NOREA | Dag uit het leven van Johan Sturm

Dag uit het leven van Johan Sturm

7:30 uur Japan calling

Voordat ik naar kantoor ga, eerst even een call met de CISO van Orix, onze Japanse eigenaar sinds 2013. Juist op securitygebied is het belangrijk om goed samen te werken en informatie uit te wisselen binnen een besloten groep vakgenoten. Samen sta je sterker. Na jarenlange succesvolle samenwerking voor security binnen de Rabobank Groep, was het belangrijk om dit met de nieuwe Japanse eigenaar Orix op te bouwen. Goed om regelmatig ervaringen uit te wisselen en gezamenlijk oplossingen te implementeren. Vanwege het tijdverschil voor mij handig om dit ’s ochtends vroeg vanaf huis te doen. Tokyo lijkt dan vlakbij.

9:00 uur start op kantoor

Op kantoor in Rotterdam eerst de status navragen van wat hardnekkige netwerkissues. Afgelopen nacht zijn er helaas wat mensen uit hun bed gebeld om verstoringen te analyseren en herstelwerkzaamheden uit te voeren. Gelukkig alles tijdig hersteld voordat de meeste collega’s in Rotterdam aan de slag gaan, maar in Hongkong hadden ze er wel last van.

10:00 wekelijks MT

Ons wekelijks MT COO. Altijd veel zaken te bespreken. Van strategie tot incidenten. Van budget tot HR. Van projecten tot operatie. De grote diversiteit aan onderwerpen binnen het chief operation officer (COO) domein maakt de agenda uitdagend, maar levert een centrale plek op waar alles binnen Robeco op het gebied van IT en Operations samenkomt. Dit geeft mij als CISO een goed overzicht van al onze business activiteiten, de bijbehorende security risico’s en de meest effectieve maatregelen.

12:00 lunch

Voor de lunch nog wat lopende zaken checken. Statusupdate vragen van een aantal IT-incidenten, even wat mail checken, op (sommige) berichten kort reageren en in de wandelgangen afstemmen hoe het gaat met de selectie van een nieuwe softwareleverancier.

Tijd voor lunch! Een fijn moment om aan te schuiven bij een aantal collega’s en het niet alleen over werk te hebben. Over Feijenoord kan ik helaas meestal niet zo meepraten, maar wielrennen, mooie duiklocaties, de financiële markten, geopolitieke ontwikkelingen en ervaringen met zelf bier brouwen, zorgen voor de nodige gespreksonderwerpen.

13:00 overleg met werkplekleverancier

Tactisch overleg met een van onze IT providers. Uitbesteding van activiteiten is een belangrijke strategie voor Robeco. Schaalvoordelen en expertise van externe partijen leveren ons belangrijke voordelen op. Maar uitbesteden ontslaat ons natuurlijk niet van onze verantwoordelijkheid. Aan Robeco’s IT-omgeving worden hoge eisen gesteld voor beschikbaarheid en beveiliging. Door ons zelf, onze klanten en toezichthouders. Bij de uitbestede diensten focust Robeco zich voornamelijk op het bepalen van beleid, IT-architectuur, regie, service level management, controle en monitoring. Onze security officers, IT-architecten, infrastructuurspecialisten en IT process control officers werken nauw samen met de IT-providers en duiken zo nodig met hen in de technische details. In het maandelijkse tactisch overleg met de IT-provider bespreken we de status van de service levels, mogelijke issues, uitvoering van projecten en het continuous improvement plan.

