#33 - Waarom je ook werking zou moeten willen, naast opzet en bestaan (met Jan Lugtmeijer)
Welkom bij een nieuwe aflevering van qeep talking. Een podcast waarin ik, Renco Schoemaker, in gesprek ga met uiteenlopende gasten over informatiebeveiliging en privacy bij de overheid. Het gaat mij tijdens die gesprekken vooral om de hoe vraag. Die blijkt namelijk veel lastiger te beantwoorden dan de wat vraag. Met deze praktische insteek hoop ik dat jij als luisteraar ideeën opdoet om succesvoller te zijn in je werk.
Renco:Zowel op het gebied van maatregelen als het managementsysteem waarbinnen die maatregelen worden genomen. En daar valt veel over te bespreken. Dus veel plezier en qeep talking. Ik vond eigenlijk dat je na zoveel episodes podcasten en sleep altijd al die microfoons mee, die camera's mee en ik denk dat moet een keer anders. Dus we hebben nu, ik zit nu in de podcast studio, de podcast en ik heb we hebben zelfs een sound en video engineer aanwezig.
Renco:Hij heeft geen microfoon dus dat geeft mij een bepaalde machtspositie. Je hoort het mijn gast al, maar nog even over de sound en video engineer. Dat is mijn zwager Lennert, leuk dat je even assisteert en deze opname technisch tot een succes maakt. Inhoudelijk is het aan mij, maar vooral ook zou ik zeggen aan de gast die tegenover mij zit.
Jan:Ja, dit voelt wel als een zware verantwoordelijkheid, Renco, gelijk.
Renco:Ja, nee, maar die is ook zwaar Jan.
Jan:Ja, ja, zo voelt hij ook. Zo voelt hij Jan,
Renco:ja, ik verklap jouw naam al, maar Jan, wie heb ik wie ben je? Wie heb ik tegenover me?
Jan:Nou, ik ben Jan. Ik woon hier in Deventer. Prachtig Deventer, dus heel erg fijn dat je hiervoor naar mij toe bent gekomen, naar mijn stad. Ik werk als zelfstandige in informatiebeveiliging.
Renco:Dat hebben we dan gemeen met elkaar.
Jan:Dat hebben wij zeker gemeen met elkaar en wij kennen elkaar ook uit vanuit het vak, vanuit een opdracht waar wij allebei hebben gewerkt. Precies. En ik doe dat nu sinds een jaar werk ik voor mezelf. Ja, nee ik help MKB-bedrijven en overheden en ja, dat dat doe ik omdat ik een passie heb voor informatiebeveiliging, maar ook omdat ik ik heb eerst 5 jaar dat in loondienst gedaan en toen merkte ik van nou, ik werk vooral voor hele grote klanten. Ja.
Jan:Maar als het gaat bij de kleinere opdrachten, wat ik ook een paar keer heb gedaan, dacht ik van nou, daar zit eigenlijk bij mij meer de passie in en daar zit je sneller met de beslissers aan tafel.
Renco:Ja, soort grotere menselijke
Jan:kant, menselijke kant ja en ook wat meer techniek. Dus heb je snel de combinatie tussen techniek en wat vindt het management van een organisatie ervan.
Renco:In plaats van dat daar nog veel
Jan:bij Ja, precies. Daar zit heel veel politiek tussen of gaat het om geld of gaat het om budgetten en ja, ik vind dat leuker. Er zijn ook mensen die het juist heel vet vinden als het bedrijf heel groot is, maar ik vind het leuk als de opdracht goed afgekaderd is en ik snel het verschil zie wat ik daarin kan maken. Ja, precies.
Renco:Wat je toegevoegd hebt. Wat je er gebracht Precies.
Jan:Ik werk graag aan meerdere dingen tegelijk en dus de stap voor mezelf begonnen.
Renco:En nu ben je minder dan een jaar mijn microfoon. Je bent minder dan een jaar zelfstandige. Hoe bevalt het?
Jan:Super goed.
Renco:Ja, ik heb Voor iedereen die nog twijfelt.
Jan:Ja, nee, echt super goed. Ik heb die beslissing gemaakt. Ik werkte daarvoor al een deel van de tijd aan kleinere opdrachtjes als zelfstandige.
Renco:On the side zullen we zeggen.
Jan:Ja, on the side, dus dat deed ik dan 2 dagen per week. Ik ben wel iemand die dat dan goed wil voorbereiden, dus ik werkte eerst fulltime in loondienst als consultant. Nou ja, logischerwijs is is jezelf ook nog verkopen als consultant en naast je werk als consultant. Daar zit dus niet zo op te wachten, want dan is het al heel moeilijk om een belangen belangenverstrengeling te vermijden. Ja.
Jan:En toen ben ik intern gaan werken als information security officer.
Renco:Bij de organisatie waar je consultant was?
Jan:Nee, nee, nee, bij een andere, bij een gemeente. Oké. En dat vond ik ook leuk. Alleen ik merkte het het externe blik hebben, vind blijf ik gewoon leuk vinden en het combineren van opdrachten, dingen goed definiëren, begin en eind, zo'n resultaat verplichting. Toen kreeg ik een een hersenvliesontsteking, dat is minder leuk, ja en toen leg ik er even helemaal uit.
Renco:Het kwam gewoon random dat van het ene Ja. Je dat?
