Security Professionals
- ipfw add deny all from eindgebruikers to any
CISO zonder experts voldoende?
23-01-2017, 15:29 door Anoniem, 20 reacties
Binnen onze organisatie, een ziekenhuis in het westen van het land waar ik algemeen staffunctionaris ben, is een CISO aangesteld. Zijn werkzaamheden zijn uitsluitend beleidsmatig. I.g.v. uitvoerende taken doet hij een beroep op een netwerkbeheerder en een systeembeheerder, die in de praktijk de functie van technisch beveiligingsexpert bekleden, maar waarvan de functie (nog) niet is aangepast.
Mij is door de Raad van Toezicht gevraagd om risicoanalyses omtrent cybersecurity te doen, waarbij bovenstaande aan het licht is gekomen. Ik krijg echter nergens helder of deze situatie wenselijk en/of verdedigbaar is richting de Autoriteit Persoonsgegevens in het geval van een incident. Zelf denk ik (gevoelsmatig) dat de situatie niet verdedigbaar is, omdat er in de formele zin geen techneuten zijn aangewezen die zich over de beveiliging buigen. Ik zou er voor willen pleiten dat de functie van beide beheerders wordt aangepast, maar ik kan dit onvoldoende onderbouwen en ben op zoek naar handvatten.
Hoe doen andere organisaties dit? Hebben zij beveiligingsexperts in dienst, of is met het in dienst hebben van een CISO alles afgedekt? Het voorgestelde alternatief is een cybersecurity-verzekering waarbij eventuele boetes min of meer zijn afgekocht, maar dat lijkt me etisch gezien niet wenselijk en dit probeer ik af te houden.
Mij is door de Raad van Toezicht gevraagd om risicoanalyses omtrent cybersecurity te doen, waarbij bovenstaande aan het licht is gekomen. Ik krijg echter nergens helder of deze situatie wenselijk en/of verdedigbaar is richting de Autoriteit Persoonsgegevens in het geval van een incident. Zelf denk ik (gevoelsmatig) dat de situatie niet verdedigbaar is, omdat er in de formele zin geen techneuten zijn aangewezen die zich over de beveiliging buigen. Ik zou er voor willen pleiten dat de functie van beide beheerders wordt aangepast, maar ik kan dit onvoldoende onderbouwen en ben op zoek naar handvatten.
Hoe doen andere organisaties dit? Hebben zij beveiligingsexperts in dienst, of is met het in dienst hebben van een CISO alles afgedekt? Het voorgestelde alternatief is een cybersecurity-verzekering waarbij eventuele boetes min of meer zijn afgekocht, maar dat lijkt me etisch gezien niet wenselijk en dit probeer ik af te houden.
Reacties (20)
Een verzekering zal geen soelaas bieden omdat deze eisen dat er een bepaald niveau van volwassenheid op aantoonbare wijze aanwezig is in de organisatie. Dat realiseer je niet met de aanwezigheid van slechts een poppetje met de functie CISO. Voor wat betreft een functionaris bescherming persoonsgegevens zijn de eisen afhankelijk van de grootte van de organisatie en de mate waarin de systemen eventueel door het ziekenhuis zelf in een eigen datacenter gedraaid worden. Een systeembeheerder en een netwerkbeheerder zijn geen beveiligingsexperts maar eerder operationele krachten die voor een deel de enkele operationele security taken voor hun rekening kunnen nemen. Dus per saldo onvoldoende...
Bij het implementeren van een security norm zoals NEN7510 of ISO27000 is het wenselijk om de geselecteerde maatregelen op aantoonbare wijze te hebben ingericht alsook de uitvoering zelf en het onderhoud op de maatregelen op controleerbare wijze te laten plaats vinden. Een gratis advies wat ik je kan geven is om een internal audit te laten doen door een externe club die op basis van een gap analyse kan vertellen waar de organisatie staat op dit moment.
Als je echt een goede partij op dat vlak zoekt neem dan eens contact op met iemand als Leo Benschop (free lancer die goed werk levert) of Professor Paans van Noordbeek Consulting. Dan weet je tenminste dat je goed werk krijgt tegen een redelijke prijs. En nee ik verdien niks aan dit advies...
Bij het implementeren van een security norm zoals NEN7510 of ISO27000 is het wenselijk om de geselecteerde maatregelen op aantoonbare wijze te hebben ingericht alsook de uitvoering zelf en het onderhoud op de maatregelen op controleerbare wijze te laten plaats vinden. Een gratis advies wat ik je kan geven is om een internal audit te laten doen door een externe club die op basis van een gap analyse kan vertellen waar de organisatie staat op dit moment.
Als je echt een goede partij op dat vlak zoekt neem dan eens contact op met iemand als Leo Benschop (free lancer die goed werk levert) of Professor Paans van Noordbeek Consulting. Dan weet je tenminste dat je goed werk krijgt tegen een redelijke prijs. En nee ik verdien niks aan dit advies...
Je zult niets vinden over het in huis en in dienst moeten hebben van IT specialisten die een ciso adviseren en bijstaan.
Al het werk mag een bedrijf elders uitbesteden ook die specialistische taken. In het -AAS gebeuren wordt dit als de kracht van externe partijen gezien.
Het voordeel kan zijn dat je bij meerdere partijen terecht kan en geen afhankelijkheid van een enkele beheerder creëert. Denk eens aan de bofh's met wraakacties.
Het nadeel zal het kostenplaatje zijn. Als er bij externe partijen aan verdiend wordt, dan wordt die rekening ergens door betaald.
Al het werk mag een bedrijf elders uitbesteden ook die specialistische taken. In het -AAS gebeuren wordt dit als de kracht van externe partijen gezien.
Het voordeel kan zijn dat je bij meerdere partijen terecht kan en geen afhankelijkheid van een enkele beheerder creëert. Denk eens aan de bofh's met wraakacties.
