#02 - Beleid, Uitvoering, Control en (dan) de praktijk (met Lilian Knippenberg)
Hey, leuk dat je weer luistert naar de Keep Talking podcast. Aflevering 2 waarin ik in gesprek ga met Lilian Knippenberg van de gemeente Den Haag. En in deze tweede aflevering zal het vooral gaan over het informatiebeveiligingsproces ofwel de jaarcyclus informatiebeveiliging. Hoe plan en voer je uit en controleer je hoe ziet dat proces eruit en hoe organiseer je dat in zo'n grote gemeente als de gemeente Den Haag Dus waar het in aflevering 1 vooral ging over de onderliggende normenkaders waaraan voldaan moet worden en ook de betrekkelijkheid daarvan, gaat het in deze tweede aflevering meer over het jaarproces. Ofwel, ik noem het wel eens de machinerie.
Renco:Dus fijn dat we weten wat we moeten doen. Maar in welke volgordelijkheid krijg je dat nou organisatorisch voor elkaar? Wie moet nou wat doen? Wie heeft welke rol? Wie ziet toe?
Renco:Wie voert uit? Wie plant? Wie schrijft beleid? En hoe werkt dat allemaal met elkaar samen? Nou, dat is best knap lastig om dat te organiseren.
Renco:En wat daarbij helpt is een senior ISO zoals Lilian die dat allemaal met een glimlach, enthousiasme en veel kennis van zaken organiseert. Dus ja, luister je weer mee met de Keep Talking podcast en voor wie zich zorgen maakt. Het wordt geen keep talking Den Haag podcast. Het is puur dat ik die eerste paar afleveringen daar opnam. En dat belooft nog wat want ook de volgende aflevering zal nog zijn met iemand uit de gemeente Den Haag.
Renco:Maar vast en zeker iemand die je graag hoort praten over hoe het in Den Haag georganiseerd is. En nieuwe opnames staan dan op de rol of zijn al gemaakt. Dus dat komt helemaal goed. Voor nu veel luisterplezier en tot de volgende. Een goedemiddag Lilian.
Lilian:Een goedemiddag, Renco.
Renco:Wat leuk dat jij met mij wilt podcasten.
Lilian:Natuurlijk, kan altijd.
Renco:Kan altijd. Dus ook als dit een succes wordt, dan kan ik jou later nog eens bellen.
Lilian:Zeker, dan mag je me nog eens bellen. En als mensen luisteren en denken dit is een leuke podcast, dan mogen ze me ook bellen.
Renco:Heel goed, heel goed. Hey en wij kennen elkaar omdat we allebei wij kennen elkaar van de gemeente Den Haag. Maar ik tijdelijk een opdracht heb gedaan. Ja. Maar wie is Lilian en wie is Lilian in de context van de gemeente Den Haag?
Lilian:Ik ben dus Lilian. Ik werk inmiddels ruim 2 jaar bij de gemeente Den Haag. Ik heb de rol van plaatsvervangend CISO en ben coördinerend adviseur zoals dat zo mooi heet.
Renco:Wauw.
Lilian:Ik hou me bezig met de organisatorische kant van informatieveiligheid. Dat wil zeggen awareness, leveranciersmanagement, risicomanagement en alle aanverwante onderdelen zoals onder andere ook compliance. Dus hoe voldoen wij aan standaarden, welke standaarden gebruiken we, al dat soort onderwerpen.
Renco:Een heel breed palet.
Lilian:Dat is een heel breed palet en er speelt altijd een hele hoop en dat vind ik heel erg leuk. Dat er, wat mijn grootste uitdaging en wat ik het allerleukst vind is om met de verschillende gemeentelijke diensten en al die verschillende contexten veiligheid en informatieveiligheid toe te voegen. Dus om in gesprek te gaan over hoe is jouw proces, wat doe je precies, welke dingen lever je aan de inwoners van de gemeente en hoe zorgen we dat dat veilig is gezamenlijk, informatie veilig is.
Renco:Oké wat ik daarin beluister is dat je er plezier in hebt om dat wat wij doen een beetje als vakidioten zou je kunnen zeggen als we als als ik zeg altijd als liefhebbers. Ja. Als informatie beveiligingsliefhebbers.
Lilian:Dat is een mooie term.
Renco:Dat we dat relevant moeten maken. Wij bestaan niet op onszelf. Ons bestaansrecht is een afgeleide van iets anders zou je kunnen zeggen. Wij zijn niet het hoofdproces binnen de gemeente. Ik
Lilian:denk dat die context heel erg maakt welke waarde we kunnen toevoegen.
