#01 - De betrekkelijkheid van de BIO (met Peter van Eijk)
Welkom, welkom bij de aller allereerste echte aflevering van de Keep Talking podcast waarin ik, Renco Schoemaker, in gesprek ga met Peter van Eijk. Peter is security manager bij de gemeente Den Haag. Een gemeente waar ik een hele tijd gewerkt heb als consultant. In de hoedanigheid ook nauw samengewerkt met Peter. En met hem bespreek ik het een en ander over normenkaders, frameworks, standaarden, baselines, hoe dat allemaal werkt in de praktijk, wat je ervan moet vinden, de zin en de onzin.
Renco:Ja, tussendoor wordt er ook nog gelachen. Dus ik hoop dat jullie het een geslaagde eerste aflevering zullen vinden. Na deze aflevering met Peter volgen er nog 2 afleveringen met ook collega's uit de gemeente Den Haag. En wie dat zijn hou ik nog even voor mezelf. Voor nu hoop ik dat je zult genieten van dit gesprek of op zijn minst er iets van opsteekt.
Renco:Veel plezier. Een hele goede middag Peter.
Peter:Goedemiddag, Renco.
Renco:Ik vind het tof dat je tijd wilde maken voor deze podcast opname. Wij zitten hier op het stadhuis van de gemeente Den Haag. In een leuke ruimte, niet al te groot. Ik zou zeggen perfect voor een podcast opname.
Peter:Ik kan me niet anders voorstellen inderdaad dat we in zo'n prachtige ruimte als hier dit gesprek met jou te mogen voeren, Renko.
Renco:We hebben voor vandaag een paar vragen gedeeld met elkaar als een soort gesprekslijderaad, maar voordat we de inhoud ingaan is het leuk om te weten wie is Peter en wat doe je binnen de gemeente Den Haag?
Peter:Ja, nou mijn naam is Peter van Eijk. Vanaf 1 januari ben ik adviseur informatieveiligheid en houd ik mij bezig inderdaad binnen de organisatie met het thema informatieveiligheid in de breedste zin des woords. Ik werk inmiddels alweer 22 jaar voor de gemeente Den Haag. Ik heb 5 jaar in beheeractiviteiten gezeten, met name platformen. En vanaf 2005 ben ik mij gaan toeleggen voor de dienst OCW op het gebied van informatieveiligheid.
Peter:En eigenlijk een van de pioniers geweest binnen de gemeente Den Haag met betrekking tot het ontwikkelen en doorontwikkelen van informatieveiligheid binnen de gemeente.
Renco:Ja want 2005 dat klinkt echt al wel als lang geleden en daar bedoel ik vooral mee toen waren er heel veel mensen of heel veel organisaties nog niet zo wakker op dit gebied zou ik bijna zeggen.
Peter:Nee dat klopt inderdaad en waarom 2005? Niet zozeer 2005 maar ik heb even terug gekeken naar mijn eerste CISP, een certificering die je kunt behalen binnen het vakgebied. En die dateert inderdaad van 2006. Dus dat betekent dat voor die tijd ik daar al mee bezig ben.
Renco:Ja want je had al aanleiding gezien om die maar te gaan volgen.
Peter:Ja die aanleiding was inderdaad vanuit, in dit geval tegenwoordig heet dat het Sociaal Domein, voorheen was dat een dienst OCW. Met daarbij een productgroep, de GGD. Nou een GGD, een productgroep die met name al informatie verzamelt over patiënten. Moet je denken aan het indicatiebureau, je denken aan tuberculose bestrijding. Daar zagen we al dat we een step-up moesten doen zeg maar op het gebied van informatieveiligheid.
Renco:Misschien ook de aard van de gegevens natuurlijk die daar verwerkt worden.
Peter:Zeker, absoluut ja, absoluut ja. Maar in mijn perspectief gaat dit vakgebied verder dan alleen maar de bescherming van die gegevens. Ik vind informatieveiligheid een kwaliteits kenmerk die je mee kunt geven.
Renco:En mee kunt geven? Kun je het ook niet doen?
Peter:Nou soms is, nou toevallig bij de One Conference afgelopen jaar hè. Option is not een option any more. Dus dat geldt ook voor informatieveiligheid. Informatieveiligheid vandaag de dag is geen optie meer. Je zal dat echt moeten embedden binnen je organisatie, binnen je processen, binnen je systemen.
Renco:En Peter je noemde net adviseur informatieveiligheid, dat klinkt breed. Je gaf al aan ik kom dat je achtergrond hebt in de ook wel voor een deel techniek in de beheer kant ervan dus maar ik Ik zeg dat even hardop maar ik ken jou natuurlijk langer, je neemt veel technische kennis ook mee in deze rol. Komt die nog wel goed van pas?