Het nadeel zal het kostenplaatje zijn. Als er bij externe partijen aan verdiend wordt, dan wordt die rekening ergens door betaald.
Voor techneuten als netwerkbeheerders en systeembeheerders leidt een formele "bijtaak" (lees: verantwoordelijkheden) als informatiebeveiliger meestal tot belangenverstrengeling (bij uitstek highly privileged users hebben zelf het meeste last van beveiligingsmaatregelen).
Tenzij deze mensen heel stevig in hun schoenen staan, zij nu tijd over hebben, voldoende geïnteresseerd zijn in de materie en zowel hun directe leidinggevende als de CISO naar hen luistert en voor hen opkomt, is het wachten op burn-outs - en/of er komt niets terecht van gemaakte beveiligingsplannen. Overbelaste techneuten met 100 Euro/maand promoveren gaat je probleem niet oplossen, integendeel.
Een CISO die zich niet verdiept in de werkelijke processen op de werkvloer, en waar nodig met verbetervoorstellen komt die worden gehonoreerd met voldoende tijd en geld, is leuk op papier.
Tenzij deze mensen heel stevig in hun schoenen staan, zij nu tijd over hebben, voldoende geïnteresseerd zijn in de materie en zowel hun directe leidinggevende als de CISO naar hen luistert en voor hen opkomt, is het wachten op burn-outs - en/of er komt niets terecht van gemaakte beveiligingsplannen. Overbelaste techneuten met 100 Euro/maand promoveren gaat je probleem niet oplossen, integendeel.
Een CISO die zich niet verdiept in de werkelijke processen op de werkvloer, en waar nodig met verbetervoorstellen komt die worden gehonoreerd met voldoende tijd en geld, is leuk op papier.
Functie scheiding tussen techniek en beleid is uitstekend. Daarnaast moet een CISO politiek handig zijn en zijn mensen kunnen beschermen en verdedigen. Veder moet een CISO goed zijn management van schaarste, immers de financiële budgetten zijn beperkt
Het antwoord op dir vraag staat in deze (Engelstalige) post: http://healthitsecurity.com/news/prioritizing-data-privacy-security-in-the-healthcare-c-suite
De belangrijkste vraag is of jij als algemeen staffunctionaris wel de juiste person bent om dit onderzoek te doen. Gezien je vraagstelling hier, heb je niet erg veel inzicht in Cyber Security en de randgebieden. Dus zal de conclusive van je rapport ook niet zuiver zijn. En dit forum blinkt niet uit in onpartijdigheid en vooroordelen. Dus ook hier zal je de antwoorden niet vinden.
24-01-2017, 12:49 door
SecGuru_OTX
Let op: de vraag vanuit de raad van toezicht is om een risico analyse m.b.t. CYBERsecurity uit te voeren, de scope van CISO is veel groter(of zou groter moeten zijn).
Vraag de CISO om het ISMS en de daarbij behorende Cybersecurity controls. Controleer of de controls aantoonbaar goed zijn ingericht en worden onderhouden.
Toets de maatregelen(o.a.) t.o.v. de SANS critical Security controls: https://www.sans.org/media/critical-security-controls/Poster_Fall_2014_CSCs_WEB.PDF
Om een risico analyse uit te voeren moet je zelf veel verstand van de materie, de maatregelen en de risico's hebben.
Voorbeeld: risico Ransomware
Hoe groot is de kans op een succesvolle Ransomware aanval?
Wat is de impact van een Ransomware aanval?
Maatregelen: welke maatregelen kunnen we nemen om dit risico te verkleinen.
Om bovenstaande uit te kunnen voeren moet je dus o.a. weten:
A. hoe een ransomware aanval werkt(verschillende fases vanuit een ransomware aanval);
B. welke maatregelen er nu al worden getroffen?
C. Zijn de huidige middelen toereikend?
D. welke en hoeveel data er eventueel versleuteld kan worden?
E. hoe bedrijfskritisch deze data is?
F. wat de impact op het berdrijfsproces is indien deze data en/of de getroffen computer niet beschikbaar is.
etc, etc.
Vraag de CISO om het ISMS en de daarbij behorende Cybersecurity controls. Controleer of de controls aantoonbaar goed zijn ingericht en worden onderhouden.
Toets de maatregelen(o.a.) t.o.v. de SANS critical Security controls: https://www.sans.org/media/critical-security-controls/Poster_Fall_2014_CSCs_WEB.PDF
Om een risico analyse uit te voeren moet je zelf veel verstand van de materie, de maatregelen en de risico's hebben.
Voorbeeld: risico Ransomware
Hoe groot is de kans op een succesvolle Ransomware aanval?
Wat is de impact van een Ransomware aanval?
Maatregelen: welke maatregelen kunnen we nemen om dit risico te verkleinen.
Om bovenstaande uit te kunnen voeren moet je dus o.a. weten:
A. hoe een ransomware aanval werkt(verschillende fases vanuit een ransomware aanval);
B. welke maatregelen er nu al worden getroffen?
C. Zijn de huidige middelen toereikend?
D. welke en hoeveel data er eventueel versleuteld kan worden?
E. hoe bedrijfskritisch deze data is?
F. wat de impact op het berdrijfsproces is indien deze data en/of de getroffen computer niet beschikbaar is.
etc, etc.
Ik lees tussen de regels door dat de verantwoordelijke personen die moeten afwegen of een situatie acceptabel is (Raad van Toezicht, CISO, staffunctionaris) volkomen onbekwaam zijn op het gebied van ICT-beveiliging. En waar is de CISO in dit verhaal? Want de analyse over keuzes lijkt voornamelijk buiten deze (parttime ingehuurde) functie om gedaan te worden?