Renco:Hoe veel duidelijk bij jou de behoefte om aan te sluiten bij die business? Als ik mijn vraag kort en bondig moet stellen, is dan is hij zo. Krijg je voldoende gelegenheid om aan te sluiten?
Lilian:Ja, we krijgen zeker genoeg mogelijkheid om aan te sluiten, maar daar ligt altijd weer die prioriteitenkwestie. Het is heel verleidelijk om je te laten leiden door de waan van de dag, maar wat we juist heel erg proberen te doen, kijken naar de lange termijn en naar wat is er ook op lange termijn belangrijk. Dus niet wat is alleen vandaag belangrijk, maar ook juist die lange termijn. Dus die balans is altijd ingewikkeld en die balans is ook, ja, de ene keer moeilijker dan de andere keer. Zeker aan het einde van het jaar als je de jaarafsluiting hebt, ja om dan ook nog eens een keer naar de lange termijn te kijken, dan is dat soms gewoon ondoenlijk.
Lilian:Dus dan moeten we even accepteren dat we die keuzes nu even niet kunnen maken en die later wel maken maar dan wel echt daarna prioriteren.
Renco:Maar dat wil dus zeggen dat je daar wel een bepaald gevoel bij moet hebben hoe wanneer dat opportuun is zeg maar om om of juist niet hè. Wanneer je wat meer mee moet veren en wanneer je wat meer zelf de lijn kan uitzetten die een wat langere horizon kent. Dus dat is wel een mooi bruggetje naar een van de onderwerpen die ik met je wilde bespreken dat is eigenlijk de jaarcyclus informatiebeveiliging. Daar zit dit ook eigenlijk in hé. Je weet gewoon op een gegeven moment dit is een drukke periode voor voor een bepaalde afdeling.
Renco:Dit is niet het beste moment om nog eens eventjes, ik noem maar wat, de duimschroeven nog wat aan te draaien als het gaat om technische maatregelen die je zou willen nemen die de bewegingsvrijheid inperken. Dat is niet een hele populaire boodschap. Nou, als je die dan al moet brengen, denk er dan even over na wanneer en hoe. Ja, ik zie jou aarzelend.
Lilian:Ja, zeker. Aarzelend omdat inderdaad, dat is aan de ene kant, ik snap wel dat je het gevoel noemt aan de andere kant ik zit iets meer op afstand omdat we in het team hebben verschillende aanspreekpunten en die zitten daadwerkelijk met zo'n dienst aan tafel
Renco:ik ben En die is een grote afdeling van de gemeente, voor de duidelijkheid. Ja,
Lilian:is zo'n afdeling en die aanspreekpunten die zitten in het rechtstreekse gesprek. En ik ben meer in de soort van lijn daarachter, dat ik overleg met al die aanspreekpunten. Wat we aan het doen? Wat zijn de prioriteiten? En hoe kunnen we dat balanceren?
Lilian:Dus ik kan iets makkelijker van een afstandje naar dit soort dingen kijken.
Renco:Ja, het iets meer de helikopterviewen over de verschillende diensten heen. Ja. Ja. En als je nou in een paar zinnen het de jaarcyclus informatiebeveiliging, met het risico dat ik weer betig word van een veel te brede vraag. Maar wat is nou de jaarcyclus informatiebeveiliging in vredesnaam?
Renco:Wat zit er daar nou wat zit er nou ten minste aan ingrediënten in een jaarcyclus?
Lilian:Ja, de jaarcyclus is eigenlijk heel belangrijk, want dat is wat mij betreft de basis. En We moeten kijken naar een of hoe zeg je dat ik vind heel belangrijk om te kijken naar naar de plan do check act cyclus dat je altijd blijft controleren of wat je doet wel echt waarde toevoegt nou hoe ziet dat er dan heel concreet in een jaar uit Je begint dus met het plannen van je verbeteringen. Je verbeteringen zijn wat mij betreft het hoofddoel, want je moet continu blijven innoveren, blijven verbeteren om ook echt je veiligheid op orde te houden.
Renco:Verbeteren kan ook zijn nieuwe functionaliteit, dat kan ook een verbetering zijn, moet een verbetering voortkomen uit een eerdere tekortkoming?
Lilian:Nee, nee, verbetering kan ook zijn inderdaad een innovatie of een nieuwe functionaliteit of iets.
Renco:In brede zin is het woord.
Lilian:In die planfase die heb je idealiter in januari februari waarin je dus vooruit kijkt hey wat gaat er aankomen wat hebben we aan nieuwe dingen vervolgens ga je die verbeteringen dus doen. Je gaat implementaties doen, je gaat kijken wat kunnen we aan verbeteringen doorvoeren. Ook uit eerdere tekortkomingen, maar ook uit inderdaad projecten die je doet of andere dingen. Vervolgens ga je naar de checkfase.
