Winkelmand

Geen producten in je winkelmand.

Jaya Baloo (CISO KPN): ‘Ik geloof niet in managers zonder vakexpertise’

CISO Jaya Baloo stampte in zeven jaar een grote beveiligingsafdeling bij KPN uit de grond die de provider en Nederland moet beschermen tegen kwaadwillenden. ‘Mijn mensen overvraag ik altijd, maar dat weten ze.’

Jaya Baloo geeft leiding aan cybersecuritydivisie KPN KPN
Je leest nu: Jaya Baloo (CISO KPN): ‘Ik geloof niet in managers zonder vakexpertise’

Van Baloo mag het altijd een tandje sneller. Gedurende het interview is het alsof er een wervelwind door de kamer trekt. Regelmatig staat ze op om de organisatiestructuur uit te tekenen of een mini-college cryptografie te verzorgen. Baloo spreekt in een hoog tempo in een mengeling van Nederlands en Engels. Af en toe onderstreept ze een overtuiging met een krachtterm. 

De beveiligingsexpert maakt zich namelijk zorgen. Over de komst van quantumcomputers die huidige cryptografische beveiligingstechnieken overbodig maakt. Over de de trage implicatie van bepaalde internetprotocollen. En over de slome aanpak van DDoS-aanvallen. ‘Deze zouden we zo kunnen uitroeien, zolang iedereen dezelfde best practices adopteert.’ 

Ruim zeven jaar lang is Jaya Baloo Chief Information Security Officer, oftewel Hoofd Beveiliging, bij KPN. Eind deze maand vertrekt ze naar antivirusbedrijf Avast waar ze dezelfde rol zal vervullen. Wel blijft ze aan KPN verbonden als Quantum Ambassadeur. Management Team interviewde Baloo kort voor de bekendmaking van haar vertrek uit de rol die ze zelf vorm gaf. 

In het persbericht waarin haar vertrek werd aangekondigd wordt Baloo geprezen als autoriteit op haar vakgebied. Ze treedt regelmatig naar buiten om consumenten te waarschuwen voor de veiligheidsrisico’s die zij lopen door (slordig) gebruik van hun met internet verbonden apparaten. 

Schok bij terugkeer

Baloo heeft haar CISO-rol bij Nederlands grootste telecomprovider te danken aan een verveelde 17-jarige Zuid-Koreaanse scholier. Begin 2012 drong hacker ‘Yui’ binnen op het KPN-netwerk. Hierdoor werd het bedrijf gedwongen om maatregelen te nemen, waaronder de aanstelling van een hoofdverantwoordelijke voor cyberveiligheid. Baloo werkte tussen 1998 en 2002 ook voor KPN. Het bedrijf dat zij bij terugkeer aantrof was ‘totaal anders’ dan wat ik had achtergelaten. ‘Men was sterk gericht geweest op sales en het maximeren van aandeelhouderswaarde. Er was minder geïnvesteerd in core technology’. 

Onder het CEO-schap van Eelco Blok, die in 2011 aantrad, werd de koers gewijzigd. ‘Hij had door dat informatiebeveiliging echt belangrijk is. Dat beveiliging meer is dan compliance en het afwerken van vinkjes’. Baloo kreeg de vrije hand om een strategie op te stellen en een afdeling op te bouwen. Bij binnenkomst begon Baloo, wegens gebrek aan mankracht, zelf dingen te hacken. Inmiddels geeft ze leiding aan een beveiligingsdivisie van zo’n 100 man. 

Een van de eerste dingen die Baloo in haar nieuwe functie deed was het opstellen van een ‘what-if-document’. ‘Wat als we het beste hackingteam ooit zouden hebben? Wat als onze beveiligingsbeleid geen aftreksel is van een internationale standaard, maar zelf een standaard wordt?’ Om deze droom waar te maken werd het team rap uitgebreid. Baloo legt uit dat de teams opereren langs een ‘security levenscyclus’. Deze cyclus begint met preventie, zoals het opstellen van een beveiligingsbeleid. ‘Dit beleid wordt openbaar gedeeld. Zo kan iedereen ons controleren en verbeteringen aandragen. Leveranciers van beveiligingsoplossingen kunnen dan ook veiliger bouwen’, stelt Baloo. Kwaadwillenden kunnen ook meekijken, maar dat baart de CISO geen zorgen. ‘Je kunt niet alles voorkomen. Bovendien zetten we details, zoals onze configuratie-instellingen niet online.’

Vakinhoudelijke kennis managers noodzakelijk

Na preventie volgt detectie. Een team van twintig ethische hackers probeert op de eigen systemen in te breken. ‘Niets gaat richting de klant voordat wij het talloze keren kapot hebben gemaakt en gerepareerd.’ Een stapje verder is er het Computer Emergency Response Team. Baloo omschrijft hen als de brandweermannen en -vrouwen van KPN. Zij komen bijvoorbeeld in actie wanneer er een beveiligingslek is geconstateerd of de provider onder vuur van hackers ligt. Ten slotte is er de terugkoppeling naar preventie. Nieuwe informatie kan gebruikt worden om het beleid aan te passen. 

