Agentschap Telecom komt met advies om cybersecurity met directie te bespreken
Het Agentschap Telecom heeft een nieuw document gepubliceerd waarin het lijnmanagers en chief information security officers (CISO) uitlegt hoe ze cybersecurity met de directie van de organisatie kunnen bespreken. De handreiking legt securityprofessionals uit hoe ze in gesprek kunnen gaan met de directie, zodat die uiteindelijk besluiten kan nemen om in cybersecurity te investeren.
"Er is wederzijds begrip nodig over het onderwerp tussen directie en het lijnmanagement en de CISO. De lijnmanager en CISO moeten inzicht hebben in wat de directie nodig heeft om geïnformeerde keuzes te kunnen maken over risico’s en investeringen in digitale continuïteit en weerbaarheid", aldus het Agentschap Telecom. Zo worden verschillende drempels binnen de organisatie benoemd die investeringen in de weg kunnen staan, zoals het bagatelliseren van de risico's, alsmede aandachtspunten om hiermee om te gaan.
Naast de juiste taal en boodschap moeten ook verantwoordelijkheden worden belegd en procesafspraken gemaakt. Als laatste wordt aangeraden om niet alleen in gesprek te komen, maar ook in gesprek te blijven. Zo kan jaarlijks met uitval van ict op de werkvloer worden getest. "Doe social engineering testen en voer bewustwordingscampagnes voor bijvoorbeeld informatiebeveiliging uit. Betrek de werkvloer bij de opzet en evalueer gezamenlijk het proces en de uitkomsten. Zorg voor blijvende aandacht voor digitale continuïteit en weerbaarheid in de gehele organisatie", aldus de toezichthouder.
Reacties (14)
Als je als CISO een handleiding moet hebben hoe je moet communiceren met hoger management dan zit je me toch echt niet op de goede plaats. Gezien jezelf deel uitmaakt van het senior-level executive niveau.
En als lijnmanager is een kerntaak de vertaalslag maken naar begrijpelijke taal.
Hadden ze niks te doen bij het Agentschap Telecom of hebben ze stiekem gewoon zelf deze handleiding nodig.
En als lijnmanager is een kerntaak de vertaalslag maken naar begrijpelijke taal.
Hadden ze niks te doen bij het Agentschap Telecom of hebben ze stiekem gewoon zelf deze handleiding nodig.
Haal de directie uit eigen ‘bubble’
Benoem in het gesprek dat aandacht voor digitale continuïteit en weerbaarheid een gevoel van onzekerheid of extra druk kan opleveren over verantwoording, maar dat het voor de langere termijn onmisbaar is
voor de organisatie. Probeer de directie mee te krijgen door hen zelf mee te laten denken. Als overtuigen
op de inhoud niet lukt, overtuig op bestuurlijk afreukrisico. Relevante voorbeelden van (bijna) incidenten
binnen dezelfde sector kunnen ook helpen om de directie uit hun eigen ‘bubble’ te halen.
Benoem in het gesprek dat aandacht voor digitale continuïteit en weerbaarheid een gevoel van onzekerheid of extra druk kan opleveren over verantwoording, maar dat het voor de langere termijn onmisbaar is
voor de organisatie. Probeer de directie mee te krijgen door hen zelf mee te laten denken. Als overtuigen
op de inhoud niet lukt, overtuig op bestuurlijk afreukrisico. Relevante voorbeelden van (bijna) incidenten
binnen dezelfde sector kunnen ook helpen om de directie uit hun eigen ‘bubble’ te halen.
Ik weet niet of dat de taak is van lijnmanagers of CISO's...
Ik heb het nooit in mijn omschrijving gezien overigens...
Ik geef in management termen advies met daarin risico's, kosten, enz. en daarop moet de directie een beslissing nemen.
Nemen ze de beslissing 'ik wil het niet weten' (want niemand op de golfbaan heeft het ook al), tja, dan houdt het voor mij gewoon op.
