Solliciteren bij Rabobank gaat gewoon door. Uiteraard zullen alle gesprekken tot nader order telefonisch of via videocall plaatsvinden.

Risico's managen in een veranderende IT-wereld: de rol van Risk Management

Jasmin Carlson, Risk Manager bij Rabobank

Een nieuwe applicatie om digitaal bestanden met elkaar te delen. Een USB-token om je computer te ontgrendelen. Het opslaan van privacygevoelige informatie in de cloud. Risk Manager Jasmin Carlson bepaalt samen met haar collega's wat er wel en niet door de beugel kan.

Zorgen dat iedereen zijn werk kan blijven doen

“Binnen Dynamic Risk Management beoordelen we proactief de operationele risico’s, veranderingen binnen systemen en incidenten. We kijken of de mitigerende maatregelen die we hebben genomen nog volstaan. Dit zijn maatregelen waarmee we beveiligingsrisico’s tot een minimum beperken. Je kunt risico’s nooit helemaal wegnemen, maar wel tot een minimum beperken. Zoals je thuis bijvoorbeeld ook een slot op je deur hebt, of een sterk wachtwoord op je computer.”

“We beoordelen niet alleen de risico’s van applicaties en systemen, maar ook de externe partijen met wie we in zee gaan. Hoe goed is de beveiliging? Wat is de impact van een verandering? En hoe wordt er omgegaan met privacygevoelige informatie? Het is een doorlopend proces. In de Dynamic Risk Cycle identificeren wij de kritische processen en zorgen dat iedereen zijn werk kan blijven doen.”

“Toen de coronacrisis begon, was er ineens grote behoefte aan software om digitaal te overleggen en om informatie uit te wisselen. Voorheen gebruikten we Skype, maar dat voldeed niet op deze schaal. Je moet iets anders vinden. Wij beoordelen de risico’s van alternatieven die passen binnen het beleid van de Rabobank, zoals Zoom en Microsoft Teams. Bij het gebruik van dit soort clouddiensten en samenwerksoftware adviseren wij bijvoorbeeld over het instellen van 2-factor authenticatie.”

Jasmin buiten

Net een huisarts

Hoe werkt Dynamic Risk Management in de praktijk, vragen we Jasmin. “We kijken naar de AIC-classificatie, de Availability, Integrity & Confidentiality. Ook doen we een privacy impact analyse. Komt het in de cloud, dan volgt aanvullend onderzoek door het cloud risk assessment team. Als we iets live zetten, willen we dat we er echt iets aan hebben, maar ook dat het veilig is, zodat we niet kwetsbaar zijn voor bijvoorbeeld hackers. Cyber security en privacy zijn heel belangrijk, zeker bij de bank.”

“Bij nieuwe applicaties, maar ook als er een flinke change is binnen bepaalde software, kijken we naar de voor- en nadelen. Is de beveiliging op orde? Zijn de juiste controls ingeregeld? Ik ben het aanspreekpunt en breng al deze processen samen in een risk assessment. Eigenlijk ben ik een soort huisarts. Als ik iets niet precies weet, dan verwijs ik door naar een specialist. Op het gebied van privacy bijvoorbeeld, of security. Door te overleggen met andere expertises, doe ik zelf ook weer nieuwe kennis op, die ik later kan gebruiken in mijn ‘diagnoses’.”

Van Risk Professional naar Risk Manager

“Ik ben in mei 2019 begonnen als Risk Professional. In die rol ondersteun je de Risk Manager in de risk cycle door informatie te verzamelen en risicoanalyses voor te bereiden. Ik werd heel open ontvangen bij de Rabobank. Het is een hele aangename cultuur. Iedereen is vriendelijk en je kunt alles vragen. Zo ben ik ook opgevoed. Er zijn geen domme vragen, behalve de vragen die je niet stelt.”

Samenwerken zit Jasmin in het bloed. “Ik heb op topsportniveau softbal gespeeld. Ook hier sta je samen sterk als team. Je viert samen de successen, maar niet alles lukt altijd. Ook dat is teamsport: je leert je eigen fouten toegeven, maar ook hoe je elkaar helpt wanneer iets beter kan.”

Jasmin aan het werk

“Door de goede begeleiding heb ik al in november 2019 de vervolgstap gemaakt naar Risk Manager. Als Risk Manager voorzie je de de business van advies. Het is een wisselwerking. We hebben een monitoringsplan en identificeren en beoordelen samen de risico’s. Zo weten we niet alleen welke mitigerende maatregelen effectief zijn geïmplementeerd, maar ook welke gebieden meer aandacht nodig hebben.”

“Daarnaast ondersteun ik onze huidige Risk Professionals, zodat degenen die willen doorstromen, dezelfde kansen krijgen die mij werden gegund. Het is ook wel typisch Rabobank. Ik denk dat al mijn collega’s het zo ervaren. Je krijgt de kans om er alles uit te halen. Soms heb je dat zelf niet eens door”, zegt Jasmin met een glimlach.

Kennis is niets waard,
als je het niet deelt.
Jasmin Carlson, Risk Manager

“Ik geef mijn kennis graag door. Daar helpt mijn topsportverleden ook bij. Ik was ongeveer 14 jaar toen ik hoofdklasse softbal ging spelen, met dames die 10 tot 15 jaar ouder waren dan ik. Zij hebben mij heel goed ondersteund. Nu ben ik zelf ouder en train ik de jeugd. Met de juiste begeleiding en aanwijzingen schieten ze vooruit. Ze zijn allemaal net zo leergierig als de Risk Professionals die ik bij Rabobank begeleid. Dat motiveert me. Kennis is immers niets waard, als je het niet deelt.”

Verhalen maken die iedereen begrijpt

“Om dit werk te doen, moet je dan ook vooral een allrounder zijn. Iemand die snel kan leren, iemand die van elk onderwerp wel iets weet en verbanden kan leggen. Je maakt de vertaling tussen de IT-wereld en non-IT. Je voert niet alleen het assessment uit, maar je moet het ook goed toelichten. Je moet er een verhaal van maken, dat iedereen begrijpt.”

“Het werk is echt heel divers. Je kijkt bij iedere applicatie naar het privacy aspect, het business continuity aspect, het risicomanagement, enzovoorts. Elke dag is anders. Ik kan in veel verschillende activiteiten mijn expertise kwijt. Soms gaat het over communicatie, zoals bij e-mailverkeer, en een ander moment zijn we bezig met de tokens die je nodig hebt om überhaupt in te kunnen loggen. Dat de IT-wereld constant in beweging is, zichzelf vernieuwt, dat vind ik heel interessant. Elke dag is er wel iets nieuws waar je wat van kunt leren.”

Wat brengt de toekomst?

“Ik ben van de jaren negentig, toen technologie echt in opkomst was. Iedereen kreeg thuis een computer en na school ging je lekker gamen. Mijn generatie is gewend om volop gebruik te maken van technologie. Door de coronacrisis zijn we op dat vlak anders en veel efficiënter gaan werken. Ik vind dat het een interessante technologische verbetering teweeg heeft gebracht.”

“In een hele korte periode hebben wij alles zo ingericht dat iedereen makkelijk thuis kon werken. Ik denk dat we uiteindelijk een balans gaan vinden tussen deel op kantoor werken, maar voornamelijk thuis. Ondanks dat je elkaar dan niet meer tegenkomt bij de koffieautomaat, hebben we elkaar tot nu toe goed weten te vinden. Ik werk thuis, maar er gaat zelden een dag voorbij zonder dat ik iemand gesproken heb.”

Bekijk deze vacatures