#30 - Normenkaders, frameworks en volwassenheidsmodellen (met Rob Gerritsen)
Welkom bij een nieuwe aflevering van qeep talking. Een podcast waarin ik, Renco Schoemaker, in gesprek ga met uiteenlopende gasten over informatiebeveiliging en privacy bij de overheid. Het gaat mij tijdens die gesprekken vooral om de hoe vraag. Die blijkt namelijk veel lastiger te beantwoorden dan de wat vraag. Met deze praktische insteek hoop ik dat jij als luisteraar ideeën opdoet om succesvoller te zijn in je werk.
Renco:Zowel op het gebied van maatregelen als het managementsysteem waarbinnen die maatregelen worden genomen. En daar valt veel over te bespreken. Dus veel plezier en qeep talking. Terwijl ik langs mijn podcast gast heen kijk, zie ik daar een heerlijk blauwe, strakblauwe lucht met een mooi zonnige, ja, ietwat troosteloos herfstlandschap. Maar goed, zal proberen de aandacht erbij te houden.
Renco:Welkom in een nieuwe aflevering van qeep talking. Ik heb weer iemand bereid gevonden met mij te podcasten hij zit recht tegenover mij. Hij kan zichzelf natuurlijk het beste even zelf voorstellen. Met wie heb ik te maken?
Rob:Ja, nou dank je wel Renco dat ik te gast mag zijn in jouw podcast. Ik ben Rob Gerritsen. Ik ben CISO bij de gemeente Utrecht op dit moment. En ik ben daarnaast ook nog ondernemer; ook in het security vak. Heb ik af en toe wat kleine opdrachtjes voor.
Rob:En nogmaals leuk dat ik te gast mag zijn hier.
Renco:Ja, nou, leuk dat ook jij de tijd wilde maken. En misschien is het aardig al om hem te vertellen dat we ook in een wat, voor mij in ieder geval, ongebruikelijke podcast locatie zitten. Normaal kom ik op kantoor bij iemand. Of ja, is eigenlijk wat het vaakst voorkomt. Maar nu zit ik ja, bij mijn schoonouders in de woonkamer.
Rob:Ja, ik moet zeggen, ik kom hier ook niet veel vaker. Misschien maar goed ook. Maar inderdaad ja, hartstikke leuk dat wij ook hier op deze mooie setting mogen zitten.
Renco:Ja. Dus dat is het voor mensen die nu helemaal enthousiast zijn geraakt en eigenlijk op Google Maps nu zitten te zoeken van waar moet ik heen.
Rob:Dat is een mooie OSINT opdracht is dit.
Renco:Ja. Ja, dat moeten we eigenlijk niet noemen. Dus OSINT, dus succes ermee. Hé Rob en ja, jij bent CISO van de gemeente Utrecht. Dat is ook hoe wij elkaar kennen.
Renco:Want daar hebben wij ook samengewerkt. Ik heb ook een tijd lang de CISO-functie ad interim gehad, maar we waren ontzettend blij dat er na enige zoekperiode weer iemand was die als in vaste diensten deze functie kon hebben. En ik ben toch wel even benieuwd hoe bevalt het leven als CISO van de gemeente Utrecht?
Rob:Ja, goed. Het is denk ik een mooie stap voor mij als persoon. Maar ik denk ook in het vakgebied zelf ook. Er was, wat je zegt, er was al een aantal interimmers geweest. Dus er is gewoon behoefte aan continuïteit.
Rob:Ja. En ook uiteindelijk gewoon in die zin van continuïteit ook dat we een goed plan kunnen neerleggen om de weerbaarheid van gemeente Utrecht daar ook in te kunnen versterken. En zetten we nu mooie stappen in, in relatie tot een aantal belangrijke thema's die ook straks op het onderwerp terugkomen. Nee, bevalt hartstikke goed. Erg leuk.
Rob:Mooie gemeente, mooie stad ook. Ik beschouw dat eerst ook al een beetje als doorreisplek. In de zin van het station, Utrecht stap je over naar het trein. Iets anders. Maar goed, nu met een aantal mensen ook de stad al in geweest bijvoorbeeld.
Rob:Ik denk ja, een mooie stad.
Renco:Ja, het is wat meer dan
Rob:een doorreis stad.
Renco:Het is
Rob:precies meer dan een doorreis stad. Ja. Maar ik zei het toevallig tegen andere collega ook al van ik denk wel dat ik uiteindelijk van deze stad kan gaan houden. In de zin van het is een mooie stad, bruisende stad. Ja.
Rob:Gebeurt veel, grote organisatie met veel uitdagingen, maar ook heel veel potentie.
Renco:Leuk. Ja, want voor de duidelijkheid, jij was al actief in het vakgebied informatiebeveiliging en ook al bij een gemeente. Dus je was ook, CISO hiervoor al. Ja. Dus wat dat betreft absoluut niet nieuw in het vak.
Renco:Ja, nou ja, veel plezier ook in je nieuwe job zal ik maar zeggen. Dat zeg ik dan als iemand die de job ook gehad heeft. Ja. En ik heb ook met plezier altijd voor de gemeente Utrecht gewerkt. En voor wie dat misschien betwijfelt, die kan kijken hoeveel mensen uit Utrecht ik al in de podcast heb gehad de afgelopen jaren, dan zie je dat het echt waar is.
Renco:Dus mocht je nog een baan zoeken, we raden het aan. Hey Rob, jij schrijft, zag ik op jouw website, want je zei het al, ik ben ook actief als
Rob:ondernemer. Als ondernemer.
Renco:Ja, Jij schrijft op je website whitepapers.
Rob:Ja, dat klopt.
Renco:En ik dacht waarom? Waarom doe je dat?
Rob:Ja, nou een leuke vraag. Ik krijg het af en toe wel eens vaker. En ik vind dat je over een aantal dingen heb een mening. Over heel veel dingen heb ik ook geen mening. Maar juist onderwerpen waar ik dan wel weer een mening over heb, denk ik, ik wil hier eens wat over schrijven.
