#18 - Waarde toevoegen met risicoanalyses (met Lanny Siebert)
Hey, wat leuk dat jij er weer bent. Wat leuk dat ik er weer ben. En wat leuk dat er ook weer een gast was die graag met mij in gesprek wilde voor weer een nieuwe aflevering van KE TALKING. Aflevering 18. En in deze achttiende aflevering ga ik in gesprek met Lannie Sybert.
Renco:Zij werkt voor de dienst justitiële inrichtingen in Den Haag en vanaf een respectabele verdieping aldaar namen wij deze aflevering op. En met Lannie praat ik over risicoanalyses. Hoe doe je die? Waar moet je op letten? Nou, daar heeft Lannie wel verstand van, want vanuit verschillende rollen heeft zij van verschillende kanten eigenlijk betrokkenheid gehad op risicoanalyses.
Renco:Dus ik hoop een leuk en leerzaam gesprek. Veel plezier. Ja, vanaf de ik weet niet eens hoeveelste verdieping van een wolkenkrabber in Den Haag ben ik hier weer met een nieuwe aflevering. Tegenover mij zit ook weer een nieuwe gast. Die gast mag zichzelf even voorstellen.
Renco:Wie zit er tegenover mij?
Lanny:Ik ben Lanny Sieberts. Ik ben adviseur informatiebeveiliging en privacy binnen DJI, de Dienst Justitiële Inrichtingen.
Renco:Dienst Justitiële Inrichtingen. Oké en dan de hamvraag. Op welke verdieping zitten we?
Lanny:We zitten op de eenendertigste in de Noordtoren.
Renco:De Noordtoren. En tot hoever gaat dit?
Lanny:36.
Renco:36 oké, dus als ik naar links kijk, dat kan ik niet doen want dan praat ik niet meer keurig in de microfoon, maar als ik naar links kijk dan kijk ik mooi over de Haagse stad. Ja, hoe moet je
Lanny:dat Ja, NCS.
Renco:Ja. Ik heb ook een tijd voor Den Haag gewerkt. Dus ik ken de stad een beetje. Ik woon zelf natuurlijk niet in Den Haag, ik woon in Zwolle, maar ik heb wel 2 en een half jaar in totaal voor Den Haag gewerkt. Dus dan werd ik ook wel verleid om af en toe eens naar kantoor te komen.
Lanny:Moest het nog.
Renco:Toen moest dat nog. En dat is ook meteen de link tussen ons tweeën. Want wij hebben allebei voor de gemeente Den Haag gewerkt.
Lanny:Ja klopt.
Renco:En wat heb jij voor een excuus om daar niet mee te werken?
Lanny:Ik ben na 16 jaar bij de gemeente Den Haag te hebben gewerkt dacht ik, ik ga bij een andere organisatie kijken. Dus ik ben in 2021 naar het ministerie van Financiën vertrokken. Als tweedelijnsadviseur informatiebeveiliging en privacy.
Renco:Allebei dus informatiebeveiliging en privacy.
Lanny:Ja, alle 2 inderdaad.
Renco:Want in Den Haag deed je alleen, tussen aanhalingstekens, alleen informatiebeveiliging?
Lanny:Ja klopt. Ik was daar de laatste 10 jaar van van mijn werkzame carrière bij de gemeente Den Haag heb ik de ISO-functie mogen bekleden. Eerst voor dienst stedelijke ontwikkeling en daarna natuurlijk in een gecentraliseerde organisatie onderdeel.
Renco:Ja, is misschien wel aardig om even uit te diepen dat in Den Haag er destijds voor gekozen is om de security functies, die zeg maar decentraal belegd waren bij de verschillende diensten, want zo heette eigenlijk die grote eenheden binnen de stad. Organisatorische eenheden, die hadden allemaal eigen directies, maar dus
Lanny:ook allemaal eigen Iv-directies, eigen
Renco:Ja. En dus ook hun eigen ISO.
Lanny:En dus ook een eigen ISO, ja.
