#24 - Het ISMS van alle kanten bekeken (met Youri Lammerts van Bueren)
Hey, welkom terug bij Keep Talking. Leuk dat je weer luistert naar wat alweer is geworden aflevering 24. En in deze aflevering moest het maar eens uitgebreid gaan over wat in vredesnaam nou een ISMS is. En voor dit onderwerp had ik al iemand op het oog en zijn naam viel al een keer in aflevering 21 toen ik met Remco Recourt sprak. En ik ben dan ook blij dat het na enige tijd is gelukt om met deze persoon over ISMS te podcasten.
Renco:Want ik weet niet hoe het met jou zit, maar als iemand aan mij vraagt: Renco, leg eens kort en bondig uit wat nou eigenlijk een ISMS is, dan merk ik dat ik daar eigenlijk nog veel te veel woorden voor nodig heb. Ik weet niet of ik na het luisteren van deze aflevering daar veel beter van geworden is, maar hopelijk wel. Dus ja, luister met ons mee naar dit onderwerp en ja, ik kan alleen maar concluderen dat ik voor het onderwerp de juiste man in de podcast heb. Dus dank je wel Joeri Lammen van Buren dat je er was en voor jou als luisteraar veel luisterplezier. Voor het eerst in mijn leven neem ik een aflevering van Keep Talking op bij mij thuis.
Renco:Dus ik heb een gast bereid gevonden die helemaal naar het prachtige Zwolle kwam om met mij te podcast. Tegenover mij is het niemand minder dan de man met 2 achternamen, Yuri Lammerts van Buren. In 1 keer goed?
Youri:Ja, in 1 keer goed.
Renco:Welkom.
Youri:Dankjewel, leuk. Leuk om hier te zijn.
Renco:Kan ik jou ook introduceren als trouwe luisteraar van de podcast of is dat te veel eer?
Youri:Te veel eer, maar sinds de uitnodiging luister ik ze wel wat meer. Ja, zeker. Omdat ik ze niet helemaal ga luisteren. Dat is
Renco:wat ik bij iedereen doe. Ik nodig gewoon iedereen uit. Er is geen weg meer terug.
Youri:Nee, maar misschien heb je er weer 1 bij.
Renco:Ik heb er 1 luisteraar bij. Daar doe ik het voor. Maar leuk dat je hierheen bent gekomen. We zitten op mijn kantoor op zolder, in mijn woning om te praten over ISMS, maar voordat we dat doen is het wel leuk om te weten wie is Joeri en waar kom je vandaan en is je achtergrond? Wat doe je voor werk?
Renco:Wat doe ik voor werk? Ja, waar kom
Youri:ik vandaan? Uit Huissen bij Arnhem. En ik heb geen ICT achtergrond maar een bedrijfskundige achtergrond. Dus ik ben eigenlijk begonnen met HBO bedrijfskunde en vanuit daar ben ik toen eigenlijk ingerold vanuit gemeenteland in de informatiebeveiligingshoek. Toen in 2013 vanuit de VNG en de IBD eigenlijk de brieven naar de gemeentes gingen.
Youri:Zo ben ik ingerold. De BIG. De BEG, ja zo heette die, klopt. De voorloper op de bio. Dus dat is een beetje mijn achtergrond.
Youri:En ja dat is nu al denk ik 12 jaar in het vakgebied. Vooral binnen de gemeentelijke overheid.
Renco:Ja, net als ik er. Ik zit natuurlijk ook voornamelijk daar. En voor de oplettende luisteraar, die heeft jouw naam al een keer voorbij horen komen in een andere opname.
Youri:Ja, want wij kennen elkaar denk ik nu ook, 12
Renco:jaar. Ja, we zijn ongeveer gelijk, of eigenlijk gelijk gestart in het werkveld. Ja, ja. En de derde man van de 3 musketiers, dat was dan Remco Rekoert.
Youri:Ja, ja, die is al geweest. Begonnen toen met een pech training. Zoiets,
Renco:Nou, we hebben er allemaal onze broodwinning van kunnen maken. Dat was een goede training.
Youri:Ja, was een goede training. Een goede start.
Renco:Jullie hebben er wel wat bijgeleerd gaandeweg. Zeker, zeker. Wij allemaal. Mag ik vragen wat je nu, is je huidige opdracht? Is dat classified?
Youri:Nee, niet classified. Nu is ook bij de gemeente Arnhem, ook bezig met een EASS implementatie, dan op basis van ISO 7001 en hun gemeenschappelijke regeling, de Connectie, die heeft de ambitie om daarop te certificeren.
Renco:En een gemeenschappelijke regeling op het gebied van
Youri:prijsvoeringsgerelateerd, dus stukken IT, maar ze doen ook als het gaat om belastingen of verzekeringen beheren of dat soort zaken, doen zij ook.
Renco:Oké, en er zijn en en
Youri:Ook van Rheden en Renkum, dus eigenlijk Arnhem. Rheden en Renkum hebben die nou gezamenlijk opgericht, maar de connectie levert ook nog aan wat andere ja aanverwante organisaties, bepaalde producten en diensten.
Renco:Ja, Als ik 1 ding in die 12 jaar geleerd heb is het dat gemeentes op heel veel verschillende manieren met verschillende gemeentes samenwerken.
Youri:Daar is er 1 van.
Renco:En jij zei net van ik help ze met de implementatie van een sms. De connectie wil 27001 gecertificeerd worden als ik het goed begrijp. Isms is ook het onderwerp van deze opname. Ja en ik geef ook trainingen en dan vraag ik wel eens aan cursisten van nou nou eens in 2 zinnen wat is een sms? En dan inclusief ikzelf.
Renco:Ik vind dat best wel lastig.
Youri:Is het ook.
Renco:Wat is nou een sms? Dan heb het niet over een stuk software of zo. Dat even niet. Maar als je nou 27001 sms als jij nou bondig moet vertellen aan iemand. Wat zeg je dan?
Youri:Eigenlijk vanaf wie het is. Dan hoop ik meestal dat iemand is die een beetje verstand heeft van informatiebeveiliging. Het woord is sms op zichzelf is dat natuurlijk al moeilijk om uit te leggen. Het is eigenlijk gewoon een manier van werken om je risico's te beheersen en je organisatie doelen, laten we zeggen, daarop te focussen en die risico's laten we zeggen, in beeld te brengen en te beheersen. Dat is eigenlijk heel kort gezegd natuurlijk.
Renco:Maar waarom noem ik het dan niet bijvoorbeeld risicomanagement?
Youri:Ja, goede vraag, maar ja het is natuurlijk een een systematiek. Dus risicomanagement is natuurlijk onderdeel van het IMS, maar daar komt natuurlijk wat meer bij kijken qua processen die je moet inregelen om die risico's te beheersen.
