Achtergrondartikel


Gerrie de Jonge, Directeur IT en CISO bij PostNL:

‘De wereld van het hacken vindt iedereen interessant’


“Security wordt vaak nog gezien als strafwerk.” Aan IT-directeur en CISO Gerrie de Jonge de taak om ervoor te zorgen dat security in ieder geval binnen PostNL een stuk leuker wordt. Die missie werpt haar vruchten af. “Ik merk dat ik inmiddels veel meer spreektijd krijg bij de managementteams en besturen.”

PostNL is als ‘onmisbare schakel tussen verzenders en ontvangers van post en pakketten’ een van de grootste werkgevers van Nederland. Maar het bedrijf is ook buiten Nederland actief en telt verspreid over dertien landen in totaal 49.000 werknemers. Die omvang maakt PostNL ook kwetsbaar, constateert Gerrie de Jonge. “We zijn een groot bedrijf met veel mensen en veel vestigingen waardoor je dus heel gemakkelijk binnenkomt.”

Ook de aard van het bedrijf zorgt er volgens De Jonge voor dat PostNL een grote verantwoordelijkheid voelt voor haar klanten. Zodat klanten niet ‘potentieel kwetsbaar’ zijn via PostNL. “PostNL is betrokken bij 75 procent van alle e-commercetransacties in Nederland waardoor we een aantrekkelijke ingang zijn voor hackers. Onze app staat op miljoenen mobiele apparaten en we communiceren op dagelijkse basis met miljoenen klanten.”

Vak apart en tegelijkertijd integraal onderdeel
Deze ‘potentiële kwetsbaarheid’ is volgens De Jonge de reden dat security binnen PostNL niet alleen hoog op de agenda staat, maar ook als een ‘vak apart’ wordt gezien. Dat ‘vak apart’ valt echter wel onder de verantwoordelijkheid van een IT-directeur. PostNL heeft er dus bewust voor gekozen om de rol van CISO te combineren met die van IT-directeur. “Anders wordt het zo’n ‘losgezongen functie’ waarin wordt gezegd ‘ik ben klaar, het rapport is geschreven, doe er maar wat mee’”, aldus CISO De Jonge die als IT-directeur verantwoordelijk is voor de IT van de pakkettendivisie van PostNL.

“Wij vinden security dermate belangrijk dat het onderwerp met regelmaat op de agenda van het bestuur terugkomt”, licht De Jonge toe. “Als IT-directeur heb ik security als integraal onderdeel van mijn lijnverantwoordelijkheid en moet ik mezelf ook op het gebied van security iedere dag weer waarmaken. Als IT-directeur ervaar ik iedere dag hoe belangrijk security is. Niet in de laatste plaats omdat ik en mijn collega’s er ook privé last van hebben. Het bewustzijn is gegroeid en daarmee interesse in het onderwerp.”

Security toegankelijk gemaakt
De geschetste constructie heeft er volgens De Jonge ook voor gezorgd dat security bij PostNL uit de ‘compliancehoek’ is gehaald, uit ‘de hoek van de vinkjes’. “Security wordt vaak nog gezien als vervelend, als strafwerk opgelegd door security-officers die zich gedragen als luizen in de pels. We doen bij PostNL aan security omdat we dit willen en erin geloven. Mensen willen van nature weten hoe het zit, wat er gebeurt en hoe het is te voorkomen. De wereld van Cyber Security is best spannend. Het maakt mensen gedreven. In die energie is het heerlijk om met mensen hierop samen te werken.”

PostNL zet meerdere middelen in die ervoor moeten zorgen dat security als leuk wordt ervaren. Zo organiseert De Jonge social engineering-events waar de medewerkers worden uitgedaagd om ergens binnen te dringen, of juist zelf op de proef worden gesteld om te kijken of ze bijvoorbeeld in een phishing-e-mail trappen. Een succesformule zijn volgens De Jonge de ‘security in a day’-trainingen. “Tijdens deze training laten we mensen bijvoorbeeld zelf hacken en wachtwoorden kraken; iedereen vindt immers de wereld van het hacken interessant. Ook vragen we: ‘Wat zijn volgens jullie de kroonjuwelen van dit bedrijf, en hoe moeten we die beter beschermen?’”

“De medewerkers zijn laaiend enthousiast over deze trainingen en komen echt anders terug ten aanzien van security”, constateert De Jonge. “Iedereen vindt ‘denken als een hacker’ leuk, en als consument zijn onze werknemers er ook dagelijks mee bezig. Als consument ben je dagelijks bezig met nadenken over wat je wel en niet moet doen, en dat moet je als werknemer ook doen.”

