vrijdag 19 januari 2018

Naar de kroeg

Een IV-café is een ontmoeting van mensen uit de informatievoorziening  met de mensen van de business, of wat eenvoudiger uitgedrukt: de IT-afdeling ontmoet haar klanten. En dan niet in een vergaderzaal, maar – je raadt het al – in een café. Het idee daarachter is dat mensen zich in zo’n informele omgeving op hun gemak voelen en daardoor creatief denken, spreken en luisteren (dat ‘creatief luisteren’ snap ik ook niet, ik heb dat niet bedacht hè). Maar goed, waar het natuurlijk om gaat is dat men een middagje prettig ongedwongen met elkaar samenwerkt en nieuwe gezichtspunten opdoet. Aha-Erlebnisse zijn daarbij welkom.

Deze week was er een speciale editie van het IV-café georganiseerd. Het was namelijk nu niet ketengeoriënteerd, maar thematisch, met als thema – jawel, alweer goed geraden. Het initiatief kwam van twee directeuren: de baas van het datacenter en iemand van de concerndirectie. Dat op zich maakt het al veelbelovend: dat zo’n initiatief niet van de informatiebeveiligers hoeft uit te gaan. En ook het programma werd bepaald niet alleen door informatiebeveiligers gevuld. Aan het begin van de middag was er een panelgesprek zonder ook maar een enkele beveiliger. Nee, daar zaten IV-managers die hun zaakjes keurig voor elkaar hadden. Ze hadden vragen meegebracht die het publiek via de app Kahoot kon beantwoorden, zodat op het grote scherm meteen te zien was hoe men erover dacht. Vervolgens legde het panellid dat de vraag had ingebracht uit wat zijn/haar voorkeursantwoord was. De vragen gingen bijvoorbeeld over de voorwaarden die Dropbox stelt, over het gebruik van openbare wifi en over het gebruik van bedrijfsdata voor verschillende doeleinden. Het was mooi om te horen dat deze managers antwoorden kozen die je als beveiliger graag zou willen horen. Hoewel theorie en praktijk soms toch wat uit elkaar liggen. Zo luidde het gewenste antwoord op de Dropbox-vraag: “Ik lees alle voorwaarden zodat ik weet waar ik ‘ja’ op zeg”. Dat is inderdaad wat je eigenlijk zou moeten doen, maar wie leest die veel te lange, juridische teksten nou echt? Zoals ik hier al vaker heb gezegd: ‘eigenlijk’ is het meest misbruikte woord in de informatiebeveiliging. Als je iets ‘eigenlijk’ zou moeten doen, dan doe je het dus niet. Maar goed, de goede voornemens zijn er.

Hierna verschenen negen pitchers op het podium, die ieder in drie minuten reclame mochten maken voor hun onderwerp. Dit waren onder andere security officers en beleidsmakers, maar ook de programmamanager voor de invoering van de nieuwe privacywetgeving (AVG), een data scientist en een teammanager. Het publiek werd gemaand goed op te letten, want na de pitches kwam een quiz waarvoor een zestal bezoekers kandidaat waren zonder dat zij dat vooraf wisten. Het spel was slechts de vorm, want het ging natuurlijk ook nu weer om de toelichting op de antwoorden. Want dáár kon je iets van leren. Soms heel basale dingen, zoals de betekenis van de afkorting BIR (Baseline Informatiebeveiliging Rijksdienst). Vaak veel inhoudelijker, zoals het feit dat je zakelijke laptop weliswaar goed beveiligd is, maar dat dat niet betekent dat er nooit een virus op kan komen – sommige virussen verspreiden zich nu eenmaal sneller dan beveiligingsupdates. En ja, technisch gezien kun je met je goed ingerichte laptop thuis en onderweg net zo veilig werken als op kantoor, maar hoe zit het met omstanders die een oogje op jouw scherm werpen? Informatiebeveiliging is niet alleen techniek, maar ook gedrag.

Daarna mocht ik zelf aan de bak, tijdens de rondetafelgesprekken. Aan negen – meest rechthoekige, maar dat terzijde – tafels konden de bezoekers in twee rondes verdere verdieping halen op de onderwerpen uit de pitches. Bij mij konden ze terecht voor het onderwerp cybercrime. Dat ging laagdrempelig, aan de hand van een voorbeeld van een phishing-mail. Ik liet zien dat een afzenderadres kán verraden dat het nep is, maar ik vertelde er ook meteen bij dat het een fluitje van een cent is om dat echt te laten uitzien. Daarna toonde ik hoe je kunt checken wat er onder een link schuil gaat: de cursor erboven laten zweven (zonder te klikken) en in de statusbalk van de browser kijken, of – op een mobiel apparaat – lang op de link drukken waardoor de URL (het adres) in een pop-up verschijnt. Als het nep is, dan zie je dat die URL niet naar het domein van het bedrijf verwijst waar de mail afkomstig van zegt te zijn. Helaas gaat dat niet altijd op: een bedrijf als Ziggo stuurt linkjes mee die in eerste instantie naar een heel ander domein verwijzen en daarna pas doorlinken naar ziggo.nl. Dat is erg jammer.

Ik kan deze werkvorm van harte aanbevelen. De ontmoeting met de mensen waarvoor je het allemaal doet, in een ongedwongen sfeer, verhoogt het wederzijdse begrip. Zoek uw doelgroep op!

En in de grote boze buitenwereld …


... is er weer een nieuwe mogelijkheid ontdekt om iOS-devices en Mac’s te laten crashen door middel van een sms’je.

... kun je toch maar beter een virusscanner op je Mac zetten.

... is een geavanceerde spywaretool voor Android-toestellen ontdekt.

... zinnen de autoriteiten op mogelijkheden om cryptovaluta beter onder controle te krijgen, omdat die voor witwassen en terrorisme worden gebruikt.

... leggen hackers op deze site uitgebreid uit hoe je je tegen hackers kunt beschermen. Ze vertellen niet alleen wat je moet doen, maar ze noemen er ook de producten bij die je kunt gebruiken – en dat is handig.

... kan een goed ontworpen user interface soms best wel belangrijk zijn.

... dook er ook nog eens een foto op van een kantoor van de Hawaïaanse rampendienst met op de achtergrond een geeltje waar een wachtwoord op stond.

... is het nog niet zo gemakkelijk om in digitale identiteiten te voorzien.

... hebben Microsoftbellers heel wat geld bij elkaar gestolen in Nederland.

... worden binnenkort waarschijnlijk nieuwe veiligheidslekken in processoren bekend.



Geen opmerkingen:

Een reactie posten