Renco:Ja, dus eigenlijk al die maatregelen die volgen om die risico's zeg maar naar een acceptabel niveau terug te brengen.
Youri:Ja, het is natuurlijk de kern, maar het begint natuurlijk ook met als gaat om de governance of de nou ja, het bepalen van de doelen wat je eigenlijk met zo'n ISMS wil bereiken of de scope waar wil je het op laten. Ja, wat als scope laat zeggen van je sms'ers. Er zitten natuurlijk heel veel dingen nog omheen dan puur plat te starten met risicoanalyses en die te beheersen.
Renco:Ja, precies. Er zijn veel meer stappen nog die je moet. Daar zullen we het nog wel even over hebben zo meteen. Maar eerst nog even de vraag, wat heeft een organisatie aan een ISMS? Waarom zou je dat willen?
Youri:Nou ik denk dat als ik dan wel eens vergelijk heb met 12 jaar geleden ook toen was er gewoon een ISMS natuurlijk, maar was het wat meer, ja zeg het compliant driven. Dus je hebt gewoon een beheersmaatregeler set vanuit wet of regelgeving of best practices en die worden gewoon afgevuurd op je organisatie.
Renco:Die moet je gewoon invoeren, klaar.
Youri:Ja, dat doe je dan. Maar eigenlijk is niemand snapt de nut en noodzaak. En of je dat eigenlijk echt wil of dat je gewoon bereid bent om bepaald risico te nemen. Dus waar gaat je focus heen? En ik denk met zo'n systematiek ben je meer in gesprek met elkaar en is natuurlijk management meer, zit dan meer aan het stuur om dan te bepalen van ja maar wat vind ik belangrijk vanuit de organisatie waar ik de risico's op wil hebben, welke risico's wil ik eigenlijk accepteren, welke resources wil ik daarop inzetten.
Youri:Dus ik denk dat het wat meer een stuur element is die een organisatie tussen haakjes wil hebben om te voorkomen dat je allerlei maatregelen zomaar implementeert waar je de kosten of de resources misschien beter op andere zaken kan inzetten. Een stukje prioritering.
Renco:Ja dus niet met een verplicht normenkader naar binnen walsen, maar in gesprek gaan met de directie en aan de hand van risico's bepalen waar je maatregelen of waar je het eerst maatregelen neemt. Ja, ja. Je hebt best wel wat ervaringen met de met je sms gerelateerde implementaties hè? Want ik moet zeggen dat ik bij elk geval eens een tijdje jaloers op je ben geweest omdat ik dan als Zwolleaar helemaal naar opdrachtgevers in het westen ging en jij hier in Zwolle werkte bij de provincie. Ik dacht dat was wel lekker, daar kon ik gewoon op de fiets.
Renco:Maar nu zit Joeri daar al. Is allemaal weer overgewaaid. Maar ik moet eerlijk zeggen, ik heb dat wel eens gedaan. Ja, dat snap ik. Ben wel
Youri:om de hoek voor zijn eigen gemeente natuurlijk. Ja, dat is voor mij om de hoek. Ja, ik kan nu op de fiets heen, dus dan geeft meer een gevoel van de organisatie waarvoor je doet, laat maar zeggen voor een gemeente. Dat is wel leuker.
Renco:Ja precies. Misschien dat het nog wel eens in het vat zit voor mij om dichter bij huis te werken. Maar in ieder geval bij de provincie Overijssel waar je toen zat heb je ook aan een ISMS gerelateerde opdracht gewerkt toch?
Youri:Klopt ja, ja. Ik heb ook wel eens voor een MKB bedrijf gedaan die software ontwikkelt. Ja, dus ja verschillende type organisaties.
Renco:Ja klopt. Dus eigenlijk ben je wel in gemeenteland best wel bovengemiddeld ervaren dan hier op, want wij praten in gemeenteland naar mijn idee althans al jaren over ISMS. Je zei het eerder ook hè, toen ook ten tijde van de BIG kwam die kreet al voorbij. Al snel dachten we allemaal dat het een tool was hè, een software oplossing. Zeker al die jaren geleden legde niemand dat zo uit zoals jij dat nu uitlegt.
Renco:Tenminste niet in mijn wereld.
Youri:Ik moet zeggen toen ik in 2014 ook startte, of tenminste, nu was ik in het vakgebied, was ISMS als term ook niet, hoe noem je dat, nieuw. Wel als, er waren weinig gemeentes die er ervaring mee hadden, maar op zichzelf was wel bekend van, je moet iets met risicoanalyses doen en etcetera. Maar ook dan maak je eigenlijk de valkuil van ja, je wilt eigenlijk of te groot starten of je start inderdaad met een systeem dat je
Renco:denkt van nou weet je, dat laat ik
Youri:me gelijk faciliteren. Met zo'n systeem hoef ik niet met allemaal Excelletjes te werken.
Renco:Ja, is dat een ISS tool of zo.
Youri:Ja, ja, ja, heb natuurlijk ook verschillende van gezien en uiteindelijk leer je daar ook van. Elk traject is daarom ook voor elke organisatie dan toch
Renco:ook wel weer anders. Terwijl in de kern is
Youri:natuurlijk een ISMS hetzelfde, maar de cultuur of hoe zo'n organisatie is ingericht bepaalt wel hoe je zo'n hoe je dat eigenlijk wil vormgeven en met welk tempo en met welke scope.
Renco:Als ik dan nu kijk naar NIS 2 en de Nederlandse vertaling daarvan hè of de Nederlandse toepassing daarvan in de cyberbeveiligingswet. Vanuit die NIS 2 wordt helder dat die bestuurder best wel wat verantwoordelijkheden expliciet toegewezen krijgt. Die bestuurder moet natuurlijk gevoed worden vanuit een bepaald systeem. Dus die kan natuurlijk niet operationeel aanhaken die heeft andere dingen te doen. Dus dan moet eigenlijk informatie vanuit de operatie via tactisch niveau terugvloeien naar het strategische niveau zodat daar gestuurd kan worden.
Renco:En wat daar gestuurd moet, moet eigenlijk weer van strategisch naar tactisch naar operationeel terugvloeien. Dat dat hele systeem, er zullen vast een aantal gemeentes zijn die daar wel op voorlopen, maar de rest van de gemeentes die krijgen nog een aardige dobber. Via die NIS2 zijn we beveiligingswet die verplichtingen voor die bestuurder. Volgens mij kan je daar niet invulling aan geven als je geen ISMS hebt. Dus als je niet aan risicomanagement doet en als je niet het ISMS systematiek, die processen eromheen bouwt, heb je dan een onmogelijke opgave.