Bijzondere keuzes
Het resultaat van de inspanningen is volgens De Jonge dat er veel meer bewustwording is gekomen binnen PostNL en dat het onderwerp hoog op de agenda is komen te staan. “Ik merk dat ik als CISO veel meer spreektijd heb gekregen bij de managementteams en besturen tot aan de raad van commissarissen toe. Door de invulling die we geven aan het onderwerp security trekken we er bovendien ook de aandacht mee.”

“Wij zijn als PostNL ook wel vrij bijzonder in de keuzes die we maken”, vindt De Jonge. Dat gaat verder dan bijvoorbeeld de keuze om de CISO-rol te beleggen bij een van de IT-directeuren. Als voorbeeld haalt hij de Chief Privacy Officer aan die PostNL vorig jaar heeft aangenomen. “Veel bedrijven hebben ervoor gekozen om de bescherming van privacygevoelige data te beleggen bij een juridische of compliance- en auditafdeling. Wij hebben ervoor gekozen om dit bij IT neer te leggen, en hebben nu als IT-afdeling dus ook privacyspecialisten aan boord.”

“Door de Chief Privacy Officer onder te brengen bij IT lijkt het misschien alsof de slager zijn eigen vlees keurt”, onderkent De Jonge, “maar door de synergieën die er zijn tussen privacy en security is het toch een logische keuze. Security en privacy zijn een beetje broertje en zusje; in beide gevallen gaat het over data die worden opgeslagen op systemen en moet je er uiterst zorgvuldig mee omgaan zonder dat het business development in de weg zit. Aan de Chief Privacy Officer de taak om een kader op te stellen waarbinnen we nieuwe diensten kunnen ontwikkelen. Privacy is een heel groot goed waar we zuinig op moeten zijn. De klant moet goed worden voorgelicht: ‘dit heb ik van je, dit doe ik ermee en dit niet.’ Op die manier plaats je een klant in de positie om zelf een besluit te nemen over het gebruik van zijn data.”

Vooruitstrevende cloudstrategie
Een andere ‘bijzondere keuze’ betreft de cloudstrategie van PostNL. Een aantal jaren geleden werd al het besluit genomen om volledig ‘in de cloud’ te gaan. Als eerste stap werden de laptops vervangen door thin clients die verbinding maken met virtuele desktops in de cloud. “Maar daarmee waren de bedrijfsapplicaties nog niet cloudgebaseerd”, aldus De Jonge.

De afgelopen jaren is er hard gewerkt om de circa vijfhonderd bedrijfsapplicaties naar de cloud te brengen, en dan bij voorkeur naar een public-cloudomgeving. Enkele cruciale toepassingen zijn in een private cloud geplaatst om zo de controle te behouden over de belangrijkste assets. “We zijn eigenlijk geen enkele applicatie tegengekomen die niet in aanmerking kwam voor een migratie naar de cloud”, memoreert De Jonge. “In een hybride model geloven wij ook niet, want dan blijf je met verschillende deliverymodellen zitten en benut je niet de volledige voordelen van de cloud.”

In control
“Ik denk dat we door onze beweging naar de cloud beter ‘in control’ zijn gekomen”, zo concludeert De Jonge. “De gedachte dat je zelf je Fort Knox kunt bouwen, is achterhaald; zeker de grote cloudproviders zijn veel beter geëquipeerd om onze gegevens te beveiligen. Door met meerdere partijen in zee te gaan, hebben we bovendien ‘de boel uit elkaar getrokken’.”

“We hebben uiteraard wel een control framework opgezet waarmee we onze leveranciers bevragen en controleren. Samen met Motiv hebben we bovendien het vulnerability management opgezet dat we nu als een beheerde dienst afnemen. Hiermee wordt gekeken of de systemen van de leveranciers nog helemaal up-to-date zijn. Dan moet je uiteraard wel delen van de stack zelf beheren. Bijvoorbeeld bij Office 365 heeft vulnerability management helemaal geen zin, want in dat geval weet je niet eens waar de dienst draait, waarop en wat het besturingssysteem is.”

“Per cloud zijn we nu in control”, besluit De Jonge. “De stap die we nu maken, is om over al die verschillende ketens heen goed in control te zijn en dat ook bewijsbaar te maken.”


Dit artikel is eerder verschenen in Motivator Magazine, voorjaar 2016.

Lees meer over