 |
| Afbeelding via Pixabay |
“Ja
agent, dit is inderdaad mijn auto, maar dat mijn achterlicht niet werkt is toch
echt een fout van de garage. Die hebben ‘m een maand geleden nog helemaal
nagekeken!” De meeste redelijke mensen zullen snappen dat ze daar niet mee
wegkomen. Die auto is van jou en je bent zelf verantwoordelijk voor de goede
werking van alle wettelijk voorgeschreven voorzieningen. Basta.
“Informatiebeveiliging
begint met een i, dan is ICT daar dus de eigenaar van!” Dat heeft dus écht iemand gezegd. Zie je de
parallellen met de vorige alinea? In beide gevallen is er sprake van iemand die
zich óf onder zijn verantwoordelijkheid uit wil bluffen, of van iemand die niet
weet hoe de vork in de steel zit. In beide gevallen is het de hoogste tijd om
de besteklade op orde te krijgen.
Ik
weet eigenlijk niet zo goed waar dat woord ‘eigenaarschap’ vandaan komt. Is het
ICT-jargon? Is het een soort van eufemisme voor ‘verantwoordelijkheid’? Dat is
in ieder geval wel de betekenis die het voor mij heeft: als je ergens eigenaar
van bent, dan ben je ervoor verantwoordelijk. En onder die verantwoordelijkheid
valt – uiteraard – ook de beveiliging van het desbetreffende ding. We kennen
gegevenseigenaren, systeemeigenaren, risico-eigenaren, ja zelfs ons intranet
heeft een product owner; je kunt het zo gek niet verzinnen of je kunt
iemand ergens eigenaar van maken. Overigens gaat het eigenaarschap dan weer
niet zo ver dat je het ding waar je zakelijk gezien eigenaar van bent mee naar
huis mag nemen – je bent eigenaar, maar het is niet je eigendom. Heel
ingewikkeld allemaal.
Het
heeft jaren geduurd voordat het eigenaarschap van gegevens goed was belegd. Als
een hete aardappel werd het doorgeschoven. Het woord eigenaar heeft vaak een
positieve gevoelswaarde, het woord verantwoordelijkheid impliceert daarentegen een
zware last. Zeker als het om het soort gegevens gaat waar wij mee te maken
hebben. Maar uiteindelijk kwam het toch goed en worden er nog steeds
vorderingen gemaakt op het gebied van verantwoord omgaan met gegevens. Sinds
vorig jaar hebben we zelfs datastewards. Dat zijn collega’s die toezien
op de juiste omgang met gegevens.
Terug
naar het citaat in de tweede alinea. Ik weet niet wie dat heeft gezegd, maar
het getuigt van weinig zicht op hoe de hazen lopen. Maar als je het misschien
grappig bedoelde eerste gedeelte, “informatiebeveiliging begint met een i”,
weglaat, dan blijft iets over wat lange tijd een best wel gangbare opvatting is
geweest: de ICT-afdeling is verantwoordelijk voor informatiebeveiliging. En nog
steeds zullen er organisaties zijn die zo zijn ingericht, of – erger nog –
waarbij het impliciet zo werkt. Dat is erger omdat de verantwoordelijkheden dan
niet belegd zijn, maar iedereen er stilzwijgend van uitgaat dat ICT ´er van
is’. Maar zelfs als het expliciet zo is ingericht, is het niet goed. Waarom?
Zie de eerste alinea. Net zo min als de garage verantwoordelijk is voor de
juiste werking van jouw achterlicht, kan de ICT-afdeling verantwoordelijk zijn
voor de beveiliging van de systemen van een organisatie. ICT is slechts
adviserend, uitvoerend en handhavend: we helpen de business vanuit onze
specifieke kennis met het bepalen van de spelregels, we implementeren die
regels en zien – namens de business – toe op de naleving ervan.
Ook
als je dieper de organisatie in duikt kom je een dergelijke structuur tegen. Ik
werk bij de ICT-afdeling van onze organisatie, bij een team dat
eindverantwoordelijk is voor de beveiliging van alles wat die ICT-afdeling
doet. Het is belangrijk om de term ‘eindverantwoordelijk’ goed te begrijpen;
dat is namelijk heel iets anders dan ‘verantwoordelijk’. Die laatste term hoort
namelijk bij de managementlijn: iedere manager is verantwoordelijk voor de
beveiliging van de spullen hij onder zijn hoede heeft. Vanuit onze
eindverantwoordelijkheid zien wij erop toe dat de manager zijn
verantwoordelijkheid waarmaakt en helpen we om die toestand te bereiken en te
behouden. Daarbij moeten we ons allemaal goed voor ogen houden dat beveiliging
geen product is, maar een proces. Met andere woorden: het is nooit af, maar het
wordt wel steeds beter.
Gisteren
zag ik een mooi, klein voorbeeld van eigenaarschap en verantwoordelijkheid
nemen. Ik stond in een drukke trein, toen twee mannen hun zitplaatsen ter
beschikking stelden. Ze werkten bij NS en kennelijk geldt daar de regel dat
betalende reizigers meer recht op een zitplaats hebben dan personeel. Ze hadden
ook kunnen denken: niemand weet dat we bij NS werken, we blijven lekker zitten.
Maar dat deden ze niet. Het was ‘hun’ trein, maar ook (op dat moment) hun verantwoordelijkheid
om reizigers te faciliteren. Keurig, heren!
En in de grote boze buitenwereld …
- is goede documentatie een randvoorwaarde voor verantwoordelijkheid.
- biedt de Active Directory van Microsoft soms ruimere toegang dan gewenst.
- promoveerde een in Den Haag opgepakte Russische spion tot hoofd van een beruchte hack-eenheid van de GRU.
- heeft techjournalist (en Wie is de mol-winnaar) Daniël Verlaan een interessante podcast over identiteitsfraude gemaakt.
- kan de Europese Cyber Resilience Act beter.
- gaat de cybercharlatan-saga voort.
- moet je Outlook even updaten, en wel nu meteen.
- gaf de Amsterdamse rechtbank Facebook een ferme privacy-uitbrander.
- tipte een collega mij over deze wat oude, maar voor iedereen nog steeds handige beveiligingstips voor journalisten.
- is je Samsung telefoon mogelijk kwetsbaar voor een aantal nog niet gepatchte kwetsbaarheden.
- blijft het zinvol om een virusscanner op je Android-telefoon te installeren.
- wordt ook Twitter gebruikt om mensen te bedriegen.
- zoekt de politie vrijwilligers in de strijd tegen cybercrime.
Geen opmerkingen:
Een reactie posten