Jan:Ja, ja ik ik had ik sterker ik was aan het revalideren van een hersenschudding en toen werd ik ziek en toen dacht ik van ik krijg zo'n hoofdpijn, dacht ik nou het zal die hersenschudding wel zijn. Ja. En toen ja, een halve dag later lag ik in het ziekenhuis. En toen duurde het een paar maanden om weer te revalideren.
Renco:Jeetje.
Jan:Ja, ja, maar waarom waarom dat relevant is is omdat ik toen merkte van ik merkte zelf heel erg van ik moet de stap zetten naar meer zelfstandigheid. En dat ja, vond natuurlijk mijn omgeving ook wel spannend. Dat je zegt oké, je bent eigenlijk nog niet helemaal beter. Maar je zegt, laten we meer minder zekerheid inbouwen. Laten we meer meer in de diepe springen.
Jan:En dat heb ik toen toch gedaan, Vorig jaar in juni en dat was heel goed voor mij. Kreeg gelijk een stuk meer rust van, een stuk meer ja plezier in, stuk meer uitdaging in en ja.
Renco:Ja, nou ik ben ook weer een concurrent rijker dan. Ja. Toch? Ja. Dus wat ik altijd doe is concurrenten die komen in de podcast.
Jan:Dan kan je ze even goed in de ogen kijken.
Renco:Ja precies. Ja. Nee joh, dat is natuurlijk gekheid. Er is werk genoeg in de overheidsland en zeker op gebied van security is er van alles te doen. Niet in laatste plaats omdat wij ja dan wordt het een beetje zo'n afkortingen kermis maar we hebben natuurlijk al jaren met de BIO te maken de baseline informatie beveiliging overheid en jij noemde al NIS2 wat in Nederland inmiddels dan door die door in Nederland door het leven gaat als de Cyberbeveiligingswet.
Renco:Ja, ik wist natuurlijk wel dat jij dat wist, maar dit is echt te luisteren, ouwe. En die cyberbeveiligingswet, ja, ligt nu bij de Eerste Kamer en er zit nog een algemene maatregel van bestuur onder en er hangen dan nog weer meerdere ministeriële regelingen onder. Dus die wet zit op het hoogste niveau en dan die AMvB eronder en daaronder zitten dan die ministeriële regelingen en in die ministeriële regeling voor de sector overheid, daar staat dan dat die BIO de invulling is voor van de zorgplicht. Die weer uit die NIS2 .
Jan:De volgende versie BIO.
Renco:Ja, en BIO2 . Ja, dan is het nog een goede toevoeging, ja. BIO2 . En nou, ik heb daar veel mee te maken. Dat is weer een soort broodwinning, want dan moeten er weer consultants komen en die moeten trainingen gaan geven en die moeten die NIS2 gaan uitleggen en die moeten gap analyses gaan uitvoeren en noem het allemaal maar op.
Renco:Nou, dat is hartstikke leuk werk. Maar waar ik het met jou zo over wilde hebben, en daar hebben wij natuurlijk een beetje bekokstoofd vooraf, dus ik overval je er niet mee. Slaan we niet een beetje door met die BIO2 door die helemaal op te hangen, zullen we zeggen, onder die Cyberbeveiligingswet. Want ik vind eigenlijk als je kijkt naar wat er in de NIS2 staat, je zet dat aan de ene kant van de wipwap en je zet aan de andere kant van de wipwap de hele BIO2 in opzet, bestaan en werking aantonen, zoals nu in de ministriële regeling staat. Dan denk ik...
Renco:Ik ben even advocaat van duivel af hè.
Jan:Ja. Ik denk ik uit
Renco:de bocht gevlogen joh.
Jan:Ja, ja. Ik vind dat een heel lastig vraagstuk. Ja. En waarom is lastig? Heeft 2 dingen.
Jan:Enerzijds veel van de van de organisaties van overheden die hier straks aan moeten gaan voldoen moeten inderdaad van ver komen. Dus dan kun je wel zeggen van nou is dat niet wat veel, Gooien ze niet wel heel erg in het diepe en raken ze het dan kwijt. Anderzijds als je de BIO2 vergelijkt met vorige versie van de BIO. Vorige versie die focust heel erg op specifieke beheersmaatregelen. Ja.
Jan:Dus dan zit je heel snel in een NTA, bijvoorbeeld als het gaat om gemeentes.
Renco:Ja. Nu Heel erg een rule-based
Jan:Ja, dus je zit heel erg alleen maar naar van heb je dit specifieke beheersmaatregelen. Omdat dat gedicteerd wordt van zo moet dat gewoon werken. En dat is ook wel denk ik wat veel overheden daarin fijn vinden. Maar het stuk wat dan mist en dat vind ik mooi aan de nu een BIO2 is het managementsysteem. En dat zit nu er wel in.
Renco:Ja, en maar ja oké, maar wel weer nog meer dan hè.
Jan:Ja, maar zonder kan je dan wel zonder zonder dat managementsysteem zeggen ik ik heb een veilige organisatie van 5000 mensen zonder dat je dat kan Dan heb
Renco:je wel lef in ieder geval, als je dat soort uitspraken wel durft te doen.
