Publicaties
Hieronder vindt u enkele artikelen over informatiebeveiliging en risicomanagement die ik heb geschreven voor publicatie in vakbladen of op social media.
Risicobereidheid
Binnen risicomanagement is de risicobereidheid (risk appetite) een veel gehoorde maar tevens lastige term. Organisaties behoren het vast te stellen, maar worstelen met hoe. Ik heb daar de laatste weken over nagedacht. Dat is het voordeel van fietsen naar je werk, dan heb je daar veel tijd voor. Ik ben daarbij tot onderstaande opvatting gekomen.
Het kwantificeren van cyberrisico’s
Kwantitatieve risicoanalyses worden vaak gebruikt om cyberrisico's voor managers begrijpelijk te maken, zodat zij daarop kunnen sturen. Echter, ik geloof niet in het nut van kwantitatieve risicoanalyses. Het kwantificeren van een risico doet afbreuk aan het begrip risico en zorgt er niet voor dat er op een juiste manier over nagedacht wordt.
De verantwoordelijkheid voor cybersecurity
Steeds meer organisaties hebben een CISO in dienst die helpt met het op orde brengen van de cybersecurity. Een belangrijk onderdeel van goede cybersecurity is het inrichten van de verantwoordelijkheid daarvoor. De directie is, zoals bij veel thema’s binnen een organisatie, eindverantwoordelijke, maar de verantwoordelijkheid voor de dagelijkse zorg voor cybersecurity ligt in de lijn. Althans, daar hoort het te liggen wat mij betreft. Zo af en toe spreek ik iemand van een organisatie waarbij dat toch iets anders is ingericht.
De volgorde in volwassenheid
Een tijd terug was ik met een aantal mensen in gesprek over informatiebeveiliging. Er werd veel gesproken over de technische kant van informatiebeveiliging. Als techneut vind ik alle techniek rondom informatiebeveiliging erg interessant, maar mensen die mij een beetje kennen weten dat ik vooral verbetermogelijkheden zie op organisatorisch vlak.
Risicoanalyse: tijdrovend en ingewikkeld?
Binnen mijn vakgebied, informatiebeveiliging, is risicomanagement en risicoanalyse mijn specialisme. Ik schrijf daar het nodige over, heb een eigen risicoanalysemethodiek ontwikkeld en vanuit mijn werk geef ik presentaties over dit onderwerp. Ik krijg zo af en toe de vraag of het doen van die tijdrovende en ingewikkelde risicoanalyses wel de moeite waard is? Mijn antwoord is uiteraard ‘ja’ en ik licht in dit artikel toe waarom.
Risico's beheersen
Incidenten met belangrijke en/of gevoelige informatie kunnen een serieuze impact hebben op de organisatiedoelen. De directie is om die reden eindverantwoordelijke voor een goede omgang met de risico's rondom informatie. Lijnmanagers zijn verantwoordelijk voor de tactische en operationele risico's rondom de informatie die binnen hun afdeling verwerkt wordt. Om risico's te kunnen beheersen, is het noodzakelijk dat ze op een zorgvuldige manier inzichtelijk worden gemaakt en beoordeeld. Zicht en grip op de risico's rondom informatie vereisen zicht en grip op de informatie zelf. Zorg daarom dat ook het eigenaarschap van de informatie zelf en de bijbehorende verantwoordelijkheden goed zijn ingericht.
Risicoanalyse en de DPIA
Al meerdere malen heb ik vernomen dat het voor sommige organisaties onduidelijk is hoe ze precies om moeten gaan met de vragen rondom de beveiliging van persoonsgegevens tijdens een Data Protection Impact Assessment (DPIA). Vaak verneem ik dat tijdens een DPIA inhoudelijke vragen over de beveiliging worden behandeld. Is de autorisatie goed geregeld? Wat wordt gedaan om malware en hackers tegen te gaan? Zijn de gegevens op de juiste manier versleuteld? Hoewel dit goede vragen zijn, horen ze naar mijn idee niet thuis in een DPIA. Ze behoren in een risicoanalyse voor informatiebeveiliging, wat iets heel anders is dan een DPIA. Slechts het resultaat van zo'n risicoanalyse neem je mee in een DPIA om de vraag of de persoonsgegevens voldoende zijn beveiligd, te kunnen beantwoorden.
Risico's toegelicht
Als er gesproken wordt over informatiebeveiliging, komt al gauw het woord risico aan bod. Risico's moeten in kaart worden gebracht, worden beoordeeld en te hoge risico's moeten vooral worden aangepakt. Om dit alles te kunnen doen is het nuttig om het begrip risico goed te begrijpen.
Zicht en grip op informatie
We lezen steeds vaker in het nieuws over het op straat komen te liggen van vertrouwelijke informatie, het (D)DoS-en van webdiensten, het op afstand overnemen van systemen en andere gelijksoortige incidenten. Informatiebeveiliging wordt steeds belangrijker. Het staat zelfs op de politieke agenda. We schenken steeds meer aandacht aan het beveiligen van vertrouwelijke en belangrijke informatie, maar het lijkt net zo vaak weer mis te gaan. Grip krijgen op informatiebeveiliging blijkt voor veel organisaties een uitdagende opgave.
Cybersecurity hoort niet thuis in de directiekamer
Hoewel cybersecurity belangrijk is, wil het helaas niet voor iedere organisatie lukken om dit onderwerp tot een succes te maken. Bij veel organisaties is cybersecurity beperkt tot vooral technische maatregelen. Securityspecialisten die het onderwerp onder de aandacht willen brengen van directieleden, ervaren vaak genoeg desinteresse of zelfs tegenwerking. De reden hiervoor is dat naar mijn idee het onderwerp verkeerd aangepakt wordt. Dit artikel beschrijft wat er fout gaat en hoe het onderwerp op de juiste manier in de directiekamer kan worden geïntroduceerd.