Voor Network C is het tijd om nieuwe netwerken aan haar huis toe te voegen. Dit in de geheel eigen stijl van kleinschalig, exclusief en intiem. ‘We hebben de afgelopen jaren ontdekt en van vele C-level executives en commissarissen gehoord dat we een fijne omgeving weten te creëren waar men zich veilig voelt en kwetsbaar durft op te stellen. Je ontmoet nieuwe mensen, spreekt met oude bekenden en dat zonder dat het commercieel aanvoelt’ geeft Amy Quik aan. ‘Ook wijzelf vinden dit het prettigst want op deze manier geven we iedereen de tijd en persoonlijke aandacht die wij belangrijk vinden en we mensen echt leren kennen.’
Een van de C-level-netwerken waar Network C in 2024 op zal inzetten is het CISO Netwerk. Ook hier gaan we in op de mens achter de functie, stellen we leiderschap centraal en leggen we cross-functionele verbanden. Deze drie pijlers komen terug tijdens de eerste CISO Top op 24 april 2024. Daar staat het thema ‘Make your Move’ centraal. Bewegen in een organisatie is net als schaken. De zet die je nu doet, maakt dingen mogelijk of onmogelijk. En het effect van jouw zetten hangt ook af van de medespelers en de omstandigheden. Welke inschattingen van je omgeving zitten achter jouw volgende zetten? En wat is je endgame?
Om het jaar met de CISO’s goed in te zetten ging Amy Quik in gesprek met Hans Quivooij, CISO bij Damen Shipyards. Zestien jaar al werkt hij – in verschillende rollen – bij Damen Shipyards, en sinds maart 2022 als CISO. Damen Shipyards: globaal opererend, met 35 scheeps- en reparatiewerven, 12.000 medewerkers wereldwijd en een uitgebreid netwerk van partners die Damen-schepen lokaal bouwen. Het concern ontwierp en realiseerde al meer dan 6500 schepen in 100 landen. Het bedrijf met de hoofdvestiging aan de Merwede in Gorinchem levert op jaarbasis zo’n 175 vaartuigen af.
De taak van CISO Hans Quivooij is in dat internationale kader van cruciaal belang. Want ontwikkelen van beleid, processen en procedures op het gebied van cyber security, het trainen in bewustzijn van de noodzaak van cyber security en risicomanagement staan in de mondiale scheepsbouwsector op pole position.
“Vroeger, en dan praat ik over nog niets eens zo heel lang geleden, stonden Architecture & Security ook wel bekend als Department of No”, vertelt Quivooij als hij op landgoed Prins Hendriksoord in Den Dolder, hoofdkwartier van Network C. “Maar de wereld is sindsdien sterk veranderd. Aan de CISO de taak om – het klinkt misschien wat badinerend, maar is zeker niet zo bedoeld – de organisatie als het ware op te voeden. Denk na, voor je in dat groeiproces weer een acquisitie doet of van plan bent nieuwe diensten te gaan aanbieden. Wat is de impact daarvan op je bedrijf? Ik zie de board graag als actieve promotor van security. Bij Damen Shipyards wordt die rol gelukkig vervuld!”
Target of opportunity, target of choice
Hans Quivooij kwam na ruim 19 jaar bij A. Hak Beheer als CIO te hebben gewerkt naar Damen Shipyard. Achtereenvolgens als ICT-coördinator, Manager Customer Demand, Manager Enterprise Architecture & Information Security, Data Protection Officer en – sinds anderhalf jaar – Chief Information Security Officer.
In het verleden had het concern een aantal keer te maken met incidenten. “Het ging niet altijd even goed”, aldus CISO Hans Quivooij, “maar van incidenten leer je. Never let a good crisis go to waste. Jaren geleden vond de board IT & Security enigszins eng, maar dat is verleden tijd. Nu hoeven we ons in de organisatie niet meer te verdedigen.”
Wat Quivooij de afgelopen anderhalf jaar bij Damen Shipyards heeft bereikt, waar de CISO trots op is? “Ik denk dat we in die tijd een stabiele basis voor onze digitale transformatie hebben neergezet, dat er organisatiebreed besef is van veiligheidsrisico’s. Er zijn geen grote incidenten rond security geweest, daar waar dat bij andere scheepsbouwers wel het geval was. Maar het dreigingsniveau was en is hoog. We zijn een maakindustrie, zijn wereldwijd actief, bouwen op locatie. Er kunnen altijd aanvallen zijn. Target of opportunity, target of choice. Dat laatste betekent specifieke aanvallen, met bijvoorbeeld gevaren voor onze supply chain. Overigens is onze defensietak compleet afgescheiden van onze commerciële activiteiten. In het defensiedomein is dat dreigingsniveau logischerwijs nóg hoger.”
‘Soms moet je als CISO die ‘pain in the ass’ zijn, je boodschap zó overbrengen dat die wordt geaccepteerd’
Als de deur goed op slot zit, zul je minder last hebben van inbrekers
“Het in dienst krijgen en vooral behouden van mensen is een uitdaging, er werd én er wordt op onze medewerkers gejaagd”, zegt Hans Quivooij. “Ik begon in 2008 bij Damen Shipyards, toen was de filosofie dat we onze zelfstandigheid moesten koesteren. Maar de wereld is sindsdien veranderd en ook de filosofie van Damen is daarin meegegaan. De CFO zei eens dat we de IT op elkaar moeten afstemmen. Want in het verleden werkte men op de ene locatie met HP, en op de andere weer met Dell, om maar een voorbeeld te geven. Ik ben hier destijds binnengekomen om al die bedrijven digitaal samen te brengen en om onze locaties te beveiligen.”