Renco:Even tussendoor, hoelang duurt die do fase? Je zei net de planfase januari, februari, dan zitten we in de do. Dat klinkt als een lange fase, maar
Lilian:Ja, wat mij betreft is die het allerlangst, omdat je dan zoveel mogelijk ruimte hebt om die verbeteringen en en gave dingen ook te doen. Dus als de planfase januari februari is dan zou idealiter de doelfase in maart beginnen en in september ongeveer eindigen. Dan zou je in oktober dus naar je Checkfase kunnen gaan, naar je controleslag of je maatregelen worden nageleefd, of je basis op orde is, ik bijna willen zeggen. Dus of je baseline klopt. Voor gemeenten is dat altijd de baseline voor de informatieveiligheid voor de overheid, de bio.
Lilian:Zo heeft de zorgsector de NEN 7510 als basis. En zo hebben alle andere of specifieke branches hebben ook een specifieke baselines. Die basis moet op orde zijn en dat moet je gewoon ieder jaar controleren. In elk geval voor je kroonjuwelen. Dat is dan de checkfase, maar als je dat ieder jaar netjes doet, dan zou dat ook niet al te veel tijd hoeven kosten, omdat het een kwestie van bijwerken is van het afgelopen jaar wat je gedaan hebt in de planfase.
Renco:Dus ieder jaar doen en ieder jaar netjes doen?
Lilian:Ja, eigenlijk wel. Is theoretisch gezien het ideaalbeeld. Dat plannen, uitvoeren en dan die checkfase. Ja, checkfase is dan oktober, november. Zou je dat kunnen doen en vervolgens krijg je dan in december je act dus je bijsturen op basis van je evaluatie van je baseline.
Renco:Ja dus die a die slaat dan weer de brug tussen de C en de volgende P?
Lilian:Ja, inderdaad ja. En dan, nou ja, compliance is dan dus iets wat je checkt in die checkfase. Dat is heel belangrijk, want dat geeft je inzicht in de status in waar je waar je bent. Maar waar ik de meeste energie van krijg en wat denk ik het meeste waarde toevoegt is daadwerkelijk die uitvoering. Dus daadwerkelijk maatregelen nemen en meedraaien in projecten en innovaties meedenken hoe je dat vanaf het begin security mee kan nemen dat is ja wat denk ik het meest ons vak het meest leuk maakt
Renco:ja maar we ook misschien zelf het meeste energie van krijgen daar daar voegen we de meeste waarde toe of of ga ik dan stellen?
Lilian:Nee, dat is iets te stellen denk ik, want ik vind compliance ook wel echt belangrijk, omdat het inzicht geeft in omdat het echt in een meetmoment is, inzicht geeft in waar je bent op dat moment. En dat is heel belangrijk, omdat dat ook voor toezichthouders een belangrijk moment is. Maar ook voor onze en voor alle directies denk ik. Om echt even te kijken, even stil te staan bij we zijn met allerlei dingen bezig en in die bezigheden is soms security niet altijd de prioriteit. Zeker als je nieuwe functionaliteiten hebt of andere dingen.
Lilian:Dus je hebt zo'n checkmoment wel echt nodig om dat inzicht te krijgen. En dat vind ik dan ook wel weer heel, kan ik wel heel veel energie van krijgen als het dan weer mooi netjes afgerond is, alles weer bijgewerkt is, als alles dan weer staat en we daarna ook weer echt met een heel goed gevoel door kunnen in die act, plan en
Renco:volgende cyclus. Je bent vast ook wel bekend met de indeling naar beleid, uitvoering en control. Als we even het 3D-normen kader in onze gedachten hebben, dan heb je B-normen, U-normen en C-normen, beleid, uitvoering, control. Het is eigenlijk een analogie aan de PDCA, alleen die A is niet zo expliciet gemaakt. Als je nou kijkt naar jouw werk of laten we zeggen iets algemener naar het werk kijkt van een security officer.
Renco:Hoe zou je dan grofweg je tijd verdelen over de B, de U en de C? Je zei net namelijk dat het het meeste plezier en de meeste waarde zit in die uitvoering. Daar hebben we het contact met die business, daar zitten we daar nemen we de beveiligingsmaatregel. Daar wordt de gemeente daadwerkelijk veiliger en daar doen we nog een strik omheen enzo, maar daar gebeurt het. Als je nou dat moet kwantificeren over die b, de u en de c, kan je eens een schot voor de boeg doen?