Het komt om mij over op de situatie dat de RvT, CISO en staffunctionarissen zich meer bekommeren over het vervullen van functionele posten dan de inhoud: het continu onderkennen van de praktische en theoretische situatie, het bepalen van de eisen en de wensen (niet alleen naar de wet), het afwegen en bepalen van de maatregelen, het implementeren van de maatregelen, het controleren of de implementatie werkt, actief schade voorkomen, beperken, herstellen. En dit blijven herhalen.
Om met de verzekering in dit geheel te beginnen: geen wet of fatsoensnorm is bedoeld achteraf tegen de slachtoffers te kunnen zeggen "Sorry patienten. We hadden praktisch geen verstand van de materie maar we hebben wel keurig op papier ons afgedekt. Vervelend dat Klaasje is overleden omdat niemand hier snapte dat de leverancier de hartbewaking niet had beveiligd voor dat jaarsalaris en een crimineel er vanaf het internet bij kon. Hier hebt u een zakje geld voor uw verlies." Een verzekering is in het hele traject van ICT-beveiliging slechts een dure financiele afdekking waar je niets mee voorkomt, waar je niets actief mee onderkent met waar de wetten voor bestaan.
Wat betreft het vervullen van functies: Hoe zou u het vinden als de specialisten in uw zorginstelling papieren voor theoretische kennis hebben, keurig op papier alles kunnen verantwoorden, maar geen enkele praktische ervaring hebben? Zou het verstandig zijn om die situatie op te lossen met wat papieren wijzigingen in functies? En als uw organisatie wettelijk dan ook een ander specialisme moet verzorgen, zou u het dan de bedoeling van de wet achten dat een van uw specialisten die functie er wel even bij kan doen om de rest aan gezond verstand van de rest van de instelling over te laten? En hoe gaat uw organisatie bepalen of iemand practisch voldoende kennis heeft? Uw recruter is specialistisch genoeg om te doorzien of een mooie cv en papiertjes als SCYBER en CISSP garant staan voor het perfect vervullen van de functieomschrijving?
ICT-beveiliging is een specialisme. Om het in de praktijk te brengen heb je inhoudelijke praktische ervaring nodig. Het is in grote organisaties zeer onverstandig om het af te dekken met een beleids-CISO en de practisch kant weg te moffelen in twee bestaande praktijkfuncties die het er wel even bij kunnen doen. Hoe denkt u dat te gaan doen bij het inkopen van peperdure apparatuur waar de leverancier contractueel diverse beweringen doet, of als zich een incident voor doet waar de betrokken praktijkfuncties die ook de praktische securityfunctie vervullen volledig hebben uitgevoerd wat de CISO acceptabel acht? En denkt u dat een praktisch netwerkbeheerder of systeembeheerder het op moet nemen tegen de CISO?
Aardig dat uw zorginstelling haar best doet om eindelijk beveiliging serieus te nemen omdat er wettelijk verplichtingen zijn, maar laat u niet verleiden om zelf met voorstellen te komen over zaken waar u feitelijk geen verstand van heeft. Ik adviseer een organisatiespecialist in te huren bij een vooraanstaand securitybedrijf om te bepalen wat er binnen uw organisatie schort en wat daar aan te doen valt. Dit naast een advies van de CISO, maar die is niet gespecialiseert in organisatorische veranderingen. Ik begin zo langzamerhand meer dan moe te worden van functionarissen die keuzes bepalen en beslissingen nemen over zaken waar ze geen jota verstand van hebben en dan net doen alsof ze het met leuk forumuleren eer doen aan de urgentie van wetgeving. ICT-beveiliging is een onderwerp dat in de diepste wortels van een organisatie verweven zit. Helaas if de focus blijkbaar nog steeds op het op papier afdekken.
Het komt om mij over op de situatie dat de RvT, CISO en staffunctionarissen zich meer bekommeren over het vervullen van functionele posten dan de inhoud: het continu onderkennen van de praktische en theoretische situatie, het bepalen van de eisen en de wensen (niet alleen naar de wet), het afwegen en bepalen van de maatregelen, het implementeren van de maatregelen, het controleren of de implementatie werkt, actief schade voorkomen, beperken, herstellen. En dit blijven herhalen.
Om met de verzekering in dit geheel te beginnen: geen wet of fatsoensnorm is bedoeld achteraf tegen de slachtoffers te kunnen zeggen "Sorry patienten. We hadden praktisch geen verstand van de materie maar we hebben wel keurig op papier ons afgedekt. Vervelend dat Klaasje is overleden omdat niemand hier snapte dat de leverancier de hartbewaking niet had beveiligd voor dat jaarsalaris en een crimineel er vanaf het internet bij kon. Hier hebt u een zakje geld voor uw verlies." Een verzekering is in het hele traject van ICT-beveiliging slechts een dure financiele afdekking waar je niets mee voorkomt, waar je niets actief mee onderkent met waar de wetten voor bestaan.
Wat betreft het vervullen van functies: Hoe zou u het vinden als de specialisten in uw zorginstelling papieren voor theoretische kennis hebben, keurig op papier alles kunnen verantwoorden, maar geen enkele praktische ervaring hebben? Zou het verstandig zijn om die situatie op te lossen met wat papieren wijzigingen in functies? En als uw organisatie wettelijk dan ook een ander specialisme moet verzorgen, zou u het dan de bedoeling van de wet achten dat een van uw specialisten die functie er wel even bij kan doen om de rest aan gezond verstand van de rest van de instelling over te laten? En hoe gaat uw organisatie bepalen of iemand practisch voldoende kennis heeft? Uw recruter is specialistisch genoeg om te doorzien of een mooie cv en papiertjes als SCYBER en CISSP garant staan voor het perfect vervullen van de functieomschrijving?
