Achtergrondartikel


Verslag IT & Information Security

‘Blaffende CISO’s bijten niet’

Op 17 februari was het Congrescentrum 1931 in ‘s-Hertogenbosch het decor voor het congres IT & Information Security. Business Security Consultant Jeroen Veraart van Motiv was erbij en doet verslag.

De dag begon met een juridische update. Menno Weij van Solv Advocaten deed uit de doeken hoe we nu echt met de ‘wet datalekken’ om zouden moeten gaan. Daarbij wordt in mijn ogen bevestigd dat we in veel gevallen overtrokken reageren op deze nieuwe meldplicht. Dat heeft voor een groot deel te maken met onduidelijkheden die ook deze wet teweeg brengt. Wat zijn nou eigenlijk persoonsgegevens? En wanneer levert het lekken ‘aanzienlijke schade’ op voor de eigenaar van deze gegevens?

 

De les die kon worden getrokken is ‘zorg ervoor dat je transparant bent over wat je met persoonsgegevens doet’. Formeel moeten er overal bewerkersovereenkomsten zijn, maar ga daar pragmatisch mee om is het advies. De boetes worden ook niet zomaar opgelegd, er volgt immers eerst nog een zogenaamd ‘bindende aanwijzing’. Als je die niet of onvoldoende opvolgt dan volgt er mogelijk een boete. Wel waarschuwde Weij voor een mogelijke ‘function creep’. Dat betekent dat de persoonsgegevens in een later stadium toch voor meer zaken worden gebruikt of misbruikt dan eerder was overeengekomen.

De rol van de CISO
Onder leiding van Sven Polak, een soort assistent dagvoorzitter, werd er een leuke discussie gevoerd over de rol van de CISO. Door middel van een online enquête is het publiek in de zaal een aantal vragen gesteld. Een goed voorbeeld daarvan is de vraag of de CISO zich vooral met techniek moet bezighouden of meer met beleid op conceptueel niveau. Daarbij bleek de zaal een uitgesproken mening te hebben: 95 procent vindt dat een CISO zich niet met techniek moet bezighouden. Dat is natuurlijk een mooie score om vast te stellen dat beveiliging niet een kwestie is van het inzetten van technische hulpmiddelen, maar het kan ook doorslaan. Weet de CISO straks nog wel welke dreigingen en mogelijkheden er zijn en gaat hij straks vanuit een ivoren toren beleid zitten schrijven? De CISO zal een goede mix moeten vinden en goede adviseurs om zich heen moeten regelen.

Een andere vraag aan het publiek: wat is de beste oplossing? Alles zelf doen of de beveiliging outsourcen? Daar zie je nog steeds de terughoudende houding dat beveiliging niet buiten de deur kan worden uitgevoerd: 75 procent van het publiek is voorstander van alles zelf doen. Voor grotere ondernemingen kan ik me dat voorstellen, of voor organisaties die met zeer gevoelige informatie werken. Maar voor veel middelgrote en kleinere organisaties is ‘alles zelf doen’ al lang geen optie meer. Er is zoveel expertise nodig om de ‘bad guys’ buiten de deur te houden, daar heb je externe hulp bij nodig.

Forcepoint
Neil Thacker, information security and strategy officer EMEA bij Forcepoint, gaf een helder overzicht van de verschillende actoren als het gaat om bedreigingen en welke maatregelen daarbij genomen moeten worden. Voor iedere bedreiging maar vooral voor iedere hack die geheel of gedeeltelijk is gelukt geldt echter dat de ‘Dwell Time’ zoveel mogelijk moet worden gereduceerd. Hoe sneller iets ontdekt wordt, hoe sneller we kunnen handelen om de impact te reduceren. Het gaat hierbij om de bekende keten van ‘Defend, Detect, Decide and Defeat’. Om dit adequaat op te kunnen pakken is het van groot belang om het threat landscape goed in kaart te brengen. Thacker werkt daarbij ook samen met ENISA (European Union Agency for Network and Information Security) waar ze een onder andere gewerkt hebben aan een ‘Threat Taxonomy’. Dit rapport zorgt voor classificatie van bedreigingen op verschillende gebieden, waarbij ook details per bedreiging zijn uitgewerkt.

Awareness
Opvallend tijdens het hele congres was de aandacht voor het bewustzijn van medewerkers en management van organisaties als het gaat om informatiebeveiliging. Een van de uitspraken uit het publiek was bijvoorbeeld: “blaffende CISO’s bijten niet, het gaat om bewust zijn.” Maar het is ook een kwestie van ondernemerschap en risk-appetite. Zoals Jessica Conquet van Delloite (en voorzitter van het PvIB) aangaf: “Degene die het veilig willen doen moeten strijden tegen degene die het geld willen verdienen.”

Ik kom ook organisaties tegen die een verkeerde vorm van bewustzijn hebben ontwikkeld. Daar is veel te veel toegestaan en durft men onder het mom van privacy geen maatregelen te nemen. Het bewustzijn dat privacy een zeer belangrijk onderwerp is, wordt daar ingezet om maar nergens aan te komen en heeft juist tot gevolg dat grote hoeveelheden data onvoldoende wordt beschermd en dus ook gelekt.

Bottom line gaat het om het vinden van draagvlak op verschillende niveaus in de organisatie om dit vervolgens aan te wenden om de juiste balans te vinden in het nemen van maatregelen.

 


Lees meer over