Rob:Of even uitschrijven voor mezelf. Nou en zo kwam ik eigenlijk op het idee van ik maak er een iets langer artikel van. Nou ja, dan ga ik zoeken van wat is dan een goede terminologie voor zoiets. Dat noem je dan een whitepaper. 4, 5 A4'tjes waar je iets onderzoekt, uiteenzet en vervolgens met de conclusie of aanbeveling komt.
Rob:Zo ben ik erop gekomen. En af en toe popt er iets in mijn hoofd dat ik denk, dit vind ik een belangrijk onderwerp. Ik heb hier een sterke mening over. En dan ga ik schrijven en dan publiceer ik dat.
Renco:Ja, dus ik schrijf ook af en toe wat. Ik herken me in ieder geval in dat het ook kan helpen om je eigen gedachten te structureren over een bepaald onderwerp. Omdat je merkt, hey, hier vind ik wat van.
Rob:Ja, maar ook af en toe dat je denkt, ik heb hier twijfel over. In een discussie, denk ik, kom hier niet helemaal uit. Of ik twijfel over concepten. Of ik denk hier moet ik eens een avondje of een weekend voor gaan zitten. Ja.
Rob:En dan ben je op een gegeven moment aan het schrijven met wat sleutelwoordjes. En dan denk je, dit heeft potentie om verder uitgezocht te worden. Alleen al voor mezelf dan denk ik nou ja als ik daar een ander misschien ook nog plezier mee kan doen dan dan maak ik er wat leuks van.
Renco:Ja. Nou ik we hebben ook een whitepaper uitgezocht qua onderwerp zeg maar om het over te hebben met elkaar. Ik zal in de show notes van de afleveringen ook een linkje plaatsen naar jouw whitepaper zodat, nou dan kan ik misschien nog een beetje bijdragen aan de bekendheid.
Rob:Ja, nou dat is altijd aardig.
Renco:Hey, want jij schreef een whitepaper. De illusie van controle. En ik ben wel benieuwd Rob. Waarom moest het daar eens over gaan?
Rob:Nou, ik merk dat er veel frameworks, volwassenheidsmodellen in de wereld van informatiebeveiliging zijn. Waar heel erg op gestaafd wordt, op geijkt wordt van wij omarmen dit model of dit framework. En op basis daarvan gaan we groeien naar hogere weerbaarheid. Dat we meer dreiging kunnen weerstaan enzovoort. En ik merkte ook vaak in gesprekken, zeker met directie en bestuur, dat dat dan het doel op zich wordt.
Rob:Voldoende
Renco:een bepaald kader.
Rob:Voldoende aan een bepaald volwassenheidsmodel, dat je daar een bepaalde score ophaalt. Of dit framework moeten we implementeren,
Renco:want dan zijn we er. Ja, zo kijk ik er niet tegenaan. En dat gaf mij dus aanleiding om dit verder uit te werken. En in een notendop, hoe kijk jij dan wel aan tegen dat soort, ja, wat noemde je net, frameworks en volwassenheidsmodellen. Hoe kijk je er dan tegenaan?
Rob:Nou, ze moeten je ondersteunen. Dat is een doel van volwassenheid model of een framework om te kunnen groeien. Om te zorgen dat je kunt refereren aan een framework waarvan je zegt ik heb nu een aantal dingen gedaan. Ik heb patchmanagement, ik heb risicomanagement, ik heb vulnerability management van allerlei dingen heb ik gedaan. Ik heb een beleidsstuk voor geschreven.
Rob:Nou dat implementeer ik allemaal, want dan ben ik toch klaar. Of ik ben nu op voldoende niveau. Nou kan je naar een framework kijken en zeggen van ik vergeet misschien nog wel wat dingen. Incident management, keten risico's die ik er nog bij kan pakken.
Renco:Maak je die ook in orde?
Rob:Pak je er ook bij.
Renco:Zeg het even alsof het heel makkelijk is.
Rob:Nou doe je even, ben je gauw klaar. Maar op basis daarvan ben je natuurlijk niet volledig weerbaar of iets. Er zijn allerlei andere dingen die de dagdagelijkse weerbaarheid bedreigen in die zin. Noem zero days, noem wat ik al zeg keten risico's die je niet alleen maar met een SLA'tje afvangt.
Renco:Ja, ja, nou er valt vast nog veel meer over te zeggen, maar ik dacht misschien is het goed om eerst even de terminologie uit elkaar te trekken, want we hebben het woord framework voorbij horen komen en volwassenheidsmodel. We hebben ook nog zoiets als een normenkader, Ook nog de bio bijvoorbeeld. Er zijn natuurlijk meer, maar voor ons is dat dan de baseline informatiebeveiliging overheid. En je zou nog kunnen spreken in het rijtje ook van het sms, informatie security management systeem. Ofwel de 27001.
Renco:Maar wat is nou het verschil tussen framework en een normenkader?
Rob:Nou, zei al een normenkader zoals de bio is eigenlijk een baseline. Dat is de nulgrens. Daar moet je vanuit de wettelijke verplichting aan voldoen. Dus als je onder de bio valt.
Renco:Ja, er zijn allemaal maatregelen in die je moet implementeren.
Rob:Moet ook weer houdbaar of termijnen van wachtwoorden moeten na zoveel dagen moeten ververst worden. Dat is eigenlijk gewoon een regel van dit moet je doen. Ja. Nou en een framework, eigenlijk een raamwerk, dat biedt guidance, biedt richting in de zin van pak deze onderwerpen eens op. Maar geef er geen ondergrens.
Renco:Dus het is iets normatiefs in van je moet tenminste dit doen.
Rob:Nee, op hetzelfde voorbeeld te noemen in een framework staat er niet van je moet na 3 maanden moet je alle wachtwoorden verversen. Wat misschien sowieso al onzin is. Gezien MFA en alles erop en eraan. Oké. Met andere maatregelen.
