Global Warming, Blokkendozen en Security!

Security en global warming: “Iedereen maakt zich zorgen en vindt het belangrijk! Maar niemand doet er iets aan of weet wat effectief is en iedereen wacht tot de ander begint!”. Lees hier de laatste blog in deze blogreeks van onze Chief Security Officer, Paul Oor.

24 januari 2019   |   Blog   |   Door: Conclusion

Deel

Paul Oor

“It’s a collective endeavour, it’s collective accountability and it may not be too late…”

Christine Lagarde on Climate Change

In december had ik weer eens het genoegen om een groot gezelschap businessmanagers toe te spreken. Ingeklemd tussen flitsende presentaties over financiële jaarcijfers en nieuwe, innovatieve diensten en producten mocht ik de interesse voor security en gegevensbescherming naar een hoger niveau tillen… Welke Chief Security Officer (CSO) kent deze uitdaging niet?

Natuurlijk begin je met een vraag om contact met het publiek te maken… Na enige overpeinzingen leek Global Warming een mooie analogie met het hele brede werkgebied van een CSO, dus koos ik dit keer voor de openingsvraag; “Wat hebben Global Warming en Security met elkaar gemeen?”.

Spontaan reageerde een manager vanaf de eerste rij: “Iedereen maakt zich zorgen en vindt het belangrijk! Maar niemand doet er iets aan, weet wat effectief is en wacht tot de ander begint!”

Een mooiere ijsbreker had ik niet kunnen hebben! De mooie financiële cijfers waren direct vergeten en ik had over interactie met het publiek niet te klagen… Uit de reacties bleek maar weer eens dat het besef en de wil om te verbeteren er echt wel is. Maar voor Businessmanagers is het best een uitdaging om te bepalen waar ze moeten beginnen en vooral om te bepalen wanneer het ‘goed genoeg is’… Het feit dat maatregelen voor security en gegevensbescherming op korte termijn ‘alleen maar geld kosten en niets opleveren’ helpt ook niet… En als ik eerlijk ben hebben ze - vanuit hun rol en verantwoordelijkheid – gelijk. Hoewel ik natuurlijk best in staat ben om de risicofactoren voor de business aan hun rekensommen toe te voegen…

De aandacht voor en de invoering van de AVG heeft wel geholpen. Termen als ‘security & privacy by design’ leiden tot concrete vragen vanuit de directiekamer; wat moeten we doen, wat heeft prioriteit en wanneer doen we het goed genoeg?!

Als je zo’n vraag krijgt moet je als CSO goed nadenken over het antwoord. De verleiding is groot om snel budget te claimen voor die ene security tool die je allang wilde hebben… Maar je kunt deze interesse beter benutten door vanuit het grote plaatje ‘security & privacy-by-design’ door te nemen met de directie en management. En dan samen een prioriteitenlijst vaststellen… Pas daarna wordt het zinvol om budget voor specifieke tools te claimen!

Voor het gesprek over het grote plaatje gebruiken we inmiddels – in alle lagen van de organisatie – het Conclusion Security Framework als referentie. In de wandelgangen inmiddels bekend als ‘de security blokkendoos’.

2018 06 08 Security mapping final 111981264938

Daarmee maken we duidelijk welke onderwerpen moeten worden geadresseerd, wie zich waarvoor verantwoordelijk moet voelen en wat voor procesmatige en technische oplossingen beschikbaar zijn.  

Dit inzicht verminderd meestal niet direct de zorgen maar zorgt wel dat er een begin kan worden gemaakt met het verbeteren van security -en privacy by design. Voor het bestaande IT-landschap en nieuwe uitvoeringen van ‘blokken’ die in het landschap worden geschoven.

Daardoor ontstaat er meer gevoel van ‘in control’ bij de business managers. En wordt het tijd om security& privacy-by-design te toetsen met traditionele normen (ISO, BIR2017 (BIO) etc.) en met nieuwe privacy raamwerken die nu in rap tempo op de markt verschijnen. Zoals de Privacy Baseline (CIP, 2017), Privacy Principles and Program Management Guide (ISACA, 2017), GDPR Implementation Guide (ISACA, 2018) en het Privacy Control Framework (NOREA, 2018).

Ook in dat complexe en dynamische ‘compliance’ landschap is het de rol en verantwoordelijkheid van CSO’s en andere Security & Privacy professionals de Business de weg te wijzen. Eisen vertalen in voor de Business managers begrijpelijke taal en in overzichtelijke en behapbare concepten.

Alleen dan kunnen Businessmanagers beslissen waar ze zich op moeten richten met het gevoel dat ze op weg zijn naar een landschap waar Security & Privacy in hun organisatie goed genoeg zijn geregeld! Essentieel in een samenleving waarbij ICT en data een maatschappijkritische rol hebben gekregen. 

Nu nog een blokkendoos voor Global Warming…