Peter:Ik denk dat hij zeker goed van pas komt. Niet alleen inderdaad om de collega's direct naast ons van advies te kunnen voorzien. Maar ook nog steeds een goede sparringspartner met IT te kunnen zijn. Op de uitdagingen die daar spelen en de adviezen die wij mede als aanspreekpunt ook voor diverse afdelingen zijn. En de meerwaarde daarop kunnen leveren.
Peter:Dus het is niet alleen zorgen dat je kennis hebt, het is ook zorgen dat je bij blijft in de kennis en jezelf blijft ontwikkelen binnen dit vakgebied.
Renco:Ja want je noemt net de adviseur informatie veiligheid. Dat is omdat er afgelopen januari een samenvoeging is geweest of in ieder geval een aantal collega's die verschillende titels hadden, hebben nu in ieder geval allemaal dezelfde functie adviseur informatieveiligheid waarbij de ene collega wat meer organisatorisch georiënteerd is en de ander is wat meer technisch georiënteerd. Hoe is wat jou betreft de mix tussen die 2? Is er voldoende technische kennis, is er voldoende organisatorische kennis, voelt dat elkaar goed aan of zeg je nou ik merk dat er nog wel wat meer van het ene bij kan of het andere?
Peter:Zoals je aangaf inderdaad hebben we een reorganisatie doorgemaakt waarbij een aantal bloedgroepen bij elkaar zijn gezet. En je merkt nog wel dat ondanks het feit dat we in het verleden functioneel veel met elkaar hebben samengewerkt, dat we op inhoud nog wel elkaar moeten vinden. Zowel op technisch gebied maar ook inderdaad op organisatorisch gebied. Dus daar ligt denk ik ook wel de uitdaging voor het team, de komende komende periode om steeds meer op basis van de inhoud met elkaar samen te gaan werken. En op basis van die inhoud op die manier ook de kennis en kunde te verruimen.
Peter:Zowel op technisch perspectief als organisatorisch.
Renco:In de overheidsland is natuurlijk het normenkader op het gebied van informatiebeveiliging is die baseline informatiebeveiliging overheid. Vaak wordt informatiebeveiliging binnen de overheid ook gereduceerd tot de bio. Dat is natuurlijk een leuk opzetje voor jou want daar hebben we daar hebben wij het wel eens over. Ik ben even benieuwd hoe zie jij de bio in het landschap en met name ook omdat je al veel eerder aan de eigenlijk aan de als pionier al bezig was op dit gebied toen hadden we nog helemaal geen bio ook geen of voorloper. Toen hadden we op zijn best denk ik de ISO.
Peter:Dat is correct inderdaad.
Renco:Kan je daar wat over zeggen?
Peter:Ja wij zijn ooit in bij de gemeente gestart inderdaad. Ik heb terug gekeken en de eerste concern kaders informatieveiligheid of informatiebeveiliging noemde dat vroeger. Dateren rond 2009. Daarna zijn wij gaan doorontwikkelen en hebben we een eigen beleidsstuk geschreven op basis van de ISO 27002. En die noemde we excellente informatiebeveiliging.
Peter:Dat was toen een thema binnen de gemeente. Iedereen voelt zich een beetje majesteit in de stad en op basis daarvan hebben we dat beleid geschreven. Waarbij we eigenlijk langs de lijn van de ISO 27001 en 2 eigenlijk hier per hoofdstuk inderdaad heel expliciet de Haagse invulling hebben gegeven.
Renco:Hoe heb jij dan de komst van de BIG en later de bio beleefd? Want het klinkt als dat je eigenlijk al wel je raad wist met de internationale standaard of tenminste ik weet niet of dat toen al zo beleefd werd, nu toch zeker. Dat dat was al jullie referentiepunt en toen kwam er in 1 keer alsnog die BIG en later die BIG.
Peter:Wij komen nog zeggen uit het tijdperk van voor de ISO. Dat was de British Standard ik dacht 17999, maar die moet je mij even besparen.
Renco:Die kan ik er nooit smaken hoor,
Peter:ik weet
Renco:hem ook Maar
Peter:kijk even terug, er is nog een afgeleide van voor de iso is een normering. Ik heb an sich de BIG wel omarmd want uiteindelijk inderdaad gaat het niet om hoe Den Haag zich beveiligt, hoe kunnen we, nou ja vaker gezegd BV Nederland met elkaar een stap verder helpen en dan Haagse afgeleide draagt daar niet toe aan bij.
Renco:Ja oké, dus die biggen of beter nu dan even de big laten we vanaf nu weg. We hebben het over de bio. De bio is generiek voor overheidsland dus niet alleen maar voor de gemeentelijke lagen en voor de lokale overheid maar voor alle overheidslagen. Dus het is een taal, een kader, wou er nog een woord aan toevoegen maar dat ben ik kwijt. Wij implementeren die BIO implementeren een soort 'never-ending' traject.
