Een IV-café is een ontmoeting van mensen uit de informatievoorziening met de mensen van de business, of wat
eenvoudiger uitgedrukt: de IT-afdeling ontmoet haar klanten. En dan niet in een
vergaderzaal, maar – je raadt het al – in een café. Het idee daarachter is dat
mensen zich in zo’n informele omgeving op hun gemak voelen en daardoor creatief
denken, spreken en luisteren (dat ‘creatief luisteren’ snap ik ook niet, ik heb
dat niet bedacht hè). Maar goed, waar het natuurlijk om gaat is dat men een
middagje prettig ongedwongen met elkaar samenwerkt en nieuwe gezichtspunten
opdoet. Aha-Erlebnisse zijn daarbij
welkom.
Deze week was er een speciale editie van het IV-café georganiseerd. Het
was namelijk nu niet ketengeoriënteerd, maar thematisch, met als thema – jawel,
alweer goed geraden. Het initiatief kwam van twee directeuren: de baas van het
datacenter en iemand van de concerndirectie. Dat op zich maakt het al
veelbelovend: dat zo’n initiatief niet van de informatiebeveiligers hoeft uit
te gaan. En ook het programma werd bepaald niet alleen door
informatiebeveiligers gevuld. Aan het begin van de middag was er een
panelgesprek zonder ook maar een enkele beveiliger. Nee, daar zaten IV-managers
die hun zaakjes keurig voor elkaar hadden. Ze hadden vragen meegebracht die het
publiek via de app Kahoot kon beantwoorden, zodat op het grote scherm meteen te
zien was hoe men erover dacht. Vervolgens legde het panellid dat de vraag had
ingebracht uit wat zijn/haar voorkeursantwoord was. De vragen gingen
bijvoorbeeld over de voorwaarden die Dropbox stelt, over het gebruik van
openbare wifi en over het gebruik van bedrijfsdata voor verschillende
doeleinden. Het was mooi om te horen dat deze managers antwoorden kozen die je
als beveiliger graag zou willen horen. Hoewel theorie en praktijk soms toch wat
uit elkaar liggen. Zo luidde het gewenste antwoord op de Dropbox-vraag: “Ik
lees alle voorwaarden zodat ik weet waar ik ‘ja’ op zeg”. Dat is inderdaad wat
je eigenlijk zou moeten doen, maar wie leest die veel te lange, juridische
teksten nou echt? Zoals ik hier al vaker heb gezegd: ‘eigenlijk’ is het meest
misbruikte woord in de informatiebeveiliging. Als je iets ‘eigenlijk’ zou
moeten doen, dan doe je het dus niet. Maar goed, de goede voornemens zijn er.
Hierna verschenen negen pitchers op het podium, die ieder in drie
minuten reclame mochten maken voor hun onderwerp. Dit waren onder andere
security officers en beleidsmakers, maar ook de programmamanager voor de
invoering van de nieuwe privacywetgeving (AVG), een data scientist en een teammanager. Het publiek werd gemaand goed op
te letten, want na de pitches kwam een quiz waarvoor een zestal bezoekers
kandidaat waren zonder dat zij dat vooraf wisten. Het spel was slechts de vorm,
want het ging natuurlijk ook nu weer om de toelichting op de antwoorden. Want
dáár kon je iets van leren. Soms heel basale dingen, zoals de betekenis van de
afkorting BIR (Baseline Informatiebeveiliging Rijksdienst). Vaak veel
inhoudelijker, zoals het feit dat je zakelijke laptop weliswaar goed beveiligd
is, maar dat dat niet betekent dat er nooit een virus op kan komen – sommige
virussen verspreiden zich nu eenmaal sneller dan beveiligingsupdates. En ja,
technisch gezien kun je met je goed ingerichte laptop thuis en onderweg net zo
veilig werken als op kantoor, maar hoe zit het met omstanders die een oogje op
jouw scherm werpen? Informatiebeveiliging is niet alleen techniek, maar ook
gedrag.
Daarna mocht ik zelf aan de bak, tijdens de rondetafelgesprekken. Aan
negen – meest rechthoekige, maar dat terzijde – tafels konden de bezoekers in
twee rondes verdere verdieping halen op de onderwerpen uit de pitches. Bij mij
konden ze terecht voor het onderwerp cybercrime. Dat ging laagdrempelig, aan de
hand van een voorbeeld van een phishing-mail. Ik liet zien dat een
afzenderadres kán verraden dat het nep is, maar ik vertelde er ook meteen bij
dat het een fluitje van een cent is om dat echt te laten uitzien. Daarna toonde
ik hoe je kunt checken wat er onder een link schuil gaat: de cursor erboven
laten zweven (zonder te klikken) en in de statusbalk van de browser kijken, of
– op een mobiel apparaat – lang op de link drukken waardoor de URL (het adres) in
een pop-up verschijnt. Als het nep is, dan zie je dat die URL niet naar het
domein van het bedrijf verwijst waar de mail afkomstig van zegt te zijn. Helaas
gaat dat niet altijd op: een bedrijf als Ziggo stuurt linkjes mee die in eerste
instantie naar een heel ander domein verwijzen en daarna pas doorlinken naar
ziggo.nl. Dat is erg jammer.
Ik kan deze werkvorm van harte aanbevelen. De ontmoeting met de mensen
waarvoor je het allemaal doet, in een ongedwongen sfeer, verhoogt het
wederzijdse begrip. Zoek uw doelgroep op!
En in de grote boze buitenwereld …
... is er weer een nieuwe mogelijkheid ontdekt om iOS-devices en Mac’s
te laten crashen door middel van een sms’je.
... kun je toch maar beter een virusscanner op je Mac zetten.
... is een geavanceerde spywaretool voor Android-toestellen ontdekt.
... zinnen de autoriteiten op mogelijkheden om cryptovaluta beter onder
controle te krijgen, omdat die voor witwassen en terrorisme worden gebruikt.
... leggen hackers op deze site uitgebreid uit hoe je je tegen hackers kunt
beschermen. Ze vertellen niet alleen wat je moet doen, maar ze noemen er ook de
producten bij die je kunt gebruiken – en dat is handig.
... kan een goed ontworpen user interface soms best wel belangrijk zijn.
... dook er ook nog eens een foto op van een kantoor van de Hawaïaanse rampendienst
met op de achtergrond een geeltje waar een wachtwoord op stond.
... is het nog niet zo gemakkelijk om in digitale identiteiten te
voorzien.
... hebben Microsoftbellers heel wat geld bij elkaar gestolen in
Nederland.
... worden binnenkort waarschijnlijk nieuwe veiligheidslekken in
processoren bekend.
