‘Cybersecurity is geen IT-feestje’
Max Doorn (28) werkt als young professional Cyber Security bij GGZ-instelling Parnassia Groep in Den Haag aan een groot NEN-certificatieproject. Hij is kritisch en stelt soms lastige vragen, maar dat wordt bij Parnassia Groep gewaardeerd. In de toekomst wil hij waarschijnlijk aan de slag in nationale informatieveiligheid.
Young professional Max Doorn is in Nederland geboren en opgegeroeid en is deels van Russische komaf. Dat is in tijden van Russische agressie niet gemakkelijk. Zeker voor iemand met een passie voor mensenrechten en een master Internationale Betrekkingen, met als specialisatie oorlog. Max verdiepte zich in de oorlog in Oekraïne en het grijpt hem aan. Het valt hem zwaar er nu niet mee bezig te zijn. Zijn gevarieerde werk bij GGZ-instelling Parnassia Groep in Den Haag, geeft hem voldoening, waardering én de afleiding die hij nodig heeft. Het is een fijne omgeving waar Max goed en veel kan leren. “Ik wil werkervaring opdoen en het liefst in dienst van een maatschappelijk belang impact hebben. Als Information Security Officer bij Parnassia Groep kan dat.”
Hoe ziet die fijne werkomgeving eruit?
“Ik werk in een klein team met een CISO (Chief Information Security Officer), een Information Security Officer en een Privacy Officer. Mijn collega’s barsten van de vakkennis en werken hier al twintig jaar. Ik kom met een frisse blik van buiten en stel veel vragen. Dat wordt gelukkig gewaardeerd. Ze staan open voor vragen en constructieve kritiek. Daar leer ik veel van. We ondersteunen de zorgverleners van de Parnassia Groep op allerlei vlakken. Het dagelijks werk is veelzijdig en gevarieerd. We controleren en corrigeren beleid, we werken aan beveiligingsbewustzijn bij medewerkers, maar ik beheer bijvoorbeeld ook vijf mailboxen. Lange projecten, terugkerende thema’s en dagelijkse dingen doorelkaar.”
Wat vind je zo leuk aan cybersecurity?
“Het is relevant. In mijn ogen wordt de impact van technologie met de dag groter. We hebben steeds meer devices om ons heen die gegevens over ons verzamelen. Daar zit een groot maatschappelijk belang achter. Ik vind het interessant bezig te zijn met het tot mensen doordringen met betrekking tot het belang van informatieveiligheid. Nadat Snowden in 2013 de global surveillance programs van de Amerikaanse veiligheidsdienst NSA aan de grote klok hing, werd er vaak gezegd: ‘Ik heb niets te verbergen’. Ik denk dat mensen iets te verbergen zouden moeten hebben. Ze realiseren het zich niet, omdat ze er niet diep genoeg over nadenken. Cybersecurity is voor young professionals een goed werkveld om te starten. Je kunt er veel leren en tegelijk goed geld verdienen.”
Aan welk groot project werk je momenteel veel?
“Parnassia Groep werkt aan het verkrijgen van het NEN 75010-certificaat, een eis van onder andere opdrachtgever Gemeente Rotterdam. Dat certificaat draait om het aantoonbaar voldoen aan informatiebeveiligingsvereisten, het is een traject van 9 maanden. We doorlopen alle systemen op de relevante normen en eisen om te kijken of we eraan voldoen. Is dat niet het geval, dan stellen we verbeteringen voor. Het werk draait veel om communicatie en interactie met de rest van de organisatie, neem bijvoorbeeld de awareness-campagnes. Dat ligt mij wel.”
Waarom is dat certificaat zo belangrijk?
“Als Parnassia Groep niet aan de strenge eisen voldoet, bestaat het risico dat ze aanbestedingen mislopen. Veel zorginstellingen worstelen ermee vanwege een gebrek aan mankracht en resources. Vaak wordt informatiebeveiliging als een IT-feestje gezien. Dat klopt niet. De rest van de organisatie, van de directie tot de baliemedewerkers, moeten doordrongen zijn van het belang ervan. Wat wij doen kan door de mensen in de organisatie als vervelend worden ervaren. Ze moeten van ons bijvoorbeeld elke drie maanden hun wachtwoorden veranderen en hun computer vergrendelt zich na tien minuten als er geen activiteit is. Ook moeten ze overal 2-factor identificatie gebruiken. Dat zijn allemaal extra stappen die ze moeten zetten en dat is irritant. Maar het is wel nodig. Alhoewel veiligheid naar mijn idee een illusie is, is het toch belangrijk om na te streven. Cybersecurity is echter geen IT-feestje, daar moet iedereen aan werken.”
Heb je het gevoel dat je iets bereikt daarin?
“Jazeker. In elk geval meer dan bij mijn eerste opdracht, een vergelijkbaar project bij het UWV in Amsterdam. Daar werkte ik voor de afdeling Handhaving, die tot taak heeft fraudeurs op te sporen. De afdeling Handhaving moet voldoen aan de BIO, de Baseline Informatiebeveiliging Overheid. We hadden ook te maken met de Wet Politiegegevens, die strenger is dan de AVG. Het BIO-project is enorm groot en loopt door tot 2026. Ik heb daar een half jaar gewerkt, en had niet het gevoel dat ik veel heb bereikt. Bij Parnassia Groep is dat wel zo, ook omdat ik op verschillende terreinen van informatiebeveiliging actief ben.”
Zou je na je traineeship bij Parnassia Groep willen blijven werken?
“Dat weet ik nog niet. Het bevalt goed, maar het hangt af van de werkzaamheden die ik verder nog mag uitvoeren en van wat er nog meer op mijn pad komt. Ik heb de indruk dat ze positief over mij zijn en dat verlenging er misschien wel in zit. In de toekomst zou ik graag een rol in de nationale informatieveiligheid willen spelen, bijvoorbeeld bij het NCSC of de NCTV.”