‘Security by design moet nóg vanzelfsprekender worden’
Sinds november is Glyn Jones Chief Information Security Officer (CISO) bij stichting RINIS. Hij brengt een bak aan ervaring in IT en informatiebeveiliging met zich mee. Zijn doel: security nog steviger verankeren in in de gehele organisatie, van project tot beheerde dienst en van begin tot het eind. Hoe blikt hij terug op zijn eerste honderd dagen?
Je kwam binnen toen RINIS net haar hercertificering voor ISO 27001 had behaald. Dat klinkt als een mooie timing.
“Dit was voor mij inderdaad een perfect moment. Voldoen aan ISO 27001, de internationale standaard voor informatieveiligheid, is belangrijk voor ons en voor onze Deelnemers. Mijn voorganger en enkele andere RINIS-collega’s hebben veel werk verzet om de certificering te behalen. We laten ermee zien dat we onze processen voor informatiebeveiliging op orde hebben. Met die certificering ligt er een prachtig fundament waar ik op verder kan bouwen.”
Je neemt behoorlijk wat ervaring mee naar deze baan.
“Dat klopt. De IT-wereld fascineerde mij als kind al. Ik groeide op in de jaren tachtig, waarin ik heel wat tijd met mijn Commodore 64 doorbracht. Daarna heb ik van mijn hobby mijn beroep kunnen maken. Ik was onder meer system engineer en IT & Security-manager bij een petrochemisch bedrijf, securitymanager bij een telecomprovider en Business Information Security Officer bij een grootbank. Mijn interesse voor security begon eind jaren negentig, toen Y2K, ‘de millenniumbug’, een ding werd. In die beginjaren ging het vooral nog over beschikbaarheid. Redundancy en 24/7-beschikbaarheid van systemen zijn nu vanzelfsprekendheden, maar toen was het nog iets nieuws. Inmiddels zijn de dreigingen flink toegenomen, maar daarmee is er ook veel meer draagvlak gekomen voor informatiebeveiliging en de CISO-rol.
In de loop der jaren haalde ik een paar belangrijke certificeringen in informatiebeveiliging: die voor ISO 27001, CISSP en CISM. CISSP richt zich op technische en organisatorische beveiliging, terwijl CISM juist de nadruk legt op governance en risicobeheer. Ik heb ook uitgebreide ervaring met ITIL, een beproefde methode om IT-dienstverlening gestructureerd en betrouwbaar te organiseren. Met deze certificeringen en mijn brede ervaring met IT-projectmanagement kan ik risico’s goed inschatten. Leidend daarbij is het people-process-technology-principe. Informatiebeveiliging is voor mij veel meer dan alleen technologie. IT- en securityoplossingen kunnen alleen effectief zijn als mensen weten wat hun rol is, processen helder en werkbaar zijn, en als de technologie ondersteunend en betrouwbaar is.”
Je werkte bij grote multinationals. Wat sprak je aan in de vacature bij een relatief kleine organisatie als RINIS?
“Bij grote multinationals zijn de security-uitdagingen natuurlijk van een andere orde, maar tegelijkertijd kun je daar als individu minder impact maken. Daarom was ik op zoek naar een omgeving waar ik niet alleen goed beleid kan neerzetten, maar ook daadwerkelijk invloed heb. RINIS is volop in ontwikkeling en heeft security hoog op de agenda staan. Hun tagline sprak me aan: veilig, betrouwbaar, gegarandeerd. Daarbij hoort ook de strategische positionering van de CISO-functie in de organisatie. In veel organisaties valt security onder IT. Hier rapporteer ik aan de directeur Bedrijfsvoering. Dat geeft onafhankelijkheid – en het signaal dat informatiebeveiliging hier serieus genomen wordt. Tijdens het sollicitatieproces sprak ook de informele en transparante dynamiek van de organisatie mij aan. Het contact was aangenaam en ik zag dat RINIS innovatief is, korte lijnen heeft en dat het team openstaat voor verandering.”
En, werd dat in je eerste 100 dagen als CISO ook waargemaakt?
“Zeker. Ik voelde me vanaf het begin welkom. De overdracht met mijn voorganger was zorgvuldig, de gesprekken met collega’s open en prettig. Ze staan open voor wat ik te vertellen heb en dat is natuurlijk een prettig uitgangspunt.”
Waar focus jij je nu vooral op?
“Als CISO ben ik verantwoordelijk voor de informatiebeveiligingsstrategie van RINIS. Dit betekent dat ik niet alleen toezie op naleving van wet- en regelgeving, maar ook actief meewerk aan het creëren van een security-bewuste cultuur. Ik werk nauw samen met IT, en het management om risico’s te identificeren en maatregelen te treffen. Daarnaast begeleid ik projecten waarbij security een belangrijke pijler is. Mijn rol is niet om alleen maar regels op te stellen, maar vooral om collega’s mee te nemen in het belang van security by design en om hen te helpen dit in hun dagelijkse werk te integreren. Er gaat al heel veel goed, maar dat kunnen we nog niet altijd goed aantonen. Dat betekent dat we nog beter moeten documenteren, zodat we structureel kunnen aantonen dat systemen en processen veilig zijn. Dat helpt ook bij een aantal belangrijke momenten die eraan zit te komen. In oktober 2025 is bijvoorbeeld de volgende ISO 27001-audit. Ook de NIS2, de nieuwe Europese cybersecuritywet heeft impact op RINIS. Daarvoor moeten we bijvoorbeeld wat nieuwe processen inrichten.”
Als ik je volgend jaar weer spreek, wat wil je dan bereikt hebben?
“Ik wil dan dat security en privacy by design structureel zijn ingebed in onze werkwijze. Dit betekent dat we bij de start van projecten al nadenken over beveiliging, privacy en compliance. Daarnaast wil ik dat er een duidelijke security roadmap ligt met concrete stappen die we als organisatie gaan zetten. Ook hoop ik dat het bewustzijn rondom ISO 27001 en de cybersecuritymaatregelen die vereist zijn verder is gegroeid. Dat medewerkers zich niet alleen bewust zijn van de risico’s, maar ook weten hoe ze daar zelf aan kunnen bijdragen. Als dat lukt, zetten we een belangrijke stap richting een veilige en veerkrachtigere organisatie.”