Lilian:Ja, is altijd ingewikkeld natuurlijk. Daarom stel je deze vraag natuurlijk Ik denk dat het mooiste zou zijn als je 20, 60, 20 hebt. Een stuk beleid is 20 procent, want dat is ook weer een stuk basis, daar moet je aan voldoen, dat is je richting, geeft
Renco:houvast natuurlijk.
Lilian:Daar wil je echt wel goede basis neerzetten. Uitvoering, ja dat is toch uiteindelijk waar een business de meeste waarde ervaart ook. Dus die ervaring is denk ik wel belangrijk. Dus vandaar die 60 procent. Daar zit wat mij betreft wel echt het zwaartepunt.
Lilian:En die controle, ja als je die uitvoering netjes doet, wat ik net al een beetje liet doorschemeren, kun je ook die controle sneller doen en efficiënter doen. Of effectiever doen, dat is nog wel belangrijker misschien dan efficiënt. En dan zou je dat ook in evenveel tijd kunnen doen denk ik als je de beleidsstuk doet dus dan nou ja wat mij betreft heb je dan een mooie verdeling maar dat is wel theoretische blik in de praktijk
Renco:Is het dan zo dat die uitvoering dan toch niet zo nauwkeurig gebeurt of als je zou willen en dat je daardoor meer tijd kwijt bent aan de de controle kant? Dus de C wordt die dan groter? Ik bedoel, als je bij de uitvoering, dus de U, voor een deel laat liggen, omdat er ook natuurlijk allerlei andere prioriteiten en dingen op je afkomen. Loopt het dan over naar de C? Jij gaat glimlachen bij compliance.
Renco:Er zijn veel meer mensen die wegduiken bij compliance, als in tranen uitbarsten. Het is iets wat moet, maar wat je alleen doet omdat het moet. Je hebt er niks aan, maar het moet. Gewoon een verplicht nummertje. Terwijl hoe jij het frame hebt, je zet natuurlijk een heel nadrukkelijk een stap in een cyclus die heel logisch is en ook raar zou zijn als je die over zou slaan.
Renco:De kunst is wel om dat enthousiasme wat jij dan hebt bij compliance om dat ook te verkopen tussen aanhalingstekens aan die business. Zo van ja, jij hebt er ook wat aan. Hoe communiceren die uitvoeringsdomein en dat controledomein dan met elkaar? Zit daar een relatie tussen als je het ene laat liggen dat het ander dan toeneemt of is dat niet zo te stellen?
Lilian:Ik denk dat dat niet zo te stellen is, omdat je in de praktijk inderdaad lopen die soort van fases heel erg door elkaar heen. En beleid, uitvoering en control is ook niet zo hard gedefinieerd. Dus zou het richting kunnen geven aan je programma om die tijd zo te verdelen, maar in de praktijk denk ik eerder dat er van beleid een stuk tijd afgaat, omdat je beleid schrijf je een keer en dan heel vaak kijk je daar 4 jaar niet naar of 5 jaar niet naar en dan na 5 jaar denk je ho wacht even hij is verlopen we moeten weer iets en dan schrijf je hem dat idee eigenlijk zou je natuurlijk ieder jaar of eigenlijk zou je een soort van planor jack echt moeten maken per onderdeel bijna, zodat je ook echt alles in die grote cyclus meeneemt. Maar beleid is iets wat denk ik een beetje ondergesneeuwd raakt omdat je daar de omdat dat iets is wat de security afdeling over het algemeen zelf aan richting moet geven. Uitvoering is iets waar de afdelingen en zeg maar de business zelf voor staan te trappelen.
Lilian:Daar gaat inderdaad dan meer tijd naartoe. En controle is iets wat dan, nou ja in sommige organisaties zou ik zeggen groter wordt inderdaad omdat dat dan de enige manier nog is om grip te houden of te krijgen. Maar ook in heel veel organisaties of afdelingen denk ik dat juist heel erg ondergesneeuwd raakt. Dat er heel veel beleid geschreven wordt. En een hele papieren werkelijkheid is.
Renco:We doen ook van alles, maar
Lilian:zonder dat je dat daadwerkelijk aan elkaar kan linken. De meerwaarde zit natuurlijk in elkaar linken, maar daar ben ik zelf ook nog lerende in. Daar zijn we als organisatie lerende in. En ik denk eigenlijk iedere organisatie in de wereld daar lerende in is.
