Een erg bepalende ervaring bij een universiteit

In 1992 was ik, ad interim, verantwoordelijk voor een universitair computercentrum. Daar heb ik mijn eerste ervaring opgedaan met het fenomeen hacken; met schade en enige publiciteit. Een bijzonder leerzaam moment!

Vanaf die tijd is informatiebeveiliging niet meer een bijkomstigheid, maar een serieus aandachtspunt en een rode draad door de diverse opdrachten heen. In de eerste jaren enigszins beperkt, maar geleidelijk aan meer als belangrijkste aspect van de diverse opdrachten. Mijn verantwoordelijkheden en rollen waren divers. De voornaamste aspecten en aandachtspunten waren vooral de bedrijfsvoering (beleid, kwetsbaarheden en continuïteit), informatie risk management, eigenaarschap, classificeren, privacy, audits, interne en externe toezichthouders, preventie, passende maatregelen en afhandelen van incidenten en de context en samenhang van de voornoemde aspecten.

 

Enkele ervaringen uit de praktijk

Bedrijfsvoering, ICT en Governance zijn, ondanks diverse goedbedoelde pogingen, nooit een echte drie-eenheid geworden en vinden elkaar niet altijd voor een goede afstemming en aansluiting op elkaar. Diverse componenten van ICT, bedrijfsvoering en Governance “leven een eigen leven”, kennen hun “eigen” processen en rollen, kennen een eigen ontwikkel pad, terminologie en best practices. Daardoor wordt het permanent verbeteren, het “In control komen” en het “In control blijven”, als onderdeel van de PDCA cyclus, in de dagelijkse praktijk bemoeilijkt.

 

Het feit dat Informatiebeveiliging nog steeds wordt gezien en gekenmerkt als Niet Functionele Requirement (NFR) bevordert de communicatie met ontwikkelaars en leveranciers niet echt en leidt tot het ontwikkelen en aanschaf van systemen gericht op infrastructuur componenten, zonder adequate kwaliteit en/of security voorzieningen. IOT en Apps’ zijn daar voorbeelden van en verhogen ongewild de kwetsbaarheid van organisaties.

 

De huidige aanpak en oriëntatie bij organisaties richt zich veelal op cyber security (dreigingen van buitenaf) en de infrastructuur met het risico dat: de scope te klein is, met onvoldoende aandacht voor de interne dreigingen, zoals bijvoorbeeld oneigenlijk gebruik, misbruik en fraude. Na diverse ernstige privacy- en securityincidenten is er meer aandacht en zijn er inhaalacties gaande, met o.a. als gevolg schaarste aan deskundigheid en ervaring.

 

Hoe kijk ik daar naar?

In de huidige tijd behoren veiligheid en privacy (wettelijk) standaardonderdelen te zijn van systemen en ieder ICT component en tot de essentie daarvan te behoren; security en privacy: een onlosmakelijk standaard onderdeel!

Waar om (goede) redenen, al dan niet onderbouwd door een risicoanalyse, op onderdelen daarvan wordt afgeweken, is het principe “Pas toe, of Leg uit” een randvoorwaarde. Een randvoorwaarde, die door Verantwoordelijken, toezichthouders, accountants, auditors en RVB/RVC zeer gewaardeerd wordt.

 

Veranderingen zijn permanent en komen steeds sneller op mensen en organisaties af. In de afgelopen 30 jaar heb ik veel organisaties mogen begeleiden en geholpen in een wereld waar er permanent veranderingen zijn. De noodzaak om wendbaar te zijn is groter dan ooit. Maar dat is lastig als er nog grote achterstanden zijn. Het leren omgaan met snelle verandering, als onderdeel van de bedrijfsvoering is ook voor al de ICT disciplines een absolute noodzaak.

Belangrijk daarbij is het willen en kunnen overzien van het” hele plaatje”, het zoeken en vinden van begrijpbare ankerpunten en fundamentele uitgangspunten; buiten de eigen kader (rollen, processen en silo’s).

 

Privacy, security en de wettelijke voorschriften voor Privacy & security by design zijn de essentie, het uitgangspunt en de basis voor een integraal “privacy, security & compliance by design” beleid, geborgd in de PDCA cyclus.