Jan:Ja, ja en ook opzet, bestaan en werking. Ik heb dit gesprek ook al op meerdere niveaus gevoerd. Dat mensen zeggen ja, er komt ook nog werking bij. Maar kijk, dat zijn echt audit termen. Dat zijn dus, we gaan, hoe zwaar gaan we de volgende audit maken, maar het onderliggende risico houdt geen rekening met iets als opzet , bestaan en werking.
Renco:Nee, dus meer de mate van zekerheid die je krijgt over of een bepaalde maatregel effectief is. Ja. Zou ik zeggen.
Jan:Gaat iets wat in opzet en bestaat er is een datalek tegenhouden? Dat denk ik niet.
Renco:Ja, nou ja, die maatregel helemaal niet hebben zou misschien de kans op een datalek vergroten. Ja. Maar werking, daar zit natuurlijk de echte lakmoesproef, zou ik zeggen. Alleen dat veronderstelt zoveel procesvolwassenheid, zoveel security procesvolwassenheid, dat je eigenlijk die werking als een soort logische bijvangst hebt van een proces wat gewoon een hele professionele insteek heeft. Dus als je zegt, ik noem even wijzigingsbeheer, dankbaar voorbeeld.
Renco:Dan werk je uit, ik zit lekker tegen die microfoon aan. Je werkt uit hoe je dat ziet in een stuk. Dan ga je zeggen, nou laat mij eens een wijziging zien waarbij je je eigen stukken goed, je eigen beleid gevolgd hebt. Nou prima, dan kan je dan nog wel doen. Maar dan zeg je bij werking natuurlijk, ja ik wil graag, welke wijzigingen heb je allemaal gehad afgelopen jaar?
Renco:Nou, ik noem maar wat, 8. Nou, dan wil ik graag van wijziging 3, 5 en 7 wil ik dan zien dat je je eigen proces gevolgd hebt. Dan in 1 keer die lat zullen we maar zeggen, die van de volwassenheid die dat wijzigingsbeheer proces moet hebben, die gaat in 1 keer.
Jan:Ben het helemaal met je eens. Ja, dat is ook zo. En dat maar dat is wel wat het dan betekent. Kijk, want je bent wel
Renco:Toch wel heftig die impact.
Jan:Dat klopt, maar vergelijk het met een ISO 27001 en dan zijn het wel opzet en bestaan zoals jij het zelf hebt geformuleerd. Daar houdt de BIO2 ook wel rekening mee. Natuurlijk zitten er heel veel beheersmaatregelen in. En het is ook risk based. Dus je kan ook zeggen, hè dit is voor dit deel van de organisatie wel van toepassing en dit niet.
Jan:Het het probleem is als je alleen maar naar opzet en bestaan kijkt, dan loop je ook het risico dat jij een heel lastig lastig beheersmaatregel gaat beschrijven, die in principe voor de hele organisatie geldt. Ja. Maar waar tweederde van de organisatie nog nooit van gehoord heeft. Dus door gelijk te zeggen, we gaan naar alles kijken, dwing je jezelf ook om te zeggen van kijk, wat is dan realistisch? Wat kunnen wij ook echt werkend krijgen?
Renco:En die ruimte wordt wel geboden, meen jij, door de BIO of door de Cyberbeveiligingswet, die w van wet is dan nog wel weer pittig. Ja. En dan dat hele normenkader en dan niet alleen de beheersmaatregelen, maar ook alle overheidsmaatregelen en die daaronder hangen en dan ook nog eens een keer opzet, bestaand en werking. Ik denk gewoon, als je gemotiveerd wilt worden voor iets, dan moet je het gevoel hebben dat het een haalbare kaart is en ik denk soms, zeker als je wat achter ligt nog, die organisaties zijn er veel, dan kun je op een gegeven moment niet meer over de bergen heen kijken. De berg met werk heen.
Jan:Ja, je bedoelt het kan ook het volgende zijn waar je toch niet meer aan kan voldoen. Ja, het ook delen van organisatie die ook al lang weten dat ze niet aan de AVG kunnen voldoen.
Renco:Ja, en dat je dan op een gegeven moment dat een soort gelatenheid maar dat accepteert dat dat toch niet lukt, omdat de lat ertussen of het gat tussen waar je nu meent te staan en dat wat straks de wet, de AVG hebben natuurlijk al een aantal jaren, maar de Cyberbeveiligingswet straks eist, wettelijk eist, dat gat is dan zo groot, dat je misschien denkt ja, hoe moet dat ooit met de beperkte middelen die we hebben, hoe moeten we daar ooit komen? Ik hoor jou wel een deel van de oplossing aanreiken, dat is eigenlijk scoping. Toch? Ja,
Jan:zeker. Ja, kijk en ik denk, maar dit is ook een mate van perceptie van hoe ga je dit dan verkopen. Hoe ga je dit dan aan de man brengen.
Renco:Ja, dat was ons vak
Jan:toch zeker? Ja, nou ja, ja, ook maar kijk het onderliggende stukje, nou, wat voor ons dan ook niet nieuw is, hè, het ISMS. Dus het men informatie beveiligings management systeem, hè, waar de I van de BIO2 als als dus in interpretatie van de Cyberbeveiligingswet het veel over heeft. En het ISMS conform ISO 27001. Dat kan ook al voor een hele kleine organisatie en dat dat is risico gebaseerd.
Jan:Dat houdt ook rekening met van wat is wat is goed voor deze organisatie, voor dit proces, voor dit kernproces
Renco:En dus ook met de hart, ook rekening met de grootte en de complexiteit van die organisatie.