14: 00 Kick-off meeting ITGC testing

Gesneden koek bij Robeco is de jaarlijkse audit cyclus voor de jaarrekening (SOX) en de ISAE3402 voor onze klanten. Een belangrijk onderdeel voor Robeco zijn vanzelfsprekend de IT General Controls. Vooral goede planningsafspraken tussen de processpecialisten, riskmanagement, internal en external audit zijn belangrijk. Door een verschil in kalenderjaar voor de ISAE3402 en het fiscale jaar voor SOX moeten de uitgevoerde testen, controles en de opgeleverde evidence goed passen binnen de bijbehorende periodes. Het goed met elkaar afstemmen van de aanpak, planning, verwachte oplevering en rapportes vereist een goed onderling overleg tussen de betrokken interne en externe partijen. Mijn achtergrond als IT-auditor helpt me dan nog steeds om al het jargon van ITGC, management testen, TOD, TOE, automated controls, SOX, ISAE3402, Type 1, Type 2, SOC1, PBC en PCAOB te begrijpen. Het blijft een boeiend vak, dat IT-auditing.

15: 00 bespreken Red Team-oefening

Samen met de manager van het Security Office en hoofd operational risk management (ORM), schuif ik aan bij het Executive Committee (ExCo, het bestuur van Robeco) om de resultaten van de Red Team-oefening te bespreken. Deze vrijwillige jaarlijkse externe ‘hack’ is voor ons een belangrijk middel om onze cyber resilience te testen. Door de test dit jaar over een langere periode te laten uitvoeren zijn de resultaten nog realistischer. Ook nu blijkt de combinatie van phishing emails, menselijke gedrag en niet perfecte technologie toch voor wat zwakheden te hebben gezorgd. Werk aan de winkel.

16:00 sollicitatiegesprek

Einde van de middag een sollicitatiegesprek. Deze kandidaat lijkt goed te passen, dus hopelijk kunnen we vervolgstappen met hem zetten in de uitdagende markt voor security professionals.

17:00 mails, mails, mails

Het voordeel van een kantoorritme is dat er meestal na 17.00 geen meetings meer gepland zijn. De dagelijkse uitdaging om op emails te reageren, te bewaren voor later of te negeren start. Gelukkig helpt Microsoft een handje door zelf al veel spam weg te filteren of mails in het mapje onbelangrijk te zetten.

18:30 Infra en Azure

Tijd om tijdens het diner bij te praten met de manager Infrastructure Services. Hij werkt standaard op ons kantoor in Zurich. Mede door de Covid-19-periode zijn teams volledig gewend om vanuit diverse locaties met elkaar samen te werken. Maar het is ook goed om elkaar regelmatig fysiek te ontmoeten en dan eens rustig bij te praten. Goed om te horen dat het Azure Competence Center op sterkte is en zorgt voor een goed en veilig gebruik van de Azure omgeving door de DevOps team.

21:30 onderduiken

’s Avonds thuis is de meeste energie wel op. Maar toch nog even wat mail lezen en vergaderstukken voor de volgende dag doornemen. Met een half oog nieuws kijken in een mix van Journaal, Nieuwsuur en Jinek. En tussendoor nog even iets regelen voor de duikvakantie. Blij dat we na twee Corona-jaren binnenkort weer naar onze favoriete duikplek in Egypte kunnen. Natuurlijk zijn IT en Security mooie vakgebieden, blijft IT-auditing een mooie achtergrond en is Robeco een mooie werkomgeving… maar af en toe onderduiken in een totaal andere wereld en alle IT- en securityuitdagingen even vergeten is toch ook wel fijn. Vannacht blijft het nog even bij erover dromen.

Ing. J.W.J. (Johan) Sturm RE | Chief Information Security Officer (CISO) en Head of Continuity & Stability bij Robeco

Als CISO is Johan verantwoordelijk voor information security en business continuity. In zijn functie als Head of Continuity & Stability is hij verantwoordelijk voor de afdeling die de betrouwbaarheid en continuïteit van de (uitbestede) IT-systemen, cloud solutions en data processing bewaakt en beheerst. Voordat hij in 2010 startte bij Robeco was Johan vier jaar consultant bij Atos Consulting en negen jaar IT-Auditor bij Ernst & Young. Hij startte zijn carrière in de IT-sector bij Pink Elephant in 1993, na een studie Technische Natuurkunde aan de HTS Dordrecht. Hij volgde de IT Auditing opleiding aan de VU Amsterdam en is Register IT-auditor (RE) sinds 2001.