Informatiebeveiliging, dat is toch allemaal heel technisch? Daar zat de twijfel van Marcel de Graaf toen hij via een detacheerder werd gevraagd voor de functie van informatiebeveiliger. Hij wilde juist een minder technisch vak. Na 23 jaar in deze functie kan hij beamen dat informatiebeveiliging veel breder is dan alleen programmeren. ‘Het gaat over verbinden en bewustzijn. De mens kan de zwakste, maar ook de sterkste schakel worden.’
Informatiebeveiligers zijn geen lastpakken, maar helpen graag
Marcel de Graaf
Ketenregisseur Informatiebeveiliging - Ministerie van Infrastructuur en Waterstaat
Publicatiedatum 30-05-2023
De keuze voor de Rijksoverheid
Na een loopbaan bij veel verschillende bedrijven en als ondernemer koos Marcel voor een vaste baan bij de Rijksoverheid. Hij wilde meer vrije tijd en ook wezenlijk iets bijdragen. ‘Het idee dat ambtenaren het rustig aan doen, dat bleek al snel onzin. Ik werk nog steeds hard, maar het is een ander gevoel. Het klinkt misschien cliché, maar het is mooi om iets aan Nederland te mogen bijdragen.’
Nederland veilig houden
‘Samen zorgen we dat we veilig kunnen leven in Nederland. Je merkt dat misschien niet dagelijks, maar bij kwetsbaarheden in de systemen helpen we. Denk aan onveilige software of bepaalde websites die offline moeten. We zorgen dat de processen en systemen veilig zijn. Dat bewaken wij met informatiebeveiliging. We worden weleens als lastig gezien, maar willen juist helpen.’
Spin in het web
Wat houdt het werk van Marcel nu precies in? Als ketenregisseur is hij de rechterhand van de teamleider. ‘Ik zorg voor de coördinatie van verschillende projecten en het contact met de buitenwereld. In veel projecten ben ik een soort spin in het web. Dankzij mijn grote netwerk kan ik makkelijk partijen aan elkaar verbinden. Bijvoorbeeld als er voor een nieuw systeem beveiligingseisen moet worden gedefinieerd. De projectleider wil zo snel mogelijk live, maar je hebt te maken met belangen in de politiek en moet afstemmen met bijvoorbeeld een chief information security officer (CISO), beveiligingsautoriteit of leveranciers.’
Informatiebeveiliging als een kasteel
Marcel vergelijkt informatiebeveiliging met klassieke beveiliging. ‘We zitten in een kasteel, in een kamer zonder ramen. We hebben wel een boekje met maatregelen, maar weten niet wat er buiten gebeurt. Op de balkons staan mensen te zoeken naar de vijand, maar we weten niet hoe die eruit ziet. Dan vliegt er ineens een vliegtuig boven het kasteel, terwijl we niet wisten dat er vliegtuigen bestonden. Zo is het ook in de informatiebeveiliging. We proberen er achter te komen waar de externe dreigingen zitten. Welke landen hebben ons in het vizier? Hoe kunnen ze aanvallen? En waar mikken hackers dan op? Dat willen wij in kaart brengen.’
Kennis bijhouden en delen
Het team van Marcel ontwikkelt zelf geen systemen, maar besteedt dit uit aan leveranciers. ‘Dat betekent overigens niet dat we minder verstand van techniek hoeven hebben. Je moet juist goed weten waar je het over hebt als je overlegt met een leverancier, of systemen beoordeelt. Zo gaan we op korte termijn een nieuwe tool aankopen waarmee we het internet kunnen afspeuren zoals een hacker dat doet. Dit geeft ons een goede indicatie van kwetsbaarheden. Ook delen we onze kennis van het team graag met collega’s. Een paar weken geleden organiseerden we een talkshow over ChatGPT. De opkomst was super met 460 deelnemers. Hopelijk weten we met het Tech event ook weer een hoop nieuwe collega’s te bereiken.’