Cyber security consultants-, architecten en analisten: allemaal doen ze iets anders. Maar wat dan precies? In dit artikel vertelt Jean-Marc, Cyber security consultant bij IP4Sure meer over zijn werk én het veranderende security landschap.
Wil je jezelf voorstellen?
“Haha, we hadden dit twee weken eerder moeten doen. Dan was ik nog 39 geweest. Maar ik ben dus Jean-Marc, 40 jaar en Cyber Security Consultant bij IP4Sure. Zoals mijn functietitel – in de hele algemene zin – zegt, adviseer ik klanten op het gebied van IT-beveiliging. Ik heb ook nog een functie als Interne Security Officer en ben lid van het SOC-team.”
Wat doet een Cyber Security Consultant dan precies?
“Nou, ik help bedrijven bij het inrichten en verhogen van hun cyber security. En het maken van keuzes daarin. Het is geen commerciële functie overigens; ik geef echt technisch advies. Ik verzorg ook de implementatie van security pakketten. Denk aan antivirus software, IDR systemen en VM systemen.”
Waarom ben jij als Cyber Security Consultant onmisbaar?
“Oei, dat vind ik een moeilijke vraag. Uiteindelijk is iedereen vervangbaar he? Nee, ik ben onmisbaar omdat er bij klanten over het algemeen een gebrek aan tijd, kennis en prioriteit is op het gebied van cyber security. De IT-afdelingen van organisaties zijn vaak ontzettend druk en worden opgeslokt door de waan van de dag. Vaak doen ze vanwege tijdgebrek de security erbij (of helemaal niet). Dat levert risico’s op. Als externe los ik die tijd- en prioriteitsproblemen voor ze op.
Ik hoef namelijk niet in de waan van de dag op de IT-afdeling te functioneren. Hierdoor ben ik écht alleen bezig met security en niet andere zaken zoals systeembeheer. Zo krijgt security alle nodige aandacht die het verdient. Want het is niet alleen maar het installeren van een antiviruspakket. Het is een optelling van allerlei zaken bij elkaar die de cyber security naar een hoger niveau tillen. Ik leg daarin de relatie en stel de juiste prioriteiten.”
Je klinkt gepassioneerd; waar is die passie begonnen?
“Mijn interesse in IT is denk ik begonnen toen in aanraking kwam met de eerste spelcomputers van mijn oudere broers. Die hadden een Commodore 64. En dat was meteen heel interessant. Dat begon met de spelletjes zelf – ik ben een nakomertje, dus ik was toen echt jong – maar op een gegeven moment groeide dat verder op de middelbare school. Toen kregen we computerles. Ik vond bijvoorbeeld Excel heel interessant; dat je getallen invoerde en dan met formules er allerlei dingen mee kon doen en automatiseren. Dat is wel een beetje waar het begonnen is, ja.”
Over je baan als consultant: hoe ziet een werkdag eruit?
“Meestal begin ik om half 9 op kantoor. Die tijd kies ik zelf; de werktijden zijn volledig flexibel in te delen. Dus ik kies ook zelf hoe laat ik naar huis ga. Eenmaal binnen haal ik eerst mijn koffie en ga ik op mijn plek zitten. Voor het SOC-team behandel ik eventuele meldingen van beveiligingsincidenten. Ook neem ik tijd om wat security nieuws te lezen en voor een kort praatje met collega’s. (Dit gaat vaak over techniek of de gadgets die we thuis hebben!)
Dan begin ik aan het project dat die dag op de agenda staat. Soms ben ik een hele dag aan één project bezig, maar een andere dag heb ik juist weer 5 afspraken bij klanten. Ook neem ik natuurlijk tijd voor lunch. Die bestaat uit mijn eigen boterhammen óf uit een broodje die we van het werk krijgen. Ik vind het fijn om zeker een aantal dagen op kantoor te zijn, al heb ik door Covid-19 natuurlijk ook veel thuisgewerkt. Ook de locatie waar ik werk is vrij flexibel, maar voor mij is meer dan 2 dagen thuis werken echt geen optie. Het liefst ben ik op kantoor.”
Wat is het leukste aan je werk?
“Wanneer een klant erg enthousiast is over de securityoplossingen die ik aandraag en ik merk dat hij er volop mee aan de slag wil gaan. Er zijn veel klanten waarbij ik een enthousiast iemand aan de lijn krijg, maar als daar door het management niets gedragen wordt, dan krijgt die enthousiasme alsnog niet alle ruimte. Het is dus extra fijn als je samen kan werken met een bedrijf waar al veel draagvlak is. Dat zijn mooie projecten!”
Wat is volgens jou een cyber security doodzonde?
“Het niet hebben van MFA. Een belangrijke actuele ontwikkeling is dat passwords alleen niet meer sterk genoeg zijn. Op het moment dat er geen extra factor aan zit aan de buitenkant, ben je tegenwoordig écht heel erg kwetsbaar. Ook het totaal niet hebben van een password policy vind ik een zonde. Want is een wachtwoord al 10 jaar niet veranderd? Dan voldoet die vaak niet aan de huidige tijdsgeest waarbij een wachtwoord lang en ingewikkeld moet zijn. Een kort wachtwoord is zo gekraakt.”
Zijn er nog meer ontwikkelingen die je interessant vindt?
“Als je het hebt over aanvalstechnieken, dan is ransomware wel de grootste verandering. Dat is echt aan het toenemen. Maar niet alleen de aanvalstechnieken zijn in ontwikkeling, ook hetgeen dat we willen beveiligingen. Vroeger was alles onpremise, maar nu woekeren cloudomgevingen. Klanten hebben niet meer één tastbare plek waar alles staat. Daardoor verandert de kijk op waar je beveiliging toe moet passen en waar je gegevens staan.”
Tot slot: hoe ervaar je het werken bij IP4Sure?
“Dat is helemaal niet zo’n moeilijke vraag. Want het unieke aan IP4Sure is de flexibiliteit die er is. Niet alleen in werktijden, maar in de breedste zin. Je zit niet in een gigantisch team waarbij je door een planner opdrachten krijgt en elke keer hetzelfde trucje moet doen. Dus we hebben de vrijheid om dingen aan te pakken waar we van groeien. Dat is fijn.
En verder nog de onvoorwaardelijke steun én het vertrouwen vanuit het management. Dat vertrouwen is heel hoog. Het motiveert me het beste uit mezelf naar boven te halen, want die ruimte krijg je echt. Daardoor kan je echt in een ontspannen sfeer je werk doen!”
Een interview met iemand anders?
Wilt u meer lezen over het werk van een Security Architect? Of een Ethical Hacker? Laat het ons weten, dan komt er binnenkort een artikel over!
