Esther Schagen-Van Luit, CISO van Deloitte

‘Cybersecurity is meer dan hacken, het vraagt ook om kennis van psychologie en criminologie’

Ze is jong, vrouw en veelzijdig opgeleid. Esther Schagen-van Luit leidt het cybersecurityteam van Deloitte Nederland. De Chief Information Security Officer van het big-fourkantoor, dat vooroploopt in het digitaliseren van zijn accountancy- en consultancypraktijken, pleit voor een ‘toenemend digitaal bewustzijn onder accountants’. Een interview met een leading lady in cyber.

Door Wilbert Geijtenbeek

Dat ze een loopbaan in de ICT zou krijgen, lag niet voor de hand. Hoewel ze pas na haar studententijd geïnteresseerd raakte in informatietechnologie, is Esther Schagen-van Luit sinds februari Chief Information Security Officer (CISO) van Deloitte. Dat is een grote prestatie op haar nog jonge leeftijd – ze is 30 jaar oud. Een typisch bètaprofiel mag ze dan niet

hebben, het gedegen verwerken van grote hoeveelheden informatie is wel degelijk haar eerste natuur. Voor haar bachelor in liberal arts koos ze voor een major economie en minors in kunstgeschiedenis en linguïstiek. Ook heeft ze een mastertitel in internationaal management, aangevuld met een executive master of cybersecurity, die ze drie jaar geleden haalde, toen ze al bij Deloitte werkzaam was. Ze spreekt vijf talen, waaronder Japans. Op haar nog jonge leeftijd won ze diverse prijzen en prijkte ze al in enkele ranglijsten. Zo werd ze uitgeroepen tot Techionista Tech Favorite en prijkte ze in de Viva400. Alle reden voor Accountancy Vanmorgen om Schagen-Van Luit eens te interviewen. Over haar stormachtige loopbaan, haar visie op haar vakgebied en haar kijk op de ICT-uitdagingen in de accountancy. Een interview met een leading lady in cyber.

ESTHER SCHAGEN-VAN LUIT


‘Je moet de software die je gebruikt doorgronden. Van MKB-accountants vraagt dat een steeds beter digitaal begrip’

Waar is uw belangstelling voor cybersecurity gewekt?

‘Mijn eerste ervaringen met ICT waren niet inspirerend. Op de middelbare school vond ik de bètavakken niet interessant genoeg. Ik leerde er vooral omgaan met formules in spreadsheets – iets wat ik als consultant overigens nu veel toepas. Maar ik had altijd meer aanleg voor talen.Pas na mijn studententijd, toen ik ging werken bij een strategieadviesbureau dat was gespecialiseerd in betaalproducten, kreeg ik de smaak te pakken. Ik bouwde in mijn vrije tijd een website, leerde on the job programmeren in de programmeertalen PHP en Python. Nadat ik een hackingconferentie had bezocht, waar ik vrouwen op het podium zag spreken die een succesvolle carrière in cybersecurity hadden opgebouwd, ontstond de wens bij die wereld te horen. Daar is het begonnen. Bij Deloitte kreeg ik de kans om een tweejarige master in cybersecurity te doen.’

Wat doet een CISO bij Deloitte?

‘Ik ben eindverantwoordelijk voor de digitale veiligheid van wat we onze kroonjuwelen noemen: de mensen, de gebouwen, de processen, de infrastructuur en de applicaties. Het gaat dus niet alleen om ICT die ik tegen de bad guys moet beschermen. Bij Deloitte gaat het er ook om dat klanten hun informatie aan ons kunnen toevertrouwen. Mijn taken zijn in verschillende fasen in te delen. Het begint met het identificeren van de risico’s. Daarna volgt de bescherming: wat zijn de oplossingen die je kunt bouwen om risico’s te verminderen? En vervolgens gaat het om de detectie, ofwel, de aanvallen van cybercriminelen onderscheppen. Als er dan wordt aangevallen, is het weer zaak te zorgen voor een passende respons. En tot slot moet ik ervoor zorgen dat de situatie herstelt. Met al deze fasen heb ik in mijn functie te maken. In de praktijk gaat mijn grootste aandacht naar de identificerende en de beschermende rol. We proberen daarbij in ons vak af te stappen van de angst. Gesprekken op basis van angst zijn lastig omdat ze doorgaans leiden tot kortetermijnimpulsen. Een volwassen securitysituatie kun je alleen structureel opbouwen door dit soort risico’s af te wenden. Dat vraagt om een geheel aan oplossingen.’