Renco:Zo ervaar ik dat wel eens in mijn werk van volgens mij zijn we over TIA nog de bio aan het implementeren. Maar veronderstel nou eens dat iemand zegt nou, zijn we hebben de bio geïmplementeerd. Wat dan? Ik bedoel het Het komt op mij heel raar over omdat ik enerzijds denk nou da's heel knap dan heb je iets bereikt wat ik nog nooit heb meegemaakt. Aan de andere kant voelt het ook heel raar alsof we dan kunnen zeggen nou dan gaan we wat anders doen.
Peter:Ja nee maar zo zit het natuurlijk niet in het kader. Het is de baseline en een baseline is een bepaalde basis die je als organisatie moet hanteren om ook te implementeren. En de bio is wat mij betreft niet op zichzelf staand, denk dat je moet kijken naar ook andere frameworks die je zou kunnen toepassen, bijvoorbeeld een NIST CSF of inderdaad andere baseline zoals CIS baselines, en met name stukje hardeing. Die combinatie dan maak je sterk en het doel voor jou als organisatie moet niet zijn, vind ik persoonlijk, om volledig bio compliant te zijn. Jij als organisatie moet ervoor zorgen dat je voldoende weerbaar bent, digitaal weerbaar tegen mogelijke dreiging die je op jou afkomt om jouw dienstverlenen naar de burgers, bedrijven, bezoekers en organisaties die in jouw stad huisvesten om die een goed fundament te kunnen bieden en de dienstverlening te kunnen leveren die zij verwachten op het moment dat ze hem ook geleverd willen zien.
Renco:Die term weerbaarheid of resilience in het Engels die hoor ik best vaak afgelopen jaren. Vaker voor mijn gevoel dan daarvoor. Wat wordt er eigenlijk mee bedoeld? Wat ben je als je digitaal weerbaar bent? Dat is wat anders dan dat je voldoet aan de bio hoor ik jou zeggen.
Peter:Nou ja zeker, in mijn perspectief op het moment dat je weerbaar bent, ben je op de hoogte van de zwakke plekken binnen je organisatie. En hoef je niet per definitie altijd je zwakke plekken op te lossen. Omdat in een aantal gevallen het kan zijn dat de maatregelen die je moet nemen, en het kan best zijn uit een normenkader zoals de bio, onvoldoende effectief blijken te zijn als maatregel op het geconstateerde. Of er een financiële inspanning moet worden gelezen die
Renco:inderdaad
Renco:te duur
Peter:En dan neem je echt bewust het risico om inderdaad dat gat te hebben.
Renco:En weerbaar houdt dan zoveel in als dat je dat bewust doet dat je dus kennis hebt van die van die zwakheid of die kwetsbaarheid. Klopt. En dat je zeg ik het nu even achteraan dan, maar dat je er ook op voorbereid bent dat dat een keer mis gaat.
Peter:Zeker en als organisatie moet je dat ook in de smiezen hebben. Je moet weten waar je zwakker bent. Je moet weten hoe je moet handelen op het moment dat zwakheid wordt uitgebuit. Dat is in de vorm van crisismanagement, is in de vorm van het schrijven van plannen, de diensten en de domeinen daar goed bij je bij betrekken en ook oefenen. 1, 2, 3, 4 keer per jaar oefen maar zo'n scenario.
Renco:Ja, dus als je dat goed doorloopt met elkaar en weet wat je aan elkaar hebt wie wat doet, welke verantwoordelijkheden waar liggen, wie mag beslissen dan verhoogt dat je weerbaarheid.
Peter:Ja correct en dat zit hem dan ook met name in zoals ik hem altijd lees de maximale doorlooptijd van zo'n incident. Er zijn natuurlijk facetten waar je niet tegen aan kunt oefenen. Maar wat je eigenlijk probeert te doen is de organisatie dusdanig voor te bereiden, dat mocht het mis gaan, je daar heel acuut en adequaat op kunt reageren, waardoor je relatief in eenvoudig kort tijdsbestek terug kunt keren naar je reguliere operatie.
Renco:Dus eigenlijk impact verkleinen?
Peter:Impact verkleinen? Als we
Renco:het hebben over risico's, kanske impact. Als je weerbaar bent, dat is je heel goed gelukt om weerbaar te zijn, dus dan zeggen we zoiets als ik ben zeer weerbaar of zo of enorm weerbaar, hoe je noemen wil, you get the point, dan zijn we dus in staat om de impact te beperken. We veronderstellen nog steeds dat het een keer kan gebeuren, maar als het dan gebeurt zijn we maximaal voorbereid en kunnen we damage control doen binnen no time hopelijk en daarmee de impact verkleinen.