Jan:Ook. En het lastige is dat allerlei, ja beleidsstukken die niet ook op werking getoetst worden, die worden juist snel heel groot en heel complex en dan dus alleen nog maar begrijpelijk voor een deel van de organisatie. Ja, kijk,
Renco:dat vind ik een interessant punt. Dat heb ik nog nooit eerder iemand zo horen zeggen, dus als iets niet in werking getoetst wordt, dan loop je het risico dat iets in bestaan of in opzet, wat daar dan voor zit, eigenlijk veel te groot of te onbegrijpelijk of te breed wordt vastgelegd.
Jan:Ja, ja. Ja, want dat dat dwingt ook niet meer degene die dat opstelt om ook ook te kijken van is dit dan nog uitvoerbaar.
Renco:En want
Jan:kijk, als niet iedereen die daarin genoemd wordt in bijvoorbeeld een beleidsstuk, weet dat überhaupt het beleidsstuk bestaat en dat zij er een rol in hebben. Ja, dan kun je de werking al wel afschrijven. Ja. Hè, terwijl als je wel naar die werking kijkt, dan kan zo iemand ook zeggen, hè, maar dit is, hè, in de praktijk lastig of niet haalbaar of dit gaat zoveel tijd kosten of is überhaupt niet relevant.
Renco:Maar dan pak je eigenlijk dus de inhoudelijke kant. Laten we weer het voorbeeld wijzigingsbeheer nemen, maar neem je eigenlijk samen met de managementsysteem kant. Dus je denkt inhoudelijk over na. Ik denk dat ik zo meteen de geluidstechnicus even nodig heb hier. Of ik moet gewoon mijn handen stil houden.
Renco:Je pakt eigenlijk de inhoudelijke kant, dus bijvoorbeeld je wijzigingsbeheer. Dat ga je uitwerking opzetten en dan hopelijk ook in werking. Maar eigenlijk zeg je, hoor ik jou zeggen, als ik je goed begrijp, als je die werking pakt, dan moet je die mensen die in de uitvoering al die handelingen te verrichten hebben en te registreren hebben en vast te leggen hebben, wat weer een onderdeel uitmaakt van je managementsysteem. Ja. Daar komen die 2 werelden eigenlijk bij elkaar.
Renco:Zeg maar de besturingsvraag, meer vanuit de ISMS gedachte. Hoe kan het management sturen op in control zijn op informatiebeveiliging, waar dan bijvoorbeeld wijzigingsbeheer een onderdeel van uitmaakt. Ja. En hoe voorkomen we dat er een gat blijft bestaan tussen wat we op papier allemaal mooi keurig uitgewerkt hebben.
Jan:Ja en ook wat in de praktijk kan, want wat het het belangrijk is hier die die keten verantwoordelijkheden, mij betreft ook, hè. Dus heel veel overheden werken natuurlijk als het om IT gaat met allerhande partijen samen. Ja. Hè, dus als je die beleidsstukken bijvoorbeeld inzet van nou ja, elke change moet eerst worden goedgekeurd. En vervolgens blijkt dat dat helemaal niet kan, omdat dat systeem wordt gewoon en naar een nieuwe versie gepusht door die leverancier.
Jan:Ja, dan houdt het dus daarop. Hè, dat dat kan dan niet bestaan. Dus als je die werking dan erbij neemt, dan kan je dat weer terugbrengen van hey, maar dan moeten we dus op een andere manier over nadenken. Dan zit het meer risicomanagement, Is dit systeem zo belangrijk dat wij daar controle over moeten hebben. Dan kan je de andere vraag, de onderliggende vraag Dan
Renco:zou je afspraken kunnen maken met de leverancier van dat betreffende Ja, of of
Jan:het kan niet, maar dan en dan accepteer je een bepaald risico. Maar dan ben je wel weer in control.
Renco:Die werking, zeg maar de incorporeren dwingt je dus om de om dat wat je allemaal uit de boekjes heel mooi kan opschrijven te toetsen aan hoe het in de werkelijkheid wel of niet zou kunnen. En kunnen kan zijn inderdaad je hebt met een leverancier te maken, maar wat mij betreft zou kunnen ook kunnen zijn bepaald expertise gebied wat je wel of niet hebt binnen je eigen organisatie. Het kan het ook blootleggen. En door die werking erbij te betrekken, breng je werkelijkheid en papier dichter bij elkaar, alleen het zal ook het opleveren van beleid enorm vertragen. Ja.
Renco:Omdat er meer mensen betrokken zijn bij de totstandkoming van dat beleid.
Jan:Ja, maar ik, ik ja, ik ik denk dat dat misschien niet zo heel heel erg is.
Renco:Nee, je zou zeggen dat is het dan waard.
Jan:Ja, of soms zelfs wel bijna positief kan zijn. Hè, want als je allerlei beleid produceert, en wat dan is dat wordt het beleid ook steeds minder waard. Dus als het heel ja, het wat meer tijd kost en het moet wat beter gecommuniceerd worden door een organisatie. Er moet wat meer consensus over zijn of überhaupt mensen die het gezien hebben. Nou, dan lijkt me dat alleen maar beter, dan als jij al 20 beleidstukken in de kast hebt liggen en zegt van nou, in principe zou het zo moeten gaan.