Renco:Dat zie ik ook terug in die Bio2, de invulling van die zorgplicht. Staat die 70000 EU in 1 keer met naam en toenaam als verplicht onderdeel in. Klopt. Dus nu moeten al die overheidsorganisaties die moeten nu allemaal sms'en gaan implementeren.
Youri:Ja nou ja kijk voorheen was natuurlijk ook voor de overheid vanuit die vorm van standaardisatie natuurlijk ook al die ISO 27021, de 27022 natuurlijk verplicht. Alleen nu is het natuurlijk wettelijk verankerd, dus het geeft misschien wat meer stok achter de deur om die stappen, om daar wat actiever in te worden. Ik denk ook wel dat, kijk, Isms is natuurlijk een methodiek en werkwijze en ik geloof er wel in dat heel veel gemeentes al wel de vormen van Isms, dus elementen, wel degelijk natuurlijk een place hebben. Dus als het gaat om een bepaald beleid, zeker als vergelijking met 12 jaar geleden zitten denk ik CISO's of ISO's, er waren ineens ISO's zoals je CISO, FG, PO en Tsja Corsa, was alles in 1. Ik denk ook Ja, waren zeker leerzame tijden, maar dan zie je wel natuurlijk de organisatie daarin natuurlijk wel, gemeente overijsselbreed, maar natuurlijk ook andere organisaties daar wel zeker stappen in hebben gezet qua stukje ja, governance, laten we zeggen van oké we hebben wat meer slagkracht nodig, wat meer kennis en kunde om de eerste lijn te steunen.
Youri:Ik denk dat bewustzijn ook best wel op managementniveau door ook gewoon door het nieuws etcetera wel wat meer tussen de oren zit, dat het wat meer is dan ransomware of dat soort zaken.
Renco:Ik ga het lekker met je eens hoor, die wil ziet er wel anders uit, ook tussen de oren zeg maar van die managers en bestuurders, Maar omdat dat ISMS best wel een abstracte term is, van wat is het nou eigenlijk, denk ik ja, dan moet je als je nog bij die vraag zit, die moet je beantwoorden. Maar je moet ook de vraag beantwoorden wat wordt de reikwijdte van de scope van je je sms? En dan is er weer een volgende vraag die best wel moeilijk is. Daar moet ik ook nog iets over een standpunt over innemen kennelijk.
Youri:Het is natuurlijk soms ook wel lastig. De bio is natuurlijk vooral voor de overheid van toepassing maar kijk eens kijkt naar die Bio-twintig dat is natuurlijk wel van toepassing op je hele organisatie los van de scope van je Isms. Dus daar kun je echt niet aan afdingen alleen op de methodiek van het ISMA kies je wel een scope waar je natuurlijk heel gedisciplineerd al die stappen laten we zeggen doorloopt om die kwaliteitsscactus daarop in te regelen. Dus ga je veel meer veel meer dingen voor organiseren op je scope, maar de Bio200 is nog steeds van toepassing eigenlijk op alles. Dat is natuurlijk wel de
Renco:al die informatiesystemen of Dat
Youri:is lastig. Ja, ja, is natuurlijk wel de uitdaging van organisaties als mensen het hebben over compliance is natuurlijk een andere vraag van in hoeverre ben ik in control op mijn risico's?
Renco:Ik vind wel dat je meteen een heel goed punt aanstipt, omdat als je zo die B02 leest, dan denk je aan de ene kant, ja al die overheidsmaatregelen die erin staan, die zijn verplicht. Er staat ook dat je daar geen risico acceptatie op mag doen. Er staat wel dat je mag afwijken van een beheersmaatregel, mits je dat dan maar in je verklaring van toepasselijkheid opneemt. Dat begrip komt dan parkeren we even voor nu. Je mag wel op de beheersmaatregelen wat afwijken, maar dan moet je wel met de billen bloot.
Renco:Overheidsmaatregelen mag je alleen niet doen als je op beheersmaatregelen niveau hebt afgeweken en dat goed kunt motiveren. In principe geldt gewoon al die overheidsmaatregelen moet je doen. Dus dat heb je aan de ene kant wat heel erg compliance gericht voelt. Doe gewoon dit. En aan de andere kant staat er in diezelfde bio je moet een ISMS hebben en 1 van de eerste vragen waar je over na denken is de scope.
Renco:Dan denk je, wacht even, ik de scope ga bepalen en de informatiebeveiligingsdienst die heeft met een werkgroep 12 kernprocessen van gemeentes, heeft kritische processen geïdentificeerd. IBD adviseert eigenlijk om je initiële scope van je sms op die 12 processen af te bakenen zeg maar. Dan zou een manager de indruk kunnen krijgen van nou, dan gaan we voor die 12 processen al die overheidsmaatregelen doen. Nee, je moet ze overal doen. Volgt die manager dat?
Renco:Snapt die wat het verschil is tussen in control zijn?
Youri:Dat denk ik niet. Tenminste, dat denk ik niet. Ik bedoel mensen snappen heus wel het verschil tussen die aspecten, maar het is natuurlijk een vrij technisch verhaal vanuit de bio. Tenminste als de Bio2 en dat soort termen allemaal moet gaan uitleggen dan haakt de manager natuurlijk af. En die gesprekken die ik meestal wel heb, is dat bij het management wel duidelijk maakt van je hebt een aantal, je hebt compliance waar ik aan moet voldoen, maar je hebt ook ja je risicobeheersing hè, waar je met die 7001 eigenlijk aan werkt.
Youri:Op het moment dat je gecertificeerd bent wil niet zeggen dat je helemaal veilig bent, maar dat je natuurlijk wel een goede manier van werken hebt georganiseerd rondom informatiebeveiliging op de scope zoals je hem hebt gedefinieerd. En dat zo zie ik het wel van die manier van werken kan wel een eerste stap zijn om die compliance verder uit te breiden. Dus zo zeg ik het ook vaak tegen organisaties die gecertificeerd willen worden of niet, in ieder geval die die methodiek willen omarmen. Het feit dat je dat op een gegeven moment implementeert of op die manier werkt. En stel je voor dat je de hele ISO 27001 gewoon, dus van hoofdstuk 4 tot een hoofdstuk 10 in dit geval, dus nog niet die bijlage.
Renco:Nee, niet die ander examen.
Youri:Ja, dat je dat heel goed beheers en goed doet. Dat wil niet zeggen dat je compliance bent, maar kijk als ik bestuurder zou zijn of ja gewoon bestuurder bent en je moet eigenlijk naar je externe stakeholders, gewoon inwoners of naar je klanten dingen gaan uitleggen of degenen die jou financieren. Dan is dat risico gebaseerde verhaal natuurlijk een betere uitleg dan die compliancy. Dus daarmee probeer ik eigenlijk te zeggen van je bepaalde doelen natuurlijk vanuit de organisatie die je nastreeft en die risico's wil je beheersen natuurlijk ook voor je stakeholders van de klanten. Dus compliancy op zichzelf zegt niet zo heel veel direct over je risicobeheersing.