Renco:En er was een beweging om niet alleen op het gebied van informatiebeveiliging, maar in de breedte om die i-gerelateerde functies, om die te centraliseren naar een
Lanny:bedrijfsvoering expertisecentrum werd dat toen genoemd inderdaad. Het PEC.
Renco:Dus dat heb jij meegemaakt. Dus jij zat eigenlijk eerst in 1 van die diensten. Je bent mee overgekomen naar het Beck. Hoe was dat?
Lanny:Ja, dat vond ik wel leuk. We zaten als groep experts. En we kenden elkaar natuurlijk al wel. Dus we sparden al heel veel. Maar nu konden we het echt als groep gaan gaan bepalen en vormgeven.
Renco:En zat je dan ook letterlijk aan hetzelfde bureau zeg maar?
Lanny:Nee, want er moest weer verhuisd worden.
Renco:Nee, bedoel aan hetzelfde bureau, dus die ISO's onderling. Eerder zat je natuurlijk, kan ik me zo voorstellen, bij jouw IV collega's van de dienst waar je zat. Die zijn allemaal meer of mindere allemaal overgekomen naar die centrale club. Diensten. Dat lijkt mij als voormalig ISO van de gemeente Den Haag.
Renco:Ik vond dat zelf heel leuk zeg maar. Dat je juist met je collega's 1 team bent, terwijl je daar eerder natuurlijk veel meer versplinterd zat over de organisatie.
Lanny:Ja, klopt.
Renco:En En toen naar het ministerie?
Lanny:En toen naar het ministerie bij het of het kerndepartement, beleidsdepartement. En daar mocht ik een tweedelijnsfunctie vervullen, wat meer beleidsmatig, want dat wilde ik graag doen ten opzichte van 10 jaar in de operatie zitten met risicoanalyses. En binnen Financiën heb ik heel veel aan awareness programma's uiteindelijk gewerkt. Dus we hebben phishing oefeningen mogen doen. Dat we met een externe partner een mailtje een onderwerp bedachten.
Lanny:En dat gingen we de organisatie insturen. En dan kijken wat er werd.
Renco:Wat vond uw organisatie ervan dat jullie dat deden?
Lanny:Die deden het al een paar jaar. Dus daar was het al een soort van gemeen goed.
Renco:Oké, je hoeft dat idee al aan zichzelf niet meer te verkopen?
Lanny:Nee, ik hoefde het niet te verkopen. Nee, het is zelfs zo dat ik in een rijdende trein stapte en het over moest nemen van een collega van mij die vertrok. Dus was het grootste voordeel van mijn overstap. Dat bij de gemeente Den Haag het phishing oefenen nog niet van de grond kwam en dat wat bij het ministerie van Financiën wel.
Renco:Ja toen jij binnenkwam was dat eigenlijk gewoon een normale zaak eigenlijk al om dat te testen zo nu en Ja. En hoe was het om van die operatie zeg maar wat meer afscheid te nemen en meer richting beleid te gaan?
Lanny:Nou en dat was 1 van de wensen waarom ik mede de overstap deed. Dat wilde ik graag.
Renco:Maar wat vond je ervan?
Lanny:Wat vond ik ervan?
Renco:Heb je niet gedacht, Den Haag, weet wel, dat je gewoon terug wilde? Zoiets.
Lanny:Zou je het
Renco:als Zwolle nou? Nou, ik
Lanny:moet zeggen, ik of ik ben trots als ik naar de gemeente Den Haag kijk. En ik ben ook trots in mijn aandeel in die 10 jaar dat ik daar de security functie heb vervuld. Dus het feit dat Hek die Hague uitgegroeid is tot het was is natuurlijk echt wel een verdienste van Peter van Dijk, Jeroen Schipper en Lilian. Maar ik heb er toch de eerste 2 jaartjes aan meegewerkt. En sowieso de gemeente of in mijn geval Dienst stedelijke ontwikkeling veiliger maken.
Lanny:Daar ben ik wel blij mee.
