Liesbeth Kempen (HEMA) deelt lessen over menselijke cybersecurity

Het begon met een USB-stick op de deur. Tijdens de branding van haar nieuwe afdeling bij HEMA besloot een designer – bij gebrek aan tijd voor overleg – dat een USB-stick het perfecte symbool was voor het securityteam. "Jullie snappen hoe gevoelig dat ligt," lachte Kempen voor een volle zaal in het NBC Congrescentrum. "Het illustreert prachtig dat we in een bedrijf wel samenwerken, maar elkaar soms toch niet helemaal begrijpen."

De 'angst' voor de CISO

Kempen besprak openhartig hoe verschillende groepen binnen een organisatie naar haar vakgebied kijken. Waar IT-collega’s haar soms als 'party poopers' zien die hun creatieve proces vertragen, ervaren gewone medewerkers vaak oprechte spanning. "Soms voel ik me een politiecommissaris. Mensen vinden me eng en durven niet te vragen of ze bepaalde software wel mogen gebruiken. Dat is jammer, want ik heb juist een vriendelijk netwerk nodig om het bedrijf veilig te houden."

Zelfs incidenten vindt Kempen "leuk", tot verbazing van sommigen. "Natuurlijk is het even vervelend, maar het stimuleert me direct om het team te mobiliseren en het op te lossen. Pas bij een incident leer je hoe de zaken er echt voor staan. Dat zijn de 'lijken uit de kast' waar je als CISO eigenlijk blij mee moet zijn, omdat je er dan eindelijk iets aan kunt doen."

HEMA wordt tech-bedrijf

De uitdaging voor Kempen is groot. HEMA bestaat dit jaar 100 jaar, maar is inmiddels een digitale reus met een half miljoen sessies per dag op de website en apps. Om wendbaar te blijven, haalt het warenhuis de ontwikkeling van software en AI-modellen volledig in eigen huis. "We nemen dit jaar 50 developers aan. We willen de software echt 'HEMA' maken."

Met zo’n omvangrijk landschap is focus essentieel. Kempen deelde vijf waardevolle praktijklessen:

1. Durf te kiezen: "Ik doe liever een paar dingen echt goed dan alles een klein beetje. Wij focussen dit jaar op resilience: back-up en recovery."
2. Wees blij met 'lijken uit de kast': "Blijf rustig als iemand een onveilige situatie meldt. Je hebt die mensen nodig als oren en ogen in de organisatie."
3. Knuffel je leveranciers: "Van de leverancier van onze takjeknuffels of rookworsten hoef ik geen ISO-certificaat te verwachten. Als ze worden gephisht, bel ik ze persoonlijk op om te helpen. Dat creëert een betere band en een veiliger ecosysteem."
4. Gamification werkt: "Mensen worden bij ons oprecht blij van phishing-simulaties omdat ze sterren en prijzen kunnen winnen. De prijs voor de beste afdeling? Tompoezen natuurlijk."
5. Zet in op diversiteit: "Mijn eigen team is 50/50 man-vrouw. We hebben een enorm tekort aan seniors, dus we moeten talent de ruimte geven, ook als ze vanuit development naar security willen overstappen."

Verbinding als wapen

Kempen sloot haar keynote af met een oproep tot meer verbinding. "Cybersecurity is pas echt volwassen als we het vak begrijpelijk kunnen maken voor iedereen. Zoek de verbinding op de rustige momenten, zodat je er staat op de momenten dat het stormt."

Het 10-jarige jubileum van NLSecure[ID] onderstreepte met dit verhaal de verschuiving in de sector: van pure techniek naar een integrale aanpak waar cultuur en communicatie de belangrijkste verdedigingslinies vormen.