Cindy Wubben, Chief Information Security Officer bij Visma

Cindy Wubben is Chief Information Security Officer (CISO) bij Visma en vervult daarmee een unieke C-level rol binnen een softwaregroep die bestaat uit meer dan 180 zelfstandige bedrijven. In plaats van verantwoordelijk te zijn voor één organisatie met één IT-landschap, opereert zij als strategische schakel tussen de Visma-groep en de individuele Visma-bedrijven. Haar kernrol is het vertalen van groepsstrategie naar praktische uitvoering, en andersom: signalen uit de praktijk ophalen en op groepsniveau omzetten in verbeterprogramma’s en gezamenlijke oplossingen.

Onder haar leiding is cybersecurity binnen Visma nadrukkelijk neergezet als een gezamenlijke verantwoordelijkheid die bedrijven ondersteunt om in korte tijd een veel hoger volwassenheidsniveau te bereiken. Centraal daarin staat het Visma Security Program, dat werkt met een helder gedefinieerd model met verschillende niveaus – van basis tot hoog volwassen – waardoor security concreet, vergelijkbaar en meetbaar wordt. Bedrijven weten exact waar zij staan en wat er nodig is om door te groeien. Daarbij geldt dat nieuwe Visma-bedrijven en nieuwe producten binnen circa zes maanden het afgesproken securityniveau moeten bereiken. Idealiter voldoen nieuwe producten al bij ingebruikname aan dit niveau, omdat het securityprogramma al tijdens de ontwikkeling wordt toegepast. Voor bestaande producten die onder het securityprogramma vallen, geldt dat zij dit niveau structureel moeten behouden. Security is daarmee geen vrijblijvende ambitie, maar een tijdgebonden en bestuurlijk geborgde standaard. Zo versterkt Cindy de cyberweerbaarheid van Visma als geheel én van de duizenden organisaties die afhankelijk zijn van software van Visma-bedrijven.

Cindy heeft binnen Visma een fundamentele verandering gerealiseerd in de manier waarop cybersecurity wordt georganiseerd en aangestuurd. Waar veel organisaties security nog vooral als een technische IT-verantwoordelijkheid benaderen, heeft zij geholpen om security te positioneren als een strategisch en bestuurlijk thema.

Met de introductie en doorontwikkeling van een groepsbreed model is security niet langer abstract of afhankelijk van individuele interpretatie. Door te werken met duidelijke niveaus en vaste verbetertermijnen is cybersecurity binnen Visma vergelijkbaar en transparant geworden over alle bedrijven heen. Managing Directors hebben via dashboards inzicht in hun actuele securityniveau en de voortgang van verbetermaatregelen.

Deze aanpak is vooral waardevol voor bedrijven die vanuit een start-upfase snel zijn gegroeid en aanvankelijk primair gefocust waren op productontwikkeling en marktintroductie. Zodra zij onderdeel worden van Visma, maken zij in het eerste jaar grote stappen in volwassenheid. De combinatie van centrale tooling, monitoring, kennisdeling en een duidelijke zesmaandentermijn voor het behalen van het gewenste niveau zorgt ervoor dat vooruitgang niet alleen zichtbaar, maar ook afdwingbaar wordt. Cindy’s rol is daarbij essentieel: zij bewaakt de strategie, motiveert bedrijven en zorgt dat verbeteringen daadwerkelijk worden doorgevoerd.

De impact van Cindy’s aanpak is direct zichtbaar in de verbeterde cyberweerbaarheid van Visma-bedrijven en daarmee in het vertrouwen van klanten. Doordat bedrijven aantoonbaar groeien in niveau, wordt klantdata beter beschermd en neemt de kans op incidenten af. Dit versterkt de continuïteit van dienstverlening en verlaagt risico’s in de keten waarin Visma-producten worden gebruikt.

Het model en de centrale monitoring maken het mogelijk om inzicht te geven in zowel securityprestaties en voortgang als mogelijke dreigingen door middel van proactief threat management. Dat is van grote waarde in aanbestedingen en klantgesprekken, waar steeds vaker aantoonbare securitymaatregelen worden gevraagd. Het securityprogramma is daarmee niet alleen intern een verbeterinstrument, maar ook extern een onderscheidende factor in klantvertrouwen en marktpositionering.

Daarnaast zorgt de groepsaanpak voor schaalvoordelen: bedrijven profiteren van gezamenlijke tooling en expertise, waardoor zij sneller en kostenefficiënter een hoger securityniveau bereiken dan wanneer zij dit zelfstandig zouden moeten organiseren. Dit versterkt zowel de individuele bedrijven als de reputatie van Visma als betrouwbare en toekomstbestendige softwareleverancier.

Wat Cindy onderscheidt, is haar vermogen om cybersecurity schaalbaar te maken in een sterk gedecentraliseerde organisatie. Haar rol is niet het “overnemen” van security bij alle bedrijven, maar juist het verbinden, structureren en aanjagen: zij zorgt dat bedrijven weten wat er van hen verwacht wordt en hoe ze daar kunnen komen, terwijl de verantwoordelijkheid lokaal blijft.

Daarnaast wordt Cindy door collega’s en Visma-bedrijven omschreven als zeer vasthoudend. Ze laat security niet vrijblijvend: als bedrijven achterblijven in het programma, blijft zij actief opvolgen totdat voortgang wordt geboekt. Juist deze consequente opvolging blijkt cruciaal om ervoor te zorgen dat het programma niet alleen bestaat op papier, maar ook echt effect heeft in de praktijk.

Cindy wil de onboarding van nieuwe Visma-bedrijven verder versnellen en vereenvoudigen. Een belangrijk speerpunt daarbij is het slimmer benutten van informatie uit het overnameproces, zoals de technische due diligence. Nu wordt daar al veel informatie verzameld, maar die wordt na de overname nog onvoldoende hergebruikt. Cindy’s ambitie is om deze data direct te integreren in het Visma Security Program, zodat nieuwe bedrijven minder handmatig hoeven te inventariseren en sneller kunnen voldoen aan de security-eisen.

Daarnaast richt zij zich op het ontwikkelen van nieuwe richtlijnen en beveiligingsmaatregelen rond AI. De snelle opkomst van AI in softwareproducten brengt nieuwe risico’s met zich mee, zoals prompt injection en ongewenste toegang tot databronnen. Cindy ziet dit als een van de grootste actuele security-uitdagingen, en wil ervoor zorgen dat Visma-bedrijven deze ontwikkelingen veilig en gecontroleerd kunnen toepassen.