• De universiteit
  • 12/09/2025
  • English

Joost de Jong nieuwe Chief Information Security Officer

Joost de Jong is sinds 1 september de nieuwe Chief Information Security Officer (CISO). Hij heeft de wereld in rap tempo zien veranderen: cyberaanvallen zijn veel minder onschuldig dan vroeger, tegelijk is het privacy- en securitybewustzijn van mensen en organisaties toegenomen. "De hele buitenwereld stelt hogere kwaliteitseisen."

door
foto Bart van Overbeeke

Hij zit er ten tijde van het interview een week en een dag, maar “het voelt al best vertrouwd.” Dat is niet gek: hij werkte al vier jaar als Product Owner Security Operations aan de TU/e, in nauwe samenwerking met de vorige CISO Martin de Vries. Onder De Vries veranderde de positie van de CISO binnen de universiteit. De functie valt nu niet meer onder Library and Information Services (LIS), maar heeft een meer externe adviesrol gekregen onder General Affairs. De Jong vindt dat een goede ontwikkeling. “Je bent als CISO tegenwoordig breder bezig dan alleen IT security. Voor een data privacy officer (dpo) is de onafhankelijkheid wettelijk geregeld, maar voor de CISO niet. Daarom hebben we het alvast proactief nu zo opgelost.” 

Meer eisen

De Jong heeft de afgelopen jaren de wereld zien veranderen. “Het is een stuk spannender geworden, cyberaanvallen zijn veel minder onschuldig dan vroeger. Het draait niet meer alleen om geld verdienen, maar er wordt ook doelbewust schade aangericht. Dat is een maatschappelijk probleem.” 

Hij merkt ook op dat door deze veranderende wereld waarin privacy- en security-bewustzijn is toegenomen, relaties zoals samenwerkingspartners of subsidieverstrekkers andere eisen stellen aan de universiteit. “Het ministerie stelt strengere eisen, maar ook ziekenhuizen die data beschikbaar stellen voor onderzoek en subsidiegevers die data willen krijgen over hoe wij met incidenten omgaan. Wetenschappers denken soms dat audits verplicht zijn vanuit LIS of het CvB, maar het is de hele buitenwereld die hogere kwaliteitseisen stelt. Het is belangrijk dat te begrijpen.” 

Gereedsschapkist

De nieuwe CISO erkent dat de TU/e een hoog-risico organisatie is en dat altijd zal blijven. "Dat is inherent aan samenwerking in de wetenschap en aan kennisdeling. Ik heb in het verleden bij het ministerie van Defensie gewerkt. Daar is extreme veiligheid, maar daar breng je zulke hoge offers voor, dat gaat ten koste van de gebruiksvriendelijkheid en mogelijkheden tot samenwerken. Dat wil je niet voor een universiteit.”

De Jong wil in zijn nieuwe rol de TU/e een stukje robuuster maken. ”Ik wil de organisatie zo goed hebben ingericht dat er een gereedschapskist is voor bijzondere apparaten en opstellingen. Neem bijvoorbeeld een apparaat dat ASML schenkt aan de TU/e. Dat kan interessant zijn voor onderzoek, maar wordt dan niet meer onderhouden en krijgt geen updates vanuit het bedrijf. Zo’n apparaat is waardevol voor wetenschappers, maar ook een cyber-risico als je het aan het internet hangt. Dit soort situaties komen meer voor dan je denkt. We moeten daar goede ondersteuningsoplossingen voor bieden. Het scheelt tijd en geld als je niet steeds het wiel opnieuw uit hoeft te vinden.” 

Verder wil hij ook de werkplekken verbeteren en veiliger maken. “Ik wil toe naar een situatie waar we als IT minder hoeven leunen op de kennis en discipline van individuen binnen de organisatie. Dat de impact van wat een student of medewerker eventueel fout doet, kleiner is omdat we alles al heel goed dichtgetimmerd hebben. Als we de techniek goed regelen, hoeven we minder van mensen te vragen. We maken ze nu soms nog voor te veel verantwoordelijk.”

Martin de Vries heeft ondertussen afscheid genomen van de TU/e na er ruim vier jaar als CISO gewerkt te hebben. Hij laat weten een heel fijne tijd te hebben gehad, zowel op menselijk als inhoudelijk vlak. “En hoewel we te maken kregen met de cyberaanval in januari - het is niet de vraag of maar wanneer een organisatie gehackt wordt, want honderd procent veilig bestaat niet – is er nog altijd veel te doen. Een mooie opdracht voor mijn opvolger”, zo schrijft hij. 

De Vries heeft ook een tip aan De Jong: “Ga – nog meer dan ik al deed - bij de faculteiten te kijken wat men daar doet en zoek het contact. Begrip van elkaars situatie is belangrijk bij het verder brengen van security binnen de TU/e.” De nieuwe CISO kan zich daar prima in vinden. “Die gereedschapskist die ik wil, is niet voor mezelf, maar voor de betere ondersteuning van de organisatie. De bedrijfsvoering binnen een universiteit is vergelijkbaar met die van andere sectoren wat betreft ICT. Maar wetenschappelijk onderzoek en labs zijn het meest uitdagende voor ICT om te ondersteunen. Als je daarvoor een goede oplossing weet te vinden ben je echt al heel ver.”

Deel dit artikel