Als CISO/Adviseur Informatiebeveiliging (a.i.) bij de GGD Groningen verantwoordelijk voor het identificeren en inventariseren van risico's rondom informatiebeveiliging, om er vervolgens voor te zorgen dat de juiste maatregelen op een passende wijze worden in- en uitgevoerd.

Als adviseur informatiebeveiliging breng ik een unieke combinatie tussen technische expertise en bedrijfskundig inzicht, met praktische, technische hands-on ervaring. Wat mijn aanpak onderscheidt, is niet alleen mijn technische bagage, maar ook mijn vermogen om soepel te schakelen tussen verschillende gesprekspartners. Ik navigeer net zo gemakkelijk door de boardroom als door technische discussies met die-hard techneuten.Mijn ervaring heeft me geleerd om complexe technische concepten te vertalen naar begrijpelijke taal voor het hoger management, waardoor ik effectief hun betrokkenheid en goedkeuring kan verkrijgen. Tegelijkertijd ben ik in staat om diepgaande technische discussies te voeren en respect te verdienen van techneuten op alle niveaus. Daarbij ben ik niet alleen gefocust op het adresseren van bestaande technische en organisatorische uitdagingen, maar ook op het definiëren van een toekomstgericht verandertraject.Door deze veranderingsgerichte benadering streef ik naar een organisatie waar informatiebeveiliging niet enkel een prioriteit is voor het Security-team, maar daadwerkelijk is geborgd in strategie, structuur, cultuur en (IT-)middelen. Laten we samenwerken aan het creëren van een solide basis voor informatiebeveiliging, waarin vanuit continue verbetering wordt gezorgd voor een veilige en veerkrachtige toekomst.

In mijn huidige functie als Information Security Officer bij het waterschap Hunze en Aa’s speel ik een centrale rol bij het versterken van de volwassenheid van de BIO-implementatie binnen het waterschap.Ik houd me bezig met het analyseren van kwetsbaarheden binnen het IT-landschap van het waterschap en het doen van voorstellen ter verbetering. Hierbij neem ik de leiding in het prioriteren van mitigerende maatregelen en het coördineren van verbeteracties, wat resulteert in een verhoogde weerbaarheid tegen potentiële bedreigingen.Daarnaast is een van mijn taken het onderzoeken van security-incidenten. Hierbij neem ik niet alleen de analyse op mij, maar adviseer ik ook over corrigerende maatregelen om herhaling te voorkomen. In het kader van continue verbetering implementeer ik ook preventieve maatregelen om de kwaliteit van de incidentrespons te verhogen.Ook ben ik betrokken bij het uitvoeren van risicoanalyses en het verstrekken van advies over te nemen maatregelen voor diverse waterschapsobjecten. Mijn benadering is proactief, gericht op het anticiperen op en beheersen van beveiligingsrisico's.In mijn rol als Information Security Officer draag ik ook bij aan het ontwikkelen van talent binnen het waterschap door twee trainees informatiebeveiliging te begeleiden. Mijn betrokkenheid is gericht op het overdragen van kennis en het stimuleren van groei in het vakgebied.

In mijn rol als Security Officer omvatte mijn takenpakket een dynamische mix waarbij ik operationeel werd ingezet als SOC-analist en daarnaast werkte aan de continue verbetering van het Security Office zelf.Als SOC'er was ik verantwoordelijk voor het oppakken en afhandelen van meldingen vanuit het XDR/SIEM-platform. Dit operationele aspect van mijn rol stelde me in staat om proactief te reageren op beveiligingsincidenten en bedreigingen. In mijn rol als forensisch analist onderzocht ik incidenten, wat heeft bijgedragen aan het versterken van de beveiligingscapaciteiten en geleid heeft tot waardevolle inzichten in de detectie en respons op geavanceerde dreigingen.Op tactisch niveau droeg ik bij aan de continue verbetering van het Security Office door procedures voor incidentbeoordeling en -afhandeling uit te werken en in te richten. Hierdoor werd de respons op beveiligingsincidenten verder verbeterd.Mijn multidisciplinaire benadering als Security Officer, gecombineerd met zowel operationele als tactische betrokkenheid, stelde me in staat om effectief bij te dragen aan de algehele veiligheid en weerbaarheid van de organisatie.

In mijn functie als Security Officer was ik nauw betrokken bij de uitvoering van risicoanalyses, het opstellen van beleid en het verstrekken van advies met betrekking tot actuele security-vraagstukken.Een van mijn bijdragen was het uitvoeren van risicoanalyses in het kader van de ISO 27001-hercertificering voor diverse ontwikkelteams. Hierbij heb ik gewerkt aan het waarborgen van informatiebeveiliging in overeenstemming met de vereiste normen.Daarnaast heb ik bijgedragen aan het opstellen van security-eisen binnen verschillende inkooptrajecten en aanbestedingen, waarbij mijn expertise heeft geleid tot het waarborgen van een veilige IT-infrastructuur.

Met mijn werkzaamheden binnen Surity bouw ik voort op mijn jarenlange ervaring als adviseur bij achtereenvolgens TNO, Twynstra Gudde, SIG en Insite Security. Met die ervaring op zak werk ik nu samen met Stefan Zevenberg en Wolter Lalkens aan mijn eigen adviesbureau op het gebied van informatiebeveiliging.Surity onderscheidt zich van andere adviesbureaus op het vlak van informatiebeveiliging door de bijzondere combinatie van (harde) technisch inhoudelijke en (zachte) veranderkundige expertise. Dit komt tot uiting in onze visie op informatiebeveiliging en onze aanpak van verbeterprojecten. Surity gelooft in bottom-up, participatie vanaf de werkvloer en pragmatische, proportionele oplossingen. Alleen dan is duurzame verandering mogelijk.In mijn rol als adviseur help ik organisaties bij het inrichten van processen en procedures rondom informatiebeveiliging. Door middel van dreigings- en risicoanalyses creëer ik samen met opdrachtgevers het inzicht waarmee ze de juiste maatregelen kunnen selecteren en implementeren. Een belangrijk element daarbij is het realiseren van draagvlak bij medewerkers door ze in te schakelen bij het bedenken van passende oplossingen.