Renco:Ik ben trots op. Het is wel leuk dat je zegt dat je eraan meegewerkt hebt. De namen die je noemt, dat zijn ook 3 personen die ook al meegewerkt hebben aan deze podcast. En niet niet en dan in het bijzonder zelfs de eerste 3 afleveringen. Dus ik heb of mijn allereerste was Peter van Eijk, de tweede was Lilian Knippenberg en de derde was Jeroen Schipper.
Renco:Ja, dat is leuk. En dat hek de hake voor alle duidelijkheid is een jaar of nee een tweejaarlijks grootschalige hack event, een hackathon waarbij de gemeente Den Haag zegt geef je op als ethisch hacker en hack ons en wij belonen je met prijzen of eigenlijk met geld op het moment dat je echt serieuze dingen constateert.
Lanny:Ja, binnen de scope die ze opgeven.
Renco:Tuurlijk, zijn, hè, dat is afgebakend, zijn spelregels, maar het is, ik denk er is geen gemeente in Nederland die dat zo grootschalig aanpakt als de gemeente Den Haag. Nee. Dus ik kan ja, ik ben maar tijdelijk als inhuurkracht verbonden geweest aan de gemeente Den Haag. En als ik nu bij andere gemeentes werk dan merk ik dat ik ook wel met enige trots vertel dat ik daar ook een keer aan mee heb gewerkt. Ja, dat dat ken ik wel ja.
Lanny:Ja, ja, ja, leuk.
Renco:En als je dan nu vanuit je huidige positie terugkijkt naar je periode bij het ministerie van Financiën. Heb je daar ook iets waarvan je nu zegt, daar kijk iets in het bijzonder waar je zeg maar met trots op terugkijkt?
Lanny:Jazeker, de phishing oefening was een opstapje. Uiteindelijk deden we de oefening niet alleen voor het beleidsdepartement maar ook bij de uitvoeringsorganisaties. Dus de Belastingdienst, Dienst Toeslagen en Dienst Douane.
Renco:Want die vallen onder het ministerie?
Lanny:Die vallen uiteindelijk onder het ministerie. Daar hebben we dus ook een departementaal brede phishing oefening mogen doen. Daar is een werkgroepje uit voortgekomen. Die hadden al plannen om de security maand, oktober natuurlijk, vorm te geven met activiteiten. En daar mocht ik het eerste jaar aan meeliften, dus waarvoor dank.
Lanny:Maar het tweede jaar hebben we daar ook vanuit het beleidsdepartement tijd ingestoken. En hebben we webinars georganiseerd, maar ook een escaperoom.
Renco:Leuk.
Lanny:Ja, en dat was dan een escaperoom waarbij je een doos ter beschikking kreeg in een kamer. Dus hoefde nergens heen, je hoefde ook niet echt daadwerkelijk uit te breken. Maar op basis daarvan toch wel puzzeltjes oplossen om daar ook weer de awareness rondom informatieveiligheid te vergroten.
Renco:Voor mijn beeld, Lanley, als je zegt departementaal breed, wat voor een orde van grootte praat
Lanny:er dan over? De belastingdienst is al iets van 30000, Dus dan gaat het echt over grote getallen.
Renco:En al die mensen hebben dus, in ieder geval van de phishingmail als je me nu goed herinnert, hebben dus die mail gehad? Ja. Ik vind het soms wel spannend om iets te sturen naar een grote groep, maar dat is dit nog even in het kwadraat.
Lanny:Ja, en dit is allemaal in overleg met de ziezo's en de socks van beide partijen. Is
Renco:een flinke organisatie ook?
Lanny:Nou ja, is een klein werkgroepje met een externe partij. Maar inderdaad intern heb je nog het een en ander te regelen met de stock en de techneuten. Zeker.
Renco:Oké, dus ook mijn vraag van waar kijk je met trots op terug? Refereer je naar die phishing en naar die escape room, dus dat zijn awareness gerelateerde activiteiten. Maar dat was ook jouw main job daar?
Lanny:Dat was uiteindelijk mijn main job geworden, Ik ben erin gerold, omdat een collega van mij financiën verliet voor een andere baan. Ik was aangesteld als tweedelijns adviseur om met name beleid te schrijven. Uiteindelijk door omstandigheden ben ik soort van blijven hangen in al die awareness activiteiten. En nog niet heel veel beleid kunnen schrijven binnen Financiën.