Renco:Ja, ja. In principe er al voor
Jan:te zeggen. Ik heb ook beleidstukken gelezen, daar daar staat over bij leveranciersmanagement in, hé, leveranciers moeten ISO 27001 gecertificeerd zijn. Nou
Renco:Ja, daar valt gaat
Jan:toch nooit gebeuren?
Renco:Nee, maar je kunt dat in ieder geval niet als eis overal opleggen.
Jan:Nee, precies, maar dat is dan wel het beleid wat overeengekomen is. Hè, dus daar willen we naartoe om straks in het kader van de Cyberbeveiligingswet moeten gewoon alle leveranciers ISO 27001 gecertificeerd zijn. Ja, is nooit haalbaar.
Renco:Ja, dan heb je dan heel mooi opgeschreven. Ja. Maar ja, ja.
Jan:Ja, daar moet dus in de werking moet daar weer teruggekoppeld van hé, maar dit moet even aan de onderliggende risico's gekoppeld worden.
Renco:Ik moet denken aan iets wat iemand recent nog tegen mij zei. Die zei, die gaf aan, was een manager, die gaf aan, hebben een club in onze organisatie die schrijft beleid. Dat is vaak op strategisch niveau belegd, bijvoorbeeld bij een CIO office of een strategisch adviseur of bij de CISO. En die schrijft beleid op het gebied van informatiebeveiliging. En dat beleid wordt dan door de lijn management, door de directie vastgesteld.
Renco:Al dan niet na 1 of 2 review rondes whatever. Op een gegeven moment zeggen we nou, dit moet het zijn. En die manager die zei tegen mij. Op moment dat dat gebeurt, Dan heb ik eigenlijk meteen een hele grote mate van non compliance in mijn afdeling. Want hij onderkent op dat moment dat beleid ligt de lat hier neer.
Renco:Ik beeld het even uit op de video en ik zit hier. Daar zit een gat tussen. Dus ik heb meteen in een met het op het moment dat de dingen afgehamerd wordt heb ik in een keer een hele vracht huiswerk gekregen. Nou, dan zou ik zeggen oké, dat is ook zo. Beleid zou moeten richten waar je naartoe wilt, waar je wat je wilt behalen en dat je daar dan nog niet meteen staat vind ik dan logisch.
Renco:Ja. Hij zei eigenlijk die Hij voegde daar nog aan toe. Die non compliance die ik heb, die wordt eigenlijk geformuleerd naar risico's en die risico's die krijg ik eigenlijk via het risicomanagement proces aangereikt, zullen we zeggen. En toen dacht ik wel, wordt hij wel lastig, want dan worden risico's, worden hele droge non-compliance serie. Ja, daar
Jan:gaat het alleen maar daar nog over.
Renco:Toch? Ja, ik dacht echt oeh, hier zou ik niet vrolijk van worden als ik manager zou worden, want dan ik zou willen dat dat risico's zijn die
Jan:ik voel. Ja en die te maken hebben met het onderliggende proces. Dat is in ieder geval ook wel meer het idee.
Renco:Ja, wat bedoel je met onderliggende proces? Kun je een voorbeeld geven? Nou, bijvoorbeeld Het is kennelijk 12 uur, want ik hoor een sirene afgaan.
Jan:Ja, die hoor je goed. Ja, nou bijvoorbeeld een datalek. Of dat via via de mail wordt wordt data gedeeld met iemand buiten organisatie die niet gedeeld mag worden of een bepaald systeem wordt gehackt bij een leverancier. He, zoals in Amersfoort gebeurd is bij hun MSP en de back-ups worden verwijderd.
Renco:Ja.
Jan:Ja, dat dat zijn de risico's, denk ik, die je wil koppelen aan jouw processen. Van hè, wat betekent dat Ja. Voor voor mijn proces. Ja, minder dan oké, heb nu een achterstand en het zorgt een risico, bijvoorbeeld het is een risico dat ik niet, ja een controle kan doen dit kwartaal op wie de toegang hebben tot deze applicatie.
Renco:Ja, je zou dat natuurlijk je best kunnen doen om te zeggen nou, doordat ik die controle niet doe, neemt de kans toe dat iemand onrechtmatig inzage verkrijgt, omdat die nog rechten heeft die die niet zou moeten Ja, maar
Jan:is dat het risico.
Renco:Ja, dus dan moet je me eigenlijk helemaal weer terug redeneren naar dat proces waar die manager voor aan de lat staat, want anders gaat het toch ook niet tot leven komen, dan wordt het een
Jan:soort non Ja, dan zijn de risico's non-compliancy, ja.
Renco:Ja, ik vind het eigenlijk een raar risico altijd. Wat is het risico op non compliancy? Het risico zou zijn
Jan:De boete.
Renco:Ja, precies. Of juridische. Ja,
Jan:of imitatie verlies. Of bepaalde dingen die je als organisatie niet meer mag doen of je komt onder een bepaalde curatele te staan.
Renco:Ja, precies. Ja, dus dat non-compliance, eigenlijk moet je nog wat verder door redeneren, hè? Ja. Wat de consequenties van die non-compliance
Jan:Ja, maar dit ook altijd wel, vind ik een beetje een discussiepunt bij risicomanagement hè? Of je dus niet voldoende aan de wet. Je hebt ook mensen die zeggen nee, je dat zet ik erbij, want je moet gewoon voldoen aan de wet. Ja. Hè, dat is gewoon de basis.