Peter:Ik hoorde jou net zeggen kans en impact. Ik denk dat de reguliere maatregelen ook met het bio of andere vreemners ernaast. Dat je juist met die maatregelen probeert om de kans naar beneden bij te stellen. De impact als het anders nog gebeurd zal relatief hetzelfde blijven. En juist door te oefenen inderdaad op je crisismanagement, heb je inderdaad een mogelijkheid om die impact inderdaad daadwerkelijk te verlagen.
Peter:In ieder geval die duur inderdaad te verlagen van die impact.
Renco:Als je dan die bio ik kom toch weer terug op die bio maar we hebben al vastgesteld er zijn nog veel meer dingen die je in je raam werken of frameworks dat is trouwens gewoon hetzelfde of een normen kader die je in je gereedschapskist kan hebben maar laten we even bij die usual suspect blijven, de bio. Ik denk wel eens bij mezelf als ik die bio open, dan scroll ik daar doorheen en dan denk ik poeh, het is wel veel hè. Er staat echt van alles in en niet alleen maar dingen waar ik zelf direct raad mee weet. Er staan ook heel veel dingen in waarvan ik denk, ja dat dat ligt daar en dat ligt daar en ja, ja, ja, inderdaad dit is ook goed om te doen, maar ja, dat moet daar en toch is het iets wat wij als informatie beveiligers vaak trekken en initiëren, die bio implementeren of in ieder geval informatieveiligheid bevorderen langs de as van de bio. Aangezien jij al wat dingen hebt zien komen en zien gaan, hoe kijk jij daarnaar?
Renco:Ben jij ook tegen dat probleem aangelopen dat die bio of zijn voorlopers nogal groot is en hoe heb je dat opgelost?
Peter:Ja, ik denk dat je er zelf ook wel ervaring mee hebt. Het feit dat je af en toe sommige normen ook moeilijk naar je naaste collega kan uitleggen wat daar exact mee wordt gevoeld. Bedoel dan zit je in het vakgebied. Dat betekent ook dat op het moment dat je het aan collega's buiten je eigen expertisecentrum moet gaan vertellen, dat je toch wel inderdaad kennis moet nemen van wat er staat. En het is veel en ook niet allemaal direct toepasbaar binnen de organisatie.
Peter:Soms is het gewoon vaag dat
Renco:je denkt ja wat wordt er nou precies bedoeld en bij wie zou dan moeten aankloppen?
Peter:Precies inderdaad en daar spelen wij natuurlijk ook wel eens mee van ja deze maatregel zoals ik hem lees interpreteert een goede maatregel maar hoe krijg ik dat in godsnaam over het voetlicht binnen de organisatie? Wie is daar verantwoordelijk voor? Hoe meet ik dat ook? Maar hoe leggen we het ook vast? En hoe toets ik ook dat het daadwerkelijk goed wordt gedaan?
Peter:Kijk die technische maatregelen, als je al over technische maatregelen kunt spreken in de bio, die zijn altijd vrij eenvoudig toetsbaar. Het vinkje status zeg ik altijd of niet. Maar met name de meer zachte kant vind ik altijd wat multi-interpretabel. En hoe krijg je het over het voetlicht dat voor ieder domein het op dezelfde wijze ook daar invulling aan wordt gegeven als dat de behoefte is. De norm kan je nou eenmaal en de control kan je nou eenmaal anders interpreteren.
Renco:Heb je op basis van jouw ervaring tips? Dat je zegt nou dat als je het op deze manier aanpakt dan lukt het misschien beter dan wanneer je het op een andere manier aanpakt.
Peter:Nee ik probeer me altijd wel voor te stellen wat de opgave is zeg maar van de dienst of het domein richting de stad of richting de eigen dienst. En op basis daarvan probeer ik ook te kijken welke onderdelen van het normenkader dragen er aan toe bij om de doelstelling meer te realiseren. Want je zoekt iedere keer naar die balans tussen de controls en maatregelen die je wilt laten nemen en het realiseren zeg maar van de doelstelling. Security moet ook echt een enabler zijn.
Renco:Ja het moet bijdragen aan iets, het staat niet alleen op zichzelf Nee
Peter:zeker en daar moet je wel voor waken. Dus vandaar dat ik ook, nou ja ik noem het altijd af en een beetje mijn kont in het kribbe gooi met betrekking tot dat normenkader. Ik heb er wel eens
Renco:bij gezeten ja.
Peter:Haal eruit wat wat wat meerwaarde kan zijn. En dat kan zijn dat voor het ene domein daar wat meer normen aan ten grondslag liggen dan het andere domein. Waar ze bijvoorbeeld minder met hele vertrouwelijke informatie te maken hebben, want je merkt toch wel dat in het normenkader dat dat vertrouwelijkheid terug blijft komen. We hebben de beschikbaarheid is belangrijk integriteit is belangrijk maar die vertrouwelijkheid die bepaalt uiteindelijk ook het niveau. En bepaalt ook met name.