Youri:Dus je kan beter de dingen goed doen en je resources goed inzetten en dan heb je wel een goed verhaal wat je dan met de rest gaat doen. Die kan je niet negeren, die kun je wel gefaseerd laten we zeggen onderhandelen. Daar kun gewoon een plan op voortborduren hoe je die compliance natuurlijk verder implementeert.
Renco:Maar zeg je dan daarmee ook dat Nee, er is nog een andere vraag. Is het makkelijker om compliance, in jouw ervaring, je hoeft niet het antwoord te geven, jou antwoord geven. Is het makkelijker om de compliancy op overheidsmaatregelen aan te tonen op informatiesystemen die binnen scope zijn van je sms ten opzichte van informatie systemen die buiten scope zijn?
Youri:Lastig verhaal.
Renco:Dus je hebt maatregelen die neem je. Je zei net al van je hebt een je Isms heeft een bepaalde scope maar dat betekent niet dat je buiten die scope hebt dat je daar niks meer te doen hebt.
Youri:Nee precies.
Renco:Dus je hebt 2 scenario's. De ene het ene informatiesysteem valt onder een bedrijfsproces wat wel in scope is van je sms en het andere niet. Het klinkt alsof het aantonen van de compliancy van biomaatregelen op het systeem wat binnen scope valt van je sms, dat dat een makkelijkere opgave is.
Youri:Ja, makkelijk niet, maar hij zit wel in je manier van werken om dat te toetsen.
Renco:Ja, dus je stuurt daar meer op.
Youri:Je stuurt daar meer op, maar je hebt natuurlijk nog steeds je hoofdstuk check, laat maar zeggen. Je kunt nog steeds natuurlijk elementen opnemen dat je zegt, ja maar ik ga wel al dan niet steekproefsgewijs op misschien de minder kritieke applicaties of processen, ga ik daar 1 keer in de 3 4 jaar een steekproef of ga ik hier naar kijken of pak ik sec de overheidsmaatregelen om te kijken hoe we die hoe we over die breder in de organisatie laten we zeggen met elkaar hebben georganiseerd.
Renco:Ja, dat dat vind ik, daar kom ik eigenlijk bij mijn wat voor mij de kern van
Youri:Die kun je ontzien.
Renco:Nee, maar dat is dat vind ik dus interessant hè, want je zou kunnen zeggen ja, het voelt heel logisch om niet alles in 1 keer te doen. Toch? Ik bedoel dat kan ook niet. Daar heb je de middelen niet voor. Dat gaat niet gebeuren.
Renco:Dus de scoping van je sms lost in ieder geval al dat probleem op. Je gaat niet alles in 1 keer doen. Dus je start bij je bedrijfskritiek processen. Vanuit daar kijk je naar de informatiesystemen die erbij horen en daar ga je je beveiligingsmaatregelen opnemen. Dat is logisch, wat zeg je dan over het deel wat buiten de scope valt?
Renco:Ook al zou je zeggen die scope van het ISMS zal de komende jaren nog verbreed worden. Misschien dat je zegt ik begin met 3 processen en dan wordt het er 5 en dan wordt het er 8 en dan wordt het er 23. Is dat wat jou betreft zeg maar een verbreding die net zo lang doorgaat totdat je eigenlijk alles binnen scope hebt gebracht van je ISMS? Is dat een logische?
Youri:Ik ben wat meer realistisch, dus misschien is dat niet helemaal dan het antwoord wat iedereen wil horen. Maar ja kijk, ik vind wel je moet je manage en bestuur moet je wel gewoon goed informeren over hoe de dingen zijn, laat maar zeggen. Dus ook dat je bepaalde verplichtingen hebt, Maar ik vind wel dat je daar een keuze moet geven. 'Wat betekent het als we dit wel of niet in scope doen? Wat betekent het als we bijvoorbeeld alle overheidsmaatregelen op alle systemen willen gaan toetsen?' Dat vraagt natuurlijk ook wel wat van zo'n interne auditor of misschien is dat op een andere manier georganiseerd om dat te toetsen.
Youri:Dat vraagt ook wat van de business. En ik geloof wel eerder in een groeimodel omdat het wat Kijk, mensen moeten die methodiek omarmen, moeten nut de noodzaak ervan zien. En op het moment dat je heel veel gaat toetsen, toetsen, werkt dat denk ik een beetje een rem op een effectief I-SMS, laat me zeggen. En ja, je moet ze misschien wel nemen, maar ja, ik denk dat les 1 die de meesten zullen meegeven is, joh, begin klein. Ja.
Youri:Zorg in eerste instantie dat je de systematiek onder controle hebt, dat je die governance goed hebt ingericht, dat iedereen weet wat zijn rol is, dat de beoordelingen worden uitgerold, het wordt, dat je bij het management aan tafel zit, dat zij zich eigenaar voelen. Ja. En op het moment dat dat spel gewoon goed gespeeld wordt en iedereen zit in zijn rol, dan wordt het veel makkelijker om mensen vanuit die verantwoordelijkheid ook met hen in gesprek te gaan over oké, maar we hebben hier nog steeds een stuk liggen wat we eigenlijk niet kunnen negeren, daar moeten we iets mee, dus wat gaan we ermee doen?' Maar dat gesprek is makkelijker aan te gaan vanuit dat eigenaarschap dat iemand weet van 'Hey, wat wordt echt van mij gevraagd en wat wil ik daarmee want ik ben daarvan als lijnmanager en ik kies daar bewust voor om het te negeren of niet, dan kun je daar in ieder geval daarover gesprek voeren. Als dan dat je zegt ja vanuit compliance moet je dit doen, dan geloof ik niet dat ja dan kan je misschien 1 keer door die hoepel maar het beklijft dan niet.
Renco:Ja, is niet een lang leven beschoren op die manier.
Youri:Nee en zeker niet als natuurlijk ook organisaties, ik grote organisaties hebben ook vaak wisselingen van mensen. Dus het borgen van de methodiek vraagt dat je natuurlijk je hele sturing en sturings processen goed hebt ingeregeld en dan kan je maar beter zorgen dat die eerst goed lopen. Dan wordt het veel makkelijker dat als dan poppetjes wisselen dat ja dat dat overeind blijft staan, want anders dan blijf je alle gaten dichtlopen. Ik denk ja ik geloof daar niet zo.