Een paar onderdelen daarvan zijn:

  • Vanuit een integrale visie en aanpak (Ecosysteem, gebaseerd op Eigenaarschap/VIR 2007 uitgangspunten).
  • Vinden van blinde vlekken en potentiële issues en (cyber) bedreigingen.
  • Gericht op het verbeteren van het volwassenheidsniveau.
  • Van reactief (achter de feiten aanlopen) naar proactief.
  • Gedurende de hele levenscyclus van de producten en diensten van de organisatie.
  • Los van de kaders van silo’s rollen en processen heen.
  • Binnen kaders van erkende normeringen en best-practices; een basis voor mogelijke certificering.

 

Alphen aan den Rijn 16 februari 2023

Norman van Es

Kennen en herkennen van risico's

25 mei 2018 is voorbij. Wat zijn de knelpunten om te voldoen aan de AVG?
* Kennis van de materie?
* Tijd om alles zelf uit te zoeken en te lezen?
* Budget?

Te laat voor het adequaat invullen van de verantwoordingsplicht?
Wat nu?

Neem contact op voor een (mogelijk) passen antwoord

Onze diensten en producten:

  • Invullen van de rol Functionaris Gegevensbescherming, of Privacy Officer.
  • (Deel)advisering privacy en security gerelateerde zaken. Waaronde de impact op de bedrijfsvoering.
  • De workshop AVG – Verantwoorden en in control. Een snelle en effectieve inhaalslag.
  • De workshop materialen voor de “doe-het-zelver”. Afzonderlijk leverbaar.
  • Het telefonisch spreekuur (reserveer en blok van 20 minuten).
  • Projecten en consultancy ( (privacy op een platform van security).

De aanpak AVG Verantwoorden en in control©

Een product N. van Es Management & Advies

Algemene verordening gegevensbescherming

Wat verandert er als de algemene verordening gegevensbescherming (AVG) van toepassing is? Waar moeten organisaties dan aan voldoen? En hoe kunnen zij zich nu alvast voorbereiden?

Hoe ver bent u met het implementeren van de gevolgen van de Wetbescherming persoonsgegevens en de Meldplicht Datalekken?

Ongeacht de huidige situatie binnen uw organisatie zullen wij u helpen om per 25 mei 2018 uw privacy zaken op orde te hebben. Weloverwogen, niet te veel, maar zeker niet te weinig. En geïmplementeerd als een standaard onderdeel van uw bedrijfsvoering EN product-/dienstontwikkeling.

en niet de (nationale) pers bereiken ..... zoals bijvoorbeeld

Hier wil je dus niet bijstaan!!!

Als de Algemene Verordening Gegevensbescherming van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability).

Documentatieplicht

Organisaties hebben daarom een documentatieplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

Hulp bij naleving wet

Maar de AVG biedt organisaties tegelijkertijd meer instrumenten die hen helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor de relatie tussen de verantwoordelijke en de verwerker (in de Wbp heet dit de bewerker) en voor doorgifte van persoonsgegevens.

Wijzigingen per 25 mei 2018

Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:

zij hoeven verwerkingen van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens;

zij kunnen verplicht zijn een privacy impact assessment (PIA) uit te voeren;

zij kunnen verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen;

privacy bij design.

Privacy by design houdt in dat u als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Ten tweede houdt u rekening met dataminimalisatie: u verwerkt zo min mogelijk persoonsgegevens, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Op deze manier kunt u een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afdwingen.

Dienstverlening Informatiebeveiliging

Onze dienstverlening is gericht op het ondersteunen van organisaties bij het kunnen voldoen aan de eisen, gesteld  door wetgevers en de toezichthouders; specifiek die voor de bescherming van de privacy, de informatiebeveiliging en de daarbij behorende Governance. Recent dus ook de eis dat 25 mei 2018 "privacy by design en privacy by default" vanuit Europa een verplichting is.

Voorbeelden portfolio

Informatiebeveiliging en gegevensbescherming

Functionaris Gegevensbescherming/Data Protection Officer

Assessments, audits en second opinion

Masterclass en workshops

Interimmanagement en project management

Privacy en security vraagstukken binnen: bedrijfsvoering, marketing, design (diensten en producten) en boardroom

Vlottrekken vastgelopen projecten.

