"Je hebt bij elk soort IT-activiteit mensen nodig die afgezonderd hard werken aan een product zelf, en mensen die goed kunnen uitleggen aan niet-IT'ers waar een product of dienst goed voor is. Maar niet iedere IT'er heeft het in zich om ook security-specialist te worden. Daarvoor moet je bepaalde eigenschappen hebben, buiten de technische vaardigheden om die van een IT'er verwacht mogen worden," meent Henry Meutstege.

Meutstege is als manager binnen IM&IT verantwoordelijk voor security binnen Achmea. In de strategie voor de consumentenmarkt heeft Achmea als doel opgenomen de meest vertrouwde verzekeraar te zijn. Op security-gebied zal zich dat onder meer vertalen naar een zo veilig mogelijke manier van omgaan met informatie, zowel intern als naar buiten toe, vertelt Meutstege.

Security wordt steeds belangrijker in een wereld waar online activiteiten de gewoonste zaak van de wereld zijn. De race van organisaties om cybercriminelen voor te blijven, of in ieder geval niet achterop te raken, is een enorme uitdaging, weet Meutstege. "Toch is dat wat noodzakelijk is, wil je het vertrouwen van consumenten krijgen en behouden. Als wij hen de mogelijkheid bieden om online zaken met ons te doen, dan moeten zij zeker weten dat dit ook veilig is."

Security richting puberteit

Met een team van inmiddels 23 medewerkers heeft Achmea de afgelopen twee jaar een aanzet gegeven tot een integrale aanpak van digitale veiligheid, zowel intern als naar buiten toe. Meutstege: "We hebben een goede basis gelegd, zijn continu bezig met het vertalen van bedreigingen en risico's naar maatregelen, met het verbeteren van bestaande veiligheidsniveaus. Maar als je het in termen van leeftijd zou bekijken, dan zitten we nog niet in de puberteit."

Security is dan ook bepaald niet een rechttoe rechtaan fenomeen. Als IT al continu in beweging is, dan geldt dat nog meer voor de securityrace. Voorkomen is beter dan genezen, maar als er een incident is, dan moet dat ook zo snel mogelijk opgepakt worden. Bovendien staat security niet los van de medewerkers en de processen in een organisatie.

Meutstege streeft er nadrukkelijk naar medewerkers bewust te maken van de noodzaak om op een bepaalde manier met informatie om te gaan. Medewerkers bewust maken van de risico's van phisingmail en hoe zij deze kunnen herkennen, is een aparte tak van sport. "Technisch gezien kunnen we al vrij veel, maar de menselijke factor is vaak de zwakste schakel. We zijn daarom ook bezig met een groot bewustwordingsproject."

Alle ambities vergen meer werk dan met het huidige team mogelijk is. Eind 2014 wil Meutstege op zeker 30 medewerkers zitten. Deels moet die uitbreiding komen van pas afgestudeerden, deels van senior specialisten. Die laatste groep is al een stuk moeilijker te vinden. Daarnaast zorgt de specifieke mindset die een security-specialist nodig heeft, voor een verdere beperking van de vijver waarin gevist kan worden.

De mindset van een security-specialist

Wat volgens Achmea nodig is bij een security-IT'er, is iemand die te vergelijken is met een ethische hacker, dezelfde gedachtegang en vaardigheden, toegepast op een goede manier.

Nieuwsgierigheid is in ieder geval een must, de neiging om verder te kijken en out-of-the-box te denken. Ook vasthoudendheid is belangrijk, meent Meutstege. "We krijgen regelmatig enorme hoeveelheden data binnen, waar we de juiste informatie uit moeten filteren. Het is vaak een enorm gepuzzel en af en toe monnikenwerk om daartoe te komen. Dat is meteen een derde belangrijke eigenschap, goed kunnen puzzelen, een scherp analytisch vermogen."

Wat volgens Meutstege ook heel belangrijk is, is een goed gevoel voor de omgang met gevoelige informatie. "Wat mag er bijvoorbeeld wel of niet naar buiten gebracht worden over security-incidenten, wat is wel of niet verantwoord om medewerkers op Facebook of Twitter te laten zetten? Dat is een vaak onderschat aspect van security, om daar een juiste balans in te kunnen vinden."

Scherp houden

Altijd verder willen kijken, de werkelijkheid een kwart slag draaien als je op de gebruikelijke manier niet verder komt, niet van opgeven weten, goed kunnen puzzelen en inlevingsvermogen zijn belangrijke competenties. "Dat soort vakmanschap moet je ook voortdurend scherp houden. Dat kan voor een klein deel met trainingen, maar daarnaast houden we realistische 'brandoefeningen' om de scherpte er in te houden."

Meutstege: "Vaak merk je al tijdens een sollicitatie of iemand over die eigenschappen beschikt. We vragen ook bewust door, want we kunnen het ons niet veroorloven om niet de juiste persoon op de juiste plek te hebben. IT moet werken, anders raken medewerkers en klanten gefrustreerd. Maar IT die niet goed beveiligd is, dat kan afbreuk doen aan je reputatie, wat nog veel meer impact heeft."

Dat betekent overigens niet dat de security-specialist los staat van de rest van IT. "Juist niet, want security maakt integraal onderdeel uit van de hele IT-infrastructuur, maar ook van alle processen waar informatie aan te pas komt. Security is iets dat iedereen aangaat. Het moet vooraf geïntegreerd worden in de IT-infrastructuur en geborgd worden in de organisatie. Er moet een goede communicatie zijn om incidenten snel te detecteren en aan te pakken. Dat is de uitdaging die veel organisaties de komende jaren moeten oppakken."