Over Esther Schagen-van Luit (1990)

Esther Schagen-van Luit is sinds februari Chief Information Security Officer (CISO) van Deloitte. Ze is verantwoordelijk voor de informatiebeveiliging van Deloitte in Nederland. Schagen-van Luit trad in 2015 in dienst bij Deloitte als consultant Cyber Risk Services en maakte deel uit van het cyberstrategyteam. Schagen-van Luit heeft een bachelor liberal arts, een mastertitel internationaal management en een executive master in cybersecurity. Ze spreek vijf talen, waaronder Japans.

Is uw taak pas geslaagd als er bij Deloitte geen cybercrimineel binnenkomt?

‘Het is als bedrijf niet mogelijk met zekerheid te zeggen dat je nooit wordt gehackt. Want een hacker heeft maar één gaatje nodig. Aangezien bedrijven als Deloitte voortdurend nieuwe producten en diensten ontwikkelen, en daarvoor gebruik willen maken van innovatieve IT-oplossingen, moet ik als CISO goed in de gaten houden waar die mogelijke gaatjes kunnen optreden. Je bent dus nooit klaar met cybersecurity. Daarom is het belangrijk dat wij weten wat we moeten doen als er iemand bij ons binnendringt. Dan moeten we ervoor zorgen zo snel mogelijk weer aan het werk te kunnen. Dat is een ander deel van de cyclus.’

Hoe belangrijk is het risicobewustzijn van accountants, volgens u?

‘Voor optimaal veilige processen is het menselijk gedrag cruciaal. We hebben veilige technologie, maar die wordt gebruikt door mensen. Informatie lekken hangt ook af van menselijk gedrag. Daarvoor werk ik bij Deloitte samen met een ander team, dat is gefocust op gedragsrisico’s.’

U geeft op uw LinkedIn-profiel aan een rolmodel te willen zijn voor meisjes en vrouwen in de cybersecuritywereld. Werken er veel vrouwen in dit vakgebied?

‘Het aantal vrouwen dat actief is in cybersecurity groeit. In 2019 ging het om 24 procent. In Nederland zijn procentueel minder vrouwen in dit veld werkzaam. Ik heb het idee dat we als land ruimdenkend zijn, maar dat dit niet opgaat voor stereotypen rondom gender en werk. We hebben ook een onderwijssysteem dat het moeilijker maakt op latere leeftijd te kiezen voor een technisch vakgebied. Veel van mijn vrouwelijke consultingcollega’s zijn via niet-traditionele weg binnengekomen bij Deloitte. Maar nu de cybersecurityopleid-

ingen volwassener zijn, gaat het de goede kant op met de aanmelding van dames. Bij Deloitte was zes jaar geleden 10 procent van de cybersecuritycollega’s vrouw – inmiddels gaat het om 30 procent. Ik vind het belangrijk te laten zien dat cybersecurity meer is dan hacken, dat het ook gaat om psychologie en criminologie, dat er een menselijke kant aan dit vak zit. Dat enthousiasmeert jonge meisjes. Ik was in mijn vorige rol ook betrokken bij de Deloitte Hacklab Highschool, die per bijeenkomst veertig kinderen onderwijs geeft over informatiebeveiliging.’

Wat kunnen MKB-ondernemers doen om zich te weren tegen cybercriminelen?

‘MKB-ondernemers denken vaak dat ze niet de budgetten hebben om zich optimaal te beschermen tegen cybercriminelen. Maar in de praktijk genieten MKB-bedrijven van voordelen. Kleinere organisaties hebben veel meer controle dan grootbedrijven. Immers, hoe minder systemen, software en toegangspunten je organisatie heeft, hoe minder er voor een hacker is om aan te vallen. Hoe groter het landschap dat je wilt verdedigen, hoe agressiever je defensiestrategie moet zijn. Bedrijven kunnen daarom overwegen hun netwerk te segmenteren, op te delen in kleinere netwerkjes. Dringt iemand binnen, dan heeft diegene alleen toegang tot dat deel.’

Wat zijn de trends in cybersecurity?

