8+ jaar ervaring in IT-infrastructuur, endpoint management en Microsoft 365. Van 15.000+ Windows-endpoints en 20.000+ iPads bij KLM tot healthcare-IT en compliance — nu op zoek naar een volgende stap richting security.
Ik ben Bastiaan Rusch, IT-professional met ruim 8 jaar ervaring in uiteenlopende sectoren: luchtvaart, gezondheidszorg, juridische dienstverlening en kinderopvang. Mijn basis ligt in het Microsoft-ecosysteem — van Microsoft 365 en Azure AD / Entra ID tot Intune, Defender en Conditional Access.
Bij KLM werkte ik in verschillende rollen aan het beheer van 15.000+ Windows-endpoints en 20.000+ iPads. Bij KLM Health Services was ik ruim 3 jaar ICT-consultant met aandacht voor NEN 7510-compliance, en bij Antoni van Leeuwenhoek/NKI leerde ik werken binnen de specifieke eisen van healthcare-IT.
Security heeft mijn groeiende interesse. Ik ben bekend met het Nederlandse compliance-landschap: AVG, BIO, NEN 7510 en NIS2. Momenteel studeer ik voor mijn CompTIA Security+ om die richting verder te verkennen.
Ik zoek een technische IT-rol — denk aan IT Engineer, Functioneel Beheerder of een eerste stap richting security — in de regio Almere/Amsterdam, bij voorkeur 4 dagen per week.
Van KLM en healthcare tot juridisch en kinderopvang — 8+ jaar IT in de volle breedte.
Beheer van de IT-infrastructuur en endpoints binnen een klein IT-team (2 collega's + manager). Verantwoordelijk voor de Microsoft 365-omgeving, Intune device management en ondersteuning van medewerkers in de kinderopvangsector.
ICT-consultant binnen de IT-afdeling van KLM Health Services. Beheer en optimalisatie van de Microsoft 365-omgeving, functioneel applicatiebeheer en technische ondersteuning. Werken met gevoelige medische gegevens conform NEN 7510-compliance en AVG.
Gedetacheerd als ICT-consultant bij diverse opdrachtgevers. Microsoft 365- en Azure-migraties, infrastructuurbeheer en endpoint management. In deze periode behaald: MD-100, MD-101 en ITIL v4 Foundation.
Senior werkplekbeheerder in een gespecialiseerd oncologisch ziekenhuis. Beheer van de digitale werkplek in een complexe 24/7-zorgomgeving met hoge beschikbaarheidseisen en strikte informatiebeveiliging.
Tweede lijn support bij een top-tier internationaal advocatenkantoor. Analyse en oplossing van complexe IT-vraagstukken in een veeleisende omgeving met hoge eisen aan vertrouwelijkheid en beschikbaarheid.
Lifecycle management van 15.000+ Windows-endpoints. Coördinatie van hardware-vervanging, software-deployment en asset management op enterprise-schaal.
Beoordeling, planning en coördinatie van IT-wijzigingen conform ITIL Change Management voor een complexe airline IT-omgeving met 15.000+ endpoints.
Hands-on IT-support en werkplekbeheer. Betrokken bij het beheer van 20.000+ iPads binnen de KLM-organisatie.
Continu leren en ontwikkelen in het Microsoft- en security-domein.
Een volledig gesegmenteerd thuisnetwerk als werkend security-lab.
Naast mijn professionele werk bouw en onderhoud ik thuis een volledig gesegmenteerd netwerk met een dedicated firewall, intrusion prevention, VPN, DNS-beveiliging en een monitoring-stack op twee Raspberry Pi's. Geen speeltje — een werkend security-lab waar ik in de praktijk leer wat ik op het werk toepas.
Alles draait om het scheiden van risico's. In plaats van één plat thuisnetwerk heb ik zeven gescheiden zones ingericht — elk op een eigen fysieke netwerkpoort of VLAN, met eigen regels voor wat er wel en niet door mag. Smart home-apparaten kunnen bijvoorbeeld nooit bij mijn werkcomputer, en gasten krijgen alleen internet. Als één zone gecompromitteerd raakt, blijft de rest onaangetast. Dat principe heet defense in depth, en het is dezelfde aanpak die je in bedrijfsnetwerken terugziet.
