Straks is een accountantskantoor een IT-bedrijf met verstand van audit. Deze stelling wordt gedeeld door Marko van Zwam en Hans Bootsma van Deloitte. En daarvoor heb je voor een deel andere mensen nodig dan degenen die nu traditioneel de accountantskantoren bemensen. Van overwegend groen en blauw, procesmatig en procedureel inhoudelijk naar wat meer rood en geel. Creativiteit, digitale skills en vindingrijkheid. En de eerste collega’s die op beide levels goed kunnen functioneren, zijn er inmiddels.
Het Cyber Security team van Deloitte is gevestigd op de Zuidas van Amsterdam in het Edge-kantoorgebouw. Het stereotype accountantskantoor wordt bemenst door keurige mannen en vrouwen, formeel gekleed, stropdas, nauwelijks casual. Cyber is anders en atypisch voor een accountantskantoor. De stropdasdrager valt op; niet als minderheid, maar meer als eenling. Jong, jeans, sneakers, T-shirts en hoodies zijn bijna de norm. Kijk op Netflix naar een aflevering van hackerserie Mister Robot en u ziet de gelijkenis. Desalniettemin helpen deze Deloitte-collega’s de meest prestigieuze klanten van Nederland op het gebied van cyber security.
Cyber security: 2010 – 2016
Marko van Zwam is partner bij Deloitte en verantwoordelijk voor het Cyber Security team. Hans Bootsma is binnen Deloitte onder andere verantwoordelijk voor de innovatie van audit. Marko leidt zijn Cyber Security team sinds 2010. Brede aandacht voor dit onderwerp ontstond in 2011 na het debacle rond Diginotar, toen bleek dat de door Diginotar afgegeven PKI-certificaten ‒ die de veilige interactie met overheidswebsites moesten garanderen ‒ niet veilig bleken te zijn. ‘Toen zijn we echt begonnen met het aannemen van techneuten.’ De focus ging naar technische universiteiten. Computer science, information security, kunstmatige intelligentie, natuurkunde, wiskunde en elektrotechniek werden studierichtingen die op het recruitinglijstje van Deloitte kwamen te staan. Terwijl de studenten in die richtingen eerder denken aan een carrière bij Philips, ASML, Cap Gemini of HP.
Security, veiligheid en ook digitale veiligheid, werd zeker tot die tijd nog vooral gezien als het hebben van een handboek met een protocol voor als het fout gaat. ‘Ik heb nog nooit een bedrijf gezien dat veilig werd van het hebben van alleen een handboek’, is Marko’s stelling. ‘Uiteindelijk word je veiliger van aanpassingen in de technische instellingen op servers in datacenters.’ Hij vindt het speelveld uitdagend en de klussen gevarieerd: van het testen op het thema digitale veiligheid van windturbines in Denemarken, navigatietoepassingen in Nederland tot aan het testen van digitale systemen van een flagship Duits autotype. Doen de systemen wat ze moeten doen, hoe veilig zijn ze, enz?
‘We werden gevraagd om een portal te testen die documenten beschikbaar stelt, maar dit niet ongelimiteerd doet. Documenten kunnen worden gedownload na het invullen van een captcha. ‘Kunnen jullie die testen?’ vroeg een klant. Een jonge collega is ermee aan de slag gegaan. Hoe kun je eromheen? Na een tijdje surfen kwam hij in India op captcha-as-a-service– uit. 1000 challenges voor 2 dollar. Hij betaalt via PayPal en schrijft een programmaatje dat de captcha fotografeert en naar India verstuurt. Dat komt binnen 13 seconden terug en werkt in 93% van de gevallen. Het hele team is dan trots, en de betreffende collega is dan bij wijze van spreken de ‘eindbaas’ van de dag. Dit type collega is niet zozeer geïnteresseerd in de vaste carrièrelijnen van een accountants- en advieskantoor en al helemaal niet in de traditionele hiërarchie.’ Mede daarom is er een ander slag mensen nodig, met andere kennis en vaardigheden dan een accountant, jurist of een bedrijfseconoom. Inmiddels heeft het Cyber Security team goede relaties opgebouwd met de relevante faculteiten en hoogleraren.
Wat is de belangrijkste recruitmentvraag?
Marko van Zwam: ‘Wat doe je in de avonduren? Hoe zien jouw datacenter en netwerk dat je thuis hebt eruit? Maak je gebruik van domotica?’ En daarnaast komen natuurlijk de gevraagde opleidingen, het STEM-profiel: Science, Technology, Engineering en Mathematics. Van nature zijn we dus niet de eerste keuze voor technisch talent. Maar als wij een goed verhaal hebben, komen ze wel. We moeten dan wel een cultuur kunnen bieden waarin fun van belang is. Minder formeel qua dresscode, flexibele werktijden, een platte organisatie en soms ’s avonds leuke dingen doen, zoals bijvoorbeeld het gezamenlijk onderzoeken van de security (hacken) van een drone, pacemaker of auto. Ook belangrijk: het werk moet uitdagend zijn en niet repeterend. Voor de mooiste klussen blijven ze. Ook belangrijk is dat er wordt geappelleerd aan de honger naar kennis: het faciliteren van trainingen, kennisdeling, research, gamification (hacking games spelen) en het bezoeken van congressen.