Renco:Die is wel dominant he?
Peter:Die is wel dominant en bepaalt ook een grote set aan maatregelen die je daar moet nemen. De vraag is of het altijd wel in de juiste balans is met de beschikbaarheid en de integriteit zeg maar van de data.
Renco:Kan ik me iets bij voorstellen ja. Wat ik dan denk als ik die bio zie, maar vooral ook hoe die bio zeg maar aangeboden wordt, in welk kader die verkocht wordt, dan voel ik daar best wel dwingend kader. Er ligt geen wet onder of zoiets, daar zijn ze volgens mij wel mee bezig, maar dat daargelaten. We hebben hoogstens via de AVG een wettelijke verankering, omdat daar natuurlijk staat je moet passende technische en organisatorische maatregelen nemen ter beveiliging van de persoonsgegevens die je verwerkt. Oké, maar ja, zoals de AVG in zijn geheel is lekker open.
Renco:Dat mag je zelf wat passend is en welke maatregelen je dan wenst te nemen. Die over en die bio die biedt een soort repository zou je kunnen zeggen van nou dit dan. Terwijl als ik hoor hoe die bio als ik die lees dan, overheidsmaatregelen hebben een verplichtend karakter. Dus ik denk ja, ik ben wel eens ik benijd jou wel eens dat ik dan denk ja, op een of andere manier weet Peter dat toch beter te relativeren dat die bio wel veel biedt, maar dat je ook andere normenkaders daarnaast hebt. Misschien ook meer historie, je gaat ook al wat langer mee in het vak dan ik.
Renco:Maar hoe beleef je dat dan in de zin van hoe dwingend is die bio? Kun je daar ik het even populair formuleer uit cherry picken?
Peter:Dat je
Renco:zegt nou weet je die doen we wel maar die doen we niet. Ikzelf ervaar maar dat kan aan mij liggen dat die bio daar op zichzelf niet zo heel veel ruimte voor biedt, alhoewel er helemaal geen wet onder ligt, maar oké ik ben dan toch misschien zo gezagsgetrouw, ik weet het niet.
Peter:Nee, als je hem zo zwart en wit inderdaad op zijn merites beoordeeld hé, heb je absoluut een punt en zou je iedere stap inderdaad en iedere norm moeten moeten implementeren. Alleen dat is op basis van mijn ervaring de afgelopen jaren niet, niet werkbaar. Sterker nog, binnen Den Haag hanteren we het ISMS als proces waarbij we iedereen, ja belangrijke applicatie ook toetsen ten opzichte van dat bio kader. Alles, niet inderdaad het belangrijke maar we toetsen op alles. Waarbij er wel inderdaad op basis van Smart controls er geen overvraging of een beperkte overvraging van de diensten plaatsvindt.
Peter:Mijn voorkeur zou zijn dus dat we met elkaar gaan zitten om met elkaar te bepalen welke onderdelen van de bio vinden we nou met elkaar belangrijk. Waar kunnen we weer weerbaarheid en hoe kunnen we vanuit dat normenkader echt een bijdrage leveren aan een kwaliteitsinjectie op het proces en procedures van onze diensten.
Renco:Je noemt weer de, dat noemde je net al eerder, dat je informatiebeveiliging als een kwaliteitsaspect ziet. Kan je nog eens een aantal kwaliteitsaspecten noemen even voor de context van de luisteraar?
Peter:Ja, nee, die kwaliteitsaspecten zijn net ook al langs gekomen hè. De beschikbaarheid integriteit en vertrouwelijkheid moet je kunnen waarborgen. En dat doe je inderdaad op iedere as daar maatregelen op te nemen. En door die maatregelen te nemen zorg je voor een bepaalde vorm van stevigheid, robuustheid van het proces of het onderliggende informatiesysteem. Ja.
Peter:En als dat robuust is, bijvoorbeeld door het toepassen van een stukje baseline, stukje hardering, dan weet je steeds meer hoe zo'n systeem gaat reageren in bepaalde situaties en kun je daarop anticiperen. Daardoor ben je in staat inderdaad om jouw proces te blijven voeden van de juiste informatie en dus inderdaad uiteindelijk je je dienst die aanbiedt naar een collega of naar burger of naar een bedrijf te kunnen blijven waarborgen.
Renco:Ook in geval van tegenwind zeg maar. Zeker. Dat ook als de omstandigheden niet ideaal zijn, dan druk ik me heel eufinistisch uit, maar dan ofwel minimale verstoring ervaren of in ieder geval weer snel kunnen hervatten van de dienstverlening.
Peter:Ja kleine uitstap in dat, volgens mij doe je ook iets graag dat doe ik ook namelijk hardlopen En ik loop wel eens hetzelfde rondje gewoon omdat ik het een fijn rondje vind.