ICT-beveiliging is een specialisme. Om het in de praktijk te brengen heb je inhoudelijke praktische ervaring nodig. Het is in grote organisaties zeer onverstandig om het af te dekken met een beleids-CISO en de practisch kant weg te moffelen in twee bestaande praktijkfuncties die het er wel even bij kunnen doen. Hoe denkt u dat te gaan doen bij het inkopen van peperdure apparatuur waar de leverancier contractueel diverse beweringen doet, of als zich een incident voor doet waar de betrokken praktijkfuncties die ook de praktische securityfunctie vervullen volledig hebben uitgevoerd wat de CISO acceptabel acht? En denkt u dat een praktisch netwerkbeheerder of systeembeheerder het op moet nemen tegen de CISO?
Aardig dat uw zorginstelling haar best doet om eindelijk beveiliging serieus te nemen omdat er wettelijk verplichtingen zijn, maar laat u niet verleiden om zelf met voorstellen te komen over zaken waar u feitelijk geen verstand van heeft. Ik adviseer een organisatiespecialist in te huren bij een vooraanstaand securitybedrijf om te bepalen wat er binnen uw organisatie schort en wat daar aan te doen valt. Dit naast een advies van de CISO, maar die is niet gespecialiseert in organisatorische veranderingen. Ik begin zo langzamerhand meer dan moe te worden van functionarissen die keuzes bepalen en beslissingen nemen over zaken waar ze geen jota verstand van hebben en dan net doen alsof ze het met leuk forumuleren eer doen aan de urgentie van wetgeving. ICT-beveiliging is een onderwerp dat in de diepste wortels van een organisatie verweven zit. Helaas if de focus blijkbaar nog steeds op het op papier afdekken.
Door Anoniem: ...
ICT-beveiliging is een specialisme. Om het in de praktijk te brengen heb je inhoudelijke praktische ervaring nodig. Het is in grote organisaties zeer onverstandig om het af te dekken met een beleids-CISO en de practisch kant weg te moffelen in twee bestaande praktijkfuncties die het er wel even bij kunnen doen. Hoe denkt u dat te gaan doen bij het inkopen van peperdure apparatuur waar de leverancier contractueel diverse beweringen doet, of als zich een incident voor doet waar de betrokken praktijkfuncties die ook de praktische securityfunctie vervullen volledig hebben uitgevoerd wat de CISO acceptabel acht? En denkt u dat een praktisch netwerkbeheerder of systeembeheerder het op moet nemen tegen de CISO?
...
ICT-beveiliging is een specialisme. Om het in de praktijk te brengen heb je inhoudelijke praktische ervaring nodig. Het is in grote organisaties zeer onverstandig om het af te dekken met een beleids-CISO en de practisch kant weg te moffelen in twee bestaande praktijkfuncties die het er wel even bij kunnen doen. Hoe denkt u dat te gaan doen bij het inkopen van peperdure apparatuur waar de leverancier contractueel diverse beweringen doet, of als zich een incident voor doet waar de betrokken praktijkfuncties die ook de praktische securityfunctie vervullen volledig hebben uitgevoerd wat de CISO acceptabel acht? En denkt u dat een praktisch netwerkbeheerder of systeembeheerder het op moet nemen tegen de CISO?
...
Interessant betoog, ik deel je mening. Maar hoe krijg je "de top" dan om? Er moet dan toch enig pressiemiddel zijn vanuit de AP of een andere instantie, lijkt mij.
Ik volg dit topic met grote interesse, omdat bij de organisatie waar ik werkzaam ben (grote GGZ instelling) nagenoeg hetzelfde speelt. Mijn werkzaamheden zijn van systeembeheer naar security verschoven. Security beslaat inmiddels zo'n 90% van mijn werkzaamheden, en de 10% beheer bestaat uit het bijstaan van collega's die teveel hooi op de vork hebben of ergens niet uit komen. Het ICT management vindt echter dat security geen specialisme is en dat dit prima onder systeembeheer kan vallen. Vanuit daar is er dus geen enkele intentie om mijn werkzaamheden te onderkennen en formeel hebben we dus geen security experts in dienst. Deze huren we overigens ook niet in, en we hebben een in-house datacenter waardoor we ons niet achter bewerkersovereenkomsten kunnen verschuilen. Anderzijds betrekt het management mij wel bij security zaken en wordt mij om technische input daaromtrent gevraagd. Onze Security Officer heeft gepoogd om mij (Technical) Security Officer te maken binnen de organisatie, omdat hij weet dat ik vanwege deze situatie van plan ben de organisatie te verlaten, maar ook hij vangt bot bij het managent. Of dat de juiste titel voor mij zou zijn valt te betwisten, maar de huidige situatie is sowieso curieus. Ik blijf dit topic dan ook op de voet volgen :)
Een niet technische CISO is op zich niet gevaarlijk. Een niet technische CISO welke denkt dat de job ook zo wel gedaan geraakt is een echt gevaar. De 'papieren' security experts zijn eens ze vaste voet aan grond krijgen een ware plaag. Zeker als het meester manipulators blijken. U heeft alvast sinds kort het begrip 'alternative facts' mee gekregen.
Informatie beveiliging en ICT beveiliging zijn niet het zelfde, een degelijk CISO zou dit van bij aanvang moeten verklaren en aankaarten. Zoek alvast advies bij een ethical hacker adviesbureau, vraag hen om aan te tonen over een portfolio te beschikken met technische prestaties. Laat hen de CISO uitdagen op basis van het beleid door de CISO gepresenteerd.
Informatie beveiliging en ICT beveiliging zijn niet het zelfde, een degelijk CISO zou dit van bij aanvang moeten verklaren en aankaarten. Zoek alvast advies bij een ethical hacker adviesbureau, vraag hen om aan te tonen over een portfolio te beschikken met technische prestaties. Laat hen de CISO uitdagen op basis van het beleid door de CISO gepresenteerd.
