. Een voorbeeld van een veelvoorkomend spanningsveld is security vs innovatie. Ondernemers hebben snelle go-to-market ambities, terwijl het inregelen van security tijd kost. Uit de data werd duidelijk dat organisaties dit spanningsveld afhandelen door een keuze te maken tussen sneller innoveren met minder security of langzamer de markt opgaan met meer security. Uit wetenschappelijke theorieën, zoals de zogenaamde paradox-theorieën, is al bekend dat het kiezen tussen het één of het ander geen duurzame of succesvolle strategie betreft om spanningen in een dynamische omgeving (zoals de digitale context) te tackelen. In de verschillende onderzoekspapers bespreken wij dit soort concepten en passen we die toe in de context van security.’

Hoe security governance ook business value kan creëren

Stef is in totaal zes jaar bezig geweest met het onderzoek. ‘Er zijn diverse iteraties geweest, maar uiteindelijk bestaat het proefschrift uit vier verschillende papers die gezamenlijk antwoord geven op twee hoofdvragen: 1) Hoe organiseren bedrijven hun DSG? 2) Hoe zorg je ervoor dat die governance effectief is?’

Suzanne: ‘Kun je hier meer over vertellen? Wat waren je bevindingen?

Stef: ‘Vanuit de literatuur wordt effectiviteit van security governance vaak uitgedrukt in relatie tot information security falen, oftewel het aantal incidenten. Ik vind dat een eenzijdige benadering, namelijk sterk gericht op beheersing. Governance zorg niet alleen voor beheersing maar ook voor het creëren van business value. Veel organisatie zien nog niet de relatie tussen het inrichten van security governance en het creëren van business value.’

Suanne: ‘Kun je hier voorbeelden van geven?’

‘Die voorbeelden zijn er zeker, maar ze zijn zowel in de literatuur als in de praktijk nog niet heel goed beschreven. In het onderzoek zagen wij voorbeelden waarbij het aantoonbaar op orde hebben van de interne security een onderscheidende factor kan zijn bij het sluiten van grote strategische miljardendeals. Dat security kan zorgen voor meer klantvertrouwen, helpt voldoen aan wet- en regelgeving en kan bijdragen aan de concurrentiepositie. Kortom security kan van strategische waarde zijn voor je organisatie.’

Over het onderzoek: Digital Security Governance: From the basement to the board room

Het onderzoek Digital Security Governance: From the basement to the board room bestaat uit vier papers.

  • Het eerste paper, Van basement to boardroom, schetst de hele introductie van DSG. Het bestaat grotendeels uit literatuuronderzoek en laat zien wat de trends zijn. Governance begint veelal als IT-gerelateerd onderwerp. Vaak wordt het daarna een businessthema van strategische aard dat uiteindelijk grote invloed heeft op het succes van organisaties op de lange termijn. Stef: ‘Vanuit die bril zijn we organisaties gaan bekijken. De uitkomsten waren verrassend. Ik verwachtte dat CISO’s een meer concreet beeld hadden over de inrichtingskeuzes rondom de security governance. Toch merkte je dat er nog veel onduidelijkheid en frustraties zijn over de vraagstelling.’
  • Stef: ‘In het tweede paper, proberen we aan de hand van theorieën over paradoxen en tensions, te verklaren waarom organisaties er niet in slagen een succesvolle beveiligingsgovernance op te zetten. Voorbeelden van dergelijke paradoxen zijn: innovatie vs security en institutionaliseren vs professionaliseren.’
  • In de derde paper wordt ingegaan op de vraag ‘hoe’ organisaties security governance-benaderingen effectief kunnen implementeren in de steeds veranderende digitale wereld. Stef: ‘We hebben specifiek gekeken naar de governance principes van High reliability organisations’. Dit zijn organisaties die kunnen opereren in een ‘hoog risico omgeving zonder fouten’. Denk aan nuclaire omgevingen of vliegdekschepen. Conclusie is dat wij daar nog veel van kunnen leren.’
  • Tot slot beschrijft de vierde en laatste paper een case-study die vooral aandacht besteedt aan het feit dat de organisatorische context van invloed is op de manier waarop security georganiseerd moet worden. De conclusie is -kort gezegd- dat er is geen “one size fits all” is.