Renco:En is dat dan een teleurstelling? Of is dat wel een goede deal? Meer awareness activiteiten, minder beleid. Dat klinkt niet echt als een zwaar offer of zo.
Lanny:Nee, dat niet. Aan de andere kant wilde ik toch echt wel wat meer beleid. En dat gaf deze positie mij meer dan weer.
Renco:Deze is naar je huidige?
Lanny:In mijn huidige positie bij DI. Daar ben ik medewerker beleid, op IB en privacy. Dus echt wat meer de lange termijn. Dus ook minder in de operatie en de hectiek daarin. Dus dat vind ik erg fijn.
Renco:En jullie vallen dus onder, ik getuige het feit dat we op de turfmarkt 147 zitten, vallen jullie onder V&J.
Lanny:Ja, V&V.
Renco:Sorry, dat heb je
Lanny:nou toch nog
Renco:een keer toch?
Lanny:Ja, die oude.
Renco:Ik had nog zo mijn best gedaan. Maar goed, mag geen verrassing heten dat de DJI dan onder dat ministerie valt. Het is natuurlijk ook heel geruststellend om te horen dat daar ook serieus werk wordt gemaakt van de informatieveiligheid en van privacy. Ik moet mezelf even corrigeren. Ik hou er altijd van om te zeggen informatiebeveiliging.
Lanny:Weet dat bij Den Haag hadden we op een gegeven moment informatieveiligheid. Maar hier is het inderdaad informatiebeveiliging en privacy. En dat vind ik dan het leuke van de ophanging of de opzet hier. Is dat het wel integraal wordt opgepakt.
Renco:Ja, want jullie hebben ook een gezamenlijke strateeg zeg maar. Die beide beleidsterreinen afdekt.
Lanny:Onze CISO is tevens ook de chief privacy En
Renco:ik neem aan dan ook nog een FG.
Lanny:En er is ook nog een FG, maar die zit op het beleids departement. Of kerndepartement Bestuursdeel.
Renco:Die zit niet specifiek bij DJI, de DDDDD.
Lanny:Die is alleen voor het hele departement.
Renco:Nou, klinkt als een leuke carrière. Ik had nog wel een vraag, die grijpt even terug op Den Haag. Je zei volgens mij 16 jaar.
Lanny:Ja uiteindelijk.
Renco:Waarvan 10 jaar dan in het vakgebied informatiebeveiliging. Dat roept nog wel even de vraag op wat heb je dan die eerste 6 jaar gedaan?
Lanny:Daar heb ik bij de dienst OCW Onderwijs, Cultuur en Welzijn op de afdeling leerlingadministratie gewerkt. Als staf beleidsmedewerker.
Renco:Zo ben je ook binnen gekomen. Op die functie ben je binnengekomen bij de gemeente? Ja,
Lanny:klopt. En dat is dan misschien wel leuk. OCW was al goed bezig met informatiebeveiliging. En ik kreeg dus als stafmedewerker de vragenlijst over informatiebeveiliging. Hoe hebben we dat geregeld op de applicatie en het proces?
Lanny:Dus ik moest hem invullen. En 6 jaar later mocht ik hem doorschuiven naar mijn
Renco:Staat hij aan de andere kant de Staat hij
Lanny:de andere kant van de tafel. En nu mag ik hem ook weer mede vormgeven hoe we de vragenlijstjes, zoals we dat zo oneerbiedig noemen, ten behoeve van een risicoanalyse mede vormgeven.
Renco:Dus eigenlijk het instrument. Dus je bent zeg maar van een een invuller van het instrument. Dus laten we het een risicoanalyse noemen, procesanalyse. Nou daar gaan we het zo nog verder over hebben. Eerst was je bij OFCW de invuller ervan.
Renco:Toen was je in de rol van ISO voor dienst stedelijke ontwikkeling was je degene die hem uitzette. En nu ben je degene die hem mede ontwerpt. Is toch wel een leuke ontwikkeling.