Rob:Maar goed, daar zie ik dan verschil in. En een volwassenheidsmodel geeft ook richting, maar dan meer in groei. Er bepaalde normen in, of normen, bepaalde niveaus in. Als jij aantoonbaar in controle bent, je hebt een PDCA in zitten enzovoort, dan kun je daar hoger op scoren. En dat is gelijk ook de valkuil ervan.
Rob:Want je komt er niet om te scoren op zo'n model of op zo'n framework om het zo maar zo te zeggen.
Renco:Komt daar om. Maar mijn manager wil wel vooruitgang zien. Dus die wil wel gerapporteerd krijgen dat alle inspanningen die tijd, energie en geld kosten, dat die iets opleveren.
Rob:Ja, die wil resultaat zien. Ja, precies. Die denkt, hoe ga ik dat dan slim aanpakken? Hoe ga ik dat zichtbaar maken? Nou, door te groeien op een bepaald model.
Rob:Of een framework te implementeren van nou, nu ben ik er. Want manager ziet dat vaak toch niet als een, zoals wij de informatieverwijderaar zien, dat heeft continu onderhoud nodig. Dat is continu reageren en anticiperen op wat er in het dagdagelijkse leven gebeurt. Is niet Dus die wil niet met programma hebben en zeggen van nee, gaan nu groeien naar model X of op dit niveau gaan we groeien. Daarvoor doen we aan.
Rob:We doen de externe audit. Mooi, we zijn klaar. We zijn weerbaar. Ja. Toen je
Renco:net had over framework, had je het ook over die niveaus. Doorschoven we naar mijn idee al een beetje op naar volwassenheidsmodellen. Want wat is nou het verschil tussen een, voor zover dat er is, wat is nou het verschil tussen een framework en een volwassenheidsmodel?
Rob:Ja, framework is een raamodel. Een kaderstellend, nou die is kaderstellend, het is een richting geven dat je een overzicht hebt. Van wat zijn allemaal thema's die ik moet gaan behandelen.
Renco:Ja, dus als ik zeg ik heb een professionele security organisatie of ik heb een professionele security processen anno 20 25. Ja. Wat bedoelen we dan? Dan zou je kunnen teruggrijpen naar een framework. Die zegt nou dan heb je deze functie ingericht en deze functie.
Renco:Ik gebruik altijd woord functie merk ik, omdat ik dan automatisch zal denken aan het NIST cybersecurity framework. Wat denk ik de meest bekende is van de frameworks. En die kan dan naar identify, protect, detect, respon recover en dan sinds versie 2 ook governance. Dus als security functies. Dus je kunt zeggen, ik ben professioneel goed bezig.
Renco:Dan zou je moeten kunnen concluderen, ja, dit heb ik, deze functie heb ik ingericht en die en die categorie heb ik wat op en die en die. Dus feitelijk is dat het. Punt. Daar stopt eigenlijk de
Rob:Ja, zo zie ik hem in ieder geval wel. En daar stap je naar het volwassenheidsmodel maken. Die geeft ook richting, maar dan met groeiniveaus. Een bekende is de NBA. NBA volwassenheidsmodel voor informatiebeveiliging, ook veel gebruikt in het onderwijs.
Rob:En daar merk je op bestuursniveau zeg je van nou wij moeten een bepaald niveau halen. Dan spreken we bijvoorbeeld sectoraal af. Dat wordt het doel.
Renco:En dat zullen we even concreet maken volwassenheidsmodel. Die zegt ook je moet vulnerability management inrichten. Dat haal ik ook uit mijn framework, dat haal ik ook uit mijn normenkader, want er staan normen in over vulnerability management. Terug naar een volwassenheidsmodel. Daar staat dan een soort vulnerability light, extra light, light, normal.
Renco:Zie hem
Rob:zo meer van op laagsniveau doe ik er niks aan. Ik laat het zijn gangetje gaan. Niveau er hoger, ik doe wel wat, maar ik doe het een beetje ad hoc. Af en toe wanneer het maar uitkomt. Weer een niveau hoger is van ja, we hebben wel wat op papier staande ervoor.
Rob:Er zijn wel wat afspraken, maar wat informeel, nog een niveau hoger. Je hebt formeel beleid, je hebt er een functionaris aan gekoppeld die daarvoor verantwoordelijk is, verantwoordelijkheden benoemt. Weer een niveau hoger. Dit doe ik ook structureel. Dit doe ik ook aantoonbaar.
Renco:Ja, het hangt heel erg samen met processen dan denk ik. Zeker. Ja. Dus een soort professionaliteit in je proces, zodat ook de uitkomst van het proces betrouwbaar is.
Rob:Maar ook professionaliteit en continuïteit van je organisatie daar ook in. Hoe is jou als, hoe ben jij als organisatie los van het hele informatiebeveiligingsdeel ingericht? Model kan jou daar ook toe bij helpen. Om We schuiven er eigenlijk wat meer onder
Renco:de organisatorische kant, procesmatige kant.
Rob:Het ondersteunt erbij. Je ziet toch wel vaak van dingen die vanuit het informatiebeveiligingsdeel worden gesignaleerd. Contutiteitsmanagement bijvoorbeeld. Die veel meer impact hebben op de organisatie in brede zin dan alleen maar op de BIF-classificatie bijvoorbeeld. Oké,
Renco:dus we hebben normenkaders waar meer voorschrijvend in staat waar je aan moet voldoen. Ja, de hondengrens.
Rob:Wij zeggen altijd de bio bijvoorbeeld.
Renco:Ja precies. Terwijl het hoe, dat valt dan nogal mee. Want een hoe bij de ene organisatie ziet er natuurlijk weer anders uit dan bij een andere organisatie. Dus we hebben enorme kaders die voorschrijven waar je aan moet voldoen. Minimaal aan moet voldoen.
Renco:Ja. Zit ook straks in geval van de bio zit er ook wettelijke verankering onder straks met de cyberbeveiligingswet.
Rob:Ja, zijn we heel blij mee. Althans voor
Renco:de sector overheid. Daar is gezegd dat die bio de invulling is van de zorgplicht van de Cbw. Dus dat is dan normenkaders, frameworks, hebben we net over gehad. Die structureren, die geven ook aan waar je misschien nog niet aan had gedacht. Dat je, kijk denk ik alles goed af.