Renco:Dus eigenlijk die die Bio2 die zet ons, zet overheidsorganisaties eigenlijk wel voor de uitdaging want het in de huidige bio de 10 4 daar hebben we het vooral over de overheidsmaatregelen. Dat ISMS staat wel ergens in een bijzin genoemd, daar wordt niet dwingend gesproken over 77001 of wat dan ook. Dat is natuurlijk in de bio 2 wel het geval. Dus in de huidige bio zijn we gewend om meer vanuit die compliance invalshoek gewoon aanhalingstekens die ondergrens met die overheidsmaatregelen in te richten. Om over BBN's nog maar even niet te spreken.
Renco:In de nieuwe versie zit dat ook nog steeds, maar daar bovenop komt eigenlijk dat hele hoofdstuk van het ISMS erbij. Dus eigenlijk heb je nu 2 opgaves van formaat.
Youri:Kijk die BBN wordt dan ook losgelaten, die geeft je wel meer de mogelijkheid om risicogebaseerd keuzes te maken, los van dat je de overheidsmaatregelen moet nemen.
Renco:Dat zijn er nogal wat?
Youri:Ja, zijn er nogal wat. Ja, dat klopt. Maar kijk,
Renco:Het voelt soms gewoon dat mensen zeggen de basis op orde en dan denken nou die basis is een flinke basis hoor.
Youri:Ja, dat klopt. Maar kijk, het is natuurlijk wel zo, overheid heeft gewoon te maken met veel wet- en regelgeving. Dus links of rechtsom zijn die eigenlijk al verankerd in bepaalde wet- of regelgeving waar je aan moet voldoen. Dus je kan wel zeggen, tref die maatregel niet uit de bio, maar de bio is dan wat meer dan een best practice in dat opzicht. Want er is natuurlijk ook waar verschillende wet- en regelgeving, je mag het niet misschien zo zeggen, maar wel in samenkomt om te zeggen van hé als we het op de Bio-twintig, als we ons daarop baseren, dan weten we dat heel veel aanpalende wet- en regelgeving, laten maar zeggen, dat we daar vanuit informatiebeveiliging een bijdrage aan leveren.
Renco:Ja, maar dan in ieder geval de juiste dingen dan.
Youri:Ja, maar dan moet je wel die overheidsmaatregelen treffen anders dan gaat het natuurlijk voor anders gaat het mank.
Renco:Ja. En hoe zie jij, net kwam het begrip VVT al even langs. Dus hebben eerder het woord scope gehad. Een ISMS heeft een scope of een reikwijdte en dat is dus de organisatorische afbakening eigenlijk van processen. Dus je zegt dit financiële proces bijvoorbeeld is binnen scope van het ISMS en dat niet nou een ander soortig proces valt er buiten.
Renco:En wat je zegt elk jaar of in ieder geval cyclisch zou je moeten afwegen moeten wij de scope niet verbreden en jouw advies is doe dat pas als je die systematiek goed geborgd hebt. Dat als er een nieuwe directeur komt dat het dan ook nog leeft daarna.
Youri:Ja, ja. En dat het niet helemaal afhankelijk is van personen. Ja, want is
Renco:heel kwetsbaar eigenlijk. Dus dan dat is dan de reikwijdte. En dan heb je ook nog de verklaring van toepasselijkheid. Die hoort er ook bij. Ik las in de bio 2 dat overheidsorganisaties ook verplicht worden om die verklaring van toepasselijkheid te publiceren.
Renco:Dat vond ik een hele interessante. Dus inclusief eventuele afwijkingen. Als jij zegt ik doe dingen niet, ja, overheidsmaatregelen mag je alleen maar niet doen als je ze niet kan doen. Dus je mag niet zeggen ik heb er geen zin in of zo. Nee, als jij niet aan software ontwikkeling doet dan hoef je ook de overheidsmaatregelen op software ontwikkeling niet te doen.
Youri:Dat is
Renco:eigenlijk je enige escape. En als je dus een beheersmaatregel als je daar op afwijkt of niet doet, moet je dat in verklaring van toepasselijkheid motiveren en die verklaring van toepasselijkheid die moet je ook nog publiceren.
Youri:Ja goed, je kan zeggen we treffen hem niet. Je kan natuurlijk ook zeggen van het is uitbesteed en dat wordt via de leveranciers beoordeel ik dan getoetst op degene die die software natuurlijk dan levert. Dus een ander manier heb je het dan georganiseerd.
Renco:Zet je hem dan dan zou je hem dan niet in je eigen.
Youri:Is dan wel een afwijking in je eigen
Renco:vvt want via die assurance verklaring bijvoorbeeld van die leverancier of die certificering van die leverancier heb ik dan alsnog zou je kunnen zeggen die control wel in in mijn vvt staan als in scope. Alleen ik hoef niet zelf te doen.
Youri:Nee maar dat moet je wel natuurlijk gemotiveerd vastleggen in die zin van waarom die overheidsmaatregel niet treft. Dat kan om willen zijn van die reden dat jij het niet doet. Er komt nog steeds wel software, zoals bijvoorbeeld weet ik veel toegang tot de broncode whatever, dat zeggen ja weet je, wij kunnen daar niet bij, maar de maatregel is nog steeds evident omdat we die software bij een cloud leverancier afnemen, maar dat borgen we dan via een andere control, namelijk waar leveranciers
Renco:borgen dan. Dus dat moet je toevoegen, die tekst eruit Ja,
Youri:ja, ja, dat je daar natuurlijk op een andere manier dan op stuurt. Dat zijn je andere sturings processen natuurlijk naar de leverancier toe.
Renco:Maar nu heb jij al al wat opdrachten gedaan op het gebied van ISMS. Kan ik nu een willekeurige 27001 gecertificeerde partij opbellen en zeggen joh ik wil jouw verklaring van toepasselijkheid wel graag zien. Waar kan ik die vinden? Ja,
Youri:ik heb ze ook niet aan de lopende band hoeven op te vragen, maar ik heb wel als ik leveranciers beoordelingen uitvoer, en dat is voor mij ook niet aan de lopende band vanuit mijn rol, maar ik heb ze zeker wel eens moeten uitvoeren, dan vraag ik die wel eens op ja. Maar dan weet ik niet of die is gepubliceerd. Ik krijg hem dan wel, laat maar zeggen.
Renco:Gewoon in je mailbox zeg maar.
Youri:Ja, dan wil ik wel weten, ja luister even van je bent natuurlijk wel gecertificeerd maar ik wil je niet verklaren of je maatregelen hebt uitgesloten. En los van dat je de scope wil weten van die leverancier, maar natuurlijk ook of er een afwijking is.
Renco:En dan zit die afwijking is dan dus op die beheersmaatregelen ofwel de annex a uit die 27001.