25-01-2017, 17:53 door
karma4
Door Anoniem: ..... Het ICT management vindt echter dat security geen specialisme is en dat dit prima onder systeembeheer kan vallen. Vanuit daar is er dus geen enkele intentie om mijn werkzaamheden te onderkennen en formeel hebben we dus geen security experts in dienst. Deze huren we overigens ook niet in, ....
Heel herkenbaar helaas. Eigenlijk leg je de vinger op de zere plek. Informatiebeveiliging Is een bestuurders verantwoordelijkheid. De CIO wordt gezien als degene van die lastige dure kostenpost ICT die heeft niets met informatieveiligheid. De CISO wordt niet, nog niet, serieus genomen. Er zal nog wat moeten verschuiven. Die verschuiving inzetten Is een lastige. Het raakt heilige huisjes en ivoren torens.
Door Anoniem: Ik lees tussen de regels door dat de verantwoordelijke personen die moeten afwegen of een situatie acceptabel is (Raad van Toezicht, CISO, staffunctionaris) volkomen onbekwaam zijn op het gebied van ICT-beveiliging. En waar is de CISO in dit verhaal? Want de analyse over keuzes lijkt voornamelijk buiten deze (parttime ingehuurde) functie om gedaan te worden?
Het komt om mij over op de situatie dat de RvT, CISO en staffunctionarissen zich meer bekommeren over het vervullen van functionele posten dan de inhoud: het continu onderkennen van de praktische en theoretische situatie, het bepalen van de eisen en de wensen (niet alleen naar de wet), het afwegen en bepalen van de maatregelen, het implementeren van de maatregelen, het controleren of de implementatie werkt, actief schade voorkomen, beperken, herstellen. En dit blijven herhalen.
Om met de verzekering in dit geheel te beginnen: geen wet of fatsoensnorm is bedoeld achteraf tegen de slachtoffers te kunnen zeggen "Sorry patienten. We hadden praktisch geen verstand van de materie maar we hebben wel keurig op papier ons afgedekt. Vervelend dat Klaasje is overleden omdat niemand hier snapte dat de leverancier de hartbewaking niet had beveiligd voor dat jaarsalaris en een crimineel er vanaf het internet bij kon. Hier hebt u een zakje geld voor uw verlies." Een verzekering is in het hele traject van ICT-beveiliging slechts een dure financiele afdekking waar je niets mee voorkomt, waar je niets actief mee onderkent met waar de wetten voor bestaan.
Wat betreft het vervullen van functies: Hoe zou u het vinden als de specialisten in uw zorginstelling papieren voor theoretische kennis hebben, keurig op papier alles kunnen verantwoorden, maar geen enkele praktische ervaring hebben? Zou het verstandig zijn om die situatie op te lossen met wat papieren wijzigingen in functies? En als uw organisatie wettelijk dan ook een ander specialisme moet verzorgen, zou u het dan de bedoeling van de wet achten dat een van uw specialisten die functie er wel even bij kan doen om de rest aan gezond verstand van de rest van de instelling over te laten? En hoe gaat uw organisatie bepalen of iemand practisch voldoende kennis heeft? Uw recruter is specialistisch genoeg om te doorzien of een mooie cv en papiertjes als SCYBER en CISSP garant staan voor het perfect vervullen van de functieomschrijving?
ICT-beveiliging is een specialisme. Om het in de praktijk te brengen heb je inhoudelijke praktische ervaring nodig. Het is in grote organisaties zeer onverstandig om het af te dekken met een beleids-CISO en de practisch kant weg te moffelen in twee bestaande praktijkfuncties die het er wel even bij kunnen doen. Hoe denkt u dat te gaan doen bij het inkopen van peperdure apparatuur waar de leverancier contractueel diverse beweringen doet, of als zich een incident voor doet waar de betrokken praktijkfuncties die ook de praktische securityfunctie vervullen volledig hebben uitgevoerd wat de CISO acceptabel acht? En denkt u dat een praktisch netwerkbeheerder of systeembeheerder het op moet nemen tegen de CISO?
Aardig dat uw zorginstelling haar best doet om eindelijk beveiliging serieus te nemen omdat er wettelijk verplichtingen zijn, maar laat u niet verleiden om zelf met voorstellen te komen over zaken waar u feitelijk geen verstand van heeft. Ik adviseer een organisatiespecialist in te huren bij een vooraanstaand securitybedrijf om te bepalen wat er binnen uw organisatie schort en wat daar aan te doen valt. Dit naast een advies van de CISO, maar die is niet gespecialiseert in organisatorische veranderingen. Ik begin zo langzamerhand meer dan moe te worden van functionarissen die keuzes bepalen en beslissingen nemen over zaken waar ze geen jota verstand van hebben en dan net doen alsof ze het met leuk forumuleren eer doen aan de urgentie van wetgeving. ICT-beveiliging is een onderwerp dat in de diepste wortels van een organisatie verweven zit. Helaas if de focus blijkbaar nog steeds op het op papier afdekken.
Het komt om mij over op de situatie dat de RvT, CISO en staffunctionarissen zich meer bekommeren over het vervullen van functionele posten dan de inhoud: het continu onderkennen van de praktische en theoretische situatie, het bepalen van de eisen en de wensen (niet alleen naar de wet), het afwegen en bepalen van de maatregelen, het implementeren van de maatregelen, het controleren of de implementatie werkt, actief schade voorkomen, beperken, herstellen. En dit blijven herhalen.