En hij vertelt het verhaal over de koffiemachine die gehackt wordt. Usb-stick inpluggen, online op zoek naar mogelijke beveiligingscodes, gebruiksaanwijzingen, en vervolgens de koffieautomaat net iets anders, sterker, rijker van smaak instellen. ‘Hackers Deluxe’ komt er dan uit het apparaat. Hij vraagt een andere instelling van zijn mensen: ‘Kijken, kapot maken en repareren. Plezier, uitdagen, groei, vertrouwen en teamwork zijn belangrijke aspecten. Ethiek staat bij alles bovenaan, met spelregels als voorwaarde. Niet ethisch hacken doen we niet, dus ook niet in je eigen tijd! Er dient altijd een schriftelijke overeenkomst te worden gesloten voordat we met hacken beginnen.’ Marko noemt het de blauwe laag om de geel/oranje hackers.
Andere werkverdeling en invulling recruiting
Maar er is meer dat het werken en de carrières bij het Deloitte Cyber Security team anders maakt. Het is niet meer de traditionele werkverdeling van assistent, senior, director, partner waarin ervaring en deskundigheid met de jaren toenemen. Binnen cyber zitten jonge mensen die dingen kunnen die anderen niet kunnen; unieke talenten dus. Dat maakt dat alleen maar een hiërarchische aanpak geen optie is.
‘Het vraagt ook om een andere invulling van recruiting. Hun profielen zijn fundamenteel anders. Hadden ze op hun 13e of 14e een paar computers in huis, een eigen server? Ik had op mijn 17e een bijbaantje bij Albert Heijn, zij hebben een job als ontwikkelaar, bouwen websites, hebben een eigen bedrijfje naast hun studie. Tegen de tijd dat ze afgestudeerd zijn, hebben ze misschien al tien jaar ervaring in het Cyber Security-vakgebied, maar nog geen ervaring met begrippen als governance, risk, control en mitigatie. Dat moeten we hun dan snel bijleren.’
Nerd is een geuzennaam
Het betekent dat er binnen een dergelijke organisatie ruimte is voor een ander type collega. Marko stelt dat er ongetwijfeld collega’s rondlopen met autistische en aspergerachtige kenmerken. ‘In ons vakgebied kan dat weleens een voordeel zijn. Dit verlangt wel aandacht en duidelijke kaders, maar we willen er daar best wel meer van.’ Toch waarschuwt hij wel voor het stereotype beeld van de nerd. ‘Vroeger waren nerds ook echt nerds. Nu is dat anders, het is een breder begrip. Het zijn ook gewone jongens die naar de kroeg gaan, een vriendin hebben, voetballen. En met de moderne hipsters is de maatschappij een beetje meer in de richting van de nerd gaan bewegen.’
IT-bedrijf met verstand van audit
Hans Bootsma is binnen Deloitte verantwoordelijk voor de combinatie IT en audit en de innovatie van audit. De ontwikkelingen die Marko schetst, gaan ook op in audit en accounting. ‘Data-analyse, digitale tooling, wordt echt steeds belangrijker. Er komt steeds meer digitale technologie beschikbaar voor auditdoeleinden, maar regelgeving zet hier nog altijd een rem op. De bestaande controlestandaarden geven beperkingen aan de grootschalige toepassing van data-analyse. De AFM heeft afgelopen jaar grote accountantskantoren uitgenodigd om hun data-analysetoepassingen te tonen en om aan te geven waar de huidige regelgeving belemmerend werkt. Voor consultancy zijn die er niet. Voor audit wel! Data-analyse kan veel kleine afwijkingen boven water krijgen, zaken die je eerder misschien niet zag. Moet je die dan allemaal handmatig gaan onderzoeken ‒ waardoor de kans groot is dat je naar minder belangrijke zaken gaat kijken? En wat moet je doen met eerder afgegeven verklaringen? Wie heeft het antwoord? We zijn vanuit de beroepsgroep druk bezig om hier antwoorden op te vinden.’
Ook andere mensen in audit?
De ontwikkelingen zijn echter onomkeerbaar, stellen beiden. Er komt ook vanuit audit steeds meer data naar boven. Wat kan een kantoor daarmee doen in het kader van een audit? Kunnen de data ook terug naar de klant, zodat die er wat mee kan? Moeten er ook in de auditsfeer andere mensen worden aangetrokken? Hans Bootsma trekt dezelfde conclusies als Marko van Zwam. Naast die traditionele blauw/groene accountant met zijn kennis van IFRS en administratieve organisatie en interne beheersing is er in het team nadrukkelijk plaats voor die geel/oranje cyberspecialist-data-analist die creatieve manieren zoekt om zaken te onderzoeken. Die ook over deze onderwerpen strategisch kan meedenken en meepraten met die ondernemer en die de raad van commissarissen reflectie kan bieden op hun risicoanalyse.’
Nog beter wordt het wanneer er een generatie komt die beide kwaliteiten in zich heeft. ‘De eersten zijn er al’, stelt Marko van Zwam.
Dit is een iets ingekorte versie van een artikel dat eerder is verschenen in de papieren Accountancy Vanmorgen. Wilt u het gehele artikel lezen kies dan hier voor een abonnement op Accountancy Vanmorgen.
Duijkers zegt
Hallo
Dit vind ik een goed artikel.
Ik zelf kijk regelmatig voor antwoorden op:
https://www.pluralsight.com/blog/tutorials/learning-path-ethical-hacking