Youri:Op de matigen die zijn van toepassing verklaard natuurlijk op hun scope. Ja. Is natuurlijk wel relevant.
Renco:Voor de duidelijkheid dan Joeri, dat ik je goed blijf volgen. Als jij zegt dat er een afwijking is, daarmee bedoel je niet er is een maatregel niet van toepassing verklaard, maar een afwijking is. Hij is wel van toepassing voor ons, maar we hebben er nog een bevinding op. Onbedoeld is een afwijking.
Youri:Ja, de zogenaamde conclusie van zo'n onafhankelijke partij die dan zegt geïmplementeerd en laten we zeggen correct bevonden of deels afwijking. Maar het kan ook zijn dat ze dat iemand zeggen het is niet van toepassing en dat
Renco:je dan natuurlijk wel wil weten ja maar wat bedoel je daar dan mee? Dan krijg je Ja, toelichting.
Youri:Ja en die toelichting krijg je niet altijd direct erbij en wat de afwijking is krijg je er ook niet altijd bij.
Renco:Daar moet je dan nog eens op doorvragen.
Youri:Ja, dat ga je misschien ook niet op die manier publiceren, maar ik geloof wel insteek van overheidsorganisatie is stukje transparantie. Dus ja, je moet ook kunnen uitleggen hoe je met de data, al dan niet van inwoners laten we zeggen, je die beveiligt.
Renco:Maar dat zou je natuurlijk ook kunnen uitleggen door 1 keer per jaar, om een woord als answer er maar eens in te gooien, 1 keer per jaar niet alleen een zelfde evaluatie uit te voeren, maar daar ook een grondige IT-audit onder te leggen. Dan zou je natuurlijk door middel van een assurance rapportage, zou je ook de effectiviteit van maatregelen, even in onze vakjargon, zou je het ook op die manier kunnen aantonen. Ik bedoel, daar heb je niet per se een SMS voor nodig of een verklaring van toepasselijkheid.
Youri:Nee ik denk dat het verklaring van toepasselijkheid meer naar, wat is het, een ja ook een soort van instrument van als je riskantist hebt gedaan of je hebt al die wet- en regelgeving waarmee je natuurlijk gewoon inzichtelijk maakt van dit zijn eigenlijk alle maatregelen of controles die wij moeten treffen op de scope van wat in die reikwijdte van de ISMS valt. Natuurlijk voor gemeentes is dat ook heel veel wet- en regelgeving, of het komt uit 1701 of komt uit de bio. Het kan evengoed dat de DigiD of de SUBI of uit andere zaken komen. Dus ik denk voor gemeente dat heel veel wet of regelgeving daar aan ten grondslag ligt, dat je heel weinig kunt uitsluiten. Maar afhankelijk van de scope kan het wel degelijk zijn dat aan 1 afdeling,
Renco:zoals
Youri:de SOI, meer bij werk en inkomen.
Renco:Als je die uitscopen hebt van je SMS.
Youri:Ja, Dus dat is maar net, hoe zeg je dat, niet elke afdeling, niet alle regelgeving natuurlijk voor elke afdeling evident, maar voor je organisatie als totaal, zijn bijna alle maatregelen of controles wel van toepassing.
Renco:Er ligt nu Het is en blijft een grote opgave in de zin dat je gewoon best veel beveiligingsmaatregelen te nemen hebt en om dat goed te doen en om dat goed te kunnen besturen en om die bestuurder en ook de directie goed in staat te stellen die sturende rol in te nemen of die sturende rol te pakken moet ik zeggen, ontkom je niet aan een sms. Dat is eigenlijk de enige manier waarop je dat goed kan doen, want anders heb je directie op hoogste niveau en de controle. Ja beveiligingsmaatregelen en daartussen zit natuurlijk een gapend gat denk ik dan.
Youri:Ja en niemand, kijk op het moment dat je ook nog wel gecertificeerd zijn, dan ligt de lat voor jezelf natuurlijk nog hoger dan dat je zegt we starten met een ISMS en we starten met, niet alles hoeft dan gelijk, op certificeringsniveau te zijn. Ook dat mag natuurlijk groeien. En een ISMS op zichzelf natuurlijk mag natuurlijk ook in de loop der jaren qua volwassenheid groeien. Kijk er zijn natuurlijk hele mooie theoretische verhalen over hoe je zo'n governance in regelt, maar als je maar 1 persoon hebt, als je wat kleine organisatie bent of je hebt gewoon minder resources, ja dan moet je al andere keuzes gaan maken. Dat geldt ook van, begin je met Excelletjes of heb je wel een tooling.
Youri:Dus kijk, de norm zegt daar verder niks over. Ook daar, ja mijn bewoordingen, soms kun je wat korter door de bocht, laten we zeggen, maar begin gewoon met dan die PDCA cyclus, laten we zeggen, in te regelen en te zorgen dat het management ja op het moment dat je daarop in control komt.
Renco:Ja, als ik die norm lees, dan ademt die voor mij aan alle kanten constant verbetering.
Youri:Dus het hoeft niet perfect te zijn.
Renco:Nee, als je maar opvolging geeft. Dus als je maar je best doet om afwijkingen te signaleren en vast te leggen en daarover na te denken en weer verbetering op te formuleren en dat als input weer in datzelfde systeem stopt. Dan hoef je niet in 1 keer vanaf begin alles al goed te doen. Dat is natuurlijk het verschil met compliancy. Dat is natuurlijk zwart-wit eigenlijk.
Renco:Je bent of compliant aan een maatregel of je bent het niet.
Youri:Het mes snijdt aan 2 kanten. Dus op het moment dat je een hele grote scope hebt waar je mee start, dan ga je op een gegeven moment zaken in beeld brengen met, of het nou risicoanalyses zijn of nulmetingen of punten. Je kan allerlei soorten testen op loslaten om bepaalde elementen te testen. Maar hoe meer je gaat onderzoeken in scope, hoe meer afwijkingen je waarschijnlijk zou gaan treffen als je nog niet zo heel volwassen dingen hebt georganiseerd. Als je natuurlijk heel veel afwijking constateert, dan verzuip je eigenlijk al direct in.
Renco:Motiveert ook niet echt.
Youri:Nee, dan krijg je natuurlijk zo'n lijst. Aan de andere kant heb je natuurlijk wel goed overzicht. Kun je goed prioriteren, kun je clusteren, kun je daar, ja kan management in ieder geval het gesprek voeren over waar start ik. Waar liggen de belangrijkste prioriteiten? Maar ik denk als je, wat ik al zei, het is misschien niet het perfecte antwoord, wel gewoon even meer vanuit realisme.