Om met de verzekering in dit geheel te beginnen: geen wet of fatsoensnorm is bedoeld achteraf tegen de slachtoffers te kunnen zeggen "Sorry patienten. We hadden praktisch geen verstand van de materie maar we hebben wel keurig op papier ons afgedekt. Vervelend dat Klaasje is overleden omdat niemand hier snapte dat de leverancier de hartbewaking niet had beveiligd voor dat jaarsalaris en een crimineel er vanaf het internet bij kon. Hier hebt u een zakje geld voor uw verlies." Een verzekering is in het hele traject van ICT-beveiliging slechts een dure financiele afdekking waar je niets mee voorkomt, waar je niets actief mee onderkent met waar de wetten voor bestaan.
Wat betreft het vervullen van functies: Hoe zou u het vinden als de specialisten in uw zorginstelling papieren voor theoretische kennis hebben, keurig op papier alles kunnen verantwoorden, maar geen enkele praktische ervaring hebben? Zou het verstandig zijn om die situatie op te lossen met wat papieren wijzigingen in functies? En als uw organisatie wettelijk dan ook een ander specialisme moet verzorgen, zou u het dan de bedoeling van de wet achten dat een van uw specialisten die functie er wel even bij kan doen om de rest aan gezond verstand van de rest van de instelling over te laten? En hoe gaat uw organisatie bepalen of iemand practisch voldoende kennis heeft? Uw recruter is specialistisch genoeg om te doorzien of een mooie cv en papiertjes als SCYBER en CISSP garant staan voor het perfect vervullen van de functieomschrijving?
ICT-beveiliging is een specialisme. Om het in de praktijk te brengen heb je inhoudelijke praktische ervaring nodig. Het is in grote organisaties zeer onverstandig om het af te dekken met een beleids-CISO en de practisch kant weg te moffelen in twee bestaande praktijkfuncties die het er wel even bij kunnen doen. Hoe denkt u dat te gaan doen bij het inkopen van peperdure apparatuur waar de leverancier contractueel diverse beweringen doet, of als zich een incident voor doet waar de betrokken praktijkfuncties die ook de praktische securityfunctie vervullen volledig hebben uitgevoerd wat de CISO acceptabel acht? En denkt u dat een praktisch netwerkbeheerder of systeembeheerder het op moet nemen tegen de CISO?
Aardig dat uw zorginstelling haar best doet om eindelijk beveiliging serieus te nemen omdat er wettelijk verplichtingen zijn, maar laat u niet verleiden om zelf met voorstellen te komen over zaken waar u feitelijk geen verstand van heeft. Ik adviseer een organisatiespecialist in te huren bij een vooraanstaand securitybedrijf om te bepalen wat er binnen uw organisatie schort en wat daar aan te doen valt. Dit naast een advies van de CISO, maar die is niet gespecialiseert in organisatorische veranderingen. Ik begin zo langzamerhand meer dan moe te worden van functionarissen die keuzes bepalen en beslissingen nemen over zaken waar ze geen jota verstand van hebben en dan net doen alsof ze het met leuk forumuleren eer doen aan de urgentie van wetgeving. ICT-beveiliging is een onderwerp dat in de diepste wortels van een organisatie verweven zit. Helaas if de focus blijkbaar nog steeds op het op papier afdekken.
Inderdaad volledig eens met de stelling dat een CISO inhoudelijke IT kennis moet hebben om securitybeleid te formuleren, te toetsen op haalbaarheid, te implementeren en te handhaven. Een mooie metafoor is dat ik naar de garage ga met mijn auto om de winterbanden om te wisselen voor zomerbanden, dan kan het niet zo zijn dat de persoon waar ik de afspraak mee maak de ruitewisserbladen vervangt. Het is dan ook zeer interessant om na te gaan welke afspraken de raad van toezicht met de CISO heeft gemaakte wat de resultaten zijn die uit de afspraken voortkomen.
Ik snap de hang naar een technische (C)ISO niet helemaal want dat is vaak juist de reden waarom deze niet serieus genomen wordt binnen organisaties. IT'ers of techneuten worden vaak nog steeds gezien als een groep die alleen maar met problemen komen en alleen maar zaken verbieden, dat is wellicht niet zo maar gebruikers ervaren dat wel zo.
Het is een risico om een technische CISO te hebben omdat deze zich alleen zal richten op de techniek terwijl het grootste gedeelte van Informatiebeveiliging zich juist in de organisatie afspeelt omdat Informatiebeveiliging niet alleen over techniek gaat maar voornamelijk over de informatie huishouding binnen de gehele organisatie. Hoe ga je met je gegevens om en met welke middelen beveilig je deze.
Een (C)ISO zal voornamelijk adviseren en coördineren vanuit het IV proces, want van daaruit worden de 'kroon juwelen' beheert, de gegevens van de organisatie. Neemt niet weg dat een (C)ISO kennis moet hebben van ICT maar dat hoeft zeker niet op 'nuts and bolts' niveau want daar zijn immers de echte techneuten veel beter in. Die moeten ervoor zorgen dat de IT voldoet aan de richtlijnen die door de (C)ISO/organisatie daaraan worden gesteld.
Technisch kan alles volgens de richtlijnen zijn opgezet maar als (C)ISO heb je ook nog te maken met de organisatie waarin applicaties worden gebruikt, waar medewerkers werken, waar ook leveranciers een rol spelen en waar ook nog eens fysieke en logische (toegangs) beveiliging van panden en de werkomgeving belangrijke onderwerpen zijn. Nu kun je wel een hele hoop op papier zetten maar dan ben je er nog niet. Een goede (C)ISO is een verbinder en zal regelmatig met het management in gesprek moeten maar ook de medewerkers bij Informatiebeveiliging moeten betrekken d.m.v. bewustwordingsprogramma's. Ook zal er regelmatig een thermometer (audits, pentesten) in de organisatie moeten om de staat van beveiliging te meten.