Renco:Het volwassenheidsmodel, nou dat hebben net toegelicht. En hoe verhoudt dan, om dan de reeks nog even het kwartet compleet te maken, dan hebben we ook nog zoiets als een sms. Ja. Wat voegt die dan nog toe op deze 3 dingen, de 3 onderwerpen die we eigenlijk net al behandeld hebben?
Rob:Nou, ik zou zeggen de 3 dingen die we behandeld hebben geven input voor je Isms. Isms bundelt dat voor jou als organisatie. Waar moet ik op reageren zodat ik het ook niet vergeet.
Renco:Ja, ja, dus en dan met name dan ook de rol van het management daarin. Zeker. Dat is
Rob:ook de verantwoordelijkheid beleggen op het juiste niveau. Dus proceseigenaren in de business. Maar daar
Renco:kan je ook van zeggen alle verantwoordelijkheden beleggen bij Rob.
Rob:Als dat in het ISMS staat. Maar dat hebben we niet meer gericht.
Renco:Nee, nee, precies. Nee. Nou, oké, dus dat zijn al aardig wat termen op een rij. En in jouw whitepaper maak je wel het punt, en dat heb je net eigenlijk ook al gedaan, van mooi al die instrumenten, die helpen je ook, maar waar zit nou het grote gevaar dan op? Waarom de kritische noot in deze whitepaper?
Renco:Waarom dat weekend daarop stuk slaan en daar wat over schrijven?
Rob:Ja, nou wat ik al zeg, een stukje in de inleiding net ook, het valt me dan op dat men, en ik zal niemand daarop direct op aanspreken of iets dergelijks, maar dat dat het doel op zich wordt. Het voldoen aan een normenkader. Dus zeg maar de bio is verplicht voor overheid. Ja. Of in ieder geval eronder aangewezen.
Rob:Als ik aan de BIO voldoe ben ik klaar, ben ik veilig. Maar wat op
Renco:zich al een hell of job is.
Rob:Zeker, maar het is de basis. Het is voor mij de ondergrens wat ik al zeg. En ik zeg niet individueel zijn ze allemaal losse stukken, frameworks, volwassenheidsmodellen, baselines. Maar als je ze met elkaar weet te verenigen, of versterken of integreren met elkaar binnen je sms, kun je daar een hoop meer winst uithalen. Maar kun je het dan
Renco:nog wel uitleggen aan een manager als je al deze
Rob:Dat de truc. Ja. En dat is, nou er is geen one size fits all wat dat betreft. Maar vanuit de rol vanuit een bestuurder of een directie gezien. Die zegt ik moet geld vrijmaken voor digitale veiligheid.
Rob:Iets met de kosten gaat.
Renco:Wat de kosten gaat van andere uitgaven.
Rob:Exact ja. En het is ook vaak zo'n investering die zie je niet rendabel terugkomen. In die zin van ik investeer een ton. Ik krijg daar 3 ton voor terug. Nee, is een investering die je pas ziet op het moment dat het niet misgaat.
Renco:Ja, maar dat gaat het natuurlijk wel. Uiteindelijk gaat het een keer mis. Ik bedoel als we nieuws lezen, dan zien we vaak genoeg dat het misgaat. Verbaas me er dan wel eens over dat dat dan toch niet organisaties echt in beweging zet. Terwijl ik denk ja, dit had ook bij jou kunnen gebeuren.
Renco:Ja. Dan proef ik daar dan soms een soort nonchalance waarvan ik dan vind dat dat ongepast is omdat het die is van straks.
Rob:Misschien is dan de impact niet duidelijk of genoeg geduid. Ja. Of ze te laconiek mee omgegaan.
Renco:Maar wat als je nou 2 of 3 dingen moet noemen die zeg maar op tafel blijven liggen op het moment in deze valkuil stapt. Dus je verheft wat je ook maar adopteert, een normenkader of een framework of een volwassenheidsmodel. Je maakt daar een dashboard op en er wordt op gestuurd. En je maakt eigenlijk gaandeweg het instrument. In plaats van het middel wordt het het doel.
Renco:Ten eerste de vraag, wat is dan, wat is, vind jij, het eigenlijke doel van ons vakgebied?
Rob:Je moet constant anticiperen op hetgeen wat je van buitenaf krijgt. En ook van binnenuit signaleert en hoort. En daar biedt een framework model niet voldoende handvaten voor. Ze kunnen je helpen om een paar stappen te zetten. Maar uiteindelijk moet jij als organisatie die controle grijpen.
Rob:En dat doe je niet op basis van een model of een framework. Je geeft richting.
Renco:Ja, het gaat ook niet echt leven denk ik. Ik naar mijn eentje Als
Rob:je zegt, joh joh, we hebben de stukken aangeleverd. Wij voldoen nu aan dit model. Of wij hebben nu op dit niveau hebben wij gescoord. Dat is vastgesteld in externe auditor. Ja geweldig.
Rob:Maar in jouw beleidsstuk kan ook gewoon prima staan. Patch management bijvoorbeeld. Binnen 3 maanden gaan wij CVS's boven 9 oplossen. Voldoen je prima, je model.
Renco:Ja, maar wordt dat niet ondervangen dan door die baseline zeg maar, die eigenlijk zegt ja, dat mag niet. Je mag er geen 3 maanden over doen. Op zich,
Rob:als je ze op zich pakt, pakken ze ze dus niet. Maar ga je ze integreren,
Renco:moet het dan wel?
Rob:Ja, ja, ja. Dus pak niet 1 framework of 1 model daarvoor. Zorg dat je riskbased gaat kijken van wat is voor mij relevant en interessant en hoe vind ik dat ik daarop moet reageren. Ja. Of moet op anticiperen.
Rob:Pak die stukken bij elkaar en zorg dat je dat bundelt met elkaar. Maar losstaands zeggen ze niet zoveel.
Renco:En dan hoor jij ook zeggen, het gaat ook heel erg om reageren op dingen die van buitenaf en van binnenuit op de organisatie afkomen. Heb je daar een voorbeeld van?
