Het kan volgens Sanne soms een uitdaging zijn: eenvoudig uitleggen wat de rol van de security-organisatie precies is. Daarvoor gebruikt ze vaak een metafoor. ‘De universiteit is te vergelijken met een dorp’, vertelt ze. ‘Een dorp met verschillende straten – de faculteiten en divisies– waarin vele huizen staan. Neem de straat van Academic Affairs, met de huizen van de applicaties Osiris en Brightspace. Elke afdeling is voor het onderhoud van het eigen huis verantwoordelijk.’
Die metafoor gaat verder dan structuur. Want net als inwoners van een dorp hebben organisatieonderdelen te maken met beleid, legt Sanne uit. ‘In een dorp voert de gemeente beleid uit. Zo moet je voor een uitbouw een vergunning aanvragen en aan veiligheidsvoorschriften voldoen. Binnen onze universiteit zijn wij als security-organisatie de gemeente: we maken regels en faciliteren ondersteuning, bijvoorbeeld dat bij cyberincidenten de denkbeeldige brandweer komt. Maar huiseigenaren moeten wél zelf de rookmelder ophangen. Alleen samen houden we ons universiteitsdorp veilig.’
Volgens Sanne vraagt dat ook om verantwoordelijkheid van medewerkers. ‘Zorg ervoor dat digitale bestanden veilig zijn. Vergelijk het met je woning: als je weggaat, doe je de deur op slot. En de sleutel van je huis geef je ook niet zomaar weg.’
Rol van CISO
Als CISO ziet Sanne het als haar opdracht om ervoor te zorgen dat de universiteit veilig en veerkrachtig kan werken in een digitale wereld die steeds complexer wordt. Ze helpt digitale risico’s inzichtelijk en beheersbaar te maken. ‘Binnen onze universiteit draait het om het creëren, delen en bewaren van kennis. We werken daarvoor met grote hoeveelheden data, allerlei systemen en in samenwerkingen met leveranciers of andere instellingen. Ik ontwikkel beleid over basisafspraken voor digitaal veilig werken en adviseer het college van bestuur over digitale risico’s: van phishing tot de dreiging van een ransomware-aanval, waar bijvoorbeeld de TU Eindhoven begin 2025 mee te maken had.’
Die risico’s raken volgens Sanne direct de kern van de universiteit. ‘Informatiebeveiliging zegt veel over onze licence to operate. Bij externe samenwerkingen voor wetenschappelijk onderzoek wordt verwacht dat de informatieveiligheid op orde is. Het is een fundament van onze bedrijfsvoering. Als CISO sta ik altijd open voor vragen of overleg, maar elke faculteit heeft ook een eigen Security and Privacy Officer voor concrete vragen, bijvoorbeeld over digitale risico’s bij onderzoek doen in het buitenland.’
Vergroten van digitaal bewustzijn
Sanne adviseert iedere medewerker dan ook om zelf verantwoordelijkheid te nemen. ‘Vergroot je digitale bewustzijn. Dat kan met de e-learning ‘For your eyes only’, die voorbeelden van digitale risico’s uit de dagelijkse praktijk bevat en helpt ze te herkennen. Ons streven is techniek zo te organiseren dat je veilig kunt werken zonder extra handelingen te hoeven doen. Maar alert blijven op verdachte e-mails is essentieel, want we werken immers op een plek waar voor buitenstaanders interessante informatie te halen is.’
Naast het doen van de genoemde e-learning is het universiteitsbreed voor medewerkers regelmatig mogelijk om korte online fastclasses te volgen, evenals lezingen over veilig digitaal werken. Ook binnen faculteiten ontstaan steeds vaker initiatieven, van lunchlezingen tot trainingen. Volgens Sanne is dat nodig: informatiebeveiliging moet vanzelfsprekend worden. ‘Het hoort net zo bij bedrijfsvoering als HR en Financiën. Zelf kom ik oorspronkelijk uit de communicatiewereld. Cybersecurity en hacken leken voor mij in het begin nog een ver-van-mijn-bed-show. De thema’s waren complex, maar ik heb geleerd dat het belangrijk is om die begrijpelijk te maken, zodat iedereen er zich van bewust wordt. Cyberdreigingen stoppen niet bij landsgrenzen, daardoor zijn ze uitdagend. We willen een weerbare universiteit zijn: als er zich cyberincidenten voordoen, moeten we die goed kunnen beheersen en herstellen.’
Daarvoor is veel kennis binnen de universiteit beschikbaar. ‘Meer dan we vaak beseffen’, legt Sanne uit. ‘Van AI-onderzoek bij het Donders Instituut tot de Cyber-master bij de Faculteit Natuurkunde, Wiskunde en Informatica en het werk van iHub. We kunnen veel van elkaar leren. Mijn wens is dat we binnen onze universiteit alle aanwezige kennis steeds beter gaan benutten.’
Meer weten? Raadpleeg de pagina ‘ Privacy & Informatieveiligheid’.