‘De focus verschuift naar effectieve detectie en reactie. De meeste bedrijven investeren in een minimaal niveau van beschermende cybersecuritymaatregelen. Het Nederlandse bedrijfsleven is weerbaarder dan het vijf jaar geleden was. Maar ook het speelveld van dreigingsactoren is volwassener geworden. Waar we nog veel hebben te winnen, is in het detecteren en het bieden van een passende reactie op een hack. Want het komt steeds vaker voor dat veelgebruikte software is gecompromitteerd. Afgelopen maanden zijn er bijvoorbeeld kwetsbaarheden ontdekt in Microsoft Exchange en in Solarwinds. Dat dergelijke universeel gebruikte software met malware is geïnfecteerd, is een teken. We moeten er rekening mee houden dat we ook van twee kanten tegelijk kunnen worden gehackt. Dat hoort misschien wel bij het nieuwe normaal.’

ESTHER SCHAGEN-VAN LUIT


‘Ik moet onze kroonjuwelen beschermen: de mensen, de gebouwen, de processen, de infrastructuur en de applicaties’

Voor kleine accountantskantoren zijn cloudtoepassingen steeds gangbaarder. Is dat een veiligheidsrisico?

‘Voor veel kleine dienstverleners is de migratie naar de cloud juist een stap vooruit in hun beveiliging. Veel cloudproviders beschouwen cybersecurity namelijk als hun kernactiviteit. Bij die clouddienstverleners zijn je gegevens dan ook veel beter beschermd dan je zelf zou kunnen realiseren met een beperkt budget. Als ondernemer moet je overigens wel verantwoordelijkheid nemen voor de afspraken die je maakt met de clouddienstverlener. Voor de veiligheidsinstellingen van je gegevensbeheer blijf je namelijk zelf verantwoordelijk.’

Op welke afspraken doelt u?

‘Bijvoorbeeld over het gebruik van externe software. Mag de gevoelige klantinformatie die je beheert Nederland niet verlaten, dan moet je niet voor software kiezen die in de Verenigde Staten draait, want de software verwerkt nu eenmaal de data. Dat is best lastig te doorgronden als je niet de expertise hebt om die software te evalueren. Mijn advies is daarom geregeld de stofkam door je dienstverleners te halen. Dan zul je merken dat steeds meer softwareleveranciers zich bewust zijn van de klantwens op het gebied van security en privacy. Steeds meer applicaties verantwoorden tegenwoordig expliciet hun securitykeuzes. Een gerichte evaluatie is de moeite waard.’

Bijna alle applicaties communiceren via koppelingen met andere software. Is dat riskant?

‘De voordelen van die koppelingen zijn enorm. Zo kun je dashboards laten vullen met verschillende databronnen. Ik houd enorm van dashboards die je data verrijken, waardoor je meer en betere analyses kunt uitvoeren. Accountants kunnen veel meer de diepte ingaan met dergelijke dashboards bij het samenstellen en controleren van de jaarrekening.

Het stelt je in staat onregelmatigheden of fraudesignalen beter te detecteren. Tegelijk moet je daar voorzichtig mee zijn. Als accountant moet je greep houden op de algoritmen die je gebruikt. En er komt ook een privacyvraagstuk bij kijken, voornamelijk als er persoonsgegevens worden verwerkt middels die softwarekoppelingen. En ook als er geen harde persoonsdata worden gedeeld door de software, dan nog kun je met de juiste informatie een profiel opbouwen dat herleidbaar is tot privépersonen. Vanuit privacyoogpunt is dat niet wenselijk.’

Hoe kunnen MKB-accountants greep houden op de werking van de software die ze toepassen?

‘Voor een groot kantoor als Deloitte is het relatief goed mogelijk eigen IT-kennis op te bouwen. En als onze accountants voor hun werk behoefte hebben aan een second opinion op IT- of securityvlak, dan kunnen we IT-auditors of cyberspecialisten uit andere teams inschakelen. Als accountant moet je met zekerheid kunnen zeggen of de informatie die we verkrijgen uit de systemen die we toepassen correct is. Je moet de software die je gebruikt doorgronden – dat geldt ook voor kleinere klantoren. Ook MKB-accountants zullen een steeds beter digitaal begrip moeten hebben. Dat is een belangrijke uitdaging.’

ESTHER SCHAGEN-VAN LUIT


‘Mijn advies aan MKB-accountants? Haal geregeld de stofkam door je dienstverleners’