Security Management

Security-management is hot. Van de introductie van het Chinese AI-model DeepSeek tot de discussie over een Nederlandse overheidscloud: security speelt overal een grote rol. Daarom biedt de module Security Management binnen de Master of Informatics aan Hogeschool Utrecht (HU) een solide mix van theorie en praktijk om actuele én toekomstige beveiligingsuitdagingen aan te gaan. Onder leiding van twee zwaargewichten uit de cybersecuritywereld – Ad Buckens (CGI) en Eelco Stofbergen (Sopra Steria) – zorgt deze module ervoor dat je niet wordt overvallen door de actualiteit, maar altijd een plan hebt.

Een koffer vol anekdotes

Ad: ‘Toen de HU ons vroeg deze module te ontwikkelen, zagen we meteen kansen. We gaven al regelmatig presentaties over security en waren direct enthousiast om onze praktijkervaringen te bundelen in een stevig traject. Inmiddels werken we al jaren samen en stoppen we al onze ervaringen uit de praktijk erin – inclusief een koffer vol anekdotes over hoe het wél en juist níet moet."

Eelco: ‘We zijn security-evangelisten. Security is altijd belangrijk geweest, maar door geopolitieke spanningen, nieuwe wetgeving en technologische ontwikkelingen krijgt het thema steeds meer gewicht.’

Ad: ‘Neem de onderzeese kabels. Ik heb al jarenlang een slide in mijn presentatie over de kwetsbaarheid van deze infrastructuur. Maar pas nu er daadwerkelijk sabotage plaatsvindt, staat het op de voorpagina en is iedereen in rep en roer.’

Wat zijn je kroonjuwelen?

Eelco: ‘Security Management is weliswaar een keuzemodule, maar volgens ons wel een cruciaal onderdeel van de Master of Informatics. Security is namelijk een ‘license to operate’ voor elke organisatie, maar dat betekent niet voor iedereen hetzelfde. De bakker op de hoek heeft andere veiligheidsissues dan De Nederlandse Bank. En het is een groot verschil of je te maken hebt met een statelijke actor die spioneert of een crimineel die je geld afhandig wil maken. Daarom beginnen we altijd met de vraag: wat heb je te verliezen? Wat zijn je kroonjuwelen? Vervolgens bepaal je de maatregelen om die te beschermen. Daarbij kijken we niet alleen naar techniek, maar ook naar beleid, controle, testen en zeker ook de menselijke factor. Zo pakken we top-down heel het vakgebied beet.’

Voor wie is de module bedoeld?

Ad: ‘De module trekt onder andere programmamanagers, teamleiders, chief information officers en IT-consultants die werken voor ministeries, gemeenten, het mkb en grote bedrijven. Ze houden zich bijvoorbeeld bezig met het implementeren van wetgeving in de organisatie of zorgen dat een datamigratie veilig wordt gerealiseerd. Wat ze gemeen hebben? Ze willen grip krijgen op de securityrisico’s in hun organisatie.’

‘Security management zit overal in je organisatie, wat betekent dat je soms softwareontwikkelaars aanstuurt op de naleving van veiligheidsstandaarden, om vervolgens met HR samen te werken bij het realiseren van veilig gedrag van medewerkers. Security is een van de bedrijfsrisico’s die je moet managen – niet meer, maar zeker ook niet minder. Het uiteindelijke doel van de module is dat studenten de securityrisico’s bij hun organisatie herkennen en weten hoe ze die in de hand moeten houden.’

Leren van elkaar

Eelco: ‘De diversiteit van de groep maakt het extra leerzaam. Iedereen brengt zijn of haar ervaringen, uitdagingen en vragen mee. Zo hadden we laatst iemand uit de nucleaire sector en iemand van een ministerie. De een had zorgen over radioactief materiaal, de ander over wet- en regelgeving. Zulke uiteenlopende perspectieven zorgen voor sterke discussies. Daar ruimen we tijdens de colleges ook veel tijd voor in. Om de theoretische kennis in praktijk te brengen doen we ook rollenspellen. Bijvoorbeeld over security-audits, waarbij we de studenten opdelen in een auditteam en een gecontroleerd bedrijf. We brengen onze eigen ervaringen in, zodat de theorie direct landt in de praktijk.’

Ad: ‘Afhankelijk van je voorkennis kan de module behoorlijk pittig zijn. Gedurende de module schrijven de studenten over tien onderwerpen een essay die samen het eindwerkstuk vormen. Daarnaast is er ook een afsluitend tentamen. Omdat het vakgebied grotendeels wordt gevormd door best practices, werken we vooral met thematische papers en documentatie over de relevante normen en standaarden. Echte standaardwerken zijn er niet. Ook wijzen we de studenten op interessante documentaires. Aanwezigheid tijdens de colleges is dus erg belangrijk, want daar worden de onderwerpen uitgebreid inhoudelijk behandeld.’

Er is weinig dat ons verrast

Eelco: ‘Het werkveld is continu in beweging, vrijwel iedere dag krijgen we met nieuwe dreigingen te maken. Toch is er, behalve de heftigheid waarmee een aanval soms gepaard gaat, weinig dat ons verrast. We leren onze studenten dat de drie belangrijkste factoren binnen ons vakgebied de (geopolitieke) dreiging, innovatie & digitalisering en wetgeving zijn. Het is niet de basis van ons vak die verandert, maar de omstandigheden en de context waarbinnen bepaalde zaken soms meer of minder urgent zijn. De zichtbaarheid van incidenten is ook toegenomen, denk bijvoorbeeld aan de ontploffende piepers van Hezbollah of vliegvelden die platliggen door een updatefout. Maar het fundament van security blijft overeind.’

Ad: ‘Zoals we hiervoor al zeiden, verschillen de dreigingen per bedrijf. Een vleesverwerker die samenwerkt met een omstreden slachterij krijgt andere risico’s op zijn bord dan een financiële instelling. Studenten krijgen de tools om hun eigen dreigingsmodel op te stellen en daarop in te spelen.’

Voorbij de waan van de dag

Eelco: ‘Neem AI of quantumcomputers. Natuurlijk zijn dat relevante ontwikkelingen, maar een veel belangrijker veiligheidsrisico is dat veel organisaties hun basisbeveiliging nog niet op orde hebben. Die verouderde systemen zijn een véél urgenter risico. Actuele onderwerpen adresseren we dus door ze in een breder perspectief te plaatsen, zo leren wij onze studenten om voorbij de hype te kijken en scherp te blijven op wat er écht toe doet.’ 

Ad: ‘Precies. Security gaat over vooruitdenken. Over snappen waar je kwetsbaarheden zitten, wat de dreigingen zijn en hoe je daarop anticipeert. Met deze module zorgen we ervoor dat je niet wordt overvallen door de actualiteit, maar altijd een plan hebt.’