Op 21 april kondigde minister Maria van der Hoeven van Economische Zaken een initiatief aan om privacy en bescherming van persoonsgegevens op internet beter te regelen. Daarbij zullen websites vanaf 2011 verplicht worden om voor het plaatsen van cookies toestemming aan bezoekers te vragen. Nu is er de discussie om dat door de browsers te laten doen in plaats van door de website.

Soms vraag ik mij af wie nou wie voor de gek zit te houden. Als cookies onveilig zijn, waarom zet je dan zelf het cookiefilter niet gewoon aan? Of zet je een intelligente beoordeling aan. Hier rechts twee screenshots uit Internet Explorer, het zit er al in:

 Zo simpel is het, daar is geen wet voor nodig.

Dat prikkelt de gedachte dat er achter dit kabaal een andere reden ligt. Dat kan zijn dat lobbyisten van bepaalde leveranciers dit graag zien gebeuren. Of dat het een politiek punt is wat gescoord moet worden. Maar goed, een extra veiligheid is “prima” zou je zeggen. Nou nee. Een overdaad van dit soort dingen is helemaal niet prima, sterker nog, dat is zeer onwenselijk. Het zorgt er voor dat we bescherming als last gaan ervaren en er omheen gaan werken. Dan is extra veiligheid juist minder veiligheid. 

Maar laten we dit eens van een afstand bekijken, zoals wij dat bij PinkSecure gewend zijn. Wij zoeken nog even door, naar het échte probleem. Na even discussiëren kwamen we op de volgende voorlopige conclusie:

Waar het op neer komt is dat de gebruiker functionaliteit wil en daarvoor met privacy betaalt. Daar is op zich niks mis mee, privacy is handelswaar en iedereen mag dat verhandelen. Het moet echter wel rechtmatig zijn, het moet duidelijk zijn wat er verkocht wordt en welke rechten je meelevert om wat met de informatie te doen. Dat geldt voor cookies, en duizend andere grappen op het internet. Als we op het gebied van de handel in (persoons)informatie helderheid brengen en controle in de handen van de verkoper te leggen dan lossen we niet alleen het cookieprobleem op maar ook andere en toekomstige problemen.

Daar heb ik wel ideeën over, dus als de politiek daar echt iets aan wil verbeteren… Dit e-mailadres is beschermd tegen spambots. U heeft Javascript nodig om het te kunnen zien.

Groet,

Bernhard

Het komt niet vaak voor, maar nu dan toch. Ik maak reclame. Het mag in de krant!

Ik heb mijn Pink Blog omgedoopt van “informatierisico” naar “PinkSecure”. Informatierisico is vaktechnisch een hele nette naam en beschrijft perfect waar we mee bezig zijn. Maar niet iedereen legt de link met de algemeen gebruikte term “Security”. Op de keper beschouwd is Security maar één kant van het verhaal en doet daarmee onrecht aan het vakgebied waar wij ons bij Pink Elephant mee bezighouden. Maar goed, PinkSecure bekt wel beter, dus… PinkSecure gaat het zijn.

Maar dan moet ik wel even uitleggen wat PinkSecure inhoudt. Al is het alleen al voor mijn vrienden uit de afgelopen 3 jaar Microsoft Security periode aan wie ik deze blog expliciet heb gestuurd. Zes maanden geleden heb ik hen verteld dat ik bij Pink Elephant SABSA “ging doen”. En nu heet dat dus PinkSecure. Uitleg is op z’n plaats.

PinkSecure is een verzameling diensten (trainingen, begeleiding en ondersteuning). Dat is begonnen met de SABSA Enterprise Security Architectuur en daar zijn de afgelopen maanden bijgekomen:

• ISO27000 algemene informatiebeveiligingsstandaard
• NEN7510 informatiebeveiligingsstandaard voor de zorg
• M_o_R Risico management
• Privacy wet en regelgeving (Functionaris Gegevensbescherming diensten)

Een set gebieden die het door de goede relatie onderling mogelijk maakt onze klanten op het gebied van informatieveiligheid breed te kunnen ondersteunen. (Ja daar past ook Microsoft Forefront perfect in).

Onderscheidende set dienstverleningen? Ja. Waarom? De SABSA zienswijze!

SABSA:

• een zienswijze en methodiek die helpt om security de organisatie te laten ondersteunen in plaats van te dwarsbomen.
• helpt om een holistische kijk te hebben op de risico’s en oplossingen over de gehele organisatie. Dat kan leiden tot grote efficiëntievoordelen.
• geeft een bedrijfsbrede controle over informatieveiligheid en kan direct dienen als compliancebewijs

Als je alleen al de SABSA zienswijze toevoegt aan standaarden zoals ISO27000 dan kom je tot verrassende nieuwe inzichten rond security. Security wordt de grootste vriend van de business.

Tijd voor een SABSA Foundation cursus dus. Een absolute aanrader die het leven van een security specialist zeker zal veranderen. Is dat nou écht een te grote stap, dan is het goed om te weten dat ik in de komende maanden een SABSA Essentials training beschikbaar zal maken. Voor een snelle kennismaking.

Als je op de hoogte wilt blijven: meld je aan voor de PinkLink Nieuwsbrief

Nu al gelijk een vraag, of gewoon een opmerking, advies of suggestie? Dit e-mailadres is beschermd tegen spambots. U heeft Javascript nodig om het te kunnen zien.