Renco:Heerlijk.
Peter:En na wat denken over. Ik heb wel eens zoals vorige week tegenwind gehad of regen. Dan loop ik nog steeds hetzelfde rondje alleen de beleving is op dat moment even iets anders. Ik haal nog steeds het eindpunt, alleen ik doe er langer over. Maar ik haal wel dat eindpunt inderdaad nog steeds binnen criteria die ik mezelf heb gesteld.
Peter:Dat is eigenlijk een beetje die flexibiliteit die je ook hebt inderdaad dan met het toevoegen van informatieveiligheid binnen zo'n proces. Je probeert zeg maar die eindstreep nog steeds te halen, maar je ziet ook dat er bepaalde dreiging is die mogelijkerwijs een druk legt zeg maar op wanneer dat resultaat wordt bepaald. En je moet constant, en daar werkt het normenkader goed mee, de afweging maken tussen de maatregelen die je geïmplementeerd hebt, maar ook de effectiviteit van die maatregel uitgezet tegen de dreiging die er tegenover
Renco:heeft. Ja ik vind dit echt een hele interessante want wat ik lees in die bio is dat er eigenlijk op 2 gedachten gehinkt wordt. Aan de ene kant een beetje zoals ik het net bewust formuleerde vrij rechttoe rechtaan. Er staat in wat je moet doen en je moet doen wat er staat. Maar goed, het voldoen aan die bio is niet het doel op zich natuurlijk.
Renco:Dat is een middel om te komen tot een goede beveiliging van gegevens. Dat kunnen persoonsgegevens zijn, dat kunnen ook anderszins gevoelige gegevens zijn. Maar in die bio wordt ook tig keer gesproken over risicomanagement en als ik jou hoor vertellen over dat eigenlijk je moet kijken wat de relatie is tot de dreiging, dan zit je ook in de hoek van risicomanagement. We hebben dreigingen, we hebben zwakheden kwetsbaarheden, we hebben actoren en we hebben kans en impact en nou Dat hele vocabulaire zeg maar. Dan denk ik nou oké, het klinkt goed.
Renco:Aan de andere kant heb ik het gevoel ja maar wacht even, volgens mij wordt mij hier gewoon opgedragen om die hele bio naar binnen te schuiven. Make up your mind denk ik dan.
Peter:Als ik het meer concreet maak. We hebben allemaal kunnen ervaren bijna een jaar geleden 24 februari 2022 de start van de oorlog in Oekraïne. Dat heeft bij ons in het team geleid tot het schrijven van een notitie. Waarbij we een aantal additionele maatregelen hebben voorgesteld. Als ik kijk naar het palet zeg maar van maatregelen die we hebben voorgesteld ten opzichte van de bio, dan zie ik ze niet terug in de bio.
Peter:Maar vond ik ze wel, vinden we ze wel dat we in ieder geval het bestuur hier kennis van hebben laten nemen.
Renco:Kan je eens een voorbeeld noemen van een maatregel die jullie toen additioneel hebben voorgesteld?
Peter:Additioneel wat wij hebben voorgesteld is inderdaad bijvoorbeeld het inzetten van purple teaming. Waarbij we
Renco:Wat is purple teaming?
Peter:Ja purple teaming is een vorm van hacken waarbij je niet alleen red team tot je beschikking hebt maar ook een blue team. Dus een aanvallend team en een controlerend team vanuit de eigen organisatie.
Renco:Kun je ook verdedigend zeggen?
Peter:Je kunt ook verdedigend zeggen, ja oké. En je hebt daarbij nog een, dat noemen wij een healer, die zeg maar beide partijen bij elkaar houdt.
Renco:Een healer, wauw.
Peter:Een healer, ja. En dat is iets wat we eigenlijk op langere termijn hadden geschoven. Maar juist door de situatie in Iquitine naar voren hebben gehaald. Omdat wij wilden weten binnen onze eigen interne infrastructuur hoe kwetsbaar zouden wij zijn. Op een stukje leatheral movement zoals wij dat noemen.
Peter:Dus ben je in staat als aanvaller om door de infrastructuur van Den Haag heen te bewegen zonder dat je opvalt.
Renco:Ja, zonder dat opgemerkt wordt.
Peter:Ja en daar hebben we dat is een voorbeeld, dat hebben we naar voren getrokken dat traject. Dat is 1. Ten tweede hebben we natuurlijk ook gekeken naar, maar welke programma's lopen er nu en kunnen we daar ook nog een stap naar voren maken.
Renco:Het klinkt als naar voren halen als in, we waren dit al van plan maar we zien nu een concrete dreiging die eigenlijk de urgentie vergroot en waardoor we vinden dat we nu moeten handelen en niet over een half jaar of over een jaar.