Organisaties kijken anders tegen informatiebeveiliging aan dan overheden. Voor hen zijn beschikbaarheid en integriteit van informatie van vitaal belang voor de continuïteit van de bedrijfsvoering en het halen van de beoogde bedrijfsdoelstellingen. Het hier niet aan kunnen voldoen heeft direct gevolgen op klantentevredenheid, (financiële) resultaten, reputatie en concurrentiepositie. Voor de organisaties zijn er dus voldoende strategische redenen om Informatiebeveiliging op de agenda te zetten en de juiste waarde toe te kennen. Dus niet per se ingegeven door privacy en vertrouwelijkheid. 

Informatiebeveiliging opdrachten voeren wij daarom bij voorkeur uit vanuit de totale samenhang: bedrijfsvoering en continuïteit, de Algemene Verordening Gegevensbescherming (AVG) en de best-practices. In de aanpak zijn daarbij de voor organisaties belangrijkste zaken leidend en uitgangspunt. Met als gevolg meer management aandacht en draagvlak.

Wij beschikken over de inhoudelijke deskundigheid om organisaties daarbij voortvarend te helpen. Ook bij het maken van keuzes, in samenhang met risico analyses en de feitelijke stand van zaken. Afhankelijk van het type organisatie maken wij gebruik van de vele best-practices die beschikbaar zijn. Best-practices op het gebied van Governance, Informatie Risico Management, Informatiebeveiliging en ICT bedrijfsvoering.

Indien gewenst kan ik organisaties begeleiden bij het behalen van de gewenste certificering(en).

Door de ruime en praktische ervaring zijn wij in staat om veel soorten organisaties van dienst te zijn met de diverse vraagstukken richting 2018.


De context van Informatiebeveiliging 

Bedrijfsvoering, Plan Do Check Act )PDCA) cyclus, (juridisch) eigenaarschap.

Governance, Informatie Risico Management en Informatiebeveiliging.

Business Impact Analyse (BIA): Beschikbaarheid, Integriteit en Veiligheid.


De context van de aanpak en van de (projectmatig) uitgevoerde werkzaamheden:

Bepalen van de positie. Waar staan wij, wat is er niet goed, wat ontbreekt er, welke risico’s zijn er en welke schade kan er ontstaan?

 ‘In control’ komen en blijven. Definiëren en implementeren standaard. Doorvoeren van verbeterpunten, anticiperen op toekomstige audits en het (her) inrichten van AO/IC frameworks.

Verbinden van de Governance, Informatie Beveiliging en Informatie Risk Management met de bestaande c.q. gewenste Outsourcing en ICT activiteiten, processen en rollen(functioneel en technisch).

Adequaat reageren op bevindingen van externe derden, zoals toezichthouders en externe/interne auditeurs.

Audit, op orde brengen en houden van de Plan-Do-Check-Act cyclus voor Informatiebeveiliging. 


Voorbeelden van diensten en opdrachten:

Workshops impact Privacywetgeving en de Meldplicht Datalekken.

Doelgroepen: ondernemers en bestuurders; de (juridisch) verantwoordelijken).

Doelstelling workshop:

  • Inzicht in de plaats van Informatiebeveiligin:
    – Als onderdeel van de bedrijfsvoering
    – Als een standaard onderdeel van de producten en diensten
    – Als een verplichting voor persoonsgegevens vanuit de wetgeving
  • De verantwoordelijke weet wat de impact van de wetgeving is op:
    – De bedrijfsvoering vanaf 1-1-2016 en per 25 mei 2018
    – De reeds genomen beveiligingsmaatregelen
  • De verantwoordelijke weet wat hij/zij nog niet weet en/of nog niet geregeld heeft
  • De verantwoordelijke is in staat de risico’s af te wegen
  • De verantwoordelijke weet waar de relevante informatie te vinden is.
  • De verantwoordelijke weet wat minimaal nu moet worden gedaan en wat later kan 

____________________________________________________________________________________________________________________________________

Consultancy/sparring partner diverse organisaties: gezondheidszorg, personeelsdiensten, dienstverlener business consultancy,  kerkgenootschappen, stichtingen, MKB, service providers (cloud, SAAS, e.d.), financiële dienstverleners, enz.

