‘Wat doen jullie aan security?’ krijgen we vaak als vraag. Deze vraag is breed en vaak niet de eigenlijke vraag. Veelal speelt er een compliancy vraagstuk.
Stanley – Product Owner
Product Owner Stanley
Sinds wanneer werk je bij Cyso Group en wat is jouw functie binnen Cyso Group?
Ik ben in oktober 2007 in dienst gekomen, ben in de loop der jaren gegroeid naar de rol van Senior Systems en Component Architect, en sinds wat wij onze Agile transformatie noemen is mijn rol Product Owner van het Operations team. Ik rolde onbedoeld in deze functie na het vertrek van een college en dat is nooit meer veranderd. En het bevalt me goed.
Heb je in de huidige functie meer met mensen of met techniek te maken?
Je kunt de rol als PO niet vervullen zonder affiniteit of hands on ervaring met techniek. Dit in verband met het nemen van beslissingen en maken van inschattingen. De zachte kant van het werk neemt wel een groter deel van mijn tijd in.
In welk opzicht is Cyso de afgelopen jaren veranderd?
We zijn Agile gaan werken, gaan scrummen. De manier van scrummen wisselt van team tot team, in het Operations team heb je bijvoorbeeld niet de luxe dat je al je tijd vooraf in kunt plannen. We hebben tenslotte ook te maken met incidenten en vragen van klanten. Het merendeel van het inplannen/inrichten van een tweewekelijkse sprint ligt bij het team. Ook de uitvoering en verantwoordelijkheid ligt daarmee bij deze mensen. Als PO heb ik het laatste woord over waar tijd aan besteed wordt, het team is zelf verantwoordelijk voor hoe ze dat doen en plannen. Natuurlijk zijn er wel een visie en strategie van hogerhand, maar het team kan hier zelf invulling aan geven. Ik stuur daarin bij, prioriteer de issues en toets tussentijds. Hierbij stel ik de vraag: draagt dat wat we gedaan hebben bij aan waar we naartoe willen?
Wat is de meerwaarde van Mission Control binnen Cyso?
Zodra een project is verkocht door Sales en opgeleverd door het Delivery-team komt de overdracht naar team Operations. En daar valt Mission Control onder. Zij zijn eerste en tweede lijn en signaleren en acteren op het moment dat er ergens wat misgaat. De collega’s van MC beheersen de basisvaardigheden om met eigen kennis de incidenten te onderzoeken. Daarna dragen zij over aan de derde lijn: Operations. Dit team houdt zich niet alleen bezig met het verhelpen van incidenten, maar ook met het wegnemen van de onderliggende oorzaak. Bij calamiteiten met meer impact komt het bij de derde lijn terecht die de infra van klanten beheert. De signaalfunctie van MC is dus cruciaal om tijdig en correct in te grijpen. Daarnaast zijn zij eerste aanspreekpunt voor de klant, en binnen Cyso de vooruitgeschoven post van de klant. In de technische zin spreek je weliswaar over eerste en tweede lijn, maar in het bewaken van het proces zijn ze leidend. Daarmee hebben ze niet alleen de verantwoordelijkheid om incidenten en vragen volgens de met de klant gemaakte afspraken af te handelen, maar binnen de organisatie ook het mandaat om dat voor elkaar te krijgen.
Wat voor securityvraagstukken zie jij bij klanten?
Wat grappig is: in de praktijk loop je niet snel tegen security incidenten aan. Door systemen uit te voeren met het principe ‘Security by design’ voorkom je al een hoop problemen doordat je de attack surface en risico’s heel erg verkleint.
‘Wat doen jullie aan security?’ krijgen we vaak als vraag. Deze vraag is breed en vaak niet de daadwerkelijke vraag. Veelal speelt er een compliancy vraagstuk, zijn certificeringen nodig zoals dat ook binnen onze eigen organisatie speelt. We begeleiden klanten bij dat vraagstuk, omdat ze het vaak moeilijk vinden. Er moet dan bijvoorbeeld periodiek een Disaster Recovery Test gedaan worden van het platform van de klant of of er moet een periodieke review gedaan worden van alle beheerders accounts op de systemen van de klant. Vervolgens rijst de vraag: ‘Hoe gaan we daar op een beheer(s)bare en goede manier invulling aan geven?’ Je moet zo’n procedure tenslotte periodiek uitvoeren, maar je wilt de procedure maar één keer bedenken en opschrijven, niet iedere keer opnieuw.
Als je maatregelen, processen en procedures niet op een goede manier hebt opgezet zijn ze in de praktijk niet bruikbaar en worden bovendien je audits een hel. Wij hebben ervaring hoe je dit op een praktische manier opzet. Na een risico inschatting of analyse door de klant helpt Cyso bij het maken van keuzes die bij te nemen maatregelen horen. Vervolgens kunnen deze geïmplementeerd en gedocumenteerd worden.
