Ciso van Deloitte Nederland is een rol waarin je de informatiebeveiliging van het bedrijf moet waarborgen en medewerkers hun steentje hieraan laat bijdragen. Die functie krijg je niet zomaar toebedeeld. Maar Esther Schagen-van Luit lukt het op haar dertigste. Hoe heeft ze dit voor elkaar gekregen? Wij vragen het haar.
Een opleiding in economie en een master in internationaal management aan Nyenrode. Het lijkt niet de studiekeuze van een chief information security officer (ciso). Toch is dit het pad dat Schagen-Van Luit heeft gevolgd. Met die diploma’s op zak, betreedt ze de arbeidsmarkt als consultant bij Innopay, een bedrijf op de Zuidas dat adviseert over betaalproducten. Dit ziet zij als een functie waarmee ze in haar carrière vrijwel alle kanten op kan.
It staat op dat moment niet bij haar op de radar. ‘Het leek me niet interessant, veel te nerdy’, geeft ze toe. Een vooroordeel. Tijdens haar werk komt ze voor het eerst in aanraking met het vakgebied. Ze is betrokken bij een implementatietraject en dat wakkert een nieuwe vlam in haar aan. Ze leert on the job programmeren en richt zich op it-vraagstukken zoals gebruikersbeheer (iam) of de beveiliging van digitale betalingen.
‘Ik kwam erachter dat ik it, en met name cybersecurity, eigenlijk super-interessant vind. Als ik deze passie eerder had ontdekt, had ik waarschijnlijk een andere studie gekozen.’ Ze besluit dat ze haar carrière in de cybersecurity wil vervolgen, maar dat is op dat moment niet de bedrijfsfocus van haar werkgever Innopay. Een oud-collega koppelt haar aan Deloitte, waar ze in dienst treedt als consultant Cyber Risk Services binnen het cyberstrategy-team.
Kennis bijspijkeren
Werken in een wereld waar je eigenlijk geen kennis van hebt, brengt uitdagingen met zich mee. ‘Vanuit mijn rol adviseer ik klanten over security. Ik vroeg me af hoe ik iemand kan adviseren over iets waar ik zelf weinig van afweet.’ Deels vanuit de onzekerheid en deels door haar leergierigheid stort ze zich op de studieboeken. Op dag één van haar dienstverband bij Deloitte start ze met een training om haar CISSP-certificaat te behalen en later volgt ze in deeltijd de Executive Master in Cybersecurity aan de Cyber Security Academy.
Die ervaring leert haar dat kennis niet zozeer de belangrijkste factor is om cybersecurity te werken, maar een passie voor het vakgebied in combinatie met de wil om te (blijven) leren des te meer. Dit past ze ook in de praktijk toe, wanneer ze zich aanvullend bezighoudt met recruitment binnen haar team. ‘Als de passie er is, volgt de kennis vanzelf. Kennis kun je snel opdoen door certificaten te behalen. Tijdens sollicitaties geef ik mensen met de juiste motivatie, ook als ze niet over de juiste kennis beschikken, een kans.’
Meer diversiteit
Een voordeel van mensen uit een ander vakgebied, is dat zij op een andere manier naar zaken kijken. ‘In informatiebeveiliging is het belangrijk om steeds met nieuwe ideeën te komen om op deze manier zo weerbaar mogelijk tegen cybercriminelen te zijn. Ik heb een significante bijdrage geleverd in selectie, begeleiding en het advies om een divers team samen te stellen. Toen ik in 2015 in dienst trad, bestond het cyber risk services-team voor tien procent uit vrouwen. Nu is één op de drie collega’s een vrouw.’