Rob:Zero days bijvoorbeeld, die je dan via je sectorale sector bijvoorbeeld binnenkrijgt. Ik vind dat je in ieder geval op hooghoog risico's snel een duiding moet geven. Ook richting management om te signaleren van wat wij doen doen we niet voor de grap. Of omdat we mensen graag van de straat willen houden. Ja dan zie je in ieder geval van joh kijk zulk soort dingen komen binnen een gat in de muur met hoge potentie.
Rob:We zitten er bovenop. Geef vertrouwen van de organisatie als je dan volgende keer toch aankomt en
Renco:zegt van
Rob:joh met een rapportage zeg van ja we hebben toch 4 van die zero days, van die hoge hoog meldingen, hebben we gemist of
Renco:niet opgepakt. Ja, dan vind ik het terecht dat je op je vinger geslagen wordt. Dus je moet ook resultaten laten zien. Oké, en dus die manager die is misschien meer aan boord te brengen als die het gevoel heeft dat die stuurt op dingen die, hoe moet ik dat zeggen? Die reageert op dingen die daadwerkelijk nu om ons heen gebeuren als organisatie of in de organisatie gebeuren.
Rob:Is een onderdeel. Wat je zegt net op de NIS. Het is ook respons. Hoe reageer je daar op zaken? Ook hoe is dat weer geïntegreerd in je cultuïteitsmanagement, ook in je crisismanagement.
Rob:Heb je daar alvast over nagedacht? Hoe ga je als zo'n incident zich toch etaleert, dan de basis daar voor mij zit in dat je in controle bent. Of in ieder geval het gevoel hebt dat je in controle bent. En dat is ook gelijk weer de crux van het of de de de basis van het stuk wat ik geschreven heb. Die frameworks los van mekaar in baselines, die geven een illusie van die controle.
Rob:Ja. Dus zeg je van goed, wij hebben het NIST framework, wij hebben het CMMi hebben we gebruikt en we hebben ISO 27001 certificering. Nou dat geeft een gevoel van controle. Maar feitelijk ben je niet in controle.
Renco:Ik heel erg geneigd te denken nou dat is al meer dan de meeste organisaties hebben. Ja nou als dat al
Rob:de ondergrens zou zijn, zou het al heel mooi zijn. Maar goed, wij als informatie beveiligers weten daar zitten ook de hiaten in. En het is dan het gesprek wat je met je bestuurder, directie zou moeten voeren en zeggen, hey, met 1 met 1 van die frameworks zijn we er niet. We willen een GRC tooling hebben, we willen een ISMS hebben, waar op basis wij van kunnen zeggen van, wij weten dat wij ook daadwerkelijk doen en dat kunnen we ook aantonen. Ja.
Rob:En kon je net
Renco:ook heel duidelijk de verbinding maken met continuïteit. Ik lees dat ook duidelijk terug in de NIS 2 waarbij ik heb, waarbij ik het gevoel heb dat informatiebeveiliging aan de kapstok van BCM wordt opgehangen bijna. Dus dat de continuïteit van je bedrijfskritieke processen, dat dat het uitgangspunt is voor heel veel dingen die daaronder hangen zal ik maar zeggen. Ja. En 1 simpel voorbeeld daarvan is organisatorische reikwijdte van je ISMS moet ten minste samenvallen met je bedrijfskritieke processen.
Renco:Ja, dat voelt eigenlijk heel logisch. Dus daarmee wordt informatiebeveiliging meer uitgelijnd met continuïteit, waarbij we in de ja, de oude situatie ook een hoofdstukje continuïteit, BCM hadden in de bio.
Rob:Er moet een stukje over zijn. Nee, maar je ziet ook vaak dat informatiebeveiliging initiator is van BCM bijvoorbeeld. Ja. Je wilt proceseigenaarschap belegd hebben. Welke kritieke processen hebben we nou eigenlijk vanuit ook vanuit een BIV gedachtegoed.
Renco:Dat dan ritueel zich
Rob:weer in een BIA, een impactanalyse. En dat je baas daarvan ook zegt van hé, wij hebben bepaalde kritieke processen die doorgang moeten vinden. Kijk in de gemeentewereld, hebben sluizen, gemalen, stuk OT, ondergeschoven kind. Maar ook wettelijke verplichtingen waar de burger van ons afhankelijk is als gemeente. Ja, dan moeten we als gemeente vanuit gemeentewereld in ieder geval die verplichtingen tegemoet kunnen komen.
Rob:Daarvan definieer je kritieke processen en daar ga je maatregelen op nemen. Ja. Niet alleen vanuit de biv, maar ook vanuit, je hebt gewoon een wettelijke verplichting te halen. Ja. En daar moet de burger en als gelijk weer het vertrouwen van de burger in de overheid, die moet je daarin faciliteren.
Rob:En continuïteit zit al heel, heb je
Renco:heel dicht aan tegen crisismanagement. Je noemde ze eigenlijk net ook bijna in 1 adem. Want die continuïteit plannen en alles wat je daar onderneemt, ja dat heb je nodig op het moment dat iets niet meer functioneert zoals het dat normaal deed. En hoe kan een bedrijfsproces nou toch nog zijn doorgang vinden op het moment dat bijvoorbeeld de IT omgeving omvalt. Of nou we hebben recent wat, wat was cloud storingen gehad, grote cloud providers, CloudFlare lag er even uit en zie je wat impact.
Rob:Ja, dan zie je hoeveel last je daarvan kunt hebben.
Renco:Ja, dus, maar vind je dan ook dat, is nou informatiebeveiliging een aspect van crisismanagement of is crisismanagement een aspect van informatiebeveiliging? Ik bedoel, hoe moet ik die 3, dus informatiebeveiliging, ons vakgebied zou ik zeggen, Business continuity management en crisis management. Hoe geef jij dat vorm dan zeg maar? Hoe verbind je die aan elkaar?
