 |
Het Mediapark in Hilversum is voor mij geen voor de hand liggende werklocatie. En toch ging ik daar vorige week vrijdag, nota bene op de elfde verjaardag van de Security (b)log, aan de slag. Ondanks de locatie kwam daar geen camera aan te pas, zelfs geen microfoon. Ik trad dan ook niet op voor de vaderlandse radio- en tv-industrie, maar voor een groep studenten van Make IT Work, een omscholingstraject van de Hogeschool van Amsterdam.
De eerste zin die ik over deze opleiding lees op hun website luidt: “Een Security Specialist is verantwoordelijk voor de operationele aspecten van de informatiebeveiliging.” En toch stond ik daar om een gastcollege over risicoanalyse te geven. Op het eerste oog lijkt dat onderwerp niet te passen bij operationele aspecten, maar toen ik werd benaderd voor dit gastcollege en we het onderwerp bespraken, kwamen we toch hierop uit. Later, bij de bespreking van mijn concept, kreeg ik nog de suggestie om bepaalde, wat meer theoretische stukken achterwege te laten, “want deze studenten zijn doeners”. Ik toog dus met gemengde gevoelens naar Hilversum; ik had een goed verhaal op zak, maar zou het bij deze groep ook aanslaan?
Zoals je in een omscholingstraject mag verwachten, was het publiek van zeer diverse pluimage. Iemand die in de offshore had gewerkt, en iemand die rechten had gestudeerd maar daar nooit iets mee had gedaan bijvoorbeeld. Maar ze zaten stuk voor stuk op het puntje van hun stoel en ze stelden vragen die duidelijk maakten dat dit onderwerp een schot in de roos was. Sterker nog, ik heb zelden voor een groep gestaan die zó geïnteresseerd en gemotiveerd was. Daar word ik zelf ook enthousiast van, en dat schijn ik dan ook uit te stralen – het heeft ons een paar jaar geleden al eens een nieuwe teamgenote opgeleverd.
Mijn verhaal ging dus over risicoanalyses, maar het begon met de BIO – de Baseline Informatiebeveiliging Overheid. Want dát is voor mij de formele reden om me met risicoanalyses bezig te houden; in de BIO staat simpelweg dat het moet. Het organisatieonderdeel waar ik een paar jaar geleden werkte, ons datacenter, besefte destijds ook zonder die verplichting al dat risicoanalyses belangrijk en nuttig zijn, en het MT besloot dan ook dat alle geleverde diensten een risicoanalyse moesten ondergaan. Zo’n besluit is ontzettend belangrijk – nu hoef ik niet bij een team aan te kloppen en te vragen of ik asjeblieft een risicoanalyse mag komen doen, maar ze vragen mij of ik bij deze exercitie kan komen helpen. Zo is de lijn niet alleen verantwoordelijk, zoals dat zo mooi heet, maar ook in de lead. Tegenwoordig werk ik voor de CTO van onze ICT-organisatie, de Chief Technology Officer. Maar het faciliteren van risicoanalyses is gelijk gebleven.
Terug naar mijn studenten. Dat ik ze eerst met de nodige theorie over de BIO en de risicoanalyse bestookte was onvermijdelijk, maar daarna doken we de praktijk in: we gingen daadwerkelijk een stukje risicoanalyse uitvoeren, net zoals ik dat op kantoor zou doen. Een van hun docenten had me verteld dat de groep enthousiast was over het DigiNotar-debacle uit 2011 (in het kort: DigiNotar was een uitgever van digitale certificaten, werd gehackt en verzweeg dat; lees maar verder op Wikipedia). Het onderwerp van onze risicoanalyse werd dan ook: certificatenbeheer. We behandelden enkele dreigingen uit de lijst van de risicoanalyse en bespraken wat die zouden betekenen als de studenten verantwoordelijk zouden zijn voor het certificatenbeheer. Het leverde hen een paar mooie eye-openers op, maar vooral inzicht in wat zo’n risicoanalyse nou eigenlijk behelst.
De organisatie had twee uur ingepland voor mijn gastcollege. Toen ik vlak voor het einde vroeg of uitloop mogelijk was, zag ik gretig knikkende hoofden. Uiteindelijk heb ik daar ruim drie uur gestaan. Achteraf vertelden de studenten me wat mijn verhaal uniek maakte: ik was de eerste gastdocent die vertelde én liet zien hoe wij ons werk in het echt doen. Ik moest terugdenken aan de opmerking dat deze studenten doeners zijn. Dat had ik geïnterpreteerd als een soort niveau-aanduiding, maar nu weet ik dat deze mensen veel meer in hun mars hebben dan het uitvoeren van operationele taken. ‘Doeners’ betekent hier dan ook: mensen die weten hoe ze complexe zaken met behulp van de juiste hulpmiddelen moeten aanpakken. Precies waar een hogeschool voor staat.
En in de grote boze buitenwereld …
- trekt de politie samen met het bedrijfsleven ten strijde tegen het misbruik van inloggegevens.
- leidt een ransomware-aanval op een maaltijddienst mogelijk tot honger bij ouderen.
- is ook ARTIS getroffen door ransomware.
- valt deze nieuwe, geavanceerde malware routers in Europa en Noord-Amerika aan.
- ervaren de inlichtingendiensten de Toetsingscommissie Inzet Bevoegdheden als hinderlijk.
- verzamelde een databedrijf jarenlang illegaal medische dossiers.
- moeten straks meer sectoren verplicht melding maken van cyberincidenten.
- moeten organisaties beter omgaan met opensourcecomponenten.
- betekent het gebruik van Amerikaanse clouddiensten niet automatisch een privacyschending.
- trapte een vijfde van de geteste mkb-medewerkers in een phishingmail.
- gebruiken nog steeds veel mensen hetzelfde wachtwoord op meerdere plekken.
- worden etenswaren in de strijd gegooid om te achterhalen of pakketjes onderweg geopend zijn.
Geen opmerkingen:
Een reactie posten