Kees Kraan tilt informatiebeveiliging InAdmin RiskCo naar een hoger niveau.

dinsdag 06 december – 2022

Pensioenuitvoerder InAdmin RiskCo, interim IT auditor Kees Kraan en Fellowfield bundelen krachten.

De uitdaging van pensioenuitvoerder InAdmin RiskCo was klip en klaar: een self assessment op informatiebeveiliging wees uit dat verbetering mogelijk was op een aantal DNB (De Nederlandsche Bank) controls. Om dit voor elkaar te krijgen is een project opgestart “En om dit project tot een geslaagd einde te brengen heb je niet alleen inhoudelijke kennis, maar ook karakter nodig”, zegt chief financial risk officer (CFRO) van InAdmin RiskCo, Muriel van den Berg.

“Eerst even wat context”, zegt Van den Berg, “want ik kan me voorstellen dat InAdmin RiskCo niet bij iedereen meteen hele concrete associaties oproept. Om het helemaal plat te slaan: wij ontwikkelen software en verzorgen de pensioenuitvoering voor kleinere en middelgrote DB (defined benefit) en DC (defined contribution) regelingen. Het zal overigens geen verrassing heten dat bij het verwerken en beheren van zoveel data en persoonsgegevens voor pensioendeelnemers enorm veel verantwoordelijkheid komt kijken.”

Normeringskader DNB

En op die verantwoordelijkheid wordt- “terecht”, zo stelt Van den Berg- nauw toegezien door de interne organisatie InAdmin RiskCo en door klanten en de DNB. Het is dus een zaak van prioriteit dat er voldaan wordt aan het normeringskader dat de DNB hiertoe heeft opgesteld. Of dat een gemakkelijke opgave is? “Niet bepaald”, zegt Van den Berg. “InAdmin RiskCo is een kleine organisatie met enorm veel kennis en ambitie in huis, maar over de uitgebreide expertise en capaciteit om een groot project in te richten én te leiden, tja daar beschikken we simpelweg niet over.”

Doortastendheid en persoonlijke benadering

Van den Berg aarzelt niet wanneer de vraag rijst welke partij ingeschakeld moet worden om een geschikte IT (security) auditor op te lijnen. De CFRO en Bob van Rijthoven, mededirecteur van Fellowfield,  kennen elkaar al sinds een jaar of zes en zij roemt de doortastendheid, vakkennis en de persoonlijke benadering van de Bossche bemiddelings club. “We zochten eigenlijk een soort hands-on strateeg met sterke communicatieve vaardigheden: iemand die over de inhoudelijke kennis beschikt, leiderschapskwaliteiten bezit, operationeel meteen mee kon draaien en op korte termijn beschikbaar was. En ik zal je één ding verklappen: die groeit niet aan elke boom.”

Als je een hamer kunt maken, maar je weet niet hoe je die moet hanteren, word je nooit een goeie timmerman.

Toch lukte het Fellowfield binnen één week drie geschikte kandidaten te overleggen. “Drie mooie en gevarieerde profielen”, zegt Van den Berg, “maar Kees Kraan stak er met kop en schouders boven uit. Zijn kennis, kunde en kalmte maakte hem bij uitstek geschikt voor deze opdracht, waarbij je toch rekening moet houden met wat interne weerstand én de druk vanuit de eigen ambitie en klanten om liever gisteren dan vandaag aan alle DNB controls op een zo hoog mogelijk niveau te krijgen. ” In maart 2021, één week na zijn eerste gesprek bij InAdmin RiskCo, gaat Kraan aan de slag.

Social nerd

“Informatiebeveiliging is niet alleen een technische zaak”, verklaart Kraan zijn uitdaging. “De verbinding tussen de organisatie en de technische middelen die je daar inzet, is cruciaal. Als je een hamer kunt maken, maar je weet niet hoe je die moet hanteren, word je nooit een goeie timmerman.” Hij vervolgt: “bij compliancy draait het natuurlijk om het voldoen aan controleraamwerken, maar het creëren van awareness en het laten landen van de voorgestelde maatregelen, moet je niet onderschatten. Als auditor stel je je immers kritisch op ten aanzien van vaak ingesleten processen. Om die te kunnen veranderen, moet je ook over tact beschikken om dit aan te kaarten bij de betrokkenen in een organisatie. Noem het een zending, waarbij ik langs mijn beeldscherm  kijk en in gedachten op de stoel van de betrokkene tegenover me te gaan zitten. Klinkt klef, maar it gets the job done.” Lachend: “Ik noem mezelf ook wel eens een social nerd.”

Inmiddels is Kraan toe aan zijn derde verlenging, hét bewijs van een geslaagde samenwerking. Binnenkort zal hij zelfs op interim basis zijn leidinggevende opvolgen als Manager Security, Risk en Compliance. “Een mooier compliment kun je natuurlijk niet krijgen”, zegt Kraan. Hij kijkt dan ook (nu al terug) op een geslaagde opdracht. “Inhoudelijk hebben we denk ik forse slagen gemaakt; zeker op het gebied van aantoonbaarheid en awareness – twee kernbegrippen binnen de compliance.” En de samenwerking tussen de betrokken partijen? “Die liep als een zonnetje”, zegt Kraan. “Muriel en ik zaten op één lijn en ook de betrokkenheid van Fellowfield was een verademing;  heel fijn als een partij niet duwt en ramt, maar over de hele linie betrokken blijft én oog heeft voor een duurzame match. Zoals je ziet, kan dat echt het verschil maken.”