Lanny:Mooie cirkel toch?
Renco:Ja, nou ja, je bent in ieder geval iemand die heel duidelijk al met de spullen gewerkt heeft voordat hij gaat nadenken over hoe het uit moet zien. Dat is niet iedereen gegeven. Er zijn ook wel eens mensen die bedenken hoe het eruit moet komen te zien. Hebben die ervaring niet of bijna niet, dan klikt dat niet altijd lekker. En als we het dan over die analyses hebben.
Renco:Te beginnen bij jouw rol als iso. Wat jij van die analyse die we allemaal bedenken in ons vakgebied? Welke? Welke? We noemden het net al even een risicoanalyse.
Renco:Maar je hebt ook zoiets natuurlijk als een DPA, wat ik ook een vorm van een risicoanalyse vind. Er zit nog een pre DPA voor. Je kunt een BIF classificatie doen, is ook een vorm van analyse. Veel gerust staande. We hebben een heel assortiment.
Renco:Wat is de nut en de noodzaak van die hele etalage met analyses?
Lanny:Na 13 jaar zo ongeveer, en zo is het ook wel begonnen de nut en noodzaak is met name het identificeren van de risico's. Je wilt weten waar je risico's loopt, zodat je daar maatregelen kan nemen of daar een bewuste acceptatie op kan nemen. Dus dat je weet waar je gevaren zitten. En het leuke van, en dat heb ik eigenlijk altijd gevonden dat risicoanalyse altijd een kijkje in de keuken van een ander geeft.
Renco:Super leerzaam, want je leert het proces kennen.
Lanny:En wat ik terugkreeg van al mijn gesprekspartners in de afgelopen 13 jaar Het is wel een lastig vak en ik vind het heel lang duren. Maar ik snap eigenlijk wel een beetje hoe je denkt. Dus ik vond het toch eigenlijk wel nuttig.
Renco:Ik heb ook wel eens andere uitkomsten gehoord, maar dit is heel constructief nog. Dus dat is kennelijk ook wel iets wat jou dan wel ligt. Het lukt jou goed om
Lanny:Nou ja, misschien is dat het inderdaad zo. Heb ik er niet over nagedacht. Maar dat is wel hoe ik hem altijd probeer vorm te geven. Het maakt op zich niet uit welk sjabloon of wat voor soort vragenlijst het is. Je hebt natuurlijk accent verschillen als je risicoanalyse doet op privacy.
Lanny:Daar neem je informatiebeveiliging toch altijd mee. Dat gaat toch wel hand in hand. Je hebt natuurlijk met AI en data daar nog heel veel verdere varianten op. Is de Yama, de TIA.
Renco:En de
Lanny:FRIA hebben we ook nog.
Renco:Ik denk wel eens als ik dit allemaal op een rijtje zet, dan mensen die niet in ons vak zitten, die schudden meewarig hun hoofd. Die denken, nou die lui zijn helemaal uit de bocht gevlogen.
Lanny:Ja, nou ja, weet je, ben nu dan in een positie om te kijken van nou, waar zit de overlap? En waar kun je dus kijken wat je niet 2 keer moet uitvragen? En waar kun je dan die slimmigheid in kwijt om te kijken van waar zit dan echt het pijnpunten, zeg maar. Maar je ontkomt er niet aan om echt een redelijk begrip te hebben van het proces.
Renco:Dat is dat kijkje in de keuken. Dat zijn eigenlijk de gemeenschappelijke delen van al die vormen van analyses. Die veronderstellen allemaal een zekere kennisniveau van wat doen we nou eigenlijk hier. Dan ben ik wel even benieuwd naar jouw ervaring in het scherp krijgen van het antwoord op die vraag. Wat doen we nou hier?
Renco:Daar heb je mensen voor nodig die dat proces goed kennen. Wie zitten er bij jou of wie adviseer je nu dat er aan tafel zitten bij het uitvoeren van dergelijke analyses? Wat voor soort functies zijn dat?
