Security is heel wat meer dan een verdediging tegen malware en virussen opzetten. Daarom zijn Maarten Mostmans en Jan Vanhaecht bij Deloitte dan ook actief in enterprise risks services (ers) waar technologie samengaat met inzicht, en jawel, creativiteit.

In een services-praktijk vormt het een uitdaging om technologische finesse te koppelen aan een inzicht in de noden van de klant, en dat te communiceren in een klare, verstaanbare (business-)taal. Voor ‘security’ is dat zelfs een meer dan levensgrote uitdaging.

CREATIVITEIT IS BELANGRIJK!

Als director ers bij Deloitte in België, heeft Maarten Mostmans al zijn hele carrière in het wereldje van security doorgebracht – bij security-specialisten zit de drang of de interesse er vaak echt van bij de start in. Met een diploma burgerlijk ingenieur computerwetenschappen (KU Leuven) onder de riem, rolde hij samen met een aantal mede-afgestudeerden meteen een nieuw en ‘hot’ spin-off bedrijf binnen; het security-pioniersbedrijf NetVision van Stijn Bijnens. Met zijn netwerkkennis en software-ontwikkelingsexpertise was het voor een cw’er in 1998 immers “maar een kleine stap naar security operations. Dat was toen nieuw.” En blijkbaar was het tevens in de lijn van Mostmans’ belangstelling voor computers van kindsbeen af, waar de vondst van een virus op de pc van zijn vader zeker heeft bijgedragen tot de belangstelling voor security.

Vandaag is het zowel de complexiteit en de breedte van het onderwerp dat Mostmans blijft boeien, evenals de veelheid aan activiteiten daarrond in verschillende sectoren, naast adviezen en producten. Zijn belangstelling voor producten leidde Mostmans overigens vervolgens naar Symantec, maar in 2007, na het volgen van een MBA, ging hij volop voor security vanuit een bedrijfsoptiek. Hij ging voor vragen in de bedrijven als “waarom doe je die investering in security? Wat moet ik doen? Doe ik genoeg? En de antwoorden hierop moesten worden vertaald naar een bedrijfstandpunt.”

Die uitdaging vond Mostmans dan bij Deloitte, waar hij security breder, meer als een beheer van risico’s zag, met strategische aspecten als ‘governance’. “Je krijgt een vraag van de bedrijfsleiding en dat resulteert in strategische beslissingen.” Voor Mostmans is het dan ook een ‘must’ dat security-mensen nood hebben aan een domeinkennis, “om de organisatie waarvoor je werkt te begrijpen, en de echte security-noden te kennen.”

Ook Mostmans onderstreept hierbij het belang van de ‘ingesteldheid’, de ‘mindset’, die nodig is om het niet aflatend spel van ‘kat en muis’ aan te kunnen. “Creativiteit is heel belangrijk voor security-consultants, om het probleem in kaart te brengen en een oplossing te creëren.” Je moet immers in staat zijn wat buiten de lijntjes van de normale en goede werking te denken, om risico’s en gevaren te onderkennen en in te schatten. Meer dan de klassieke security vormt de huidige cybersecurity meer een ‘business problematiek’.

Kan hij nog dat alles bijbenen? “We werken in een team, want één persoon kan moeilijk nog alles kennen”, relativeert hij de druk. Door de continue veranderingen blijft het een veeleisende job, en zijn er heus wel comfortabelere ict-jobs. Maar tevens is het toch ook een kwestie van, jawel, “passie!” Met ook hier, een vleugje van “wereldverbeteraar.”

HET BESTE UIT DE MENSEN

Jan Vanhaecht, senior manager ers bij Deloitte, rolde de securitywereld binnen vanuit een iets andere richting. Als licentiaat computerwetenschappen (KU Leuven) had hij meer oog voor mogelijke fouten in toepassingen, en wat er kan mislopen. Hij kreeg een bredere kijk op security wanneer hij tijdens een stage te maken kreeg met de noodzaak om de veilige werking van een organisatie door te lichten, inclusief de risico’s die software hierbij kon veroorzaken. “Je wil niet dat een gebruiker toegang krijgt tot foute data, en zo onbewust in de fout gaat met mogelijk zware gevolgen.” Het had hem ook bij softwaretesten en quality assurance kunnen doen belanden – “we werken trouwens samen met hen” – maar in een eerste project kreeg Vanhaecht te maken met de problematiek van gepersonaliseerde informatie en de noodzaak om een oplossing voor toegangs- en gebruikscontrole uit te werken. Omdat hij in die rol te vaak iets “onmogelijk maakte,” verkaste hij liever naar een bedrijf als Deloitte waar het meer gaat om “iets mogelijk te maken.” Immers, “je wil niet door al te veel af te schermen, de mogelijke en wellicht niet meteen te verwachten voordelen van een deling van data mislopen. Door alles in een te strak stramien te gieten, mis je opportuniteiten.” En ja, dat is een afwegen van “rewarded risks ten opzichte van unrewarded risks“, aldus Vanhaecht. Tegen de tweede soort wil je je ten alle tijde beschermen, maar de eerste soort is een kwestie van afwegen, want “zonder risico’s geen winst!”

Wat security dan ook zo boeiend maakt voor Vanhaecht is “de combinatie van mijn technische achtergrond met hoe we iets kunnen laten renderen. En daarnaast moet je ook uitleggen waarom iets nodig is.” Immers, niet alleen moet een project technisch perfect werken, maar tevens moet het gebruik voor iedereen makkelijk zijn. De bedrijfsdoelstellingen en ict op elkaar afstemmen is al een uitdaging, maar door het kat-en-muis spel met de hackers is security dat nog meer. “Wij worden geprikkeld om het juiste antwoord te geven”, aldus Vanhaecht, en tegelijk daarbij “het beste te halen uit de mensen.” Voor Vanhaecht is het dan ook leuk werken naast de eindgebruiker, en met hem van gedachten te wisselen over wat deze doet, of zou kunnen doen. Of zonder verhalen over aanval ‘X4 of ‘Z’ duidelijk te maken waar je de meeste security-baat bij hebt, zonder in paranoia te vervallen.

Wat de toekomst betreft, is het voor Vanhaecht een must dat “de fascinatie blijft. De opportuniteiten [in de werking van een organisatie] blijven vinden, is wellicht het moeilijkste.”

“Ik ben nu al 10 jaar bezig het zelfde probleem op te lossen, en het is nooit dezelfde oplossing.” Ook bij hem leeft de passie voor het onderwerp, zoals die schier universeel bij cybersecurity-mensen hoger opflakkert dan bij eender welke andere ict’er. Dit is geen job om den brode, maar een passie waar je uren bezig bent met berichten, in blogs snuistert en andere bronnen met extra informatie zoekt, “haast 24/7.” Een inzet die je universeel bij iedereen in de cybersecurity-wereld aantreft.

Guy Kindermans