Als adviseur en auditor bij Insite Security heb ik organisaties geholpen bij het verbeteren van hun informatievoorziening en informatiebeveiliging. Daarbij heb ik altijd gekeken naar proces, techniek en organisatie en heb ik altijd gezocht naar een inrichting die past bij de volwassenheid en de cultuur van de organisatie. Met mijn technische en organisatiekundige achtergrond en ervaring heb ik daarbij hard en zacht gecombineerd en heb ik ernaar gestreefd organisaties te helpen een blijvende verbetering te realiseren.

Vanuit de procurement practice bij SIG heb ik klanten geadviseerd over het inkopen van informatiesystemen. Daarbij gebruikte ik niet alleen mijn ervaringen met (Europese) aanbestedingen, maar hielp ik ook bij het specificeren, selecteren en contracteren.Uitgangspunt vormde daarbij het ISO-kwaliteitsmodel voor software, dat ik gedurende de gehele levenscyclus van een systeem hanteer. Binnen dit kwaliteitsmodel kijk ik naar niet-functionele aspecten als onderhoudbaarheid, performance, betrouwbaarheid en security. Aan de hand van deze ISO-norm stel ik tijdens de specificatiefase objectieve kwaliteitseisen voor het te ontwikkelen informatiesysteem op. Vervolgens gebruik ik deze eisen om samen met de opdrachtgever de beste partij te selecteren. Ook bij het opstellen van het contract met die opdrachtnemer gebruik ik exact dezelfde kwaliteitseisen, die vervolgens ook tijdens het ontwikkelproces continu worden gemonitord. Dit betekent in de praktijk dat er zeer snel bijsturen mogelijk is en niet - wat vaak gebeurt - pas bij de eerste acceptatietesten blijkt dat het systeem niet voldoet.

De Software Improvement Group (SIG) is een bureau voor IT-consultancy dat zich richt op het verbeteren van software. Tijdens de ontwikkeling, maar ook bij het gebruik door de business. Advisering op basis van feiten vormt de kern van onze dienstverlening en dankzij de ondersteuning van ons technisch lab en geavanceerde analysesystemen gaan we daarin een stuk verder dan andere adviesbureaus. Het belangrijkste verschil wordt gemaakt door onze broncodeanalyse. Daarmee analyseren we de kwaliteit van de software - onder de motorkap. Overal waar de kwaliteit van de software onder de maat is (denk aan onderhoudbaarheid, security, betrouwbaarheid, performance etc), ontstaan risico's. Onze technische consultants zijn in staat om zeer grote en complexe informatiesystemen in beperkte tijd te analyseren en hun bevindingen te vertalen in technische risico'sAls general consultant vertaal ik de technische risico's naar de bedrijfsrisico's en zoek ik naar oplossingen om de impact van deze risico's voor de opdrachtgever te minimaliseren. Deze oplossingen komen in de vorm van concrete aanbevelingen die gebruikt kunnen worden voor het bijsturen van IT-ontwikkelprocessen of het veranderen van de IT-organisatie. Vervolgens monitoren we de impact van onze aanbevelingen en rapporteren voortgang en - wanneer noodzakelijk - verzorgen we verdere bijsturing. Met deze transparantie vergroten we bewustzijn en inzicht en stellen we managers in staat om weer te vertrouwen en de controle los te laten. Dat schept ruimte voor andere - wellicht belangrijker - zaken.

Bij Twynstra Gudde adviseerde ik met name op het grensvlak tussen organisatie en IT. Business-IT alignment is een term die - zeker toentertijd - de lading van het merendeel van de uitgevoerde projecten dekt. Opdrachtgevers waren met name te vinden bij de overheid: rijk, provincies en gemeenten, maar ook waterschappen en ZBO's. Ik heb bij Twynstra Gudde veel specifiek 'TG-denkbeelden' meegekregen. Natuurlijk verandermanagement en het kleurendenken. Iets dat nog dagelijks hulp biedt bij stakeholder-analyses en begrijpen van verhoudingen tussen personen of groepen personen. Daarnaast ben ik door het TG-gedachtegoed rondom project- en programmamanagement beïnvloed en merk ik dat het structureren van activiteiten volstrekt logisch is en automatisch gaat.Ook heb ik bij Twynstra Gudde mijn eerste Europese aanbestedingen begeleid. Bij deze IT-aanbestedingen merkte ik dat ik vrij makkelijk een schakel kon vormen tussen IT, inkoop, de 'business' en juristen.

Als programmamanager verantwoordelijk voor de afronding van een programma op het gebied van netcentrisch opereren. Daarbij aansturing gegeven aan enkele projecten en de eindrapportage verzorgd.

In het begin met name als 'wetenschappelijk medewerker' betrokken geweest bij projecten op het gebied van informatievoorziening. Daarbij vervulde ik rollen als informatieanalist, informatiearchitect of onderzoeker. Later veelal ingezet als projectleider op projecten rondom genetwerkt optreden, nieuwe informatiesystemen, internationale samenwerking of technologiedemonstraties.