IT en informatiebeveiliging bij Nuffic, meer dan alleen compliance

Hoe maken onze experts het verschil binnen organisaties?

Security- expert Sander Verdoes deelt hoe hij structurele verbeteringen heeft gerealiseerd op het gebied van IT en Informatiebeveiliging bij Nuffic, de Nederlandse organisatie die zich inzet voor internationalisering in het onderwijs.

Zijn aanpak gaat verder dan ‘het afvinken van lijstjes’; het draait om échte verandering.

“Ik sta met één been in IT-management en met het andere in information securitymanagement,” zegt Sander Verdoes. “De combinatie daartussen vind ik het meest interessant.” Voor opdrachtgever Nuffic bleek dat een waardevolle combinatie.

Van projectleider naar programmamanager

Sander begon bij Nuffic als projectleider informatiebeveiliging, op het moment dat de organisatie moest gaan voldoen aan de overheidsrichtlijnen op dit gebied. Maar hij stapte alleen in onder één voorwaarde: dat er echt ambitie was/is om te professionaliseren.

“Ik vind het niet interessant als informatiebeveiliging alleen draait om het halen van een vinkje tijdens een audit. Daarmee verbeter je de informatiebeveiliging niet écht. Uiteindelijk is dat wél het doel waar ik me voor wil inzetten.”

Sander Verdoes IT Infra Talents

Sander benadrukt dat compliance geen project is. Je kunt wel kaders, randvoorwaarden en een fundament neerzetten, maar een organisatie blijft alleen compliant als het in de praktijk ook wordt gedragen en uitgevoerd. Gelukkig deelde Nuffic die visie.

Informatiebeveiliging met maatschappelijke impact

Nuffic is een non-profit met een publieke missie: leerlingen en studenten helpen internationale competenties te ontwikkelen, zodat ze goed voorbereid zijn op de samenleving en arbeidsmarkt van de toekomst, want voor internationale vraagstukken zijn internationale oplossingen nodig. Daarbij horen ook wettelijke taken, zoals het waarderen van buitenlandse diploma’s en het beheer van beurzen- en subsidieprogramma’s. Deze zaken brengen veel IT en data met zich mee, met hoge eisen aan privacy en informatieveiligheid.

Volgende stap: bredere verantwoordelijkheid

Na de eerste opdracht werd Sander gevraagd om terug te keren, dit keer met een bredere opdracht: de interne IT-dienstverlening te verbeteren en de CISO-rol op zich te nemen. De IT-afdeling was nog relatief jong en vooral gericht op het operationeel beheer van systemen. Als programmamanager IT & Security introduceerde Sander onder andere:

procesmatig werken (zoals ITIL en BISL);
betere kennisdeling;
meer standaardisatie in werkwijzen.

Als CISO hielp hij de organisatie bovendien met de voorbereiding op nieuwe wet- en regelgeving.

Vrijheid om waarde toe te voegen

Wat Sander als zeer waardevol ervaarde, was de ruimte om breder te denken dan zijn formele opdracht. Zo kon hij ook taken oppakken die op dat moment het meeste opleverden voor de organisatie. Naast het inhoudelijke werk coachte hij enkele medewerkers en verzorgde hij interne trainingen.

“Als consultant op detacheringsbasis kan ik sneller waarde leveren, blijven leren, en organisaties écht verder helpen. “

Sander Verdoes IT Infra Talents

IT en informatiebeveiliging bij Nuffic, meer dan alleen compliance

Hoe maken onze experts het verschil binnen organisaties?

Van projectleider naar programmamanager

Informatiebeveiliging met maatschappelijke impact

Volgende stap: bredere verantwoordelijkheid

Vrijheid om waarde toe te voegen

Meer nieuws

Het verschil tussen ‘passend’ en ‘evenredig’ bij maatregelen in NIS2

De implementatie van NIS2: uitdagingen en verschillen tussen Europese lidstaten

AI over security & privacy - 5 veelgestelde vragen aan Gemini

Interrailen en IAM? Meer overeenkomsten dan je denkt!