Renco:Nou, dat doet me denken aan oude termen als opzet, bestaan en werking. Opzetten, je beschrijft hoe je het doet. Bestaan is, we stellen vast of je het op dit moment of op een moment in tijd doet zoals je het opgeschreven hebt en werken gaat nog een stapje verder. Heb je het ook elke keer gedaan zoals je het opgeschreven hebt? Dus geef je uitvoering aan wat je zelf geschreven hebt.
Renco:Dus niet alleen maar beleid van ja, zoals je net het voorbeeld gaf, een beleid wat na 4 jaar weer van de plank komt, dan voelt het als een beleid wat vooral vanuit compliance er is, maar waar die uitvoeringspraktijk, die business dus niet echt bij geholpen heeft. Anders hadden we het niet laten verstoffen op de plank. Maar goed, nu heb je natuurlijk ook tactische beleidsstukken die wat meer richtinggevend zijn in de uitvoering. Dus beleid is natuurlijk meer dan alleen, het informatie beveiligingsbeleid wat je hoog over schrijft. Een vraag die ik nog heb is als je dit zo allemaal vertelt cyclus en een cyclus die ook nog in elkaar overlopen en dan ook nog gigantische gemeente Den Haag.
Renco:Hoe hou je nou grip en een zicht op die cyclus? In hoeverre loop je die consequent en gestructureerd af? En nou, daar zijn allerlei aanbieders in de markt. Die bieden daar tooling voor. Die zeggen nou, De ene noemt het ISMS software, wat staat voor information security management systeem.
Renco:De ander spreekt over GRC, governance, risk management en compliance. Hoe helpt tooling bij deze jaarcyclus, zoals je die net geschetst hebt?
Lilian:Tooling is altijd een middel en nooit een doel op zich, waar het soms wel zo gebruikt of gepresenteerd wordt. Uiteindelijk moet je zelf je proces op orde brengen. Dus je moet je proces dusdanig inrichten dat je ook die fases goed kunt doorlopen en je daar dan ook aan houden. Mensen maken dat proces en de tooling helpt wel heel erg om dat inzicht voor met name voor compliance goed te krijgen en ook om je verbeteringen gelijk door te kunnen voeren en om dus tijdens de uitvoeringsfase ook dat bij te houden dat dat in nou als het goed is kan tooling dat in elk geval voor je ondersteunen dus ik denk dat tooling heel erg helpt om het overzicht te houden zeker als je kijkt inderdaad naar de grootte en naar de hoeveelheid applicaties, maatregelen, noem het maar op. En je kunt dan verschillende dwarsdoorstedes maken.
Lilian:Je kunt analyseren welke maatregel bijvoorbeeld het over alle applicaties heen het minst goed wordt ingevuld of juist best wordt ingevuld, je kunt kijken hey wat is het voor die applicatie voor dat proces nou ja dat helpt heel erg.
Renco:Het geeft allerlei sturingsinformatie, rapportage informatie. Net gaf je aan, nee mijn vraag is eigenlijk kan je ook de implementatie van een tool aangrijpen om de implementatie van die jaarcyclus zeg maar af te dwingen of of in ieder geval positief te stimuleren. Je zei net van ja je dat je moet eigenlijk dat proces hebben, maar als je het nou nog niet hebt, zeg je dan wacht dan ook met een tool, want een tool faciliteert een bestaand proces? Of zeg je nou, je kunt over de rug van de tool, zullen we zeggen, kan je ook het proces wel invoeren of meer gestalte geven. Kan dat tegelijk lopen?
Lilian:Ja, dat denk ik wel. Dat is een beetje een kip-ei verhaal natuurlijk. Wat moet eerst?
Renco:De lat komt anders best wel hoog te liggen. Je moet eerst dat proces helemaal hebben en dan pas kan de tool. Ik dat veel gemeenten al eerder de hoop hebben dat die tool ook op zichzelf daar positief aan bijdraagt.
Lilian:Ja, zo hebben we dat zelf bij de gemeente Den Haag eigenlijk ook gedaan. We zijn gestart met eigenlijk puur invulling geven aan de checkfase, aan de compliance check. En dat deden we in de tool. We zijn nu dat proces steeds verder aan het verrijken en echt die plan do check act er in aanbrengen en de focus op verbetering. We zijn steeds meer aan het schuiven van control naar steeds meer echt dat proces en die waarde toevoegen.
Renco:Precies, dus die waarde van die check, die steeds relevanter gemaakt voor die business weer. Zodat er weer een loop terug is. Niet alleen maar te voorkomen dat die compliance alleen maar is dat het moet. Maar we lopen een verbetercyclus, daar komt iets uit, we stellen met elkaar iets vast, daar kunnen we weer wat mee.