Jan:En andere mensen zeggen ja, weet ik niet. Gewoon gewoon niet doen. Misschien komen ze ook wel niet achter.
Renco:Ja, ja. Ja, je mag ook niet door rood rijden. Dat doe ik ook af en toe wel. Ja, ja, ja, ja. Ik moet zeggen toen ik hier heen reed, ik woon in Zwolle, dan rij je over de prachtige IJsseldijk van Zwolle naar Deventer.
Renco:Toen moest ik, heb ik heel rustig gereden, want de vorige keer dat ik daar reed, toen haalde ik mijn 2 neven op. Kinderen van een zwager en toen ben ik zowel op de heenweg als op de terugweg geflitst. Kijk en dan pas ik mijn gedrag dus aan. Ik weet zeker als ik niet de geflitst was die keer, 2 keer op een dag, dat ik dan nu ook gewoon weer te hard hierheen zou zijn gereden. Dus je moet
Jan:een dag aanpassen, was in dit geval flitsmeister aanzetten of ook echt zacht rijden?
Renco:Nee, het was echt achter rijden, ja. Dus je moet af en toe ook het gevoel hebben, het is een beetje flauw voorbeeld misschien, maar je moet ook af en het gevoel hebben dat als je iets niet doet, een maatregel niet implementeert of een risico gewoon laat hangen, zal ik maar zeggen, dat dat ook als je nooit ervaart dat dat ook negatieve consequenties voor jou zou kunnen opleveren. Ja. Ja, dan dan denk je op een gegeven moment, nou dat kan dus
Jan:eigenlijk prima. Ja, dat ja, maar dat vind ik wel heel interessant punt, want dat dat wat mij betreft zit dat hier ook heel erg bij. Dat zonder die werking, ja, is het ook zo ja, en ander beleid stukken in de organisatie waar we niet aan voldoen. Ja, wat maakt het uit? Ik word er toch niet op aangesproken als lijnmanager of als afdelingshoofd of zelfs directie.
Jan:Hè. Ja, als als niemand die beleidsstukken kent, dan dan dan is dat ook zo. Ja, hoe hoe leer je dan op dat gebied? En dat is eigenlijk het grotere stukje bij bij veel, echt nu ook niet alleen maar overheden, hè. Maar dat dat informatie fijn toch nog steeds dat IT feestje blijft anders.
Jan:Want daar zitten ook die beleid, je hebt dan dus het strategische stuk meer. Dus om de CIO heen, CISO heen. En dan heb je dus gewoon professionele IT, die kennen die beleidsstukken dan wel.
Renco:Ja, over het algemeen wel.
Jan:Ja, daarbuiten heb je nog een hele andere business die ook gewoon, ja, misschien wel IT contracten afsluit. Zelf dingen in SaaS tooling zet, zelf daar persoonlijk persoonsgegevens in zet.
Renco:Ongetwijfeld,
Jan:ja. Ja, en die zouden dan in opzet en bestaan ook voldoen daaraan. Want dat wordt allemaal gedekt door opzet en bestaan, dat het ergens wel ergens anders wel bestaat, misschien nog wel een beetje werkt.
Renco:Ja, maar dat zegt niet per se iets. Ja. Als je iets aantoont bij de IT-organisatie, dan zegt dat natuurlijk niet per se dat bij de niet IT-afdelingen, waar ook IT zit, die niet van de centrale IT-afdeling komt, dat die dan ook voldoet. Dat is een hele grove aanname natuurlijk.
Jan:Ja, maar sterker nog, ja en daar zitten waarschijnlijk dan ook wel meer risico's zelfs. Ja. Want dat is niet 1 beheerst omgeving, die applicaties bijvoorbeeld nu ook gewoon niet op het netwerk, hè, of die zijn misschien wel niet aangesloten via via single sign on. Ja, ja. Hè, dus daar zijn ook nog andere wachtwoorden voor.
Renco:Vallen niet onder de backup.
Jan:Ja, precies. Vallen je weet niet wat voor backups daar zijn, dus het kan vallen niet onder het sok. Ja, geen monitoring op.
Renco:Maar ben jij nou, Jan, onderaan de streep, ben jij blij met die Cyberbeveiligingswet? Even los van dat het voor consultants wat werkgelegenheid oplevert, maar even het perspectief van de klanten die door jou bediend worden. Hoe kijk je ernaar?
Jan:Ik zie een aarzeling. Ja, ik vind het toch te vroeg. Ik denk wel, het is gewoon een ben ik blij? Ja, dus een ja nee, dan zeg ik ja. En dan denk ik toch wel de overwegende emotie zou dan blij zijn, hè of of of teleurgesteld.
Jan:Ik ben er niet teleurgesteld mee. Ik hoop wel dat het dan ook nu echt een keer gaat gebeuren. Het is nu al zo lang uitgesteld. En dat je ook echt nou, in werking treedt. De disclaimer is wel, hoe gaat hier dan op gemonitord worden?
Jan:Hoe gaat hier op doorgepakt worden? En worden er ook middelen beschikbaar gesteld om organisaties hiermee te helpen. Hoe je dit dan moet doen. Ja. Dus niet alleen maar meer van, dat lost de markt dan wel op of zo.
