Mijn teamgenoten organiseren
een paar keer per jaar B/Alert. Dat zijn bijeenkomsten van twee uur waarin vier
à vijf presentaties worden gegeven waarin de bezoekers worden bijgepraat over
ontwikkelingen en wetenswaardigheden uit de vakgebieden informatiebeveiliging
en business continuity management. Daar komen tientallen collega’s op af en
gelukkig zijn dat lang niet alleen de mensen die je toch al verwacht. Er zaten
zelfs een paar teammanagers in de zaal!
De eerste presentatie ging
over compliancy: het voldoen aan wet-
en regelgeving. En daar hebben we er nogal wat van. Soms verplicht, soms zelf
opgelegd. Een (incompleet) opsomminkje? ISO27001, ISO27002, ISO22301, VIR,
VIR-BI, BIR, BIO, AVG. Gelukkig overlappen die elkaar voor een deel. De BIO is
gewoon de nieuwe BIR, maar dan met de O van overheid in plaats van de R van
rijksoverheid, en de BI van Baseline Informatiebeveiliging. En daar zit de
ISO27002 dan weer volledig in. Daarboven – op strategisch niveau – staat de
VIR, met de V van voorschrift en met dezelfde IR als in BIR. Maar ach, die VIR
is zo hoog over dat ik er niet dagelijks in kijk. De uitbreiding op de VIR voor
Bijzondere Informatie gaat over het rubriceren van informatie (buiten het
VIR-BI meestal classificeren genoemd), maar in een omgeving, waar op een paar
dingen na alles standaard Departementaal Vertrouwelijk is, valt daar ook niet
zoveel lol aan te beleven. Ik merk trouwens dat ik me wat laat meeslepen door
het onderwerp, want het bovenstaande komt helemaal niet uit die presentatie.
Een andere collega praatte
ons bij over applicatiebeveiliging, meer in het bijzonder over het gebruik van open source frameworks. In vrij
verkrijgbare stukjes programmatuur zitten (natuurlijk) ook fouten. Het blijkt
nog een hele kunst te zijn om de boel steeds bij te werken, zo blijkt uit de
getoonde aantallen kwetsbaarheden die nog ‘gewoon’ in onze programmatuur
zitten. Gelukkig is er intern een tool beschikbaar waarmee teams zelf kunnen
nagaan of er kwetsbaarheden in de door hen gebruikte libraries zitten. Handig,
want de ontwikkelteams zijn zélf verantwoordelijk voor het updaten van hun
frameworks. Ik heb daar geen verstand van, maar zou het niet handiger zijn om dat
centraal te doen? Hoewel, dat stuit dan misschien weer op
afhankelijkheidsproblemen: A en B moeten samenwerken maar B werkt alleen goed
met die ene (verouderde) versie van A.
De continuity-collega’s
hadden het over het bijwerken van DR-plannen (data recovery). Er werd
voorgerekend dat controle op actualiteit van deze belangrijke documenten maar
heel weinig tijd kost. En tja, als dan blijkt dat zo’n plan door een wijziging
in een systeem niet meer actueel is, dan is er meer werk aan de winkel, maar
dat hoort nu eenmaal integraal bij je systeem. De tweede BCM-bijdrage aan
B/Alert ging over de papieren simulatie waarin één van onze beide datacentra
tot op de bodem afbrandt. De voorbereidingen zien er al veelbelovend uit. Ik
zie de resultaten met belangstelling tegemoet. Zij zullen tijdens de volgende
B/Alert gepresenteerd worden.
Ik mocht zelf ook nog op de
planken, met mijn presentatie over social engineering die ik eerder dit jaar
bij een Groningse studievereniging heb gegeven. Die ga ik hier niet
samenvatten, dat heb ik namelijk al in maar liefst twee eerder verschenen
Security (b)logs gedaan*. Ik moest trouwens heel wat uit de presentatie
schrappen, want in plaats van de anderhalf uur in Groningen moest ik het nu in
twintig minuten doen.
Bijeenkomsten als deze zijn uiterst nuttig, zowel voor de sprekers als
voor de bezoekers. Zo’n “buitenschoolse activiteit” brengt je op een andere
manier met elkaar in contact, en in contact zijn met de mensen die het feitelijke
werk moeten doen is o zo belangrijk. Je merkt ook dat sommige bezoekers aan het
denken worden gezet door de dingen die ze horen. Tip voor collega’s: kom de
volgende keer ook/weer! Tip voor vakgenoten in andere organisaties: organiseer
ook eens zo’n bijeenkomst!
En in de grote boze buitenwereld …
... blikt dit artikel terug op het eerste jaar van de AVG.
... voldoet de
Belastingdienst bijna aan de AVG.
... is de EU-ambassade in
Moskou gehackt.
... bracht Microsoft onlangs
een security patch uit voor systemen die eigenlijk helemaal niet meer
ondersteund worden. Nu dringt zelfs de NSA er bij de bevolking op aan om die
kwetsbaarheid te patchen.
... zit de ‘Find my’-feature
van Apple goed in elkaar, ook vanuit privacy-oogpunt.
... doet Apple nog meer
privacy-bevorderende dingen.
... lekken er desondanks nog
heel wat gegevens weg uit je iPhone.
... heeft de Autoriteit
Persoonsgegevens een datalek bij de Autoriteit Persoonsgegevens gemeld bij de
Autoriteit Persoonsgegevens. Ja, dat is drie keer Autoriteit Persoonsgegevens
en dat is geen fout.
... is Vietnam in opkomst
als hacker-natie.
... zijn bij een
Australische universiteit de gegevens van tweehonderdduizend studenten en
personeelsleden uit een periode van negentien jaar gestolen.
... vindt ook Microsoft nu
dat het periodiek wijzigen van wachtwoorden achterhaald is.
... moet je op een visumaanvraag
voor de VS tegenwoordig ook al je social media-accounts opsommen.
... was er ook deze week een
beschikbaarheidsprobleem bij een clouddienst.
Geen opmerkingen:
Een reactie posten