Lilian:Ja, zeker. Ja, helemaal eens. Dus dat kan een groeipad zijn wat je met die tool gaat faciliteren. Een tool kost natuurlijk ook geld, dus je kunt ook gewoon in Excel beginnen met je maatregelen en daarin je eerste check doen en vervolgens doorstappen naar een tool. Dus tooling kan wat mij betreft ook een Excel zijn bijvoorbeeld.
Renco:Nee precies, het hoeft niet per se een applicatie te zijn.
Lilian:En dat proces ook, ja je moet bouwen. Security is continu blijven bouwen. En ja een bestaand proces helpt maar dat proces kan ook steeds verder opgebouwd worden.
Renco:Je moet ergens beginnen en beter dan maar klein te beginnen want anders begin je misschien wel nooit.
Lilian:Ja en dan denk ik ook nog dat het makkelijkste is om te beginnen bij een nulmeting. Dus begin bij eigenlijk die checkfase doe eerst een keer een evaluatie van je baseline.
Renco:Ja dus hoeverre voldoe je aan de gestelde maatregelen?
Lilian:En dan kun je daarna gaan bijsturen, gaan plannen, gaan uitvoeren en weer controleren.
Renco:Dat is wel grappig dat je dat zegt, want ik vroeg je eerder van als je het hebt over verbetering. Verbetering veronderstelt inderdaad wel je al een keer iets vastgesteld hebt. Verbetering ten opzichte van iets. Juist. Vandaar ook mijn vraag van is het dan nodig dat je daar dat al eerst gemeten hebt bijvoorbeeld in de c van de plan do check act.
Renco:Dus dat kan, maar je kunt natuurlijk ook vanuit een business business perspectief heeft verbeter ik een hele andere lading. Zeker. Zit het meer een hoek van innovatie, productontwikkeling, ja.
Lilian:Maar daar kun je ook een check doen. En daar ga je ook met security bij design zogezegd. Dus daar zou je dan begin je eigenlijk bij je soort van plan en uitvoering dat een beetje in elkaar overloopt en dan is dat je startpunt. Maar je wil ook bij nieuwe functionaliteit op een gegeven moment kijken als het af is bijvoorbeeld of als het voor een als je een aantal sprints gehad hebt als je agile werkt en je hebt een bepaalde functionaliteit opgeleverd wil je ook kijken hey voldoet dit als we terugkijken naar het hele hele pakket voldoet dit aan de security maatregelen die ik heb gesteld of die we
Renco:hebben
Lilian:genomen. Wordt dat de baseline.
Renco:Als je dan kijkt naar applicaties. Veel applicaties draaien buiten de deur, draaien in de cloud bij een leverancier. Hartstikke mooi, zo'n jaarcyclus. Stel, het functioneert, het draait. Hoe krijg je hen mee in deze hele beweging, in dit gedachtegoed?
Lilian:Ja, ik vind leveranciers heel leuk, want geeft leveranciers geven eigenlijk een soort van boost aan je eigen, of kunnen een boost geven aan je eigen organisatie. Op het je ze mee hebt, dat je goed in gesprek bent over security, over de dienstverlening die ze leveren, over alle facetten die daarbij komen kijken. Dus ook bijvoorbeeld privacy, maar ook je bewaartermijnen, ook alle aspecten. En leveranciers zijn altijd ingewikkeld natuurlijk, want die horen niet bij je eigen organisatie. Dus ja, kan wel eisen stellen, maar ja, die leverancier, gaat hij daar iets mee doen of niet?
Lilian:Dat is altijd toch een beetje de vraag. De vraag is ook hoe hard je dat wil spelen. Wil je echt een contract openbreken bijvoorbeeld omdat kwetsbaarheden niet binnen een dag, maar binnen 2 dagen worden opgelost. Je moet altijd de balans zoeken. En die balans is voor iedere leverancier bijna anders.
Lilian:Maar dat hangt er vooral vanaf hoe belangrijk het product is wat de leverancier levert.
Renco:Ja, maar als je aan de ene kant zo'n jaarcyclus inricht, al dan niet gefaciliteerd met een tool, dan heb je eigenlijk daar bepaalde keuzes in gemaakt. Hoeveel ruimte is er dan nog om op een individueel leverancier niveau eigenlijk te kiezen hoe zwaar je hem aanzet? Dus hoeveel verantwoordingsinformatie wil je zien en in welke frequentie wil je die zien om vast te stellen dat die leverancier waarde toevoegt op een manier die ook binnen de gestelde kaders is. Dat kan dan contractueel zijn, maar dat kan ook gewoon het informatiebeveiligingsbeleid van de gemeente Den Haag zijn. Dus gaan die 2 hand in hand?