Het is vloeken in de kerk maar onze huidige checkboxmaatschappij is een religie aan het worden. Het is zelfs een taboe om de checkbox serieus ter discussie te stellen, maar toch doe ik het.

De checkbox komt voort uit de M van SMART, meetbaar. We willen meten. Maar meten is vergeten!  Door te meten krijgt de mens de neiging om de context te vergeten. SMART is de introductie van de breinloze beslisser. De box is checked. De eenvoud van een objectieve meting die de perceptie geeft dat die precies de doelstelling meet. Maar ik kan mij geen SMART doelstelling herinneren die daadwerkelijk meet wat je écht wilt bereiken.

Kijk naar de vernietigende cultuur van indekken en beschuldiging, bijvoorbeeld in de financiële wereld. Die gebeurt zuiver op basis van checkboxes. Iedereen weet dat je fout bent als je iemand een lening aansmeert die niet te verteren is. Maar je komt ermee weg want je voldoet aan de voorwaarden. Tien check boxes en klaar, het volgende slachtoffer. Je weet donders goed dat je niet goed bezig bent. Ja, voor jezelf, maar niet voor die ander. Maar zoals zelfs de sociale politicus zei nadat hij van zijn ideële stoel was gevallen en in het bedrijfsleven met bizarre bonussen jongleerde, “als ik het niet doe doet een ander het wel”.  Brrrr!!

Wil ik hier nu alleen maar afgeven over deze trend of heb ik ook nog wat te melden? Ja, ik heb wat te melden.

Met mijn focus op informatiebeveiliging zie ik dat daar diezelfde trend valt waar te nemen. Met de ISO normeringen aan kop worden de tick’s driftig in allerlei checkboxes gezet. Firewall: check. Anti Virus: check. Security policy: check. Jaarlijks gecommuniceerd: check. Ga zo maar door. Fout? Nee. Maar ik wil graag vooral ook buiten die checkbox kijken.

Want informatiebeveiligen doe je niet voor die checkboxes, certificeringen of normering. Informatiebeveiligen doe je om je bedrijfs-, zorg,- of overheidsdoelstellingen te ondersteunen. Nergens anders voor. Informatiebeveiliging is onzin en geldverspilling als het niet door je bedrijfsdoelstellingen wordt gedreven. En geloof mij, dat past niet in een checkbox!

Ik ben uitgecheckt! Dus als je eens wilt praten laat maar weten. Dit e-mailadres is beschermd tegen spambots. U heeft Javascript nodig om het te kunnen zien.

Bernhard

Als ik businessgedreven IT zeg dan bekruipt sommigen het gevoel dat we daarmee andere belangen te kort doen. Zoals Green IT, of Privacy bijvoorbeeld. In het geval van businessgedreven beveiligen van informatie kun je dan de vraag stellen: Staat in zo’n geval de bescherming van persoonlijke informatie van mijn klanten of personeel op het tweede plan? Laat ik alles ondergeschikt zijn aan het verdienen van geld?

Als dat zo zou zijn zou het businessgedreven beveiligen van informatie in veel gevallen onethisch zijn. Dat is echter niet zo. Sterker nog, de ethiek is bij businessgedreven informatiebeveiliging beter af!

Maar hoe zit dat dan?

Als er een risico is dat afgedekt moet worden zal in veel gevallen het risico de drijvende kracht zijn achter de oplossing. Die afweging wordt vaak gemaakt door een IT’er, of in het beste geval een security officer. Daar is op zich niets mis mee als zo iemand precies weet wat de afwegingen zijn die de directie zou doen bij het benaderen van het genoemde risico.  Maar vaak is dat niet geheel duidelijk en wordt het afhankelijk van de persoon in kwestie welke afwegingen er worden gemaakt, er is geen borging dat dat goed gebeurt. De afweging tussen de bescherming van informatie, gebruiksvriendelijkheid, kosten maar ook, zoals in ons vraagstuk, het wegen van de privacy wordt in hoge mate gedaan door de persoon die een oplossing moet bedenken.  Met alle goede bedoelingen ten spijt kan het toch zo zijn dat zijn besluit niet in lijn is met hoe de directie het zou willen zien.

En dat kan met businessgedreven informatiebeveiliging beter?

Ja, in dat geval zoek je naar de normen die vanuit de leiding van het bedrijf komen. Dan kom je al heel snel tot de conclusie dat in de bedrijfsdoelstellingen naast de zakelijke normen ook de normen opgenomen moeten worden op het gebied werkplezier, green-IT of privacy om er maar een paar te noemen. Je moet daar als management over nadenken en uitspraken over doen. Natuurlijk is dat op het topniveau redelijk abstract maar deze dienen procesgewijs doorvertaald te worden naar meer concrete zaken. De normen zijn op die manier op elk niveau terug te voeren naar je bedrijfsdoelstellingen.  Nu, als je je bedrijfsdoelstellingen op die manier doorlopend leidend laat zijn in je informatiebeveiliging maar ook in alle andere activiteiten dan heb je een prachtige borging van die normen door je gehele bedrijf. Als je die vaststelling van de normen en de doorvertaling naar processen goed documenteert, samen met de besluiten die je op verschillende niveaus neemt op basis van die normen dan heb je de basis voor een consistent beleid waar overal ook ethische afwegingen in lijn zullen zijn met de vastgestelde normen. Én je bent tegelijk een heel eind klaar voor je compliancy. Bijvoorbeeld op het gebied van bijvoorbeeld MVO.

Businessgedreven beveiliging van informatie is dus ethisch te prefereren.