___________________________________________________________________________________

Bij een overheidsorganisatie binnen een innovatief Programma verantwoordelijk voor het definiëren van de nieuwe standaard voor informatiebeveiliging, waarin de meest recente best practices, standpunten en ontwikkelingen zijn meegenomen. Het beleid en Governance van de overheid en het ministerie zijn daarbij getoetst op bruikbaarheid. Hierbij zijn zaken aan de orde geweest als:

  • VIR, Wet bescherming Persoonsgegevens. Definities en verantwoordelijkheid en rol systeem/proces eigenaar in het bedrijfsproces en de informatiebeveiliging. Uitvoeren van risk assessment (conform ISF/IRAM methodiek). Vaststellen BIA classificatie (vertrouwelijkheid, integriteit, beschikbaarheid) en mitigerende maatregelen. 
  • Security assessment leveranciers. Opstellen en toetsen requirements voor uitbesteden.
  • BIR, BIG, ISO/NEN 27000 serie, Architectuur (NORA, ICTU). Cybersecurity.
  • Rol en adviezen van het NCIC (BYOD, whitepapers,..).
  • Kabinet standpunten betreffende Responsible Disclosure, Cloud/SaaS diensten, e.d.
  • Kwaliteitscirkel (PDCA cyclus) als hulpmiddel voor borging/onderhoud van het beleid.

____________________________________________________________________________________________

Bij een productiebedrijf.

Naar aanleiding van geconstateerde onvolkomenheden in de verwerking van gegevens is een nader onderzoek uitgevoerd naar de mogelijke oorzaken. Na het vaststellen van de oorzaken zijn aanvullende maatregelen voorbereid en doorgevoerd. Deze maatregelen zijn vooral gericht op 1) het voorkomen van ongeoorloofde toegang tot systemen en gegevens en 2) het “loggen” van wijzigen in de Master Data.

Een aantal genomen maatregelen:
inventariseren van alle informatie Assets, invoeren Eigenaarschap (rol/verantwoordelijkheden), doorvoeren verbeterpunten in informatiebeveiliging en beveiligingincident aanpak en procedures, herdefiniëren en update van de Governance (J-SOX/ISAE 3402/COSO, beveiligingsbeleid, richtlijnen voor audit & control, functiescheiding), opfrissen awareness, aanpassen processen en AO (access cotrol, autorisatie, afstemmen met de Outsourcing partij), de procedures en de werkinstructies. Gezamenlijk met HRM, ICT, Finance en AO/IC zijn de diverse verbeterpunten voorbereid en doorgevoerd.

____________________________________________________________________________________________

Diverse organisaties (overheid en bedrijfsleven, privaat en publiek)

Service Management en security. Opstellen van SLA’s en uitvoeren en verantwoorden van werkzaamheden conform SLA’s. Specifieke aandachtspunten daarbij: beveiligingsincidenten (melden/afhandelen), escalatieproces, uitwijk en ketentesten beheer.

____________________________________________________________________________________________

Air France KLM. Identity Management en role based access. In samenwerking met de systeem/proces eigenaren, functioneel beheer en de ICT afdeling.

___________________________________________________________________________________

Financiële instellingen

  • Ten behoeve van een Europees bedrijfsonderdeel. Verantwoordelijk voor het realiseren van certificeer faciliteiten ten behoeve van externe koppelingen (requirements, processen, systemen en mensen) en de daarbij behorende Governance, spelregels en procedures.
  • Corporate Taskforce. Doel: op orde brengen van zaken rondom de vele externe koppelingen met uitbestedingpartners en het (doen) certificeren van deze externe koppelingen.
  • Vanuit de bedrijfsvoering (marketing en verzekeringen) waren diverse uitbestedinginitiatieven opgestart. Het ontbrak bij de desbetreffende bedrijfsonderdeel aan voldoende/up to date kennis van: het beleid, de afspraken en spelregels, de inhoud van de overeenkomsten, de eisen van de toezichthouders, de technische mogelijkheden, de Security/Risk Management best practices en regels.
  • De organisatie was volgens de toezichthouder onvoldoende In Control met betrekking tot de beveiliging van de externe koppelingen (van en naar derde partijen). De situaties is hersteld door de set aan maatregelen die gelden voor outsourcing te hanteren. Hiermede werd voldaan aan de SAS 70 (nu ISAE 3402) voorwaarden.