Lanny:In principe heb je daar altijd wel toch wel functioneel beheerder voor nodig. We bijna niks meer met pen en papier. Dus toch een applicatie, een applicatiebeheerder of functioneel beheerder. En iemand inhoudelijk die het proces goed bent. En ik begin dan eigenlijk altijd van: vertel hoe je proces eruitziet en ik ga eigenlijk logisch nadenken.
Lanny:Snap ik het proces? Als er koekjes aan het bakken zijn en je weet dat je vliegen niet binnen mag laten in je keuken. Waarom staat dan dat raam open? Waarom heb je daar geen hor? Dan vraag je daarnaar bijvoorbeeld.
Lanny:Soms duurt dat even in een paar sessies. Die sessies hoeven in principe niet heel lang te duren, maar tijdens het uitwerken denk 'maar hoe zit het daarmee?'
Renco:Dan heb toch weer meer vragen, waardoor je die mensen nog keer nodig hebt. Ik denk dan wel eens bij mezelf dan heb je dat proces inzichtelijk. Dan kan je ook na gaan denken over de risico's. Dus je gaat kijken naar allerlei dreigingen, afhankelijk van welke methode je gebruikt natuurlijk. Maar je kunt heel systematisch allerlei dreigingen langs gaan en per dreiging de kans en de impact inschatten.
Renco:En daarmee heb je dan ook een risicoscore. Lijkt dat op hoe bij jullie risicoanalyse wordt uitgevoerd?
Lanny:Ja, momenteel nog wel zeg maar. En dat is eigenlijk ook bij Den Haag en bij Financiën zo. Waar ik nu aan de lat voor sta is om te kijken van nou, hoe kunnen we zorgen dat we dat wat we al weten dat we dat voorleggen ter toetsing. Zodat daar nog wel een beslissing over genomen kan worden. En dat je de risico's wel heel specifiek maakt zodat het herkenbaar is.
Lanny:En dusdanig herkenbaar dat het niet een losse flodder is, maar ook in de raad kijkt van nou, is het voorstelbaar dat die situatie gaat gebeuren?
Renco:Ja, dat het niet een soort hypothetische aangelegenheid heeft.
Lanny:Nee, en alle technische bedreigingen probeer ik zo min mogelijk richting een eigenaar of tafel te leggen omdat je die toch altijd met techniek en de techneuten kunt afstemmen. En die is generiek.
Renco:Ja, en dan oefenen zij die business, daar wensen ze natuurlijk veel minder invloed op uit. Hoogstens indirect, indirect. En hoe groter je wordt, indirecte die invloed natuurlijk is dan. Ja, ja. Ik hou er wel van om enerzijds de proceseigenaar, dat is dan hoe ik gewend ben hem te noemen.
Renco:Hoe refereer jij naar zo iemand?
Lanny:Ook proceseigenaar, maar vaak is het gedelegeerd of is het de senior.
Renco:Maar dat je zo iemand alleen maar ten eerste lastig valt, want je vraagt toch tijd. Niet iedereen beleeft dat gelukkig zo. Maar sommige mensen wel, tijd is schaars. Dat je ze alleen lastig valt met zaken waar ze ook zelf invloed op hebben. Want anders dan vraag je ze kostbare tijd om na te denken over techniek.
Lanny:Daar was jij het
Renco:toch voor?
Lanny:Ja, deels.
Renco:En inderdaad ook dan als je zegt we doen aan risicomanagement dan betekent dat dus ook dat je alleen maar dingen moet zou moeten bespreken waarvan in theorie althans de proceseigenaar ook zou kunnen zeggen ik accepteer dit risico. Dan heb je het eigenlijk alleen over zaken die binnen de invloedssfeer van die proceseigenaar zitten. Maar dat is af en nog best wel lastig vind ik om dat goed te scopen. Als je de methode volgt zit je vaak te breed. Soms ken je ook, ik weet niet wat jouw ervaring is, je kent soms die processen helemaal niet.
