Ik houd niet van voorspellingen. Het is erg makkelijk om in december
iets te roepen over de ontwikkelingen in het volgende jaar op het gebied van
ransomware, kunstmatige intelligentie, kwantumcomputing en de onvermijdelijke
blockchain hoewel die hype alweer een beetje op z’n retour lijkt te zijn).
Gemakkelijk dus, en geen hond die aan het eind controleert of jouw
voorspellingen zijn uitgekomen. Met name grote leveranciers trakteren je in
december op een overdaad aan glazenbolberichten.
Nee, ik ben meer van ‘hoop doet leven’. En als ik mijn eerste werkweek
van dit decennium als maatstaf mag nemen, dan ben ik erg hoopvol gestemd. Wat
mij extra zonnig stemt is dat die hoop niet voortkomt uit goede voornemens,
maar uit concrete activiteiten. Ik neem je mee op een reisje door mijn agenda
van de afgelopen week.
Als overheidsinstantie moeten wij voldoen aan de BIO, de Baseline
Informatiebeveiliging Overheid (voorheen de BIR, met de R van Rijksdienst; de
BIO is er voor de héle overheid). De BIO telt ruim honderd maatregelen, die
deels rechtstreeks zijn overgenomen uit de ISO27002 (een internationale norm
voor informatiebeveiliging) en deels door de overheid zelf zijn bedacht, als
aanvulling op de ISO-maatregelen. Al deze maatregelen bestrijken diverse
aspecten, waardoor je al gauw geneigd bent om bij een bepaalde maatregel te
zeggen: daar ga ik niet over. Welnu, deze week hadden we een organisatiebreed
overleg om de buit te verdelen. Welke afdeling is verantwoordelijk voor welke
maatregel en wie gaat over de implementatie? Dat is nog best een ingewikkelde
puzzel, maar de rand van die puzzel hebben we alvast gelegd (en in de aanloop
naar deze sessie hebben een aantal collega’s al een heleboel voorbereid,
waarvoor dank). De uitkomsten van dit initiatief gaan ons echt helpen om de BIO
op efficiënte wijze te implementeren.
Dat dat ook nodig is, weet ik uit ervaring. In het datacenter zijn we al
een tijdje bezig met de BIR compliancy
check (nu dus BIO), waarmee we nagaan of onze diensten en systemen aan de
eisen voldoen. Daarbij lopen we inderdaad vaak aan tegen de vraag: wat moet ik
met deze maatregel? Ik had een gesprek met iemand die de invuloefening voor
zijn dienst zelf had ingevuld en daar ook tegenaan liep. Hij had overigens
prima in de gaten dat de BIR/BIO werkt op basis van ‘pas toe of leg uit’ (comply or explain) – óf je doet het, óf
je hebt een goed verhaal waarom je het niet doet, bijvoorbeeld omdat een
bepaalde maatregel elders voor jou is belegd. Of omdat je andere maatregelen
hebt, waarmee je hetzelfde doel bereikt.
We zijn niet alleen bezig met al deze voorgeschreven maatregelen, maar
we kijken ook vanuit bedreigingen. We doen dus risicoanalyses. Dat gebeurt op
initiatief van de teams en vanuit ons team faciliteren we deze sessies; je kunt
ze bij ons bestellen. Deze week heb ik afspraken over twee nieuwe
risicoanalyses kunnen maken, en vanmiddag ga ik er een doen die al voor de
kerst gepland was. Dat winkeltje loopt dus ook lekker. Wat daar overigens heel
erg bij helpt is een MT-besluit; managementsteun is hierin onmisbaar. In ieder
geval om de boel op te starten. De ervaring leert dat mensen enthousiast worden
van risicoanalyses zodra ze zien dat ze er daadwerkelijk baat bij hebben en
niet alleen met een verplicht nummertje bezig zijn.
Een heel ander onderwerp was deze week het creëren van een single point of truth voor informatie
over het verantwoord omgaan met gegevens. Nu is die informatie nog erg
versnipperd, maar nu komt er een website op het intranet die alle informatie
over dit onderwerp vanuit onder andere de aspecten informatiebeveiliging,
privacy en archivering gaat ontsluiten. Een prima initiatief, dat ervoor gaat
zorgen dat onze medewerkers beter worden geholpen om verantwoord om te gaan met
onze kostbare gegevens.
Ook binnen ons eigen team streven we voortdurend naar verbetering. Deze
week hebben we afspraken gemaakt om een procesje verder te professionaliseren,
waardoor we beter in control zijn. Dit soort kleine verbeteringen moet je niet
onderschatten.
In oktober mocht ik een presentatie geven op de jaarlijkse conferentie
van onze EDP-auditors, en deze week ontving ik een uitnodiging voor een
reprise, omdat ik in de evaluatie in de top-10 was beland. Een leuke opsteker!
Bezoekers, die voor een andere parallelsessie hadden gekozen, krijgen nu alsnog
de kans om mijn verhaal aan te horen.
Je ziet het: na één week 2020 ben ik al erg positief gestemd. Ik hoop
dat positivisme vast te houden en op jullie allemaal – zowel collega’s als
externe lezers – uit te stralen. Dat betekent overigens niet dat voortaan
iedere Security (b)log een feel good
story is. Helaas blijft het noodzakelijk om minder vrolijke zaken (zoals
cybercrime) te bespreken. Maar ik schrijf het wel zo op dat je er uiteindelijk
beter van wordt.
En in de grote boze buitenwereld …
... kan een bedrijf best veel communicatiefouten maken als het
slachtoffer is van ransomware.
... heeft de bovenstaande besmetting plaatsgevonden via een nog steeds
niet gepatchte Pulse Secure-server.
... kan ransomware het einde betekenen voor een bedrijf.
... bevat de gereedschapskist van onderzoekscollectief Bellingcat een
heleboel handige tools.
... houden Nederlandse providers zich netjes aan de regels voor netneutraliteit.
... gaat de cockpit van de Boeing 737 op zwart als het vliegtuig zeven
specifieke vliegvelden vanuit het westen nadert.
... moeten Firefox-gebruikers hun browser nú updaten.
... is het verstandig om je digitale nalatenschap goed te regelen.
... kan een slimme phishingmail ervoor zorgen dat criminelen toegang
krijgen tot jouw cloud-account (bijvoorbeeld Office365) en die toegang zelfs
blijven houden nadat je je wachtwoord hebt gewijzigd. Ook
tweefactorauthenticatie helpt hier niet tegen.
... leeft de milleniumbug nog steeds voort.
... waren computervirussen
vroeger veel liever.
... kan iets wat in het ene geval een uitstekende maatregel is, in een
ander geval een onzinnige maatregel zijn.
Geen opmerkingen:
Een reactie posten