Renco:Dus aan de ene kant een intern georiënteerd en gestructureerd ISMS proces en aan de andere kant een soort individuele leveranciers benadering.
Lilian:Nou dat ligt aan de grootte van je organisatie wat mij betreft. Hoe groter je organisatie en hoe groter je programma, hoe minder goed een individuele benadering daarbij past. Maar risico gebaseerd kun je natuurlijk wel kijken, deze leveranciers leveren dusdanige applicaties of diensten dat ze echt cruciaal zijn. Ja, dan weet je dit moet ik ieder jaar of of misschien wel ieder ieder half jaar controleren. Andere leveranciers die zijn belangrijk voor bepaalde onderdelen maar niet cruciaal ja die kun je dan 1 keer in de 2 jaar misschien wel controleren dus je kunt denk ik wel gaan spelen met verschillende frequenties van controle maar uiteindelijk en en je kunt ook natuurlijk kijken hey bij deze leverancier wil ik echt een audit laten doen en bij deze leverancier volstaat het als zij zelf zeg maar met hun blauwe of of of of bruine ogen zeggen hey dit dit is wat we doen dan volstaat dat en dat dat zou je eigenlijk idealiter de theoretisch gezien zou je dat bij iedere leverancier bij het contract afsluiten, zou je dat moeten vaststellen.
Lilian:Is het een cruciale leverancier of niet? Aan wat voor regime gaan we ze dan dus onderwerpen?
Renco:Ik zit nog wel een beetje met de vraag: welke rol speelt dan die leverancier in zo'n door een tool gefaciliteerd jaarcyclus? Raken die elkaar? Wordt die leverancier ook lastig gevallen met compliance vragen vanuit die sms-tool? Of mag die leverancier zelf zeggen: ik heb hier een rapport, daar staat alles in, tot volgend jaar? In hoeverre moet die mee in de structuur je voor je intern gehoste applicaties in hebt gericht?
Renco:Zijn dat 2 verschillende smaken of wil je dat toch wel graag heel erg op elkaar laten lijken?
Lilian:Als opdrachtgever kun je volgens mij wel eisen stellen.
Renco:Dus dat hoop ik.
Lilian:Ja. Ik zou zeggen je wil dat het op elkaar lijkt, zodat je het ook kunt vergelijken en zodat je de leveranciers onderling kan vergelijken. En dat je gewoon weet over de hele linie. Wat is de status van mijn informatieveiligheid? Wat is de status van maatregelen?
Lilian:En dan hebben we het nog niet gehad over weerbaarheid, over wat als er een incident is of wat als er kwetsbaarheden zijn. Maar puur in die jaarcyclus wil ik graag dat het op elkaar lijkt en stellen we dus een aantal vragen aan bepaalde leveranciers. En moeten die mee in de cyclus die wij hebben vastgesteld.
Renco:Wij zijn ook de opdrachtgever.
Lilian:Ja, wij zijn ook de opdrachtgever, dus dat moet ook kunnen, vind ik. Maar op het moment dat een leverancier dwars zou gaan liggen, dan moeten wij kijken met de afdeling die verantwoordelijk is voor dat contract. Ja, hoe moeilijk gaan we doen? Gaan we dat contract bij wijze van spreken laten ontbinden, omdat ze niet willen laten zien hoe hun veiligheid geregeld is? Of gaan we inderdaad akkoord met als zij een rapport opleveren ieder jaar?
Renco:Ja, ja. Maar via dat via de jaarcyclus, al dan niet gefaciliteerd dus vanuit zo'n systeem, krijg je ieder geval, zo stel ik me dat tenminste voor, tijdig de trigger dat je überhaupt die leverancier die vraag moet stellen. Hè, want hou er maar eens zicht op alles wat je in de tent hebt draaien of buiten de deur hebt draaien. Dat is een hele opgave, zeker bij zo'n grote gemeente. Maar ook bij een kleine gemeente die toch dezelfde publieke taken uitvoert.
Renco:Is er ook een enorm applicatielandschap. Demotiveert het jou niet eens? Denk je niet eens van dit gaat ons nooit lukken?
