Als Chief Information Security Officer bij Innvolve beweegt Arne van Poorten zich dagelijks tussen directie, IT en operatie. Met ruim 25 jaar ervaring in IT en een specialisatie in privacy en security sinds 2018.

Hij weet als geen ander hoe organisaties grip krijgen op informatiebeveiliging en slaat daarbij de brug tussen strategie en praktijk. Zo zorgt hij ervoor dat beleid niet alleen op papier klopt, maar ook werkt in de dagelijkse uitvoering.

Of zoals hij het zelf zegt: “Aandacht voor informatiebeveiliging is pure winst. Neem je het niet serieus, dan kan het je serieus geld kosten.”

In dit blog deelt Arne zijn visie op CISO-as-a-Service, praktijkervaringen en wat het werken in deze rol bij Innvolve zo interessant maakt.

Met Arne van Poorten, Chief Information Security Officer bij Innvolve.

Van IT-professional naar strategisch verbinder

Arne begon zijn carrière in de IT en werkte jarenlang in verschillende technische rollen. In 2018 verdiepte hij zich in privacywetgeving, waarna de stap naar informatiebeveiliging logisch volgde.

“Met mijn IT-ervaring begrijp ik wat een norm vraagt. Ik kan organisaties helpen weerstand te bieden aan dreigingen, eisen vanuit wetgeving en tegelijkertijd zorgen dat ze in controle komen.”

Die combinatie van techniek en bestuurlijke vertaalslag is essentieel. Een CISO moet volgens Arne conceptueel begrijpen hoe IT-omgevingen werken, maar vooral ook de brug slaan tussen techniek en business.

“IT is binnen organisaties vaak een eiland. De CISO moet de verbinding maken tussen directie en uitvoerend personeel. Je moet aan verschillende tafels kunnen uitleggen wat je komt doen en waarom.”

Wat betekent CISO-as-a-Service in de praktijk?

De dienstverlening CISO-as-a-Service van Innvolve draait om structureel in controle komen en blijven. Niet alleen voldoen aan wet- en regelgeving, maar informatiebeveiliging duurzaam inbedden in processen en besluitvorming.

Organisaties krijgen te maken met normen en kaders zoals ISO 27001 of NEN 7510. Dat vraagt specialistische kennis die vaak niet intern beschikbaar is.

Zo vertelt Arne:

“Je bent een adviseur aan de poort. Je kijkt naar de grootste risico’s, hoe je die kunt mitigeren en hoe je dat op lange termijn borgt. Het heeft alles te maken met in controle zijn.”

Belangrijk daarbij is dat certificering geen sprint is.

“Veel organisaties spreken de ambitie uit om gecertificeerd te worden. Maar voordat je dat certificaat hebt, moet de basis op orde zijn. En daarna moet je het blijven doen. Het is een marathon.”

De grootste uitdaging zit tussen de oren

Opvallend genoeg zit de grootste uitdaging volgens Arne niet in techniek of dreigingen.

“Je wordt nooit met open armen ontvangen, want je komt werk brengen. Het kost tijd, geld en energie. En je legt vaak de vinger op de zere plek.”

De echte uitdaging is bestuurders en medewerkers laten inzien dat informatiebeveiliging geen kostenpost is, maar risicobeheersing en continuïteit.

“Als je een ransomware aanval krijgt en je bent niet voorbereid, dan ben je mogelijk out of business.”

Daar hoort ook het durven brengen van een impopulaire boodschap bij.

“Ik moet tijdens een overleg soms zeggen: ik zie hier risico’s. Dat zijn niet altijd leuke boodschappen. Maar het is mijn rol om scherpte te brengen.”

Praktijkvoorbeeld: innovatie zonder beveiliging

Een concreet voorbeeld uit Arnes praktijk laat zien hoe snel risico’s ontstaan.

Bij een organisatie waar hij werkte werd enthousiast een AI-chatbot geïntroduceerd voor medewerkers. De chatbot moest vragen beantwoorden over roosters en HR-zaken. Om het model te trainen werden databronnen uit HR en finance ontsloten en gedeeld met een externe leverancier.

Tijdens een overleg werd Arne gevraagd wat hij ervan vond.

“Ik zag meteen rode vlaggen. Is er nagedacht over privacy? Is er toestemming voor hergebruik van die gegevens? Hoe is de beveiliging van de onderliggende systemen geregeld?”

Daar was niet over nagedacht. De chatbot stond al live.

“Ik zei: ik snap dat dit een hoogtepunt voor jullie is. Maar je hebt ook te maken met wetgeving en beveiliging. Die heb ik niet verzonnen, die bestaat gewoon.”

Het voorbeeld laat zien hoe innovatie en beveiliging hand in hand moeten gaan. Een CISO remt niet af om te blokkeren, maar om te zorgen dat vernieuwing veilig en verantwoord gebeurt.

Werken als CISO bij Innvolve

Wat maakt de rol bij Innvolve voor Arne zo interessant?

“De afwisseling en diversiteit. Je werkt met verschillende klanten en kunt sparren met IT-specialisten binnen Innvolve. Tegelijk krijg je de ruimte om je eigen aanpak te bepalen. Er zit niemand in je nek.”

Hij omschrijft Innvolve als:

“Een toegankelijke organisatie met een open cultuur en weinig hiërarchie. Een stimulerende omgeving waar je de ruimte krijgt om je rol professioneel in te vullen.”

Die combinatie van inhoudelijke diepgang, zelfstandigheid en samenwerking met technische specialisten maakt het werk dynamisch en uitdagend.

Informatiebeveiliging als strategisch voordeel

De kern van Arnes boodschap is helder.

Organisaties bestaan om waarde te creëren. Informatie is daarin vaak een van de belangrijkste assets. Wie die informatie goed beschermt, beschermt zijn reputatie, continuïteit en verdienmodel.

“Aandacht voor informatiebeveiliging is pure winst.”

Wil jij als CISO impact maken?

Wil jij organisaties helpen om structureel in controle te komen, bestuurders scherp houden en innovatie veilig mogelijk maken?

Bij Innvolve zoeken we versterking binnen ons CISO-as-a-Service team. Bekijk de vacature en ontdek hoe jij als CISO bij Innvolve het verschil kunt maken.

 

Over de auteur

Arne van Poorten is Chief Information Security Officer bij Innvolve en combineert zijn IT- en securityexpertise om organisaties te helpen informatiebeveiliging strategisch en praktisch te versterken.

 

Kunnen we je helpen?