Renco:Het kost best wel wat werk om goed aan te sluiten bij die individuele proceseigenaar. En te zorgen dat wat je net zei van ik probeer altijd wel mijn best te doen om het zo dermate specifiek te maken dat het aansluit. Kan je dat nog eens toelichten? Want dat klinkt heel verstandig.
Lanny:Naarmate je in een organisatie langer loopt kun je dat makkelijker toepassen natuurlijk. Maar je probeert het toch of met een voorbeeld herkenbaar te maken en dan pak ik toch mijn eerste functie weer, de leerlingadministratie. Dat is gewoon de administratie voor kinderen die van school gaan en hopelijk ergens een diploma halen of niet? Dat was een heel helder procesje. Iedereen heeft daar wel een beeld bij.
Lanny:En dan probeer je dat op die manier te scopen. En dreigingen is inderdaad telkens maar herformuleren van nou, stel nou dat dit gebeurt in jouw situatie. Wat voor effect dat dan heeft zeg maar.
Renco:Dus je moet eigenlijk die koppeling tussen die dreiging en dat proces waar die eigenaar voor aan de last staat. Die koppeling ertussen moet je niet in het hoofd laten gebeuren van die proceseigenaar.
Lanny:Maar eigenlijk in gesprek.
Renco:Precies, die moet je eigenlijk expliciet maken, op tafel leggen zodat die erop kan reageren. Ja. Hoe wordt dat dan ontvangen aan de andere kant? Door die proceseigenaar? In deze organisatie sta je er misschien wat verder vanaf.
Lanny:Ja, hier sta ik er inderdaad wat verder vanaf. En het heeft ook natuurlijk te maken met de opbouw of hoe je het uitvoert. Want als je weinig capaciteit hebt om ISO's of IBNF'ers informatiebeveiligingsfunctionarissen te hebben rond te lopen dat je bij elk proces daar een goede begeleiding of een doorgronden begeleiding kan doen. Dan moet je soms keuzes maken. Mijn ervaring is dat als je dan die keuze wel maakt om toch wat meer begeleiding en inzet te leveren dat je daarmee ook je awareness omhoog krikt.
Lanny:Ik krijg daar toch heel leuke en positieve reacties op.
Renco:Dus daarmee niet alleen leuk, het was hartstikke gezellig of zo. Maar ook het heeft zin dat we hier tijden in. Dat proef ik er ook in.
Lanny:Ja, ze geven dan aan dat ze het wel lastig vinden en inderdaad ook wel langdradig. Soms is dat gewoon zo, dat het echt wel een paar sessies over een aantal dagen verspreid is. En ik moet zelf ook nadenken van wat vind ik hier dan van? Maar ze geven ook wel terug van ja, het is wel nuttig. Ik zie wel wat je zegt als je een risico benoemt.
Lanny:En dan dus ook een maatregel bedenkt om dat risico te verkleinen.
Renco:Als we dan die analyse opschuiven naar het maatregelen deel, heb je dus al besloten het risico niet te willen accepteren. In ieder geval niet volledig te willen accepteren. Dus zeg je ik moet wat doen om dat risico naar beneden te brengen, dan moet je maatregelen bedenken. Maar die ga jij niet zelf bedenken. Die put je, die haal je gewoon uit een bestaande standaard of een bestaand normenkader, veronderstel ik.
Lanny:Ja, in principe wel. Zeker de technische. Sommige organisatoren zijn natuurlijk ook al wel beschreven. Ja, ergens is er niks nieuws onder de zon.
Renco:En wat voor bronnen gebruik je concreet?
Lanny:In principe zijn dat de Bio en de NDE270012.
Renco:En is dan DJI ook gehouden aan die bio eigenlijk?
Lanny:Wij zijn als rijksoverheid gehouden aan de bio.
Renco:En dus ook de daaronder hangende uitvoeringsorganisatie. Moet je dan naar DJI verwijzen als een uitvoeringsorganisatie?
Lanny:Ja, wij zijn een uitvoeringsorganisatie. Wat het voor ons uniek maakt is dat we ook nog aan andere wetgevingen moeten voldoen. Omdat we met gevangenissen en justociale gegevens bevatten.