Youri:Als je gewoon wat klein start, dan kun je in ieder geval ook de nut de noodzaak van zo'n systematiek bij het management, hoe zeg je dat, kun je in ieder geval daar de gesprekken over voeren van hoe wil je ook zo'n ISMS eigenlijk inzetten? En hoe groot wil je
Renco:die scope hebben en hoe gaan we dat
Youri:met elkaar organiseren. Als je te groot begint dan verzuipt iedereen erin.
Renco:Dan kom je eigenlijk niet van wal hè, dat lijkt me dan.
Youri:Je komt niet van wal, maar ja eerlijk is eerlijk als je een ISMA implementeert, het kost gewoon tijd. Het kost geld, kost capaciteit, los van de systematiek, ook met het treffen van beheersmaatregelen. Dus ja, het komt wel werk bij, wat je natuurlijk in kwaliteit heel veel, dat verdien je wel weer terug. Maar je kunt dat niet als Sisher of wie dan ook in je eentje doen. Dus je moet eerst iedereen aan boord hebben.
Youri:Pas als je daar op commitment hebt en je kan stappen gaan zetten, kun je daarin groeien.
Renco:Hé en dan tot slot heb ik nog 2 prangende vragen voor je. 2 belangrijke ingrediënten van zo'n ISMS. Eentje noemde je vrij snel al, dat is dat proces van risicomanagement. En de tweede kwam ook al een beetje voorbij, de interne audit afdeling. Dus een derdelijns afdeling die los staat van dat primaire proces en die vaststelt of die maatregelen doeltreffend zijn.
Renco:Misschien nog niet zo zeer efficiënt, maar wel effectief zijn. Name je net zei ja als je als organisatie niet zo groot bent dan mis je een aantal bouwstenen. Dan denk ik dan mis je al snel deze 2 bouwstenen. Je hebt niet een interne audit afdeling die verstand heeft van Als een massiman hebt heeft hij geen verstand van IT Auditing zeg maar. En de andere is dat het wordt risicomanagement dat neemt eigenlijk niemand in de mond behalve misschien de controller een keer, maar die zal puur vanuit de financiën dat dan kennen.
Renco:Dus dan sta je als CISO zeg maar aan de lat voor het ja voor die sms opgave in ieder geval de proces implementatie en wil je eigenlijk aanspraak kunnen maken op die beide afdelingen en dan ja die zijn er niet. Nee en dan moet je dan stoppen.
Youri:Of een interne audit wat ik al zei als je gaat certificeren dan leg je de lat soms anders. Maar je zou natuurlijk ook kunnen denken, zeker ook in gemeenteland, om met een soort peer reviews te werken. Dus de energiesloe doet dan een deel, hoe zeg je dat, dus die audit vanuit ISA is dan misschien bepaalde elementen bij een andere gemeente. Dus veel gemeentes werken wel samen.
Renco:Ja, valt dus wel allemaal aan te passen.
Youri:Je zou dan creatief moeten zijn als je allebei weinig resource hebt in je organisatie komt geen interne auditor dan zou je misschien elkaar daarin kunnen helpen of daarin kunnen starten. Betekent dus dat die scope niet groot moet zijn want dan is iemand anders dagen kwijt.
Renco:Ja dan ben je al zo heel veel tijd kwijt met de beoordelen van de andere materialen.
Youri:Ja, goed je kan natuurlijk op elementen kun je natuurlijk, ja zo zou je in ieder geval wel kunnen starten. Ja, dat is een optie. Heb je toch nog wel een stukje die onafhankelijkheid dat iemand niet van de organisatie zelf is. En iemand heeft vaak wel de kennis en kunde bij de andere gemeente vanuit het vakgebied dan. Moet je wel een beetje kunnen intern ordenen natuurlijk, maar begin met een self assessment en dat onafhankelijk dan.
Youri:En van risicomanagement, ja dat is wel lastig. Want gemeenten hebben natuurlijk ook vaak NCA, dus ook allerlei vragenlijsten. Dus dan komt soms best wel veel op die lijn af. Aan de ene heeft ook een DigiD, audded, de andere studie audded. Dus risicomanagement, voor velen is het nieuw, maar zal je het zeggen.
Youri:Kijk, er zijn denk ik genoeg voorbeelden te vinden, al niet online, of het nou die RAVIP is of dat het nou met de map goed of vanuit IBD of vanuit andere of CIPO of wat dan overal is wel eigenlijk wel methodiek te vinden om te starten.
Renco:Maar de instrumenten zal het niet liggen hè. Mijn vraag ziet ook echt vooral op wie wordt nou eigenlijk chef risicomanagement hè. Het liefste is er een generiek risicomanagement proces waarin risicomanagement in de volle breedte zeg maar vorm wordt gegeven. Waar jij dan als CISO ook de informatie beveiligingsrisico's zeg maar aanbrengt. Ja precies.
Youri:Wat een wat ja zou zeggen haast het gekke is bij de gemeentelijke organisatie. Ik kom ontbreekt vaak aan een soort risicomanager of quality en assurance functionarissen laten we zeggen.
Renco:Ja, herken ik ook uit mijn opdrachten.
Youri:Ja dus waarbij je bij wat financiële instellingen zie je dat veel meer. Dat er een risk en compliance afdeling is of dat er bepaalde functionarissen zijn die zich in de breedte bezighouden met het risicomanagement.
Renco:Ja precies.
Youri:En waar je als informatiefairman ook als privacy eigenlijk een haakje hebt om op aan te haken, al op een systematiek en al op een rapportage structuur en al op een overleg structuur. En het lastige is voor gemeentes, ja mijn ervaring dan, dat die structuur er vaak niet is. Dus op het moment dat je van informatieervaring iets aanraakt, betekent het vaak vanuit kwaliteit gezien dat je iets moet gaan optuigen wat er in de basis al eigenlijk had moeten zijn, wat niet altijd IB is. Dus als er helemaal geen rapportage structuren zijn, laten we zeggen vanuit de eerste lijn naar het management over kwaliteit, het hoeft niet eens te gaan over informatie en prijs, maar gewoon in zijn algemeenheid. Hoe doen we de dingen?
Youri:Hoe staat het eigenlijk met de organisatie doelen? Hoe staat het met de uitvoering van coalitieplannen. Zolang er al geen rapportage structuur is op die manier, we kennen natuurlijk wel bepaalde P&C rapportage zijn vooral financieel gedreven, maar niet risico's op een andere manier. En dat is wel de uitdaging waar de mensen vaak van informatiebeveiliging maar ook voor privacy eigenlijk voor staan. Dat die randvoorwaarden er niet zijn.
Renco:En dan krijg je het er eigenlijk bij.
