ICT-beveiliging heeft mij altijd geboeid
Marvin Leito
Als security specialist is Marvin continu op zoek naar manieren om IT-systemen beter te beveiligen. Hij test nieuwe tooling, ontwikkelt samen met zijn team oplossingen bij de opdrachtgever en blijft zichzelf bijscholen. Zijn kennis en ervaring zet hij slim en praktisch in: om organisaties weerbaarder te maken tegen cyberdreigingen én om teams zelfredzamer te maken.
Van test engineer naar security specialist
Op mijn twintigste verhuisde ik van Curaçao naar Nederland om informatica te studeren. Na mijn studie begon ik in 2014 bij New Nexus als test engineer. In die rol werkte ik aan verschillende IT-projecten, onder andere voor TKP en Gasunie. Tijdens die projecten groeide mijn interesse in IT-beveiliging. Ik besloot me erin te verdiepen en volgde de opleiding Security/Ethical Hacking. Zes maanden later haalde ik mijn certificaat. Dat kwam goed uit, want bij DUO zochten ze op dat moment iemand met programmeerervaring én affiniteit met security. Vanuit New Nexus mocht ik daar aan de slag. Tussen 2019 en 2024 hielp ik mee om de beveiliging van hun IT-systemen te versterken en op peil te houden.
Verbinding tussen softwarehuis en ICT-beveiliging
Bij DUO werk ik in het Software Security Support (S3) team. Dat team is opgezet om een brug te slaan tussen het softwarehuis en de ICT-beveiliging. We bewegen ons tussen de devops-teams en de securityafdeling en zijn het aanspreekpunt voor securityvragen binnen de hele organisatie. We houden ons niet alleen bezig met ondersteuning, maar pakken ook bredere beveiligingsvraagstukken binnen DUO op. Daarbij krijgen we de ruimte om nieuwe technologieën en tools te onderzoeken en te testen. Die vrijheid geeft ons de kans om creatief te zijn en voortdurend te zoeken naar manieren om de beveiliging slimmer en sterker te maken.
Instellen van een cloud omgeving kan uitdagend zijn
Geautomatiseerde security testen
Om het proces van softwareontwikkeling bij DUO te versnellen, hebben we voor de devops-teams een tool gebouwd die automatisch securitytesten uitvoert. Vroeger moest elke software-update eerst nog langs een ‘hacktest’. Dat kostte behoorlijk wat tijd en leverde soms frustratie op. Met deze tooling is dat nu grotendeels geautomatiseerd. Het systeem is beter beveiligd én de teams hebben meer eigen verantwoordelijkheid gekregen. Ze kunnen sneller schakelen, zelf beslissingen nemen en hun projecten beter in de gaten houden. En dat zorgt weer voor meer tevredenheid bij de teams en de IT-afdeling.
We hebben ook een andere tool ontwikkeld die het securitydeel van de Cloud-migratie soepeler laat verlopen. Veel repeterend werk is inmiddels geautomatiseerd. Maar zodra er ergens iets misgaat, zitten we er ook meteen bovenop. Juist die afwisseling maakt het werk interessant. De ene dag bouw je iets wat niemand ziet, de andere dag los je een probleem op voordat iemand het merkt. Soms is het even aanpoten, maar dat hoort erbij.
Altijd iets nieuws te leren in de ICT-security
Binnen ICT-security is er voor mij nog genoeg te ontdekken. Het vakgebied staat nooit stil en dat maakt het juist zo interessant. Wat me momenteel echt bezighoudt, is de beveiliging van platformen in de Cloud. Cloud computing biedt veel voordelen, maar ook risico’s. Zeker als je de beveiliging niet goed inricht. Het opzetten van een veilige cloudomgeving vraagt om specifieke kennis en ervaring – en dat maakt het meteen ook uitdagend.
Om mezelf daarin verder te verdiepen, ben ik begonnen met de cursus Offensive Security Certified Professional (OSCP). Die staat bekend om z’n praktische aanpak – en dat merk ik. Het is pittig, maar ook leerzaam en motiverend. En wat er daarna komt? Dat zie ik dan wel weer. Maar ik weet zeker: dit opent weer nieuwe deuren.
Waarom ik me thuis voel bij New Nexus
Bij New Nexus krijg ik de kans om aan interessante opdrachten te werken bij opdrachtgevers die bij me passen. Maar eerlijk gezegd: dat is niet eens het belangrijkste. Wat voor mij het verschil maakt, is de sfeer. We zijn een club nuchtere mensen die elkaar helpen groeien. We maken samen toffe dingen, blijven kritisch op wat we doen en lachen ook regelmatig om onszelf. Dat voelt goed.
Daarnaast krijg ik hier de vrijheid en het vertrouwen om nieuwe ideeën uit te proberen. Zo ontstond bijvoorbeeld het idee voor de SPAM Game: een interactieve workshop die security en privacy tastbaar maakt voor teams – en die we inmiddels bij meerdere opdrachtgevers inzetten.
We zijn niet alleen betrokken bij elkaar, maar ook bij wat er speelt in de maatschappij. Daar steken we als organisatie bewust tijd en energie in. En dat doen we samen, niet van bovenaf opgelegd. Dat maakt me trots.