Jan:Maar bijvoorbeeld is, we hebben het net over het stukje risicomanagement ga je ook organisaties helpen om dat dan gestructureerd op te zetten van bovenaf.
Renco:En je moet ook af en toe wel iemand hebben die je flist op de dijk. Ja. Dat je als je het niet doet.
Jan:Ja, dan moet er ook wel uitgelegd worden wat je gedaan hebt. Dus als jij gewoon, ja een boete binnenkrijgt en staat er ook niet op waar je geflitst bent, dan verwacht ik daar ook weinig van. Ja, ja. Dus je moet dan ook wel zorgen dat degene die hier op gaat controleren en die eventueel de boetes gaat uitschrijven ook kan uitleggen van wat hoe moet het dan wel
Renco:ja of goed naar volgbare wijze dat je niet verrast wordt of omdat er dat een boete onbegrepen wordt want dan zet het ook niet aan tot verbetering
Jan:ja en waarom ben ik dan toch blij?
Renco:Want ja. Nou, ik zit jouw gezicht af te lezen Jan.
Jan:Ja, kijk, hebt toch meer als je blij bent. Zeker bij meerdere, wat grotere overheidsorganisaties gezien, is dat het gewoon niet lukt om risicomanagement en verantwoordelijkheid voor informatiebeveiliging over die hele organisatie uit te spreiden. En als dat niet gaat gebeuren, dan zie ik wel de onderliggende risico's echt steeds verder groeien. Hij heeft ook wel gewoon een link met huidige geopolitiek, Maar ook gewoon een cyber incidenten die hand over hand nog steeds toenemen. Ja.
Jan:En de de de van van de business bij veel overheden neemt ook daarmee gewoon toe, En alles staat in in teams slash sharepoint, hè. En daar is ook weinig controle op, Wie heeft daar nou wel of niet toegang tot? En dat kun je denk ik alleen maar oplossen door echt organisaties te dwingen naar zo'n managementsysteem te gaan.
Renco:Ja, dus niet zozeer zoals misschien die eerdere BIO, weliswaar onder verplichte zelfregulering, de eerdere BIO probeerde vooral te zeggen nou doe nou gewoon dit, dit zijn de maatregelen. Als je nou deze gewoon neemt en we doen het allemaal als overheidsorganisaties dan hebben we bepaald minimum niveau met elkaar alleen we liepen er volgens mij tegenaan dat we dat wat jij net beschreef dat we het niet breed gedragen kregen dus je gaat bottom-up zeg maar vanuit de maatregelen bezien ga je op een gegeven moment tegen plafond aanlopen van wat je nog kan bereiken daar, omdat het op een gegeven moment om middelen gaat, prioritering gaat, uren, centen. Al dat soort vraagstukken komen in beeld en dan zit je gewoon op de stoel van de manager. Die gaat daarover. Ja.
Renco:En dus het positieve vind ik wel dat die bij Cyberbeveiligingswet in ieder geval van boven naar beneden
Jan:Het moet bottom,
Renco:een prikkel geeft.
Jan:Top down.
Renco:Een prikkel geeft om hier wat mee te gaan doen en hoop ik dat die 2 werelden, die bottom-up benadering van liefhebbers waar ik mezelf dan eigenlijk ook maar even toe reken die willen wel
Jan:helemaal niet gevraagd wat jij ervan vindt
Renco:en dat is ook prima permitteerd hier ik vind heerlijk om dan allemaal vragen op iemand anders af te vuren ja maar ik geef dan toch antwoord op die niet gestelde vraag. Ik ben er wel blij mee dat die prikkel van boven naar beneden komt met die Cyberbeveiligingswet en dat we daar wegblijven uit al die maatregelen gekkigheid, want die gekheid moeten we wel doen, maar die moeten de inhoudsmensen doen en niet de manager bovenin, zeg maar. Dus die moeten aanhaken op dat risicomanagement verhaal.
Jan:Ja, precies. Ja, ik ben zo blij dat je dat risico want dat is het echt. Het gaat om dat risicomanagement verhaal, want dat gaat ook het begrip veroorzaken, hoop ik, waarom dit nou zo belangrijk is, waarom dit nodig is en hoe dit ook gekoppeld is aan de doelstellingen van de organisatie zelf.
Renco:Ja, maar dan moeten we dus niet blijven verzanden in non-compliancy risico's of risico's op het niet nakomen van wetgeving, want dan bereiken we dat doel niet, want die manager slaat daar niet op aan denk ik. Ja, misschien een enkeling wel, maar als je heel
Jan:maar ik weet het wel nog steeds hoe dat dan gaat, want dit is dan de stok. Maar hoe ze dat dan moeten gaan doen, grote organisaties dat risicomanagement. Ja, vind ik dan top. Daar is niet 1 manier voor, maar ik heb in ieder geval ook wel gezien dat toch de neiging dan dan is om te zeggen, doe toch maar bottom-up. Met een soort pilot lokaal.
Renco:Security.
Jan:Ja, ja, want die weet het al. Ik heb dat, ja, ik heb dat eigenlijk zo op die manier niet zien zien slagen. Gewoon omdat je gewoon vanaf moment 1, de top van een organisatie aan boord ervoor moet hebben.