Youri:En de opgave wordt veel groter omdat die eigenlijk dan feitelijke is en je wordt eigenlijk van iets waar je ook
Renco:niet van bent. Dat Als ik nu aan mijn volgende opdracht begin en ik zou de taak krijgen om nou we willen B02 compliant worden. Werco help ons of Joeri help ons. Ja dan denk ik ja die maatregel is al een opgave van formaat hè want er zijn best wel veel overheidsmaatregelen die je moet nemen en en eigenlijk zeggen we ook in deze podcast ja die die zijn niet echt beperkt tot de scope van je sms. Die zul je ook daarbuiten wel moeten nemen.
Renco:Maar dat zit een soort groeipad in hè prima. Maar ik zou denk ik starten bij het creëren van deze randvoorwaarden. Als ik zou vaststellen dat dat hele risicomanagement dat die rapportage lijn non-existant is, dan denk ik ja laat dan maar even wachten met die maatregelen en laten we vanuit de 70001 gedachte althans kun je veel beter ga je je richten op dat proces en dan ben je nog helemaal niet bezig met die annex a.
Youri:Nee klopt. Kijk die is ja kijk als je gewoon de hebt gewoon natuurlijk succes aan faalfactoren die gaan grotendeels natuurlijk al gelijk over die governance. Dus als je kijkt gewoon naar hoofdstuk 4 en 5, alleen al om te starten, laat maar zeggen. Dan begint natuurlijk al over de scope, de gesprekken die je hebt. Wie zijn stakeholder?
Youri:Wat zijn de doelen? En wat willen we dat dat ISMS voor ons doet, voor de organisatie? En dat begint natuurlijk wel gelijk met de leiderschap en rol, de taken, verantwoordelijkheden. Maar daar wordt iets te snel overheen gestapt, waarbij je dan bij leiderschap misschien al heel snel denkt van joh, we gaan voldoen aan die controles, want het college of directie stelt beleid vast en ze roepen een keer wat op internet, ze geven een keer een blogje, ik zit aan tafel. Maar dat is eigenlijk meer dan dat leiderschap, tenminste door de gele lijn heen.
Youri:Dus ook het aansturen van mensen en het aanspreken van mensen op bepaald gedrag en gedisciplineerd processen volgen van inkoop en projecten en niet allemaal daarop afwijken, laat maar zeggen. Maar ook natuurlijk die andere rollen en taken die, nou zoals je net zei over risk en dus de eerste tweede lijn, hoe je dat gaat organiseren. Dat zijn wel de gesprekken waar je gewoon eerst met het management over moet hebben van goh als dit onze scope is, als dit willen realiseren, dat betekent dat ook dat we van de organisatie een bepaalde volwassenheid willen hebben op bepaalde processen. Er bijvoorbeeld een project op processen is, dat er bijvoorbeeld inkoop processen is.
Renco:Risicomanagement proces is.
Youri:Maar ook bepaalde rollen zijn belegger. Dus een soort
Renco:van
Youri:risico proces manager hebt. Van ja, wie regisseert dit geheel nu aan als ik mijn set met risico's heb, aan wie kan ik eigenlijk geven zodat het in die systematiek komt? En vinden we dat dat bij een CISO-ISO ligt of is dat een rol, want er hoeft niet gelijk een functionaris, een rol die elders ligt en vinden we dan niet dat we dat breder moeten oppakken, laten we zeggen, of doen we het alleen voor IBNP?
Renco:De pragmatische beveiliging en privacy.
Youri:Ja precies.
Renco:Niet toevallig de naam van een ondernemer
Youri:die in Zwolle
Renco:zit. Ja, je straks de snelweg opgaat, is waar gaan geven.
Youri:Ja precies.
Renco:Nee, dus ik
Youri:denk dat het daarmee start en en daarom ontkom je niet door eerst gewoon goed gesprekken te voeren met de leiding van hoe je dat wil organiseren. Daarom geloof ik ook in, je moet echt klein starten, zeker voor gemeentes. Want op het moment dat je groot start heb je eigenlijk bepaalde middelen nodig. Je zit met de pnc ziektes waar, als je middelen wil, middelen nodig hebt, die heb je niet zo direct voor handen. Zeker als je kleine gemeente bent, wordt het nog lastiger, laat maar zeggen.
Youri:Dus ja, gewoon klein beginnen en dat geeft denk ik al de voeding van de feedback die je terugkrijgt op hoe je bent georganiseerd om dan die gesprekken te voeren. Hey, gaan we ons eigenlijk organiseren? Hoe gaan we die processen van informatiebeveiliging?
Renco:Dan wordt het gaandeweg wel groter en dieper en breder.
Youri:Ja, het gaat denk nog niet trekken om het treffen van al die beheersmaatregelen. Uiteindelijk wel, dat is wel de kern.
Renco:Maar uiteindelijk voeg je daar die veiligheid, daarmee klik je die veiligheid op en het hebben van alleen een proces waarbij we erover praten, dat voegt uiteindelijk nog niks aan die veiligheid.
Youri:Nee, mensen moeten wel echt keuzes maken in wat ze ermee willen bereiken en wat ze willen beveiligen. Laten we zeggen wel grote scopers en hoe zich daar willen organiseren. En als dat is uitgesproken en dat staat, dan wordt het makkelijker om die systematiek om die verbetercyclus in te regelen. Maar ja, de norm lijkt op zich vrij makkelijk maar in de praktijk is het toch wel
Renco:Ik deel dat ook niet dat de norm makkelijk lijkt. Dat komt misschien omdat ik dit werk ook net als jij 10 12 jaar doe. Ik denk vooral poeh, flinke opgave. Maar goed, tegelijkertijd is natuurlijk het vakgebied waar wij in zitten en hopelijk kunnen organisaties onze hulp daar ook bij gebruiken. En tot die tijd kunnen natuurlijk mensen deze behulpzame podcast luisteren.
Youri:Als je
Renco:ergens bij een gemeente zit waar er maar al te gemakkelijk gesproken wordt over die Bio2 implementatie en men misschien niet echt in de gaten heeft wat dat ISMS dan allemaal behelst, dan moet je ze even de link naar deze aflevering sturen.
Youri:Gaan we doen.
Renco:Mag ik jou enorm bedanken, Johan voor het zeer informatieve episode.
Youri:Leuk om te doen.
Renco:Leerzaam voor mij. Je hebt duidelijk vaker met het belletje gehakt, dus ontzettend leuk dat je het ook in de podcast wilde bespreken met me en nou, we gaan elkaar pas weer tegenkomen. Ja, je hebt het al gemerkt. Deze aflevering werd iets langer dan je gewend bent, maar ja, met zo'n onderwerp kan het eigenlijk ook niet anders. Hey, tot volgende maand.