Geen one-size-fits-all DSG-model

Het onderzoek van Stef bestaat uit vier papers (zie kader). Suzanne: ‘Wat waren de belangrijkste conclusies?’

Stef: ‘Eén van de belangrijkste conclusies van het onderzoek is dat er niet een one-size-fits-all generiek DSG-model bestaat. Een effectief governance-model is sterk contextafhankelijk. De keuze voor een centraal, decentraal, hybride of een geïntegreerd model hangt bijvoorbeeld sterk af van de fase van het bedrijf (start-up of volwassen organisatie) en of het een publiek of privaat bedrijf is. We hebben de voor- en nadelen, sterktes en zwaktes van security governance elementen deels kunnen verklaren. Op basis daarvan kunnen bedrijven deze context afhankelijke elementen meenemen in de keuze voor een model, dat wellicht het beste past (kijkend naar de fase waarin hun organisatie zich bevindt). Dit klinkt als een open deur maar organisaties maken niet vaak bewust de keuze voor een specifieke security governance model, omdat vaak niet duidelijk is wat dat specifiek model die specifieke organisatie gaat brengen. Het grootste deel van de organisaties heeft een (hybride) governance model dat organisch is gegroeid. Soms is het handig om voor een ander model te kiezen, bijvoorbeeld als je agile gaat werken. Ook na een impactvol securityincident zie je meer aandacht voor governance. Dan zie je organisaties opeens tempo maken met centraliseren om veiliger te worden. De vraag is hoe je dan nóg effectiever kunt worden en wat de rol is van de CISO daarin.’

‘IT-auditors mogen kritisch zijn op keuze DSG-model’

Suzanne: ‘Welke rol zie je voor IT-auditors weggelegd als het gaat om security governance?’

Stef: ’Ze kunnen veel toegevoegde waarde leveren in de vorm van advisering over wat ‘goed’ of effectief is. Doorgaans zijn auditors vaak gericht op het toetsen van controls in een bepaald kader of raamwerk. Governance elementen zitten niet altijd verweven in controls. En wanneer is iets goed ingericht? Een voorbeeld van een control is: rollen en verantwoordelijkheden zijn duidelijk belegd. Wat zegt een positieve bevinding over de effectiviteit ervan? Zijn ze rollen en verantwoordelijkheden inhoudelijk juist belegd en waar leidt dit toe? Auditors vinden het aannemen van de adviesrol vaak lastig, maar tegelijkertijd zie ik het als een belangrijke taak voor de auditor om juist richting boards dit soort gesprekken te voeren. Ze kunnen bijvoorbeeld adviseren over een ander type governance model op het moment dat het bestaande model niet (meer) past bij een organisatie. Kortom, auditors kunnen goed challengen wanneer welk model het beste past, afhankelijk van de contextuele factoren van een organisatie.’