Peter:Correct maar het is ook uitgezet tegen de stad Den Haag. De stad Den Haag kent natuurlijk een ander risicoprofiel dan dat je dan bijvoorbeeld kijkt bij onze collega grote steden.
Renco:Nou ik las van de week in het nieuws of volgens mij werd het binnen de organisatie ook gedeeld van het internationale straf straf zeg ik het zo goed? Dat daar ook de oorlogsmisdaden van door de Russen moeten worden berecht of dat er in ieder geval volgens mij in Europese context daar een motie voor aangenomen was. Ja, dat heeft natuurlijk direct een effect zeg maar of er gaat een dreiging vanuit voor de gemeente Den Haag.
Peter:Correct ja en daar houden wij dus rekening mee. Dan komen we weer op die weerbaarheid in dat stad en gemeente en het raakvlak. Een collega van ons, Daan Reinders, die ken jij ook goed, heeft een mooie notitie geschreven, de agenda digitaal veilig. Waarbij we inderdaad over 4 assen ook daadwerkelijk de stad proberen, nou ja weerbaar te maken. Dan moet je denken gezondheidszorg, onderwijs, moet je denken aan logistiek en infrastructuur.
Peter:Belangrijke thema's ook voor de stad.
Renco:Dan trek je eigenlijk de scope maar weer breder en je verbindt hem ook nadrukkelijk aan de openbare OOV zeggen ze dan toch openbare orde en veiligheid. Die 2 domeinen. Als je noemde net eerder crisisorganisatie, nou vanuit de OOV invalshoek heb je natuurlijk is dat vakgebied eigenlijk al vele malen volwassener dan dan in de context van informatiebeveiliging. Wij zouden daar veel van kunnen leren. Ik vind het heel super interessant om te zien dat die 2 steeds meer elkaar lijken te vinden.
Renco:Je noemde nu die voorbeelden van additionele maatregelen die echt eigenlijk op basis van een risicoanalyse zijn gedaan en hebben eigenlijk niks met de bio te maken maar toch zijn ze super belangrijk. Hoe beschouw jij de bio? Is het nou voornamelijk een instrument wat over de as van compliance een bepaalde ondergrens wil bereiken bij overheidsorganen of wil de bio je goed laten nadenken en het proces van risicomanagement laten aflopen om tot gezonde en inderdaad gezonde relatie tot de kosten. Je probeert een risico terug te brengen, maar het kost ook geld. Je probeert de bio je die afweging goed en gestructureerd te laten maken.
Renco:Ik heb het gevoel dat het er allebei in zit.
Peter:Ja, dat gevoel is er niet alleen. Dat is ook daadwerkelijk Waar? Ook ik heb dat idee en je probeert iedere keer wel de balans te vinden om de juiste maatregel nogmaals in te zetten. Dus ik neig toch meer naar het is 1 van de instrumenten die je hebt ter beschikking om inderdaad te werken aan risico, risicomanagement. Want stel dat je het over de as van compliance doet, op het moment dat je niet compliant bent, introduceert dat ook een risico.
Peter:Dus het is een onderdeel van heel dat palet rond risicomanagement. Ja,
Renco:je zou langs de PDCA kunnen zeggen, ja je stapt misschien in bij de C, de checkfase, omdat je een non compliance constateert en jezelf dus een actie toebedeeld. Nee, daar moet ik wat mee. Ja. En dan nog prioriteert natuurlijk waar je begint en waar je eindigt.
Peter:Waarbij ik ook zelf als ik je mag interrumperen, dat je niet alles hoeft te implementeren. Ik denk als je het goed kunt uitleggen, zoals bijvoorbeeld bij het forum standaardisatie de verplichte lijst wordt gedaan. Pas toe of leg uit. Als je een goede leg uit hebt, dan moet dat keurig netjes kunnen volstaan. En zou je dus ook dat vinkje kunnen krijgen met betrekking tot compliancy.
Renco:Ja En dan zit je inderdaad weer langs de as van risicomanagement, dan heb je er goed over nagedacht. Je neemt misschien een andere maatregel wel en maar aan andere weer niet, maar dat kan je dan uitleggen dat kun je onderbouwen en daar sta je vervolgens ook voor. Daar wil je dan ook, hoop ik dan tenminste, ook verantwoordelijkheid voor nemen hè. We hebben daar gewicht tegen gewogen en we hebben gezegd die doen we niet.
Peter:Zeker, daar waar we ook verantwoordelijkheid kunnen nemen hè. Wij proberen binnen Den Haag de verantwoordelijkheid zoveel mogelijk in de lijn te beleggen en neer te leggen. Dus echt ook de risico eigenaren zeg maar daaraan te koppelen. Wij kunnen vanuit het expertisecentrum adviseren over die informatieveiligheid vraagstukken. Maar uiteindelijk de risico afweging moet worden genomen door nou ja, populair gezegd de business zelf.