Renco:Ja, dat is natuurlijk vanuit een managementsysteem gedachte is dat een open deur, dat het managementsysteem gaat niet werken als het management niks doet. Dan hoef je ook geen managementsysteem op te tuigen. Dus in de 21001 zit die sturende rol van dat management verankerd. Als niet aangetoond kan worden, dan zul je niet gecertificeerd worden of niet opnieuw gecertificeerd worden. De vraag is hoe dat zal gaan, omdat de BIO weliswaar zegt dat je een managementsysteem moet hebben conform 27001, maar je hoeft niet gecertificeerd te zijn.
Renco:Nee. Dus de vraag is, is er nog genoeg prikkel afgezien van dat de bestuurders natuurlijk af en toe een training moeten volgen en zo, maar
Jan:Nou ja, die is er wel. Die is er wel,
Renco:maar ik bedoel is dat dan genoeg? Ik had eigenlijk wel, misschien komt dat nog hoor, maar dat ik vind het in die 27001 zo lekker dat die managers, die moeten gewoon aan tafel op een gegeven moment zeggen dit is wat we gaan doen en we gaan linksaf of we gaan rechtsaf en nou, moeten kleur bekennen en ja, daar ben ik, als ik kijk naar de Cyberbeveiligingswet , dan denk ik, dan wordt een goede stap gezet om top-down zeg maar een goede prikkel te geven. Maar toch ben ik nog wat sceptisch misschien.
Jan:Of ze ook echt echt voldoende aan tafel gaan komen? Ja. Of dat ze het voldoende begrijpen?
Renco:Ja, zit het, dat ze misschien toch door de waan, door de praktijk van alledag. Ik denk dat mensen echt wel zien dat informatiebeveiliging belangrijk is. Daar geloof ik echt wel in. Alleen dat is nog wat anders dan actief op sturen. Ik denk dat toch het verleidelijk zal blijven om dat over te laten aan de CISO.
Jan:Ja, maar dan, ja, dat kan ook. Maar dan moet je kijken van wat is dan de positie van jouw CISO of jouw CIO binnen je organisatie. Ja. Als je zegt, kan dat zelf niet goed, die afweging maken. En jij wil dat iemand die voor jou maakt, dan moet je dus zeggen ook durft zeggen, nou dan is dat die iemand die in ieder geval in dat stukje, als het gaat om dat stukje, dat onderwerp in de hiërarchie hoog in de boom staat.
Renco:Ja, maar dan moet je diegene ook dat platform geven, dat mandaat geven, om dat van jou over te kunnen nemen.
Jan:Ja, ja. Ja en dat dat zit er nu niet in. Hè, dus dat ben ik ja, dat dat had ik misschien dan ook toch nog liever gezien. Maar dat is een beetje gek natuurlijk om in een beveiligingswet te zeggen van hé, de CISO die moet daar zitten. Nee.
Jan:In die organisatie. Maar dat zou wel heel fijn zijn als dat op een gegeven moment ook komt. Dat beeld dat een CISO en een CIO breder mandaat moeten hebben.
Renco:Ja, niet alleen maar over die IT-kolom of over die iconen mogen regeren, maar dat ook wat te zeggen hebben over al die andere niet IT, niet IV afdelingen die je in de organisatie heeft.
Jan:Ja, want je ziet ook veel CISO's die ik daarover spreek, die zeggen ook, ja, als ze bij een nieuwe CISO functie zeggen ze, dat is de eerste vraag die je stelt. Waar zit die CISO dan?
Renco:Ja, omdat het antwoord al zoveel zeggend is eigenlijk.
Jan:Ja, dus kan ik mijn werk hier doen of
Renco:Ja, naar wie rapporteer ik? Ja. Nou Jan, wij houden dit nog wel een tijdje vol denk ik hè? Jawel. Ja.
Renco:Dan moeten we zo'n soort drieluik maken, maar ik hoor bijna de maag van mijn zwager rommelen. Nee, dat is flauw. Hij heeft geen microfoon. Dat is echt heel gemeen. Nee, ik, dat is alle gek op een stokje.
Renco:Ik hoorde natuurlijk het luchtalarm al afgaan, dus ik stel voor het hier bij het laten. En ja, jij woont in Deventer. Er zit een leuke podcast studio in Deventer hebben we ontdekt, dus wie weet kunnen we dit nog eens keer doen.
Jan:Lijkt me hartstikke leuk.
Renco:Want we hebben nog een voorgesprek gehad en daar, nou ik heb volgens mij nog wel 4, 5, 6 onderwerpen gehoord.
Jan:Daar kwamen nog wel wat andere onderwerpen
Renco:uit. Ik wens jou in ieder geval heel veel succes in het volmaken van je eerste jaar als zelfstandige, want dat zal dan in
Jan:juni zijn denk ik hè? Als volledig zelfstandig. Sorry, als volledig zelfstandig.
Renco:Ja, precies. En ontzettend bedankt dat je er was en voor je inzichten.
Jan:Ja, hartstikke bedankt voor de uitnodiging, Renco. Ik vond het hartstikke leuk en interessant.
Renco:Nou, wij gaan elkaar weer tegenkomen.
Jan:Zeker.
Renco:Hey bedankt, Hoi. En daarmee is deze aflevering van qeep talking alweer afgelopen. Abonneren is gratis en zo gepiept en op die manier ontvang je nieuwe content direct in je mailbox. In de volgende aflevering ga ik weer in gesprek met een andere gast en ik hoop dat je dan ook weer luistert. Tot dan.