Informatiebeveiliging kan een zeer complex vakgebied zijn, afhankelijk van de organisatie. Heeft de organisatie met uitvoering van wetten en dus met het verwerken van persoonsgegevens te maken dat zal een (C)ISO ook rekening moeten houden met de weerbarstigheid van de politiek, want wat vandaag nog goed is hoeft dat morgen helemaal niet meer zo te zijn. Zeker bij gemeenten en overheden moet je als CISO/ Informatiebeveiliger met alle facetten van het vakgebied rekening houden en met iedereen door de bocht kunnen. Je weet immers niet wie je straks ergens voor nodig hebt om zaken gerealiseerd te krijgen.
Het is een risico om een technische CISO te hebben omdat deze zich alleen zal richten op de techniek terwijl het grootste gedeelte van Informatiebeveiliging zich juist in de organisatie afspeelt omdat Informatiebeveiliging niet alleen over techniek gaat maar voornamelijk over de informatie huishouding binnen de gehele organisatie. Hoe ga je met je gegevens om en met welke middelen beveilig je deze.
Een (C)ISO zal voornamelijk adviseren en coördineren vanuit het IV proces, want van daaruit worden de 'kroon juwelen' beheert, de gegevens van de organisatie. Neemt niet weg dat een (C)ISO kennis moet hebben van ICT maar dat hoeft zeker niet op 'nuts and bolts' niveau want daar zijn immers de echte techneuten veel beter in. Die moeten ervoor zorgen dat de IT voldoet aan de richtlijnen die door de (C)ISO/organisatie daaraan worden gesteld.
Technisch kan alles volgens de richtlijnen zijn opgezet maar als (C)ISO heb je ook nog te maken met de organisatie waarin applicaties worden gebruikt, waar medewerkers werken, waar ook leveranciers een rol spelen en waar ook nog eens fysieke en logische (toegangs) beveiliging van panden en de werkomgeving belangrijke onderwerpen zijn. Nu kun je wel een hele hoop op papier zetten maar dan ben je er nog niet. Een goede (C)ISO is een verbinder en zal regelmatig met het management in gesprek moeten maar ook de medewerkers bij Informatiebeveiliging moeten betrekken d.m.v. bewustwordingsprogramma's. Ook zal er regelmatig een thermometer (audits, pentesten) in de organisatie moeten om de staat van beveiliging te meten.
Informatiebeveiliging kan een zeer complex vakgebied zijn, afhankelijk van de organisatie. Heeft de organisatie met uitvoering van wetten en dus met het verwerken van persoonsgegevens te maken dat zal een (C)ISO ook rekening moeten houden met de weerbarstigheid van de politiek, want wat vandaag nog goed is hoeft dat morgen helemaal niet meer zo te zijn. Zeker bij gemeenten en overheden moet je als CISO/ Informatiebeveiliger met alle facetten van het vakgebied rekening houden en met iedereen door de bocht kunnen. Je weet immers niet wie je straks ergens voor nodig hebt om zaken gerealiseerd te krijgen.
Door Anoniem: De belangrijkste vraag is of jij als algemeen staffunctionaris wel de juiste person bent om dit onderzoek te doen. Gezien je vraagstelling hier, heb je niet erg veel inzicht in Cyber Security en de randgebieden. Dus zal de conclusive van je rapport ook niet zuiver zijn. En dit forum blinkt niet uit in onpartijdigheid en vooroordelen. Dus ook hier zal je de antwoorden niet vinden.
Zinvolle woorden!
Maar antwoord kan wel gegeven worden.
Als jou organisatie management Daadwerkelijk aan de wet wil gaan voldoen en de beveiliging na behoren, kan dat relatief eenvoudig en zeer goedkoop binnen een jaar op orde gemaakt worden. Is namelijk een kwestie van een iets andere aanpak zonder dat daar extra investeringen voor nodig zijn.
Maar dan moet de RVB wel de wils- en daad-kracht hebben om de huidige ciso weer op straat te zetten en een ander type (beeldspraak: gevreesde sergeant) in dienst te nemen.
zie: Commentaar: 18-01-2017, 18:21
op pagina: https://www.security.nl/posting/499265/
We hebben tijdens onderzoek aardig wat ziekenhuizen en zorginstellingen in nederland bekeken en met de verantwoordelijken om tafel gezeten. Bij 't merendeel is de RVB van 't type "poldermodel!", waar geen van de functionarissen de verantwoordelijkheid durft te nemen om het 'anders' aan te pakken dan de omliggende zorg instellingen. Dus liever niet veilig en in overtreding van de wet net als de buren dan op eigen titel Leiding durven geven aan een organisatie me aan hun overgeleverde burgers en hun veiligheid/privacy.
MC groep is een schoolvoorbeeld, waarbij er Niemand is die zich daadwerkelijk verantwoordelijk wil voelen, maar wel voor de 'verantwoordelijkheid' extra betaald willen worden. Is ook wel te verklaren na al die zieke privatisering en daarmee ondermijning van het primaire doel van zorginstellingen.
Maar goed, mocht jou RVB het wel serieus op orde willen maken?
Groetjes
*Tante Anna.
26-01-2017, 15:23 door
JMNeutsISO27001LeadImplementer
[Verwijderd door moderator]
Op IT technisch vlak is security geen specialisme, security behoord conform ITIL onderdeel te zijn van dagelijks IT beheer. Daarvoor heb je dus geen CISO nodig.
Als je een organisatie bent met veel ICT ( Banken, verzekeraars, Telecom, Zorg ) dan heb je een niet technische CISO nodig en aan aantal goede beleid en techniek consultants. Taak van de CISO sturen, coördineren, beleid opstellen en verantwoordelijkheid nemen.
Als je een organisatie bent met veel ICT ( Banken, verzekeraars, Telecom, Zorg ) dan heb je een niet technische CISO nodig en aan aantal goede beleid en techniek consultants. Taak van de CISO sturen, coördineren, beleid opstellen en verantwoordelijkheid nemen.