Peter:En wij kunnen daar enigszins sturend in zijn.
Renco:Als ik jou hoor praten dan heb ik wel het gevoel en ik weet dat natuurlijk ook maar dat ik iemand tegenover me heb zitten met de nodige technische kennis ook in de rugzak. Heb je het gevoel dat die technische kennis jou beter in staat stelt om de brug te slaan naar die business? Je gaf eerder aan van alles wat wij doen moet je eigenlijk uit kunnen lijnen met doelen van bedrijfsonderdelen van domeinen of diensten zoals we ze dan hier noemen. Helpt het om technisch beter te doorgronden hoe het werkt, zeg ik maar even tussen aanhalingstekens, om dan die brug te slaan?
Peter:Ja, ik denk dat met name een kenmerk analytisch hier iets is wat je meebrengt in beide aspecten. Je bent in staat denk ik om die vertaalslag te kunnen maken ook vanuit de techniek naar mogelijkerwijs een business risico. Waarbij je probeert om niet die technische terminologie mee te nemen maar echt richting de business te sturen op van wat betekent dat nu in het kader van beschikbaarheid. Wat betekent dat nu inderdaad voor de realisatie van jouw doelstelling. Wat is het effect inderdaad als je hier geen maatregel opneemt.
Renco:Ja ik zie eigenlijk die 2 kanten inderdaad als je dus te veel technische terminologie zou meenemen dan is het lastig om aangehaakt te blijven bij de directie van een dienst. Aan de andere kant merk ik soms ook dat wanneer je teveel op die organisatorische as bekwaam bent, je eigenlijk toch ook wel een soort blinde vlek hebt dat je denkt ja als het er echt op aankomt, ik op die techniek eigenlijk het antwoord schuldig blijven tot op zekere hoogte. Ik vind het zelf een mooie stap dat de gemeente Den Haag eerder besloten heeft om die functies allemaal in 1 team samen te voegen. Je staat voor een gezamenlijke opdracht en het zwaartepunt bij de ene collega ligt meer op de techniek en misschien bij de andere meer op de organisatie. Jij hebt elkaar nodig om die boodschap het beste over te brengen naar die diensten.
Peter:Ja ik weet nog heel goed inderdaad een van onze oud collega's die een slogan introduceerde voor het expertisecentrum security. Een aanval op Den Haag is een aanval op het expertisecentrum. Nou ik vond het een mooie, mooie, mooie.
Renco:Voelde je je wel meteen aangesproken.
Peter:Ja en ook betrokken inderdaad en dat merk je wel bij de collega's inderdaad hé. Of je nou inderdaad je gereedschapskist iets meer doorbuigt richting techniek of richting de business. Dus wel een gezamenlijke drive om Den Haag verder te brengen op dit onderwerp. En we moeten elkaar ook in helpen om dat resultaat te bereiken. En ik denk juist inderdaad door die goede mix gecombineerd met communicatieve vaardigheden en organisatie sensitiviteit.
Peter:Dat dat je helpt inderdaad om die business te bewust te blijven maken van de risico's die ze lopen. Maar ook de afweging die ze kunnen maken en uiteindelijk de juiste beslissing kunnen nemen om een set aan maatregelen wel of niet te implementeren.
Renco:Ja, nou dat is een mooi mooi slot want die bio die helpt ons daar best goed bij maar het is niet de holy grail.
Peter:Nou ja, zeker en zeker niet inderdaad hè, absoluut. Absoluut, absoluut. Sluit ik mij in, sluit ik mij mee aan.
Renco:Peter, dankjewel voor je tijd. Ik vond het leuk dat je er was. Graag gedaan. Wellicht tot de volgende keer. Als je nog eens een leuk onderwerp hebt, dankjewel.
Renco:En dat is het einde van Keep Talking aflevering 1. Dankjewel Peter. Dankjewel luisteraar. Het is natuurlijk een eerste aflevering, dus het aantal luisteraars zal nog bescheiden zijn. Het maakt me geen zak uit.
Renco:Ik vond het leuk om deze aflevering te maken. Ik vond het een leuk gesprek. Ik hoop jij ook en ik hoop dat je ook, ja, als je dan toch wat hier gehaald hebt, dat je ook de volgende afleveringen zult meepakken. Dat heb ik je zo makkelijk mogelijk gemaakt, want je kan namelijk gewoon deze podcast in elk willekeurig platform vinden. Je kunt je abonneren en als ik dan besluit weer zin te hebben om een volgende aflevering online te zetten, zie je, ik doe even aan verwachtingenmanagement, dan rolt die aflevering vanzelf binnen in je app, krijg je daar een notificatie van zo je wil en mis je dus helemaal niks.
Renco:Voor nu, dank voor het luisteren en tot de volgende keer.
