Fabian Doodkorte: “Die ketenverantwoordelijkheid wordt ook steeds groter”
Volgens Fabian vraagt dat om een andere manier van denken over security. Niet alleen gericht op de eigen systemen, maar op de hele waardeketen. “We zijn allemaal onderdeel van elkaars weerbaarheid. Als 1 schakel zwak is, voelt de rest dat direct.”
Security by design als norm
Binnen zijn organisatie werkt Fabian aan beleid dat verder gaat dan het behalen van certificeringen. ISO 27001, TISAX en NIS2 zijn belangrijke kaders, maar volgens hem is volwassenheid meer dan compliance. “De organisaties die het goed op orde hebben, nemen security vanaf het begin mee. In elk project, in elke beslissing. Dat is wat ik bedoel met security by design and by default.”
Die aanpak vraagt ook iets van de interne samenwerking. “Vaak wordt security gezien als iets van IT, maar dat is slechts 1 deel. Mijn scope als CISO gaat veel verder,” legt hij uit. “Ik breng mensen samen: engineers, kwaliteitsmanagers, compliance officers. Security wordt pas sterk als het in alle disciplines verweven zit.”
Fabian stelt dat het verschil tussen reactief en volwassen gedrag vooral in de manier van denken zit. “Zodra security nog als een apart onderwerp wordt gezien, weet je dat er werk aan de winkel is. Volwassen organisaties zien het als onderdeel van de normale bedrijfsvoering. Net zo vanzelfsprekend als veiligheid op de werkvloer.”
Ketenweerbaarheid vraagt samenwerking
De maakindustrie leunt op lange ketens van leveranciers, partners en klanten. Dat maakt security niet alleen complexer, maar ook collectiever. “We toetsen leveranciers op certificeringen als ISO 27001 of SOC 2,” zegt Fabian. “Maar als ze die nog niet hebben, helpen we ze verder. Security is iets wat je samen opbouwt.”
Hij beschrijft hoe zijn organisatie werkt met maturity-assessments voor leveranciers. “We sturen een vragenlijst waarin ze zichzelf kunnen beoordelen op processen, beleid en incidentrespons. Op basis daarvan schatten wij het risico in en vragen we om verbeterplannen. Bij grotere leveranciers voeren we soms een audit uit. Maar het belangrijkste is het gesprek. Je wil weten: hoe pakken ze het aan, hoe denken ze erover, hoe leren ze ervan?”
Die samenwerking werkt 2 kanten op. “Wij leveren ook aan klanten die dezelfde eisen stellen. Zo ontstaat een soort keten van verantwoordelijkheid. Je merkt dat iedereen elkaar scherper maakt. Dat is precies het effect dat de NIS2 beoogt.”
IT, OT en de kracht van detectie
In de productieomgeving vervagen de grenzen tussen IT en OT steeds verder. Dat vraagt om een andere manier van denken over monitoring. “Je kunt niet zomaar een patch draaien als een machine 24/7 productie draait,” zegt Fabian.
Hij gelooft daarom in use case-gebaseerde monitoring, waarbij specifieke scenario’s zijn uitgewerkt. “We meten niet alleen data, we weten ook wat die data betekent. Van detectie naar validatie en containment - dat proces moet strak georganiseerd zijn.”
Hij geeft een voorbeeld: impossible travel. “Als iemand in korte tijd inlogt vanuit twee landen zonder dat er een reis is aangemeld, blokkeren we het account direct. Niet over 3 uur, maar meteen. Dat klinkt streng, maar het werkt. Mensen leren ervan, en het systeem blijft schoon.”
Van afvinken naar eigenaarschap
Fabian ziet dat volwassen organisaties security niet meer zien als een set regels of audits. “Compliance werkt alleen als het eigenaarschap in de lijn ligt,” zegt hij. “Security kan coachen en faciliteren, maar de verantwoordelijkheid ligt bij de business.”
Volgens hem draait het om gedrag, niet om tooling. “Zodra mensen security zien als onderdeel van hun werk, ben je volwassen. Dan wordt het geen project meer, maar een reflex.”
Conclusie: weerbaarheid vraagt volwassenheid
Voor Fabian is cyberweerbaarheid niet iets wat je kunt inkopen of afdwingen. Het ontstaat wanneer organisaties security structureel verankeren in hun manier van werken: van ontwerp tot uitvoering, van leverancier tot eindklant. “Weerbaarheid gaat niet over het aantal maatregelen dat je neemt, maar over hoe volwassen je ermee omgaat,” zegt hij.
Die volwassenheid herken je volgens hem aan gedrag. Aan teams die verantwoordelijkheid nemen, aan leveranciers die meedenken, en aan organisaties die fouten zien als momenten om te leren. “Security is nooit af,” zegt Fabian. “Maar als iedereen in de keten begrijpt dat het ook hún verantwoordelijkheid is, dan ben je als geheel weerbaar.”
Het interview met Fabian Doodkorte maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.