IT en security bij de Volksbank: 'Samenwerking maakt het verschil'

CTO Sebastiaan Kalshoven (l.) en CISO Léon Janson van de Volksbank.

“Security is meer dan techniek en beleid alleen. Samenwerking tussen mensen maakt het echte verschil. De combinatie van elementen maakt het geheel sterker”, stelt Léon Janson. “Dat mensen op de bank kunnen vertrouwen is cruciaal. De basis van de bank is vertrouwen. Daarnaast moeten we ook aan steeds meer complexe regelgeving voldoen.”

Sebastiaan Kalshoven vult hem aan: “Security is belangrijk voor het beschermen van onze klanten. Het gaat hierbij onder andere om klantgegevens en veilig betalingsverkeer en alles wat daaromheen is gebouwd, zoals bijvoorbeeld de manier waarop we software laten landen op de platformen. De juiste implementatie van de beschikbare technische security-oplossingen en een duidelijke security-strategie en architectuur zorgen voor een solide basis. Die strategie gebeurt op basis van defense in depth, oftwel: meerdere lagen van beveiliging.”

Herhaalbaar en voorspelbaar

De security strategie van de Volksbank is volgens de twee mannen samen te vatten als: security by design dat leidt tot security by default. Kalshoven legt uit wat ze daarmee bedoelen. “Als IT-afdeling bouwen en leveren we platformen waarmee de rest van het bedrijf producten voor klanten kan bouwen en klantimpact kan maken. Die platformen zijn dus eigenlijk halffabricaten. Daarin is standaard al zo goed mogelijk nagedacht over items als privacy, security, automatisering en monitoring. Daardoor kunnen collega’s sneller producten op dat platform laten landen met de zekerheid dat die dingen goed geregeld zijn.”

Sebastiaan Kalshoven: "Bij een incident wil je absoluut kunnen vertrouwen op standaardisatie."

De Volksbank wil zoveel mogelijk voorkomen dat mensen aanpassingen met de hand moeten gaan doen. Alles wordt daarmee herhaalbaar en voorspelbaar. Kalshoven: “Als er een incident is, wil je absoluut kunnen vertrouwen op die standaardisatie, want dat bevordert de kwaliteit en de stabiliteit. 90 tot 95 procent van wat we doen valt daarom binnen de standaarden. Elke uitzondering wordt nauwkeurig afgewogen.”

First en last line of defense

De rol van medewerkers is cruciaal. Janson: “Zij zijn de zowel de first, als de last line of defense”. Het menselijk intellect is uiteindelijk lastig te omzeilen. Tegelijkertijd is phishing nog steeds de meest gebruikte manier om ergens binnen te komen. Daarom doen we veel trainingen en simulaties.”

Niet alleen medewerkers, maar ook klanten van de merken van de Volksbank kunnen een awareness training volgen: ‘Veilig Bankieren - Herken Jij De Oplichter’. Dat is een online training, maar er zijn ook thema-avonden en workshops over het onderwerp in de SNS Winkels en RegioBank-kantoren. “Daar komen mensen van allerlei leeftijden op af”, vertelt Kalshoven. “Het gaat tijdens dat soort bijeenkomsten niet alleen over bankieren, maar we bespreken dan ook mogelijke security-uitdagingen bij het gebruik van bijvoorbeeld TikTok.”

Samenwerking essentieel

Janson en Kalshoven zijn samen verantwoordelijk voor de IT-security van de Volksbank. De combinatie van techniek en mensen is volgens beiden essentieel voor effectieve securitymaatregelen. Kalshoven merkt op dat het onderwerp hoog op de prioriteitenlijst van de Volksbank staat. “We investeren fors in ons IT-fundament en kijken naar security als integraal onderdeel daarvan. Dit komt ook terug in ons jaarverslag.”

Léon Janson: "Banken werken veel meer samen dan vroeger."

De teams van Janson en Kalshoven werken nauw samen en er vindt ook een actieve uitwisseling van medewerkers plaats. Janson: “Security wordt ook steeds meer door het hele bedrijf begrepen. De medewerkers uit onze beide afdelingen zijn hierbij de voorlopers en promoters. We zien het als iets dat we moeten leveren om de klant te helpen, niet als iets dat nu eenmaal moet.”

Dreigingen in de gaten houden

Onderdeel van het team van Kalshoven is het Cyber Defense Center (CDC). Vanuit het CDC worden onder andere dreigingen in de gaten gehouden en penetratietesten uitgevoerd door ethische hackers. Kalshoven: “Er werkt een jong team van momenteel 15 personen. Het zullen er de komende tijd nog meer worden. Met het CDC werken we samen met het NCSC (Nationaal Cyber Security Center, red.) en ook met andere banken. We delen informatie over wat we tegenkomen.”

Janson hierover: “Dat is echt mooi om te zien: banken werken veel meer samen dan vroeger. We hebben uiteindelijk een gezamenlijk belang. Daarnaast werken we ook samen met bedrijven zoals bijvoorbeeld ASML, die ook heel veel met security bezig zijn, maar op een nét wat andere manier.”

Janson werkt sinds een jaar voor de Volksbank. Het bevalt hem uitstekend. “Ik ben mijn carrière begonnen als IT-manager en uiteindelijk opgeschoven naar de fraude- en cybersecurity-kant. Ik ben altijd in de financiële sector actief geweest.” Naast de uitdagingen die de CISO-rol met zich meebrengt voelt hij zich aangesproken door de ‘maatschappelijke impact’-doelstelling die de Volksbank heeft. “Maatschappelijke impact is binnen de hele Volksbank echt aanwezig en er wordt actief aan gewerkt om deze nog verder te vergroten.”

Goede mensen

Janson en Kalshoven zijn blij met de mensen in hun team. Janson: “Als je de doelstellingen die wij hebben wilt behalen, heb je de juiste mensen met de juiste mindset nodig. Dat vraagt eigenaarschap, vakmanschap, energie en een andere manier van kijken.” Maar dat maakt het ook leuk, zegt Kalshoven. “Het is een mooie uitdaging om legacy naar de nieuwe standaarden te brengen. Het is een mooie puzzel en mensen worden daar heel enthousiast van.”

Janson voegt toe: “Het leuke aan het werken in mijn team is dat we security- en risk-awareness door het hele bedrijf nastreven. Het is niet iets voor één afdeling. Daarvoor organiseren we ook speciale risk awareness dagen. Kort geleden, tijdens één van deze dagen, liet een ethisch hacker van Microsoft zien wat er allemaal mogelijk is. Dan gaat het echt leven bij iedereen en ontstaat het besef dat we dit samen en met elkaar moeten oplossen.”