Rob:Ja, het zijn losstaande thema's van elkaar. Maar je kunt ze ook weer niet allemaal los zien van elkaar. Kijk bij continuïte management is gauw de gedachte van er valt iets uit, je moet daarop vanuit continu tijdsmanagement op reageren. Om dus weer de continuïteit van de business van kritieke processen te kunnen waarborgen. Maar continuïteit kan ook, of discontinuïteit kan ook gepland zijn.
Rob:Ja. Onderhoud, 24 uur ligt toch de stroom eruit. Ook daar zou je zeggen van, hé, kun je vanuit het continuïteits management op reageren.
Renco:Ja, dus daar ben je op voorbereid dan. Hebt een scenario waarin je dat kan leiden zullen we zeggen, tijd lang geen stroom.
Rob:Nu pakken hem al gauw business breed. Informatiebeveiliging is daar maar een klein onderdeel van. Maar wat ik al zeg, vaak ook weer een initiator in de zin van, wij willen graag vanuit de BIF, willen wij bieden wat we daarop afspreken. Hogere beschikbaarheid, hoge identiteit of hoe we mogen classificeren van de dataclassificatie. Ja dus
Renco:wij brengen eigenlijk zelf die vraag op gang.
Rob:Wij brengen de vraag op gang. Maar op een stuk stroomuitval bijvoorbeeld, ja dan draait niks meer ondertussen. Dat is je hele IT omgeving valt dan uit. Dus hoe voorkom je nou dat je daar in zo'n situatie belandt, dat je niet weet hoe je gaat reageren daarop. Nou ja, dat is voor mij een stuk continuïteit management.
Rob:Stel dat de maatregelen van het continuïteit management zijn niet voldoende. Of slaan het hele continuïteit deel over. Phishing, ransomware, whatever. Dan ga je al gauw een stap richting crisis management. Je moet dus anticiperen op hetgeen wat je niet of onvoldoende voorzien had.
Rob:Of je maatregelen die je daarop hebt genomen zijn niet voldoende. Escaleert dit na crisismanagement, want er moeten besluiten genomen worden. Er moeten andere dingen gebeuren dan dat je bij BCM al had bedacht.
Renco:Ja, ik merk in jouw whitepaper dat je natuurlijk deze vaardigheden, dus het kunnen reageren en het snel besluiten kunnen nemen op het moment dat je niet helemaal voorbereid was op wat er nu zich voordoet. Omdat je BCP maatregelen niet uitgewerkt zijn of ontoereikend zijn of wat dan ook. Dat je te maken hebt met een crisis. Ik merk dat jij in je whitepaper zowel het BCM deel, maar vooral ook het besluitvaardigheid om in die omstandigheden dan adequaat te kunnen reageren. Dat je dat eigenlijk in de definitie van het woord weerbaarheid trekt.
Rob:Ja, nou nee dat klopt.
Renco:Heb dat goed opgemerkt?
Rob:Zeker waar. Nee en terugkomend weer.
Renco:Het bijna alsof ik daar op naar een complimentje vissen. Heb ik dat goed opgemerkt Rob?
Rob:Dank je wel, fijn dat je dat opmerkt inderdaad. Nee, want terugkomend weer op het onderwerp van die whitepaper. Het reageren zit niet in een framework of een volwassenheidsmodel te vatten. Dat betekent oefenen, trainen, opleiden van mensen. Het auto principe.
Rob:Dat je daar dus tijdig op kunt reageren. Dat omvat niet een volwassenheidsmodel of een framework.
Renco:Er staat niet alleen een ander framework voor aan te
Rob:schaffen dan. Laten we het bedenken. Nee, om maar weer te voorkomen dat er nog een model framework bijkomt. Dat vind ik echt een organisatorische verantwoordelijkheid die ligt op niveau van directie. Dat zij ook het vertrouwen hebben van als ons wat gebeurt, dan zijn wij dus weerbaar ten opzichte van de situatie.
Rob:Wij weten te reageren.
Renco:We laten ons niet overdonderen waardoor we te laat besluiten nemen. We weten niet wie de besluiten mag nemen, waarover. Nou ja, nou dan toch even een brandende vraag aan mijn kant nog. Want ik geef ook af en toe trainingen op het gebied van informatiebeveiliging. En daar komt ook het woord weerbaarheid of resilience, cyber resilience zeggen we dan.
Renco:En in Nederland praten we dan over digitale weerbaarheid. Dan krijg ik wel eens de vraag ja, wat is nou het verschil, Renco, tussen informatiebeveiliging en weerbaarheid. En ik merk dat ik daar af en toe nog wel, ik heb daar te veel zinnen voor nodig. Ja? Ik ben te lang aan het woord om, jij eens een schot voor de boeg doen?
Renco:Wat is nou het verschil tussen informatiebeveiliging en weerbaarheid?
Rob:Nu ben ik geneigd om het echt in 2, 3 zinnen te gaan doen.
Rob:Ja, kun
Renco:En daarmee
Rob:zal ik beide onderwerpen tekort gaan doen. Dat is informatiebeveiliging is de BIV classificatie. Beschikbaarheid, integriteit en vertrouwelijkheid. Ja. En als je dan kijkt naar weerbaarheid, naar wat betekent het woord weerbaar nou letterlijk, betekent kunnen anticiperen.
Rob:Of kunnen reageren. Zorgen dat je als je een klok krijgt dat je hem kunt ontwijken.
Renco:Ja, er eerst een vraag over vierdaagse Ja incasseren, precies dat woord. Je kunt ook wat leiden voordat je op de grond valt zeg maar.
Rob:Ja precies dat je hem kunt incasseren. Zodat je wat kunt hebben. En daar ja, van gezegd dat doe ik informatiebeveiliging vanuit de vanuit de BIV gewoon tekort. Maar dat zou in de kern, dat is in de kern informatiebeveiliging. Beschikbaarheid, integriteit, vertrouwelijkheid.