Diversiteit gaat overigens verder dan enkel geslacht. Er moet ook gekeken worden naar culturele achtergronden of vakgebieden. Dat is volgens Schagen-Van Luit nog steeds een uitdaging. ‘Bij een vacature worden soms al onbewust groepen uitgesloten. Hier worden nog te vaak vereisten opgesteld die een barrière voor potentiële kandidaten kunnen vormen. Neem de beheersing van de Nederlandse taal. Is dat écht nodig bij een internationaal bedrijf als Deloitte? Werknemers moeten daarom echt kritisch zijn of iets een wens of vereiste is. Ook kan de opzet van een tekst bepaalde groepen laten afhaken. Ik kijk daarom altijd kritisch naar de opgestelde vacatures en probeer deze toegankelijk mogelijk te maken om zo diversiteit onder de sollicitanten te stimuleren.’
Rolmodel voor vrouwen
Ook buiten de organisatie stimuleert Schagen-Van Luit vrouwen om voor de it-wereld te kiezen. ‘In 2014 won ik een ticket voor het security-event Hack in the Box. Daar spraken acht vrouwen over hun carrière in het vakgebied. ‘Dit was een belangrijk moment voor mij. Enerzijds werd mijn passie voor informatiebeveiliging aangewakkerd. Anderzijds realiseerde ik me dat ik later ook één van die vrouwen wilde zijn, die op het podium staat om anderen te inspireren en enthousiasmeren.’
Met die ambitie in haar achterhoofd, verbindt ze zich aan de Deloitte Hacklab High School, waarbij ze kinderen tussen de acht en zestien jaar op het kantoor uitnodigt en hen spelenderwijs laat kennismaken met informatiebeveiliging. Daar bleken amper meiden aan deel te nemen. Reden voor Schagen-Van Luit om een speciale editie voor enkel meiden te starten, waarbij het format is aangepast op deze doelgroep. Inmiddels wordt ze door scholen uitgenodigd om daar te komen spreken en staat ze op het (digitale) podium bij it-events.
Kansen grijpen
Schagen-Van Luit zet zichzelf dus zowel intern als extern op de kaart. Dat leidt ertoe dat ze na slechts zes jaar dienstverband bij Deloitte wordt gevraagd om de rol van ciso voor Nederland te bekleden. Geluk wil ze het niet noemen. ‘Ik grijp kansen aan en dat leidt soms tot nieuwe kansen. Deze rol van ciso is op mijn pad gekomen door samenloop van omstandigheden. Ik geloof heilig in mijn netwerk, waarbij ik een goede relatie heb opgebouwd met de juiste mensen om voorgedragen te worden bij deze positie. Ik heb dus zeker mijn carrière bij Deloitte zo ingevuld dat ik in aanmerking kwam voor deze rol.’
Als ciso moet ze de Nederlandse organisatie zo veilig mogelijk houden. ‘Het is mijn taak om tot een veilige oplossing te komen en ik moet de business laten inzien waarom dit belangrijk is en hoe zij hier hun steentje aan kunnen bijdragen. Ik kan wel van alles bedenken, maar uiteindelijk ben ik wel afhankelijk van het gedrag van de medewerkers. Het is dus mijn taak om hen aan boord te krijgen om Deloitte zo veilig te houden. Het voordeel is dat ik organisatie goed ken. Ik weet hoe de business werkt en dat maakt het makkelijker om ook hun behoeften mee te nemen in een beveiligingsstuk.’
Voorlopig stort ze zich volop deze nieuwe uitdaging en blijft ze gelijktijdig nadenken over haar toekomst. ‘Bij een consultancykantoor is een vast carrière-pad opgesteld waarbij je start als consultant en kunt doorgroeien tot partner. Dat is natuurlijk erg mooi, maar ik wil niet dat standaardpad volgen en juist mijn eigen weg gaan. Ik zag ciso-rol als een mooie vervolgstap in mijn carrière.’ Nu heeft ze dat doel al bereikt. Ze ziet evenwel nog genoeg mogelijkheden voor de toekomst: ‘Ik ben gepassioneerd over leren en ik wil mezelf blijven uitdagen. Ciso biedt groeikansen, bijvoorbeeld op internationaal niveau. Aan de andere kant kan ik ook in de breedte groeien door bijvoorbeeld een C-level-functie, los van security, te bekleden. Denk aan cio of ceo.’