Renco:Maar dan even een kritische vraag, Lannie. Dan doe je al die analyses, daar steek je een hoop tijd in. Daar steekt die proceseigenaar ook een hoop tijd in. Op een gegeven moment zeg je nou nu hebben we het wel aardig scherp met elkaar, dit zijn de risico's en nu kom ik met maatregelen. Maar bij the way, ik kom even met een kruiwagen, ik kom uit Zwolle, ik kom met een kruiwagen en daar zit die hele bio in en daar moet je gewoon aan voldoen.
Renco:Dus je hebt net die net die proceseigenaar het gevoel gegeven dat hij het stuur in handen heeft en dat hij bepaalde risico's kan accepteren. Dan vervolgens kom jij met een soort ondergrens. Er wordt ook wel eens gezegd een soort basisniveau. De basis op orde. Dat klinkt als het 12 essentiële dingen zijn.
Renco:Dat is natuurlijk het geval in de bio helemaal niet
Lanny:Nee, nee.
Renco:Dat is een hele waslijst. Ja. Dus hoe breng jij die 2 werelden dan bij elkaar?
Lanny:Ja, dat is een lastige. En daar zitten we middenin de bepaling hoe we daar precies mee omgaan.
Renco:Tot slot Lannie, jij hebt aardig wat ervaring vanuit verschillende rollen als het gaat om die vormen van analyses. Wat is nou jouw les, jouw advies voor luisteraars die regelmatig dit soort analyses uitvoeren? Kan je comprimeren tot een goed te onthouden advies?
Lanny:Mijn advies zou zijn neem iets lekkers mee. Gevulde koeken gaan altijd heel goed. En probeer je inderdaad de procesanalyse die eigenlijk in de afgelopen tijd weg is gevallen. Dus we doen dingen op de manier zoals dat we doen. En kijk daar met je security, of eigenlijk gezonde boerenverstand maar ook met je security bril daarnaar.
Lanny:Want daar heb je al een heleboel laaggewoond fruit waar je zoiets mee kan doen. Daar voeg je waarde toe.
Renco:Direct.
Lanny:Voeg je waarde aan toe. Want dat is direct waar ze hun risico kunnen lopen. Wat ze dus kunnen verhelpen. En daarna is het inderdaad nou ja, dat. Zorg dat je procesanalyses hebt.
Renco:En die gevulde groepen.
Lanny:En die gevulde koek. Dan kom je een heel eind.
Renco:Hannie, dank je wel voor je tijd en voor je inzichten op dit onderwerp. Ik vond het heel leuk.
Lanny:Ik ook zeker.
Renco:En nou ik hoop dat we onze wegen elkaar nog
Lanny:weer kunnen kruisen. Zeker. Ja, hartstikke leuk.
Renco:Tof dat je deze aflevering luisterde over risicoanalyses. Ik hoop dat in ieder geval is blijven hangen dat een risicoanalyse waarde moet toevoegen voor de mensen die je erbij betrekt. Dus steek er veel tijd in om duidelijk te maken wat de waarde voor hen is en leuk dat nog op met gevulde koeken of iets wat daarop lijkt en volgens mij moet het helemaal goed komen. Voordat we afronden wil ik nog even laten weten, misschien had je het al gezien, dat elke aflevering ook 2 ja, compilatie filmpjes krijgt die ik deel op LinkedIn. Zo heb je wat meer beeld bij wie zitten er eigenlijk achter die microfoon.
Renco:Krijg je wat beeld bij mij, bij de gast, En die compilatie dient meteen als een soort promo voor deze aflevering. Dus je weet grofweg waar het over gaat en kan dan besluiten en dat zul je natuurlijk doen hè, om te gaan luisteren. Maar het kan natuurlijk ook zijn dat je gewoon deze podcast steeds binnen ziet rollen in je podcast app en gewoon zonder je verstand te gebruiken op play drukt. Dat is natuurlijk het aller allerbeste en ik hoop natuurlijk dat je dat volgende maand ook weer zult doen. Tot dan.