Elke laag van het netwerk heeft eigen maatregelen:
Op een dedicated Raspberry Pi draait een monitoring-stack met dashboards, gecentraliseerde logging en alerting. Ik kan op elk moment zien wat er door het netwerk stroomt en of er iets afwijkt. Daarnaast heb ik een uitgebreid hardening-script geschreven dat de beveiliging van het hele systeem automatisch toepast — met logging, backups en de mogelijkheid om wijzigingen terug te draaien als iets misgaat.
Het begon met een simpel ongemak. Overdag beheer ik netwerken en endpoints voor organisaties met duizenden gebruikers. 's Avonds kwam ik thuis op een plat WiFi-netwerk waar de slimme lampen, mijn werklaptop en de tablets van de kinderen allemaal vrolijk op hetzelfde subnet zaten. Dat knaagde.
Dus bestelde ik een kleine, stille mini-PC met zes netwerkpoorten — geen towerserver, geen rack. Gewoon een kastje naast de koffiemok. Firewall-software erop, een paar zones aanmaken, klaar. Dat was het plan. Dat plan overleefde de eerste avond niet.
Wat volgde waren weken van puzzelen en steeds dieper graven. Elke keer als ik dacht "nu is het af" ontdekte ik een nieuwe laag. De glasvezelaansluiting had een eigenaardigheid waardoor de intrusion prevention niet op de buitenste interface kon draaien. In plaats van er omheen te hacken, documenteerde ik waarom, plaatste het op het interne segment, en ging verder. De netwerkkaarten hadden compatibiliteitsproblemen met de security-tooling. Dus schreef ik een script dat de juiste instellingen automatisch toepast — en meteen ook al het andere beveiligingswerk meeneemt.
Elk opgelost probleem leverde meer op dan een werkende configuratie. Het leverde begrip op van waarom iets werkt — en wanneer het breekt.
Het netwerk groeide uit tot zeven gescheiden zones. Niet omdat het moest, maar omdat elk deel een eigen risicoprofiel heeft. Smart home-apparaten mogen alleen naar internet, nooit naar mijn werkcomputer. De monitoring draait op een eigen segment. Er is een apart beheersegment dat altijd bereikbaar blijft, ook als de VPN-tunnel wegvalt. En gasten krijgen internet, maar zien verder niets.
De DNS-configuratie werd een project op zich — versleuteld, gevalideerd, met blocklists die duizenden bekende malware-domeinen tegenhouden voordat ze ooit een apparaat bereiken. Toen ik voor het eerst zag hoeveel verkeer mijn smart home-apparaten genereren naar willekeurige servers, voelde mijn oorspronkelijke "paranoia" opeens heel redelijk.
Op een Raspberry Pi bouwde ik een monitoring-stack met dashboards, gecentraliseerde logging en alerting. Het resultaat: ik kan op elk moment zien wat er door mijn netwerk stroomt, welke apparaten actief zijn, en of er iets afwijkt van het normale patroon. Op een tweede Pi draait het smart home-systeem — volledig geïsoleerd van de rest.
Dit lab staat niet los van mijn werkervaring — het is een verlenging ervan. De principes die ik bij KLM leerde over Change Management en ITIL pas ik hier toe op mijn eigen infrastructuur. De compliance-awareness uit de gezondheidszorg vertaalt zich naar hoe ik nadenk over segmentatie en privacy.
Wat ik het meest waardeer aan dit project is niet de techniek, maar wat het me heeft geleerd over security als denkwijze. Het gaat niet om de duurste hardware of de langste lijst tools. Het gaat om bewust nadenken over risico's, elke beslissing documenteren, en eerlijk zijn over de beperkingen van je eigen setup. Niet alles hoeft perfect — maar alles moet bewust zijn.
Het homelab is nooit "af". Elke week leer ik iets nieuws, pas ik iets aan, of ontdek ik een betere manier om iets te doen. Het is een levend project, net als security zelf.
En ja — de slimme lampen zitten nu op een eigen netwerksegment. Dat knaagt niet meer.
Op zoek naar een betrouwbare IT-professional? Ik sta open voor gesprekken over functies als IT Engineer, ICT-consultant, Functioneel Beheerder of een eerste stap richting security in de regio Almere/Amsterdam.