Publicaties

Hieronder vindt u enkele artikelen over informatiebeveiliging en risicomanagement die ik heb geschreven voor publicatie in vakbladen of op social media.

Het kwantificeren van cyberrisico’s

Kwantitatieve risicoanalyses worden vaak gebruikt om cyberrisico's voor managers begrijpelijk te maken, zodat zij daarop kunnen sturen. Echter, ik geloof niet in het nut van kwantitatieve risicoanalyses. Het kwantificeren van een risico doet afbreuk aan het begrip risico en zorgt er niet voor dat er op een juiste manier over nagedacht wordt.

Lees verder...

De verantwoordelijkheid voor cybersecurity

Steeds meer organisaties hebben een CISO in dienst die helpt met het op orde brengen van de cybersecurity. Een belangrijk onderdeel van goede cybersecurity is het inrichten van de verantwoordelijkheid daarvoor. De directie is, zoals bij veel thema’s binnen een organisatie, eindverantwoordelijke, maar de verantwoordelijkheid voor de dagelijkse zorg voor cybersecurity ligt in de lijn. Althans, daar hoort het te liggen wat mij betreft. Zo af en toe spreek ik iemand van een organisatie waarbij dat toch iets anders is ingericht.

Lees verder...

De volgorde in volwassenheid

Een tijd terug was ik met een aantal mensen in gesprek over informatiebeveiliging. Er werd veel gesproken over de technische kant van informatiebeveiliging. Als techneut vind ik alle techniek rondom informatiebeveiliging erg interessant, maar mensen die mij een beetje kennen weten dat ik vooral verbetermogelijkheden zie op organisatorisch vlak.

Lees verder...

Risicoanalyse: tijdrovend en ingewikkeld?

Binnen mijn vakgebied, informatiebeveiliging, is risicomanagement en risicoanalyse mijn specialisme. Ik schrijf daar het nodige over, heb een eigen risicoanalysemethodiek ontwikkeld en vanuit mijn werk geef ik presentaties over dit onderwerp. Ik krijg zo af en toe de vraag of het doen van die tijdrovende en ingewikkelde risicoanalyses wel de moeite waard is? Mijn antwoord is uiteraard ‘ja’ en ik licht in dit artikel toe waarom.

Lees verder...

Risk Appetite Statement

Zo af en toe raak ik met een organisatie in gesprek die worstelt met het opstellen van een risk appetite statement. In dat gesprek hoor ik dan meestal dat ze zo’n statement willen om intern, richting een ICT-dienstverlener of aan een ketenorganisaties duidelijk te maken hoe de organisatie vindt dat risico’s beoordeeld moeten worden. Ik snap de behoefte aan een dergelijk statement, maar tegelijk vraag ik me altijd af hoe haalbaar en zinvol het is om zo’n statement op te stellen.

Lees verder...

Risico's beheersen

Incidenten met belangrijke en/of gevoelige informatie kunnen een serieuze impact hebben op de organisatiedoelen. De directie is om die reden eindverantwoordelijke voor een goede omgang met de risico's rondom informatie. Lijnmanagers zijn verantwoordelijk voor de tactische en operationele risico's rondom de informatie die binnen hun afdeling verwerkt wordt. Om risico's te kunnen beheersen, is het noodzakelijk dat ze op een zorgvuldige manier inzichtelijk worden gemaakt en beoordeeld. Zicht en grip op de risico's rondom informatie vereisen zicht en grip op de informatie zelf. Zorg daarom dat ook het eigenaarschap van de informatie zelf en de bijbehorende verantwoordelijkheden goed zijn ingericht.

Lees verder...

Risicoanalyse en de DPIA

Al meerdere malen heb ik vernomen dat het voor sommige organisaties onduidelijk is hoe ze precies om moeten gaan met de vragen rondom de beveiliging van persoonsgegevens tijdens een Data Protection Impact Assessment (DPIA). Vaak verneem ik dat tijdens een DPIA inhoudelijke vragen over de beveiliging worden behandeld. Is de autorisatie goed geregeld? Wat wordt gedaan om malware en hackers tegen te gaan? Zijn de gegevens op de juiste manier versleuteld? Hoewel dit goede vragen zijn, horen ze naar mijn idee niet thuis in een DPIA. Ze behoren in een risicoanalyse voor informatiebeveiliging, wat iets heel anders is dan een DPIA. Slechts het resultaat van zo'n risicoanalyse neem je mee in een DPIA om de vraag of de persoonsgegevens voldoende zijn beveiligd, te kunnen beantwoorden.

Lees verder...

Risico's toegelicht

Als er gesproken wordt over informatiebeveiliging, komt al gauw het woord risico aan bod. Risico's moeten in kaart worden gebracht, worden beoordeeld en te hoge risico's moeten vooral worden aangepakt. Om dit alles te kunnen doen is het nuttig om het begrip risico goed te begrijpen.

Lees verder...

Zicht en grip op informatie

We lezen steeds vaker in het nieuws over het op straat komen te liggen van vertrouwelijke informatie, het (D)DoS-en van webdiensten, het op afstand overnemen van systemen en andere gelijksoortige incidenten. Informatiebeveiliging wordt steeds belangrijker. Het staat zelfs op de politieke agenda. We schenken steeds meer aandacht aan het beveiligen van vertrouwelijke en belangrijke informatie, maar het lijkt net zo vaak weer mis te gaan. Grip krijgen op informatiebeveiliging blijkt voor veel organisaties een uitdagende opgave.

Lees verder...

Cybersecurity hoort niet thuis in de directiekamer

Hoewel cybersecurity belangrijk is, wil het helaas niet voor iedere organisatie lukken om dit onderwerp tot een succes te maken. Bij veel organisaties is cybersecurity beperkt tot vooral technische maatregelen. Securityspecialisten die het onderwerp onder de aandacht willen brengen van directieleden, ervaren vaak genoeg desinteresse of zelfs tegenwerking. De reden hiervoor is dat naar mijn idee het onderwerp verkeerd aangepakt wordt. Dit artikel beschrijft wat er fout gaat en hoe het onderwerp op de juiste manier in de directiekamer kan worden geïntroduceerd.

Lees verder...