Aantonen welke factoren bepalen of een DSG-model effectief is

Suzanne vraagt of er een vervolg op het onderzoek komt. Stef: ‘Naast mijn werk bij UWV  houd ik altijd ambities op het gebied van onderzoek doen. De insteek van mijn onderzoeken is grotendeels verklarend geweest. In toekomst zou ik nog beter specifieker willen aantonen welke factoren en mechanismes bij de verschillende DSG-modellen direct gerelateerd zijn aan of van invloed zijn op de effectiviteit. Uit een groot kwantitatief onderzoek bij universiteiten kwam bijvoorbeeld naar voren dat een centraal security governance model leidt tot minder security failures. Hoe kun je dergelijke onderzoeken uitbreiden naar de impact van security op business value. Moet een startup die secure by design hoog heeft hun innovaties altijd indammen met securitymaatregelen en kiezen voor een zwaar gecentraliseerd model? Of is uitgebreid experimenteren met veel vrijheid voor teams en afdelingen zelf voor security (decentraal model) toch handiger? Antwoorden lijken voor de hand liggend maar zijn nog niet voldoende onderzocht, als je het mij vraagt. Hoe werkt die wet van de communicerende vaten? Dat zou ik kwantitatief meetbaar willen maken. Niet alleen door interviews (wat toch enigszins subjectief is), maar vooral door het creëren van volume. Dat zou interessant zijn, bijvoorbeeld een survey naar bestuurders én besluitvormers (want het is een business vraagstuk) en dat combineren met data uit jaarverslagen. Natuurlijk moet je ook dan voorzichtig zijn met de interpretatie, maar het biedt ongetwijfeld interessante nieuwe inzichten.’

Reflectietool maken voor keuze DSG-model

Stef zou naast onderzoek ook graag de uitkomsten praktisch toepasbaar willen maken. ‘Bijvoorbeeld in de vorm van een reflectietool. Zodat je jezelf kunt afvragen welke contextafhankelijke elementen in jouw organisatie belangrijk zijn voor de modelkeuze. Nu kun je ook gemakkelijk self-assessments doen voor raamwerken zoals NIST en ISO27000. Naast goed ingerichte controls kan DSG ook van invloed zijn op de security performance. Als je daarin bewuste keuzes maakt, heeft het echt effect. Dat is nog niet eerder echt onderzocht. Er bestaan wel diverse best practises, maar hopelijk wordt het straks ook concreter met meer wetenschappelijk vervolgonderzoek. Uiteindelijk moet security beklijven in dna van de organisatie, en dat betekent in de cultuur. Dat doe je niet alleen door mensen verantwoordelijk te maken. Op alle facetten moet security in het dna worden doorgevoerd. Maar voordat dit stadium bereikt is, valt er nog zoveel te leren.’

Suzanne: ‘En ten slotte, Stef, hoe blijf jij zelf bij? Heb je specifieke inspiratiebronnen?

‘Hoe ik zelf leer en bijblijf? Leuke vraag omdat het raakt aan de essentie waarom ik ooit ben begonnen met het promotieonderzoek. Ik geloof heel sterk in de kracht van het combineren van praktijk en wetenschap. Door de relaties die ik heb opgebouwd en de passie die ik voor de academische wereld heb, blijf je altijd wel verbonden aan de universiteiten. Ik begeleid bijvoorbeeld diverse groepen studenten met hun scripties. Studenten zijn inventief, behandelen een groot scala aan onderwerpen en je moet ook echt goed de scripties lezen om goed feedback te kunnen geven. Maar ook het voorbereiden van colleges zorgt dat je zelf materie echt goed moet beheersen om het over te brengen. Daarnaast sta ik met “mijn poten in de modder” bij het Cyber Defense Center van UWV. Deze dynamiek zorgt er uiteindelijk voor dat je scherp blijft, denk ik.

Als je dan vraagt naar mijn inspiratiebronnen; daar heb ik er echt heel veel van. Maar waar ik uiteindelijk het meest van onder de indruk ben is als hele oude concepten nog altijd toepaspaar zijn. Thomas Hobbes – Leviathan uit 1651 is daar een mooi voorbeeld van. Ik zal de lezer niet verder vermoeien met de inhoud ervan, maar als je van filosofie houdt is dit een aanrader.’

Stef reflecteert ten slotte op het beroep van de IT auditor. ‘Ik merk dat het denkkader dat je meekrijgt als IT-audit of Risk professional zeer waardevol is. Dan doel ik specifiek op de beheeringsmindset en de AO/IC leer. Deze gedachtengang vormt je als professional en komt bij veel functies van pas. Geschoolde auditors kom je in de meest bijzondere rollen tegen. Kortom, aan alle lezers die auditor zijn, jullie hebben een mooie professie gekozen!’