Ondanks de stevige omvang van het beveiligingsteam man telt is Baloo de enige manager in het team. ‘Daarnaast hebben we alleen meewerkende voormannen. Ik wilde geen managers neerzetten. Deze team leads zijn dus ook technisch specialisten.’ Baloo gelooft sowieso niet in managers die geen vakinhoudelijke kennis hebben. ‘Als techneut heb ik veel last gehad van managers die de materie niet begrepen. Ze snapten niet wat ik deed. Zelf probeer ik te managen op de wijze waarop ik gemanaged wil worden’, stelt Baloo. ‘Geef je medewerkers een doel mee en vervolgens hoef je hen alleen te empoweren. Als mijn doel is om met €250 in 90 dagen rond de wereld te reizen probeer ik dat. Loop ik vervolgens tegen een probleem aan, bijvoorbeeld een arrestatie in Oezbekistan, dan kom ik wel bij je terug. Zo wil ik dat mijn medewerkers het ook doen. Rapporteer over je voortgang en trek aan de bel bij problemen.’ 

Hoge eisen aan personeel

Leidinggeven is volgens Baloo een kwestie van loslaten. ‘Als manager moet je je team vertrouwen. Managers vergeten nog wel eens kritisch naar zichzelf te kijken. Wanneer je een teamlid niet vertrouwt is dat nog steeds jouw fout. Dan had je diegene moeten vervangen’, stelt Baloo. Haar leidinggevende bij Orange, ze werkte hier begin deze eeuw, is haar leiderschapsvoorbeeld. ‘Ging iets goed, dan was alle lof voor mij, ging er iets fout dan lag het aan hem. Daarnaast was hij geduldig en gestructureerd. Op dat vlak kan ik mijzelf nog verder ontwikkelen.’ 

Met een fooi de hele wereld over trekken klinkt buitengewoon onrealistisch, maar staat symbool voor de manier waarop Baloo leiding geeft. ‘We stellen nagenoeg onhaalbare doelen. Ik overvraag mijn mensen’, zegt Baloo. ‘Deze baan doe je omdat je Nederland voor een stuk wil beschermen. We werken in een high-performing environment. Mensen moeten niet alleen technisch goed onderlegd zijn, maar ook in een hecht team kunnen opereren.’ Haar teamleden omschrijft ze als ‘Xs4all-types’, waarmee ze een soort ‘idealistische techies’ bedoeld. 

Beveiligingstheater

Naast de reguliere werkzaamheden bouwt KPN via CISO Labs ook softwareoplossingen. ‘We willen niet alleen de basis in stand houden, maar ook thought leadership uitdragen. We vinden dat we die verantwoordelijkheid hebben.’ Zo heeft het telecomconcern een eigen bestanddelingsdienst gecreëerd, vergelijkbaar met WeTransfer of Dropbox. ‘Andere partijen hebben geen intrinsieke beveiliging ingebouwd die voorkomt dat ze de verstuurde data niet kunnen inzien. ‘Wij vinden het niet ok als de verzonden gegevens kunnen worden ingezien.’ In samenwerking met cryptograaf Phil Zimmerman (‘een held’) is er een programma ontwikkeld op basis van peer-to-peer-encryptie, waardoor alleen de verzender en ontvanger de verzonden gegevens kunnen inzien. 

In de ogen van Baloo is dit een schoolvoorbeeld van beveiliging. ‘Goede beveiliging is naadloos. Er zijn een hoop slechte vormen van beveiliging’, zegt de digitale beveilingsexpert. ‘Neem controles op het vliegveld. Dat geeft vooral een gevoel van veiligheid. Het is beveiligingstheater. Wat je wil is dat je door een portal kunt lopen zonder je tas open te doen en allerhande dingen af te moeten doen.’

Lead by example

Goede digitale beveiligingsoplossingen gaan volgens Baloo niet alleen over technologie, maar ook over de omgang van leiders met het onderwerp. ‘Mensen op C-level-niveau kunnen een corporate culture sturen. Het is een kwestie van Lead by Example. Als een CFO in fishing fraude trapt, wat kun je dan verwachten van een callcentermedewerker?’ Volgens haar is het belangrijk dat een CISO niet rapporteert aan een Chief Information Officer. ‘De CISO heeft een auditrol, is het geweten van het bedrijf op het gebied van security. Stel je voor dat een CIO halverwege een automatiseringstraject het securityteam betrekt. Uit hun bevindingen blijkt dat er aanpassingen nodig zijn die twee ton kosten en zes weken vertraging opleveren. Dan krijg je als CISO niet de noodzakelijke dingen gedaan. Dat moet je altijd voorkomen’ 

Met de overstap naar Avast komt terecht bij het grootste antivirusbedrijf ter wereld. ‘Leveranciers van beveiligingsoplossingen heb ik veel bekritiseerd, maar ik wil ook een keer in hun schoenen staan.’