Rob:En daar waar weerbaarheid meer gaat dus over, in mijn optiek, kunnen reageren, anticiperen, kunnen incasseren van een situatie of van hetgeen wat op je afkomt. Dus ik zou
Renco:een maatregel kunnen nemen, ik heb mijn security operating centre waarin ik mijn netwerk omgeving monitor. Met al mijn identiteiten, inlogpogingen noem het allemaal maar op. Dat monitor ik daar allemaal. Dat is ook een maatregel die ik uit een normenkader pluk. Nou, dat heb ik ingericht.
Renco:Dus ik heb dat, Daarmee draag ik bij aan het waarborgen van integriteit, vertrouwelijkheid, maar ook beschikbaarheid in direct. Dat is niet het primaire doel hier denk ik, maar dat draag je eigenlijk ook aan bij. En dan als ik dan, als ik weerbaar ben, dan moet ik dat aanvullen met het vermogen om in die situatie, dat ik dus, dat er inderdaad een aanval plaatsvindt of zo, wat iemand, nou maakt ook niet uit wat voor een soort aanval, dat ik dan ook het vermogen heb om heel snel aan adequaat beslissingen te nemen.
Rob:Ja. Is dat dan
Renco:de aanvulling die je
Rob:Nee, een DDoS aanval. Een Deders aanval komt niet met de melding u heeft een DDoS aanval. Een mailtje, notificatie. Dat zou fijn zijn. Nou, dat kan vanuit een sok komen.
Rob:Van joh, we liggen onder. Maar ook het SOC signaleert het op een niet vanuit die wiel, niet vanuit zo'n hoedanigheid. Dat dat valt op in vertraagde systemen of je wordt toch door iets word je iets iets anders triggert jou, iets kleins. Ja. En dat hoopt zich op.
Rob:Dan zeg ik van goh, we hebben op meerdere zaken hebben we storing of hebben we, is het traag. Ja. Nou en dan ga je dus, dan zou je signaleren van we liggen mogelijk onder een DDoS. We gaan onze ISP gaan we benaderen van zien jullie ook raar netwerkverkeer of ik hoor het vanuit een andere hoek vandaan komen. En dan of vanuit sectoraal van er liggen meer onder een DDoS.
Rob:Misschien wij ook. Hebben wij er last van? En daar nemen we mitigerende maatregelen op. De wasstraat verhogen of de identiteit van de wasstraat verhogen. We schakelen een backup op of een backup in, een backup lijn.
Rob:En daar zou het hem dan in zitten. In die zin dat je vanuit een model iets hebt opgetuigd. Je hebt een BCM beleid of een BCM draaiboek. Maar het signaleren ervan is des te belangrijker. Als je niet weet wanneer een scenario zich ontvouwt en het begint altijd met iets kleins, dan weet je ook niet wanneer je dat moet gaan initiëren of gaan activeren.
Renco:Ja, dus dit zit hem ook in de zin in En dat van herkenbaar valt.
Rob:Ja. En dat dan ook die weerbaarheid dat je dat ook signaleert. Vanuit een stuk incident management en prole management. Dat bijvoorbeeld een servicedesk die een melding krijgt van een gebruiker. Je hoeft er niet 1 te zijn, maar toch 3, 4 achter mekaar.
Rob:Zo van ja, het is zo traag. Ik kom niet doorheen. Goh, wat gek. Misschien moeten we dit nader onderzoeken. En daar zou je op dat niveau ook verwachten dat zij daar ook een bepaalde threshold voor hebben.
Rob:Wanneer we escaleren dit naar een tweede lijn. Of naar de anderhalve lijn om te gaan kijken van hé wat is hier aan
Renco:de Opschalen en dan ook de besluitvaardigheid hebben en ook de, de, hebt dan ook al geoefend hè idealiter. Dat proef ik ook aan jou.
Rob:Ik heb het al een keer geoefend.
Renco:Om dit goed te kunnen.
Rob:Nou en weten met wie praat je nou eigenlijk. Met wie zou ik hierover moeten praten? In plaats van dat binnenshuis blijft en zeggen van nou wij zitten onder Dedos. We plaatsen wel een publicatie op intranet. Ja dat wordt niet gelezen want je ligt onder de Dedos.
Rob:Maar hoe ga je dat dan richting je business brengen? Die ook weten wat er aan de hand is. Of heb je al maatregelen getroffen dat ze wel hun, of dat ze er weinig last van hebben. Maar ook dan wil je dat de business dat weet. Dat jouw waarde vanuit security, vanuit informatiebeveiliging wordt tentoongesteld.
Rob:En dat
Renco:is ook toen ik zei van hé als je al vroeg van je moet voorkomen dat je die instrumenten zoals modellen en frameworks en normenkaders dat die het doel worden. Vroeg ik jou ja maar wat is als dat dan niet het doel is? Is dan het doel? Dat is eigenlijk wat je nu net beschrijft.
Rob:Dat is weerbaar. Ja, het is een beetje af en toe een beetje een marketingterm. Maar zo wij scherp houden is dat inderdaad, dat zou dan weerbaarheid zijn.
Renco:En wat is daar dan, wat is daar het moeilijkste in om dat te bereiken? Want we schetsen nu een situatie waarin het allemaal loopt als een trein zal maar zeggen, idealiter. En dan spreken we van een echt een weerbare organisatie. Ja. Wat denk je dat daar de grootste drempel in is?
Renco:Om daar te komen?
Rob:Ja, het is denk ik het aantonen van het belang, het nut ervan. Waarom zou je hierop moeten investeren? En dat is net al wat ik op een gegeven moment ook liet vallen. Security is vaak een kostenpost. Het is vaak een moet.
Rob:Baseline zegt het mij eigenlijk al een beetje. Niks afdoen van de baseline op zich hoor. Want die is goed. Het geeft een ondergrens.
Renco:Staan zinnige dingen in.
Rob:Maar van daaruit moet je niet zeggen of zou ik niet zeggen van dat is het hem. Nu zijn wij weerbaar. Nee, wij willen, we compliant. Dat is het inderdaad. Wij voldoen nu aan wetgeving.