Ik zou er voor willen pleiten dat de functie van beide beheerders wordt aangepast
Leg eens uit, hoe zorg je door een nieuw labeltje (functie titel) in hemelsnaam voor meer veiligheid ? Eigenlijk stel je een cosmetische wijziging voor, zonder enige inhoud.
Het voorgestelde alternatief is een cybersecurity-verzekering waarbij eventuele boetes min of meer zijn afgekocht, maar dat lijkt me etisch gezien niet wenselijk en dit probeer ik af te houden.
Die verzekering is *geen* alternatief voor beveiliging (tenzij je helemaal niets geeft om de belangen van patienten). Ook zal de verzekeraar het ziekenhuis willen auditten om te kijken of de beveiliging op orde is, en of zij de financiele risico's uberhaupt willen dragen.
27-01-2017, 17:06 door
karma4
Door Anoniem:
Inderdaad volledig eens met de stelling dat een CISO inhoudelijke IT kennis moet hebben om securitybeleid te formuleren, te toetsen op haalbaarheid, te implementeren en te handhaven. Een mooie metafoor is dat ik naar de garage ga met mijn auto om de winterbanden om te wisselen voor zomerbanden, dan kan het niet zo zijn dat de persoon waar ik de afspraak mee maak de ruitewisserbladen vervangt. Het is dan ook zeer interessant om na te gaan welke afspraken de raad van toezicht met de CISO heeft gemaakte wat de resultaten zijn die uit de afspraken voortkomen.
In die metafoor is ook duidelijk dat je niets hoeft te weten van de rubbertechnologie en hoe banden opgebouwd en gemaakt worden. Van het balanceren en uitlijnen laat je de achterliggende technische details ook zitten.Inderdaad volledig eens met de stelling dat een CISO inhoudelijke IT kennis moet hebben om securitybeleid te formuleren, te toetsen op haalbaarheid, te implementeren en te handhaven. Een mooie metafoor is dat ik naar de garage ga met mijn auto om de winterbanden om te wisselen voor zomerbanden, dan kan het niet zo zijn dat de persoon waar ik de afspraak mee maak de ruitewisserbladen vervangt. Het is dan ook zeer interessant om na te gaan welke afspraken de raad van toezicht met de CISO heeft gemaakte wat de resultaten zijn die uit de afspraken voortkomen.
Je hebt een doel en neemt aan dat de banden goed voor het doel zijn en neemt aan dat de montage correct gebeurd.
Niet meer dan dat bekijk je ook op de uitvoering. Wat moet je in vredesnaam met alle technische kennis die er achter zit.
Door Anoniem: Op IT technisch vlak is security geen specialisme, security behoord conform ITIL onderdeel te zijn van dagelijks IT beheer. Daarvoor heb je dus geen CISO nodig.
ITIL is gebaseerd op een commerciele certificering met een IT-managementvisie uit de vorige eeuw. Vooral bedoeld om personen zonder inhoudelijke kennis over de vakgebieden een gevoel van grip te geven. Je zou het bijna een betaalde geloofsovertuiging kunnen noemen. Je er heel erg afhankelijk van maken is bijzonder ongezond, tenzij je omgeving eenzelfde afhankelijkheid heeft (niet in de laatste plaats gedreven door financiele afhankelijkheid en inhoudelijke incompetentie).
29-01-2017, 16:04 door
karma4
Door Anoniem:
ITIL is gebaseerd op een commerciele certificering met een IT-managementvisie uit de vorige eeuw. Vooral bedoeld om personen zonder inhoudelijke kennis over de vakgebieden een gevoel van grip te geven. Je zou het bijna een betaalde geloofsovertuiging kunnen noemen. Je er heel erg afhankelijk van maken is bijzonder ongezond, tenzij je omgeving eenzelfde afhankelijkheid heeft (niet in de laatste plaats gedreven door financiele afhankelijkheid en inhoudelijke incompetentie).
Door Anoniem: Op IT technisch vlak is security geen specialisme, security behoord conform ITIL onderdeel te zijn van dagelijks IT beheer. Daarvoor heb je dus geen CISO nodig.
ITIL is gebaseerd op een commerciele certificering met een IT-managementvisie uit de vorige eeuw. Vooral bedoeld om personen zonder inhoudelijke kennis over de vakgebieden een gevoel van grip te geven. Je zou het bijna een betaalde geloofsovertuiging kunnen noemen. Je er heel erg afhankelijk van maken is bijzonder ongezond, tenzij je omgeving eenzelfde afhankelijkheid heeft (niet in de laatste plaats gedreven door financiele afhankelijkheid en inhoudelijke incompetentie).
Fayol en Taylor zijn van een paar eeuwen terug maar nog steeds actueel net zoals het getal 0 dat ooit via Arabie uit nog verder weg kwam. Dat iets oud is betekend nog niet vanzelf dat het verouderd is. https://en.wikipedia.org/wiki/ITIL
Het is een visie op ITSM je kunt ook nog voor COBIT gaan. http://miroslawdabrowski.com/downloads/COBIT5/COBIT%205%20-%20Cheatsheet%20%5Bv1.0,%20Minimarisk%5D.pdf Ja ik kan me vinden in je mening dat het door managers misbruikt wordt.
Ja ik kan me vinden in je mening dat er nogal belangrijke hiaten in zitten. Een belangrijke is dat een change per definitie een risico is. Changes nodig om down gaan dus risico's te minimaliseren is niet herkend. (security SIem ontbreekt gewoon)
Nee ik kan me niet vinden dat het volgen van een framework op zich slecht is. Er zitten veel goede zaken in. Verbeter de issues met een PDCA aanpak is een hoofdlijn. Zijn we weer terug bij Fayol en Taylor. Ga hun uitgangspunten eens na dan snap je denk ik waarom ik die frans beter waardeer dan de amerikaan.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
