 |
| Afbeelding via Unsplash |
Veel van mijn collega’s heten Erik, en een van hen kwam bij mij met iets waar ik misschien maar eens wat mee moest in een blog. Mensen denken wel eens dat ik werkelijk overal iets mee kan. Soms blijft zo’n idee onaangeroerd liggen, maar de uitspraak van deze Erik bleef knagen.
“Als
je nu opeens urgentie voelt, dan heb je destijds niet de juiste prioriteit
gekozen,” aldus Erik. Dat is een vrij universele uitspraak, niet eentje die
zich beperkt tot de informatiebeveiliging of de ICT. Hij gaat ook in je
privéleven op, bijvoorbeeld in deze feestmaand: als je vandaag een kerstcadeau
voor iemand gaat bestellen en er dan achter komt dat het niet meer voor de
kerst bezorgd wordt, dan had je de stofzuiger vorige week beter even de
stofzuiger gelaten. Het stof ligt er een dag later ook nog wel, maar die
bestelling is tijdkritisch. Natuurlijk kunnen er complicerende factoren zijn;
misschien had je vorige week geen geld voor een cadeau. Of er kwam een
belangrijk iemand op visite en was een schoon huis echt een must.
Vroeger
zeiden wij informatiebeveiligers vaak dat beveiliging tot ons verdriet pas
helemaal aan het einde van een traject in beeld kwam, áls er al iemand aan
dacht. Jarenlang pleitten we om beveiliging toch vooral vanaf het begin af aan
mee te nemen. Als je er een vlotte term aan wilt hangen: we noemen dit ook wel shift
left – en dan bedoelen we het verschuiven van de aandacht naar de voorkant
van de tijdas. Lang geleden (in de late jaren negentig) hadden we daar bij ons
een mooi mechanisme voor: het aspectenoverleg. Als een nieuw project van start
ging, dan moest de projectmanager vertegenwoordigers van verschillende aspecten
bijeenroepen en uit de doeken doen wat zijn project behelsde. De deelnemers
konden vervolgens commentaar leveren, en vooral ervoor zorgen dat hun aspect
voldoende aandacht kreeg. Bijvoorbeeld door beleidsstukken aan te leveren én
uit te leggen hoe die in dat project moesten worden toegepast. Zo kon je als
vertegenwoordiger van een aspect ervoor zorgen dat jouw belangen werden
meegenomen. Deze overlegvorm was een van de beste die ik ooit heb gekend.
Is er
sindsdien veel veranderd? Ja en nee. Er zijn nu veel meer ICT’ers die het
belang van informatiebeveiliging snappen. Véél meer. Aan de andere kant heeft
de shift left nog lang niet overal plaatsgevonden. Mijn collega’s van het
programma Security by Design werken er hard aan om dit alsnog te
bewerkstelligen. Dat doen ze door teams te leren hoe dat moet. Want ook hier
geldt de aloude wijsheid dat je beter iemand kunt leren om te vissen dan dat je
hem een vis geeft, althans als het om overleven gaat. Verder is er in
inkooptrajecten een goede beweging ingezet. Zoals ik een paar weken geleden al
schreef, hebben we een kant-en-klare set aan beveiligingseisen klaarleggen en,
minstens zo belangrijk, weten de inkopers ook af van het Voorschrift
Functionals Security.
Er
zijn niet alleen veel collega’s die Erik heten, we hebben ook heel wat Edwins.
Gisteren sprak ik er eentje, en dat gesprek had een bijzondere inhoud. Deze
Edwin had namelijk een ontheffing aangevraagd: toestemming om af te wijken van
een bepaalde regel. Omdat ik iets in de motivatie niet begreep, belde ik hem.
Behalve dat hij me uitlegde hoe de vork in de steel zat, gaf hij ook zijn visie
op het fenomeen ontheffingen. Die worden namelijk naar zijn smaak veel te
gemakkelijk verstrekt. Teams moeten maar beter hun best doen om wél binnen de
lijntjes te kleuren, vond Edwin. Dat ben ik van harte met hem eens en daarom
kijken we ook altijd heel streng naar afwijkingen. We hebben echter ook te
maken met een veelheid aan systemen en platformen, van supermodern tot legacy.
En vooral in die laatste categorie krijgen we nog wel eens te horen: wat jullie
willen, dat kan bij ons helemaal niet.
Soms
is dat te gemakkelijk. Dan bedoelen ze eigenlijk: dat zal bij ons wel niet
kunnen. Maar als je dan wat mensen uit verschillende disciplines bij elkaar
zet, dan ontstaat er soms iets moois. Zo van: “Oh, maar als jullie dat zo voor
ons kunnen inrichten, dan kunnen wij aan onze kant dat-en-dat doen, en dan past
het binnen het beleid!” We proberen mensen te helpen om die extra stap te
zetten. Maar probeer gerust om ons voor te zijn. Bijvoorbeeld door niet zomaar
ervan uit te gaan dat je iets niet kunt.
Terug
naar Erik. Hij leert ons dat je goed moet plannen om later niet in de problemen
te komen. Want als iets urgent wordt, dan ben je vaak afhankelijk van anderen,
die wellicht denken: gebrekkige planning uwerzijds schept geen urgentie
mijnerzijds. Of het past gewoonweg niet in hun eigen werkzaamheden om jou nu
met voorrang te helpen.
Vermijd
urgentie, plan je zaken goed. Bestel dat cadeau nú.
En in de grote boze buitenwereld …
- Rammelt de e-mailbeveiliging in iCloud.
- Kun je bij deze Amerikaanse telecom-provider een abonnement afsluiten met alleen je postcode.
- Heeft de Duitse overheid uitgebreid onderzoek gedaan naar password managers. [Duits]
- Is dit een Nederlandse samenvatting van bovenstaand onderzoek.
- Heeft een van die password managers een flinke boete gekregen.
- Kan AI ook gebruikt worden om malware te verspreiden.
- Is er ook ransomware voor Android-toestellen.
- Staat de nieuwe kerstpuzzel van de AIVD online.
- Is er politieke onrust over de overstap van de Belastingdienst naar Microsoft 365.
