Van criminologie naar cybersecurity: “Je kunt jezelf heel erg verbazen”
Kun je iets vertellen over je studiekeuze en hoe je in dit vakgebied bent terechtgekomen?
“Ik heb criminologie gestudeerd, zowel een bachelor als een master interventiecriminologie. Daar raakte ik enthousiast over cyber security, en ik dacht: dit wordt een steeds groter en belangrijker onderwerp. Hier wil ik meer over weten.
Na het afstuderen bleef die interesse hangen, maar ik merkte dat er altijd veel meer ervaring gevraagd werd dan ik had. Toen dacht ik: hoe ga ik dit oplossen? Zo kwam ik terecht bij een traineeship — een combinatie van werken en leren. Ik dacht: top, want dan weet degene bij wie ik ga werken dat ik nog niet zoveel ervaring heb, maar dat ik die wel wil opdoen. Je zit toch al in het veld, dus je leert heel veel terwijl er ruimte is om te groeien.”
Hoe ben je Breinstein terechtgekomen?
“Ik was een beetje aan het rondneuzen bij traineeships en had de naam al vaker gehoord. Ik dacht: een gesprek kan nooit kwaad. Dat eerste gesprek was heel fijn, open en warm, een heel prettig gesprek dat bleef hangen. Ik dacht: volgens mij wil ik hier wel meer over weten.”
Had je bepaalde verwachtingen voordat je startte?
“Ik ging er vrij open in. Ik had wel verwacht dat ik veel zou leren, maar ik had absoluut niet verwacht dat ik terecht zou komen op de plek waar ik nu ben. Het is altijd lastig om met terugwerkende kracht te bedenken wat je verwachtingen ook alweer waren maar ik weet wel dat ik er open in ging.”
Je werkt nu bij Deloitte. Kun je iets vertellen over je opdracht?
“Ik zit nu bijna een jaar bij Deloitte en ga daar ook mijn tweede jaar doen, het bevalt van beide kanten heel erg goed. Ik werk op een project bij de LMS, de Landelijke Meldkamer Samenwerking, onderdeel van de politie.
Hoe ik het altijd uitleg: ik zit op een BN3-eilandje. BN3 staat voor basisbeveiliging niveau 3, het hoogste beveiligingsniveau dat er is. Een aantal systemen waar de politie gebruik van maakt zijn zo kritiek dat ze aan zware beveiligingseisen moeten voldoen. Het is aan ons de taak om alle stakeholders daarbij te betrekken en ervoor te zorgen dat die eisen ook daadwerkelijk geïmplementeerd worden. Dus heel veel overleggen, heel veel samen nadenken van: hoe gaan we dit doen, hoe krijgen we alle koppen bij elkaar?”
Wat doe je concreet van week tot week?
“Recent hebben we een gap-analyse uitgevoerd. We hebben de beveiligingseisen naast de werkwijze van leveranciers gelegd en bekeken: waar voldoe je nog niet aan, wat moet er gebeuren? Op basis daarvan maken we werkproducten, bijvoorbeeld een procesbeschrijving over security testen. Zo’n procesflow laat een leverancier precies zien op welk moment ze welke security test moeten uitvoeren en daarmee voldoen ze aan een BN3-eis.
Het is elke keer een beetje het wiel uitvinden, veel documenten maken en aanpassen. Maar het is wel heel leuk als je iets helemaal van nul begint en uiteindelijk een eindproduct oplevert dat daadwerkelijk in gebruik wordt genomen, en niet in een lade verdwijnt. Als ik nu een NL-Alert hoor afgaan, denk ik: daar hebben wij indirect aan bijgedragen. Je realiseert dan hoeveel er achter de schermen gebeurt om dat draaiende te houden.”
Naast je werk bij Deloitte gaf je ook les op een basisschool. Hoe was dat?
“Klopt, dat was via de Deloitte Impact Foundation. Ze zochten mensen die twee dagen les wilden geven op een basisschool, en ik dacht: dat is heel leuk, even iets anders dan normaal. En ook goed om presenteren te oefenen, want groep 7 en 8 is een heel lastig publiek! De eerste les ging over coderen, de tweede meer over cyberveiligheid, iets meer in ons straatje. Het verbaasde me hoeveel die kinderen er al van wisten. Sommigen hadden al zelf games ontwikkeld en veel terminologie kenden ze ook al. Heel veel vragen stellen werkte goed om het interactief te houden — ze zijn graag aan het woord. En filmpjes: dan zijn ze stil.”
Wat vind je het leukste aan je werk?
“Echt het stukje stakeholdermanagement. Je wil iedereen gezien en gehoord laten voelen, en soms moet je uitleggen waarom iets belangrijk is terwijl de ander dat niet inziet, want iedereen denkt dat zijn onderdeeltje het belangrijkste is. Dat vraagt in mijn functie heel veel soft skills, en dat vind ik juist heel erg leuk. Als je zegt dat je in cybersecurity werkt, denkt iedereen dat je super technisch bezig bent. En tuurlijk doe je ook technische kennis op, maar het is meer met mensen werken en communiceren dan ik van tevoren had verwacht.”
Wat heb je het meeste over jezelf geleerd?
“Je kunt supersnel, veel leren! In het begin heb ik me afgevraagd waar ik aan begonnen was, maar een maand later praat je met de klant over de inrichting van een pentest.”
Wat hoop je het komende jaar nog te leren?
“Ik zou graag een onderwerp willen vinden waar ik echt een expertise in kan opbouwen. Zodat als dat onderwerp aan de orde komt, mensen zeggen: oh, dan moet je bij Myrthe zijn. Een soort subject matter expert, zoals we dat bij Deloitte noemen. Welk onderwerp dat wordt? Geen idee, daar kom ik misschien volgend jaar achter.”
Wat zou je willen meegeven aan jonge mensen die twijfelen over een traineeship?
“Sta open voor wat er op je pad komt. Sommige mensen weten precies waar ze naartoe willen, maar ik ben er zelf achter gekomen dat je jezelf enorm kan verbazen. In wat je goed ligt, wat je leuk vindt, waar je terechtkomt.
En wat ik zelf ook meeneem: toen ik bij Deloitte begon, dacht ik: jeetje, Deloitte is groot, en ik weet lang niet alles van cybersecurity? Ik ben ook “maar” een trainee. Maar mensen weten dat je een trainee bent. Ze weten dat je nog veel gaat leren. Als je openstaat om te leren en gemotiveerd begint, kom je een heel eind. Het is echt oké om nog niet alles te weten en stiekem weet je eigenlijk toch best wel veel.”