Lilian:Nee ik raak niet zo snel gedemotiveert
Renco:je lacht nog steeds dus is een goed
Lilian:teken en ik vind compliance ook dus daar dusdanig belangrijk en ik denk dat leveranciers dat ook belangrijk vinden om te laten zien aan hun opdrachtgever hey dit is wat we doen en we doen het samen uiteindelijk dus zeker met leveranciers die echt cruciale dienstverlening leveren, zou de relatie dusdanig goed moeten zijn dat je ze ook die vraag wel kan stellen. Ik weet dat dat in de praktijk niet altijd zo is, maar dan spelen er ook meer problemen dan alleen ze willen de security vragen niet beantwoorden. Dus ja, ik denk eigenlijk dat een leverancier heel vaak, en dat heb ik ook wel een aantal keer meegemaakt, een leverancier ook echt proactief komt met hey we hebben dit gedaan of hey kijk we hebben weer een pentest gedaan dit is ons rapport, wint er iets van. Dus staat of valt denk ik met ook bekend hoe zeg je dat hoe bekend is een leverancier met security en hoeveel wassen is die in zijn eigen security proces en ja ik vind dat dus juist heel leuk die die samenwerking met die leverancier om op zoek te gaan naar de balans Want ja, een optimale balans die standaard is voor je hele, in mijn geval gemeente, ja die kun je alleen maar individueel zetten je kunt een bepaalde basis zetten maar
Renco:het is niet te doen om daar om alle leveranciers over een kamp te scheren zeg maar
Lilian:nee en je hebt je je je contractmanager nodig je je de afdelingsmanager die verantwoordelijk is voor dat contract. Die moet uiteindelijk de risico's ook managen. Dus ja, kan er wat van vinden, maar we moeten het samen doen.
Renco:Het klinkt wel als het vooraf goed duidelijk maken wat je van elkaar verwacht op het gebied van security, of anders geformuleerd, wat wij vooral verwachten van een leverancier. Alsof het voornamelijk eenrichtingsverkeer is. De opdrachtgever stelt en de opdrachtnemer voert uit. Dat is niet helemaal de partnership gedachte. Ik ben geïnfecteerd denk ik dat ik al die nuance direct aanbreng.
Renco:Maar goed, de ene kant ja, de ene betaalt en wie bepaalt Nee, andersom. Wie betaalt bepaalt, geldt er ook nog wel ergens. Je mag toch ook wat vinden? Je mag ook wat eisen, maar wees er in ieder geval op voorhand duidelijk over hoe je dat dan ziet als gemeente. Wat je verwacht van die leverancier en in welke frequentie en dat die misschien 1 keer per jaar of welke frequentie dan ook een uitvraag krijgt en dat die daar wat moet invullen en dat we op die manier nou ja.
Lilian:Ja, ja zeker.
Renco:Dus vooraf goed regelen en dan denk ik meteen aan al die en die die zijn niet specifiek voor de gemeente Den Haag voor de duidelijkheid maar al die soorten legacy contracten en systemen die we hebben waarbij we dit allemaal niet gedaan hebben. Ja. Maar wat waarbij je wel heel graag zou willen dat die leverancier in de pas loopt.
Lilian:Ja, ik denk dat iedere luisteraar op dit moment denkt God, maar dan moet ik naar die leverancier of die leverancier, daar hebben we dat helemaal niet geregeld. Maar precies dat. Op het moment dat je aan de slag gaat met leveranciersmanagement, dan moeten we dat samen doen met de contract eigenaar of de contract opdrachtgever en moeten we de balans samen bepalen dan maakt juist leuk
Renco:ik word helemaal enthousiast. Ik denk dat ik informatiebeveiliger word.
Lilian:Ja, misschien moet je ook iets gaan doen met compliance. Hartstikke leuk.
Renco:Nee, maar interessant om jouw visie op de jaar cyclus en hoe tooling daarin kan ondersteunen want het wordt op een gegeven moment wel erg veel en ook hoe dat spel dan werkt met entiteiten buiten je eigen organisatie waar we er steeds meer van hebben. Omdat we steeds meer producten in de cloud afnemen bij leveranciers. Heel fijn dat je met mij hierover in gesprek wilde gaan. Wie weet tot de volgende keer.
Lilian:Ja, wie weet.
Renco:Leuk dat je luisterde. Leuk dat je het tot hier haalde. Daarmee is aflevering 2 tot een einde gekomen. Maar niet getreurd. Aflevering 3 is al in de maak en zal zijn met de SISO van de gemeente Den Haag namelijk Jeroen Schipper.
Renco:En de derde dag zal aansluiten bij ook de derde dag van mijn training Bio in de Praktijk. En meer informatie daarover vind je in de show notes van deze aflevering. Wil je nou zeker weten dat je de volgende aflevering niet mist? Abonneer je dan op deze podcast in je eigen favoriete podcast app. Zoek gewoon op Keep Talking, Keep met een q, abonneer je en de volgende aflevering rolt automatisch bij je binnen.
Renco:Voor nu dank voor het luisteren en graag tot de volgende keer.