Renco:Ja, dat is ook wat ik jou in het stuk wel teruglees, van die vinkjes, de compliance invalshoek, van we laten zien dat we voldoen aan, Ja, op zich kun je dan zeggen ja, heb de absolute wettelijke ondergrens behaald. Maar dat is natuurlijk nog heel wat anders dan het vermogen om te handelen zoals je dat net schetste toen je weerbaarheid.
Rob:Maar ik krijg daar een vinkje van de auditor. De auditor levert een externe of een rapport op aan directiebestuur en zegt wat fijn, wij voldoen. Wij krijgen hier geen boete van. Ja, want dat kan nooit je doel zijn. Of dat kan nooit je motivatie zijn.
Rob:En stel je nou
Renco:voor dat jij, jij wordt, jij wordt auditor. En je wordt ingehuurd om een audit uit te voeren op de digitale weerbaarheid van een organisatie. Welke 3 dingen zou je dan onder de loep nemen?
Rob:Nou, ik zou eigenlijk nog eerst een stap terug willen. Wat verstaat de organisatie nou onder weerbaarheid? Oké, laat je niet vangen. Nee, ben je gek. Nee, maar wat wil de organisatie nou precies?
Rob:Ja, je kunt zeggen, wat ik net al zeg, het is een beetje een, of zij niet, maar maak er nu van. Weerbaarheid wordt ook wel eens als een containerbegrip gebruikt. Zijn wij als organisatie weerbaar? Dat is ook wel een vraag die ik wel eens af en toe krijg hoor. En is dat de vraag die ik dan wel weer terug stel.
Rob:Wat versta je dan onder weerbaarheid? Of waarop wil je weerbaar zijn dan? Ja, weerbaar is
Renco:die laatste is wel een hele logische. Ten opzichte van wat ben je dan weerbaar?
Rob:Ja, ik loop zo meteen naar buiten. Het is min 1 ondertussen. Of het is hier min 1. Ik loop naar buiten zonder jas. Ben ik dan weerbaar?
Rob:Letterlijk het woord weer zit erin. Ja, nou ik heb best wel de kans dat ik het koud ga krijgen. Nou ja goed, dat is niet wat ik wil. Dus ik neem een maatregel in de zin van ik trek een jas aan, ik doe een muts op. Nou ben ik comfortabeler?
Rob:Dan is comfortabel zijn op dat moment en niet omvallen zeg maar van de kou. Zou dat dan mijn doel zijn? Kijk je dat vanuit een audit principe weer terug, ga je kijken van hé, wil jij weerbaar naar buiten? Wat wil je dan? Wil je het niet koud hebben?
Rob:Wil je niet omvallen van de kou? Wil je niet bevriezen? Wat is dan jouw doel?
Renco:Ja, precies.
Rob:Wat is dan weerbaar?
Renco:Ja, daarom leg je hem eerst terug bij de organisatie. Want die moet het eigenlijk zelf definiëren.
Rob:Ja, maar het is wel zo'n vraag die ik ook vanuit mijn ondernemersgevoel krijg. Van hé, kun je bij ons eens de thermometer erin steken? Hoe staan wij ervoor op onze digitale veiligheid, op onze weerbaarheid? Wat wil je precies weten?
Renco:Maar is dat, ja, ik snap dat heel goed. En tegelijkertijd denk ik dat ze voor het antwoord op die vraag dan ook jou weer aankijken. Zeker. Dat kan
Rob:altijd daarin voeren.
Renco:We hadden eigenlijk gehoopt dat jij dat antwoord had daarop.
Rob:Ja, maar daar ga je, dan hoop ik dat je daar het gesprek over gaat voeren.
Renco:Ja, precies.
Rob:En dat je, dat directiebestuur hebben tig dossiers liggen. Dit is er eentje van. Nou daar zijn mensen zoals wij voor om ze daarbij te helpen. Maar dan wil ik wel graag van degene die de opdracht dan wil geven in die zin van hé hoe staat het voor, zijn we weerbaar? Ik weet hem wat, waar wil je weerbaar op zijn dan?
Renco:Ja, dat het wel goed doordachte vraag is en niet
Rob:alleen maar Ja, zorg maar dat we voldoen aan deze manier en ik zei of zet. Kan ook zo zijn hé. Is niet slecht. Doe je tenminste iets.
Renco:Maar dan heb je het ook niet meer eigenlijk stikt bezien niet meer over weerbaarheid.
Rob:Nee, dan heb je toch compliance zoals ze zeiden. Dan ga je vinkjes halen en zeg je nou ja, je voldoet. Je wordt niet op je vingers getikt. Ja,
Renco:en voor nog meer informatie moeten mensen echt die whitepaper lezen. Op zijn minst. En wat kunnen ze nog meer doen? Lid worden van de nieuwsbrief of jou volgen of op LinkedIn?
Rob:Ja, tuurlijk. Laat dat niet het doel op zich zijn. Ik ga altijd leuk en fijn het gesprek aan te gaan over dit soort thema's. Dus nee, ben ik altijd bereid voor om daar een leuk gesprek over te voeren met een kop koffie.
Renco:Ja, nou daarover gesproken, die ga ik zo nog even voor je aanvullen. En ik vond het leuk gesprek. Insgelijks, leuke vragen. Ook wel lekker meta, weet je wel, even over al die veel gehoorde termen heen.
Rob:En dan moeten we dat even geduid hebben. Althans, ik hoop dat de luisteraar daar ook
Renco:een beter beeld mee heeft. Anders moet ik het maar laten weten. Hey Rob, je wel. We spreken elkaar. Dank je wel.
Renco:En daarmee is deze aflevering van qeep talking alweer afgelopen. Leuk dat je luisterde en hopelijk heb je wat bruikbare ideeën opgedaan die je kan toepassen binnen je eigen werk. Op mijn site qeepposted punt nl vind je naast deze podcast ook blogs, video's, handige links, opinie en trainingsdata. Abonneren is gratis en zo gepiept en op die manier ontvang je nieuwe content direct in je mailbox. In de volgende aflevering ga ik weer in gesprek met een andere gast en ik hoop dat je dan ook weer luistert.
Renco:Tot dan.