Om cyberaanvallen te kunnen voorspellen, wordt ook samengewerkt met bedrijven die meekijken op het dark web. “Bij Damen Shipyards geloven wij in gelaagdheid, in een paar extra ogen, die dienen als een soort van scheidsrechter”. Heeft iemand login gegevens van Damen, we willen die early warning krijgen, willen een attack voor zijn. Want het gaat maar door en je moet klaar zijn voor nieuwe ontwikkelingen. Denk aan Artificial Intelligence, dat zich momenteel in een stroomversnelling bevindt. Helaas doen ook cybercriminelen daar hun voordeel mee, waardoor je reactietijd om te detecteren korter wordt. Ja, een soort digitale wapenwedloop. Niet lang geleden was er een aanval vanaf de Amerikaanse oostkust. Iemand deed zich voor als Kommer Damen en vroeg een advocatenkantoor dat adviseerde bij een scheepstransactie om even 15 mille over te maken. Ze belden vanaf een Nederlands 031-nummer.
Storytelling
Zorgdragen voor die digitale beveiliging doet Quivooij al jarenlang samen met Aart Rupert, CDO bij Damen Shipyards. Als CISO werkt hij sinds 2021 zelfstandig met zijn team, al is er vanzelfsprekend voortdurend contact met de CDO. Amy Quik: ‘In een eerder interview met jouw collega Aart, zei hij: “Je moet dingen aan mensen uitleggen die hen, terecht, eigenlijk helemaal niet interesseren. Ze hebben belangstelling voor dat topje van de ijsberg, voor datgene boven het zeeoppervlak. Alles daaronder, het grootste deel van die ijsberg, is complex. Waar het dus om gaat, is hóe je die boodschap, jouw visie, overbrengt en mensen met dat verhaal weet te inspireren.”
“Helemaal eens met die woorden van onze CDO”, zegt Hans Quivooij, “Het grootste veiligheidsrisico is misschien wel dat je denkt dat jouw publiek je begrijpt. Maar de business zijde kijkt soms anders naar security dan mijn team en ikzelf. Zíj weten hoe ze een bedrijf moeten runnen, ík weet hoe datzelfde bedrijf moet worden beveiligd. Zaak is dus die complexe materie op een duidelijke manier uit te leggen. Wat zijn de risico’s? Maar even goed: wat zijn de kansen?
‘Tja, als je als bedrijf zichtbaarder wordt, gaan criminelen je naam vaker misbruiken.’
Gezamenlijk verdedigd: samenwerken aan cyber security
Data is het nieuwe goud, bij Damen Shipyards kwam dat besef al in een vroeg stadium. Predictive maintenance wordt op basis van die eigen Damen data al langer toegepast. En het award-winning Triton modulaire analyserende platform van de scheepsbouwer zorgt ervoor dat scheepsdata in real time kunnen worden gebruikt om bijvoorbeeld systemen aan boord met accurate instructies 24/7 in optimale conditie te behouden.
Damen Shipyards werkt niet alleen als het security betreft samen met partners. Ook als het gaat om toeleveranciers van onderdelen of de levering van scheepsaandrijvingen geldt die coöperatie. Worden eigen data gedeeld met bijvoorbeeld een multinational als Rolls-Royce, die veelal voorziet in de motoren van de Damen-schepen?
“We zijn daar terughoudend in, willen de controle over toegang tot onze eigen data behouden. We zijn bereid ze te delen, maar geven data niet weg. Anders hadden we ook nooit al die prijzen voor ons Triton platform gekregen”, zegt de CISO. “We realiseerden ons al in 2013 dat geen enkele organisatie safe genoeg was voor een blauwdruk en zijn met een blanco vel begonnen om nieuwe veiligheidsfundamenten neer te zetten. Met onder andere eigen datacenters in Amsterdam en Genève.”
Toekomstige gevaren die op de loer liggen en hoe die te neutraliseren? “Ik wil meer grip krijgen op – en inzicht krijgen in – de veiligheid van onze partners en leveranciers”, luidt het antwoord van Hans Quivooij. “En dan praten we over honderden bedrijven. Het Damen Operating System koppelt diensten, maar wel met het in acht nemen van controle. We hebben te maken met ongeveer 600 security incidenten per maand. Vaak zijn er clicks, maar is er uiteindelijk niets loos. Onze analisten kijken gemiddeld verder naar zo’n 200 events en onderzoeken vervolgens nog eens dertien zaken. Maar dankzij onze al eerder genoemde sterke gelaagdheid in beschermingsopbouw, waren er tot dusver, afkloppen op hout, geen exfiltraties.”
Op 24 april organiseert Network C haar eerste CISO Top. Een kleinschalige en intieme bijeenkomst voor zo’n +/- 30 CISO’s. ‘Door dit interview krijg ik nog meer zin in deze bijeenkomst en ik kan niet wachten om iedereen hier te mogen verwelkomen.’ aldus Amy Quik. Meer informatie vind je hier: https://cisotop.nl/.