Cybersecurity is tegenwoordig meer dan alleen een technisch aspect van moderne bedrijfsvoering. Het gaat niet alleen over het beschermen van systemen en IT-infrastructuur, maar ook over bewustzijn, risicobeheer en een bedrijfscultuur die zich bewust is van de dreigingen en de noodzaak om ze effectief aan te pakken. In dit artikel gaan we in gesprek met Barry Bastiaansen, die sinds 2019 de rol van Chief Information Security Officer (CISO) bij Steinweg bekleedt. Hij deelt zijn inzichten over hoe cybersecurity een cruciale rol speelt bij het beschermen van informatie, het veiligstellen van klantgegevens en het voldoen aan de eisen van financiële instellingen en (potentiële) klanten.
De aanleiding voor de CISO rol
De rol van een CISO is in 2019 in het leven geroepen bij Steinweg. Barry was de eerste die deze verantwoordelijkheid op zich nam. Waarom ontstond deze behoefte aan een CISO eigenlijk? Barry legt uit: “Je kunt eigenlijk alles herleiden naar die grote cyberaanval in de haven bij APM Terminals in 2017. APM Terminals werd slachtoffer van een aanval vanuit Rusland op een Oekraïens boekhoudkantoor waar ze zaken mee deden. Deze aanval had ernstige gevolgen, met systemen die niet meer werkten en back-ups die verdwenen. Dit had aanzienlijke financiële gevolgen voor APM Terminals en creëerde angst in de Rotterdamse haven.”
Deze cyberaanval bracht het besef dat er meer aandacht moest naar cybersecurity bij Steinweg. Dit leidde tot de zoektocht naar een CISO bij Steinweg om informatiebeveiliging op een hoger niveau te tillen.
Tekst gaat door na de afbeelding.
De uitdagingen bij een historisch bedrijf
Steinweg heeft een lange geschiedenis, die teruggaat tot meer dan 175 jaar. Deze rijke geschiedenis heeft het bedrijf opgebouwd tot een wereldwijd opererend logistiek bedrijf met tal van divisies. Barry merkt op dat de historische wortels van het bedrijf zowel voordelen als uitdagingen met zich meebrengen. “De lange geschiedenis van Steinweg heeft geresulteerd in veel verschillende systemen en divisies”, zegt Barry. “Dit leidde tot een cultuur van ‘wij zijn uniek’, wat op zichzelf natuurlijk heel positief is, maar ook leidde tot het ontwikkelen van aangepaste software en systemen.”
Deze legacy systemen waren moeilijk te upgraden en vormden een groeiend beveiligingsrisico. Barry benadrukt het belang van het standaardiseren van systemen om de beheersbaarheid te verbeteren. “We zijn de organisatie wereldwijd aan het standaardiseren, wat betekent dat we dezelfde IT-systemen en software gebruiken, van Rotterdam tot China”, legt hij uit. Deze stap naar standaardisatie maakt de IT-omgeving beter beheersbaar voor uniforme informatiebeveiliging wereldwijd.
Een veranderende bedrijfscultuur
Het aanpakken van cybersecurity is niet alleen een kwestie van technologie en systemen, maar ook van mindset en bedrijfscultuur. Barry merkt op dat de oorspronkelijke focus van Steinweg voornamelijk operationeel en commercieel gericht was. Die focus is door de jaren heen verschoven; de organisatie beseft vandaag de dag maar al te goed hoe belangrijk het is om systemen en informatie te beveiligen. “Steinweg is groot geworden door zich te concentreren op operationele en commerciële aspecten”, zegt hij. “Maar in de huidige tijd zijn er ook randzaken, zoals compliance aan wetgeving en regelgeving, veranderingen in communicatiestrategieën en andere randzaken die van invloed zijn op de commerciële activiteiten.”
Tekst gaat door na de afbeelding.
Training phising e-mails herkennen
Het introduceren van cybersecurity en informatieveiligheid vereist dat medewerkers anders naar problemen gaan kijken en bewust worden van de risico’s. Het is niet langer voldoende om alleen naar operationele efficiëntie te kijken; risicomanagement en informatieveiligheid moeten in de hele organisatie worden ingebed. Een besef dat leeft bij Steinweg en waarnaar gehandeld wordt. Een voorbeeld is de training die medewerkers krijgen om phishing-e-mails te herkennen. “We merken dat mensen enthousiast deelnemen aan de trainingen. Dit gaat op een natuurlijke manier, we zetten hier niet te veel druk achter. Gamification speelt hierbij een rol. Medewerkers kunnen badges verdienen en hun vaardigheden verbeteren. Bovendien stimuleert de mogelijkheid om phishing-e-mails te melden en feedback te ontvangen het bewustzijn en de motivatie.”
De rol van cybersecurity bij klanttevredenheid
Cybersecurity is primair gericht op het beschermen van interne informatie, maar heeft ook invloed op de tevredenheid van klanten. Barry legt uit: “Informatiebeveiliging is van cruciaal belang voor Steinweg, omdat we vertrouwelijke informatie van klanten behandelen. Onze klanten kunnen erop vertrouwen dat hun gegevens veilig zijn bij ons. Informatiebeveiliging is een integraal onderdeel van de hoogwaardige diensten die we aan onze klanten leveren.”
De toekomst van cybersecurity bij Steinweg
Terwijl Steinweg zich blijft inzetten voor het verbeteren van cybersecurity, staan er nog meer uitdagingen op de horizon. Eén van de belangrijkste ontwikkelingen is de implementatie van SAP wereldwijd. Barry legt uit: “We werken aan het wereldwijd implementeren van SAP, met als kernwaarde ‘One Company’. We willen dat onze processen en IT-systemen overal ter wereld uniform zijn, wat de beheersbaarheid en beveiliging ten goede komt.” Deze wereldwijde implementatie zal echter niet zonder uitdagingen verlopen, aangezien elk land en elke divisie zijn eigen unieke kenmerken heeft. Cultuurverschillen en de behoefte aan lokale aanpassingen zullen moeten worden aangepakt. “Dat hoort bij een grote, internationale organisatie als Steinweg. Ik ben ervan overtuigd dat de implementatie succesvol zal verlopen.”
Toenemende wet- en regelgeving
Naast interne inspanningen en IT-implementaties wordt Steinweg ook geconfronteerd met veranderende wet- en regelgeving op het gebied van cybersecurity. Barry wijst op de NIS 2-wetgeving die op handen is in Europa. Deze wetgeving heeft betrekking op netwerken en informatiesystemen en legt strengere beveiligingseisen op. “We bereiden ons voor op deze wetgeving door delen van de organisatie als ‘belangrijk’ aan te merken, wat resulteert in verhoogde beveiligingsmaatregelen.”
Het is duidelijk dat informatiebeveiliging niet alleen een kwestie van technologie is, maar ook van bewustzijn, risicobeheer en een verandering in bedrijfscultuur. Terwijl de wereld van cybersecurity evolueert, blijft Steinweg zich inzetten om klantgegevens te beschermen en aan de eisen van financiële instellingen, klanten en wetgevers te voldoen.
Gepubliceerd op: 10 oktober 2023