Mimoent Haddouti (PwC): mensen zijn cruciale schakel tegen cybercrime

Mimoent Haddouti (42) trad in 2001 in dienst van de Rabobank en was daar vanaf april 2018 tot november 2023 Global Head First Line Risk & Security en Global CISO. Ze rolde bij toeval de IT in, vertelt ze aan Dutch IT Leaders.

“Ik kreeg in m'n werk steeds meer met IT te maken en sprak veel daarover met specialisten. Het was allemaal niet gepland, maar m'n hart ging er sneller van kloppen. De mensen binnen het vakgebied security hebben veel verstand van hun aandachtsgebied, maar kijken ook altijd verder. Voor hen is security geen 'werk'; ze 'ademen' cyber. Deze specialisten zijn continu bezig om zich verder te ontwikkelen en meer te ontdekken. Hun intrinsieke motivatie maakte mij erg enthousiast. Cyber is bovendien een vakgebied waarin je nooit bent uitgeleerd. Inmiddels ben ik vele opleidingen en certificeringen verder en al meer dan twintig jaar actief binnen het vakgebied IT.”

Vergroeid met vak

Haddouti is zo vergroeid met haar vak, dat ze steevast praat over 'cyber', in plaats van het volmondige 'cyber security'. De beveiliging van IT-systemen is dan ook een extreem belangrijk onderdeel van IT, zeker in de financiële sector.

“Een financiële instelling moet veilig zijn, nu en in de toekomst, het gaat tenslotte om het geld en de data van onze klanten. Samenwerking met anderen is essentieel, want op het gebied van cyber security moeten we niet concurreren. Cyber gaat ook niet meer weg, het is niet op een gegeven moment veilig en 'klaar'. De samenleving wordt steeds digitaler en het dreigingslandschap daardoor complexer, ook door de afhankelijkheid van partners, zoals service providers waar het ook 'mis' kan gaan. We beveiligen onszelf steeds beter, maar ook cybercriminelen staan niet stil. Het is een rat race, die met de komst van nieuwe technologieën steeds heftiger wordt. Want ook hackers gebruiken dergelijke innovaties.”

'Open leiderschap'

Een belangrijke pilaar in security strategieën is cyber awareness: dat medewerkers zich altijd bewust zijn dat ook zij onbedoeld op een foute link kunnen klikken, of anderszins een fout kunnen maken waardoor criminelen toegang krijgen tot het netwerk. Haddouti ziet mensen als de sleutel naar de oplossing en niet als het probleem.

“Niet alleen IT'ers, maar ook mensen bij de 'business' of bijvoorbeeld medewerkers die veel klantcontacten hebben, moeten zich bewust zijn van hun rol hierin. Daarom zijn investeringen nodig in het bewustzijn van mensen, bijvoorbeeld met oefeningen waarbij phishing-mails naar medewerkers worden gestuurd. Daarmee stimuleren we het lerend vermogen van mensen, dat ze dit soort mails herkennen en begrijpen hoe belangrijk het is om veerkrachtig te zijn. Maar het allerbelangrijkste is het handelen daarna. Wat doe je als je toch hebt geklikt? Gooi je de mail weg en doe je er verder niks mee? Of meld je dit zodat we verder onderzoek kunnen doen?”

Haddouti wil een sfeer in de organisatie waarin mensen zich vrij voelen om fouten te melden. “Blijf altijd met elkaar in gesprek. Je kunt nog zoveel tooling en processen hebben, maar creëer je niet de omgeving waarin mensen open kunnen zijn over menselijk falen of (bijna) fouten – of erger: er ontstaat een sfeer waarin mensen bang zijn om te worden weggezet als dom – dan zullen ze fouten alleen nog maar verdoezelen. Alleen als in openheid over kwetsbaarheden kan worden gesproken, kunnen mensen van fouten leren en kunnen deze in de toekomst worden voorkomen.”

Globaal en divers

Mimoent Haddouti is van Marokkaanse afkomst en veel bezig met thema's als diversiteit en inclusie. Ze is dan ook actief in verschillende adviesraden, zoals Culture Advies Raad bij de Vrije Universiteit, faculteit Rechtsgeleerdheid. “Ik vind dat iedereen een kans moet krijgen, ook al hebben we allemaal andere competenties. Ik heb altijd hulp gekregen van mensen die deuren voor mij openden. Dat wil ik op mijn beurt doen voor anderen, voor mensen die zelf geen netwerk hebben. Ik doe dat graag, want leuke dingen ervaar ik niet als werk of inspanning. Zolang je het maar goed organiseert.”

Ook organisaties moeten volgens Haddouti kennis en ervaring delen om een bijdrage te leveren aan integratie en inclusie. “Ook vanwege de krappe arbeidsmarkt is het hoe dan ook belangrijk om diversiteit te omarmen; technisch geschoold personeel is buitengewoon schaars. De Nederlandse samenleving verandert en globaliseert, en daar willen we op inspelen. We moeten niet alleen mensen zoeken die op ons lijken, maar een afspiegeling zijn van de hele (veranderende) samenleving, anders missen we talent.”

In Haddouti voormalige afdeling lukte het overigens vrij goed om functies vervuld te krijgen, juist door ook vrouwen (30 procent) en mensen met een andere achtergrond dan autochtoon Nederlands (40 procent) aan te trekken. “Werken wordt er alleen maar leuker door, en ook dat is natuurlijk heel belangrijk om mensen hier te krijgen en vast te houden. Net als investeringen in de vaardigheden van personeel. We moeten mensen perspectief geven.”

Dutch IT Security Day

Op dinsdag 21 november spreekt Mimoent Haddouti op de jaarlijkse Dutch IT Security Day van Dutch IT Channel op Buitenplaats Kameryck, boven Woerden. “Ik zal een inkijkje geven in het functioneren van grote organisaties in dynamische omgevingen, waarin cyberdreigingen alsmaar toenemen”, besluit zij. “Hoe bereiden wij onze medewerkers hierop voor? Wat is onze visie en strategie als het om cyber gaat? Wat doen we allemaal, ook in tijden van veel en snelle technologische ontwikkelingen? En 'last but not least: ‘Hoe krijgen we cyber in het DNA van ál onze medewerkers?”

De toegang is gratis. Schrijf u nu in!

Interview: Witold Kepinski

Tekst: Jeroen Bordewijk