MC houdt zich bezig met incidenten, security incidenten zijn zoals vreemde inlogpogingen of bestanden die plotseling van naam of inhoud wijzigen zijn daar onderdeel van. In de praktijk zie je veelal dat rapportages over aan security gerelateerde zaken door de klant zelf ontvangen en afgehandeld worden. Notificaties over security gerelateerde zaken kunnen door het MC team afgehandeld worden.
Wat vind je het leukst aan je werk/functie?
Het blijft een dynamische omgeving. De teamleden van MC en Operations zijn gek van techniek. Dit schept een gezamenlijke sfeer. Het zijn allemaal goede ‘brandweermannen’. Net zoals brandweermannen niemand een brand toewensen, wensen wij ook niemand een incident toe. Helaas, in de praktijk breekt er soms brand uit. Ik zie mijn collega’s dan in een hele bijzondere modus gaan om de brand zo snel mogelijk te blussen. We horen ook vaak van klanten dat ze bijzonder onder de indruk zijn van hoe we dat doen. Zij zijn uiteraard blij dat het incident opgelost wordt, maar ook dat er gecommuniceerd wordt terwijl dat gaande is.
Het houdt ook niet op bij het blussen van de brand. Vervolgens volgt onderzoek naar de oorzaak, en wat er gedaan kan worden om herhaling te voorkomen. Het zijn weliswaar de branden waarbij we allemaal het hoogst in de energie zitten, maar de belangrijkste taak is natuurlijk brandpreventie.
Daarnaast vind ik het leuk dat er ruimte is –en onderkend wordt dat men ruimte moet hebben– om constant te verbeteren, ondanks dat dit tijd kost of ingewikkeld kan zijn. Men heeft ambitie om dit soort vernieuwingen op te pakken. Afgelopen jaren is men gelukkig wel zo professioneel geworden om bepaalde zaken, hoe cool ook, niet op te pakken als het niet iets bijdraagt aan waar wij of onze klant op zit te wachten.
Waarom zou iemand bij Cyso Group moeten komen werken?
Als je écht van techniek houdt en je wilt met gelijkgestemde collega’s stappen maken, dan voel je je hier erg thuis! De diversiteit is groot en men gaat goed met elkaar om. Dat is bijzonder en heb ik wel anders meegemaakt. We zijn een professionele en volwassen organisatie, maar niet corporate.
Wat is jouw humor?
Redelijk sarcastisch. Liefst zwarte en bijtende humor.
Waar kunnen we je wakker voor maken?
Hahaha, voor zo weinig mogelijk! Als ik slaap heb ik het nodig ook. Ik ben met geen stok naar bed te krijgen, maar als ik lig dan lig ik ook wel lekker.
Waar ben je nog nooit geweest en zou je nog heen willen?
Peru: Machu Picchu bezoeken. Lijkt me mooi. In mijn jeugd heb ik een boek over een Inca jongetje gehad. Het verhaal weet ik niet meer, maar het heeft mij op een of andere manier geïntrigeerd.
Wat heb je thuis aan techiek?
Dat heeft allemaal met muziek en online stream te maken. Ik maak al mijn hele leven muziek. Met name tijdens de lockdowns heb ik veel tijd gestoken in mijn Youtube kanaal en in het live streamen op mijn Twitch kanaal . In de zomer als het te warm in mijn studio wordt speel ik op straat in Alkmaar in plaats van dat men mijn stream kan bekijken.
Heb je favoriete tech sites?
Hm, niet echt. Tweakers, daar ga ik standaard heen. Maar ik ben er niet zo naar op zoek. Het komt binnen Cyso vanzelf naar je toe. Door klanten en collega’s ben je continu op de hoogte en ga je op zoek naar meer informatie. Misschien is Google wel mijn belangrijkste tech site 😉 Ook onze vrijdagmiddagborrel werkt goed voor dit soort informatievoorziening.
Je favoriete game?
Heb ik niet zo zeer. Af en toe doe ik een racespel en soms een shooter game, maar de jeugd speelt me er al snel uit.
Wat staat er nog op je digitale verlanglijstje?
Een geautomatiseerde manier om te controleren of online informatie correct is of niet.
Tot slot nog wat dilemma’s:
iOS of Android?
iOS
Windows, Linux of MacOS?
MacOS als gebruiker, linux als serverhoster
Nooit meer zingen of nooit meer gitaar spelen?
Dan nooit meer gitaar spelen. Zingen is veeeeeeel goedkoper
Een Offroad Trip in je eentje of een familievakantie?
De offroad trip
Discord of Twitch?
Twitch
NAS of data in de cloud?
Eigenlijk NAS, maar in de praktijk data in de cloud.
Televisie of Netflix?
Netflix
Whatsapp of signal
Whatsapp, maar dat zou Signal moeten zijn
Ben je enthousiast geworden en wil je ook werken bij de Cyso Group? Bekijk onze vacatures en laat ons weten of jij de geschikte kandidaat bent. Staat jouw droombaan er niet tussen? Met een open sollicitatie kun je ons laten weten waarom jij de persoon bent waar wij naar op zoek zijn.