Het is niet mijn taak om de directie te laten doen waar ze miljoenen euro's voor krijgen. Daar hoort EIGEN verantwoordelijkheid bij, keej, ik weet dat de meeste mensen daar zitten voor het pluche, maar als directie hoor je het risico te lopen en correct te kunnen beheersen voor die bakken geld die je ervoor krijgt. Als je dan een heropvoedcursus nodig hebt van de CISO met informatie van AT, dan hoor je niet op die plek te zitten, ga dan weg en laat er iemand zitten die EN kundig is EN de juiste risico's kan schatten op waarde...
Er staat een hele grote deur en die hebben ze bij het Agentschap Telecom net open gezet. Manman, wat een niveau. Dat de directie verantwoordelijk is voor Informatieveiligheid en betrokken moet zijn weten we toch al zo'n 20 jaar? Dat het amper gebeurd, zeker bij de overheid en gemeenten, wil niet zeggen dat het iets nieuws is wat we nu ineens zouden moeten doen.
Maar goed, blijkbaar gaat het Agentschap Telecom ervanuit dat er geen lijnmanagers in de directie zitten en dat deze groep wel volledig betrokken is bij Cybersec terwijl de praktijk uitwijst dat dit verre de werkelijkheid is.
De CISO stuurt de directie aan op het naleven van cybersecurity en het commitment daarvoor. De directie stuurt vervolgens het lijnmanagement aan dat ze de door de CISO voorgeschreven maatregelen moeten (laten) implementeren, (laten) controleren en ook (laten) rapporteren. Het lijnmanagement is ook verantwoordelijk dat hun medewerkers voldoende bewust zijn van de risico's van cyberdreigingen in hun werk, maar ook prive tijdens het thuiswerken.
De CISO stuurt dit geheel aan op basis van het Informatiebeveiligingsbeleid inclusief een eventueel plan en rapporteert over de voortgang en stuurt waar nodig ontwikkelingen bij.
Dit is zoals het proces zou moeten lopen. Helaas is dat bij veel overheden en organisaties (ook binnen het bedrijfsleven) niet het geval.
Maar goed, blijkbaar gaat het Agentschap Telecom ervanuit dat er geen lijnmanagers in de directie zitten en dat deze groep wel volledig betrokken is bij Cybersec terwijl de praktijk uitwijst dat dit verre de werkelijkheid is.
De CISO stuurt de directie aan op het naleven van cybersecurity en het commitment daarvoor. De directie stuurt vervolgens het lijnmanagement aan dat ze de door de CISO voorgeschreven maatregelen moeten (laten) implementeren, (laten) controleren en ook (laten) rapporteren. Het lijnmanagement is ook verantwoordelijk dat hun medewerkers voldoende bewust zijn van de risico's van cyberdreigingen in hun werk, maar ook prive tijdens het thuiswerken.
De CISO stuurt dit geheel aan op basis van het Informatiebeveiligingsbeleid inclusief een eventueel plan en rapporteert over de voortgang en stuurt waar nodig ontwikkelingen bij.
Dit is zoals het proces zou moeten lopen. Helaas is dat bij veel overheden en organisaties (ook binnen het bedrijfsleven) niet het geval.
Door Anoniem:
Ik weet niet of dat de taak is van lijnmanagers of CISO's...
Ik heb het nooit in mijn omschrijving gezien overigens...
Ik geef in management termen advies met daarin risico's, kosten, enz. en daarop moet de directie een beslissing nemen.
Nemen ze de beslissing 'ik wil het niet weten' (want niemand op de golfbaan heeft het ook al), tja, dan houdt het voor mij gewoon op.
Het is niet mijn taak om de directie te laten doen waar ze miljoenen euro's voor krijgen. Daar hoort EIGEN verantwoordelijkheid bij, keej, ik weet dat de meeste mensen daar zitten voor het pluche, maar als directie hoor je het risico te lopen en correct te kunnen beheersen voor die bakken geld die je ervoor krijgt. Als je dan een heropvoedcursus nodig hebt van de CISO met informatie van AT, dan hoor je niet op die plek te zitten, ga dan weg en laat er iemand zitten die EN kundig is EN de juiste risico's kan schatten op waarde...
Dan ben je niet de juiste CISO voor dat bedrijf want een goede CISO zal een directie weten te overtuigen dat ze maatregelen moeten nemen. Hell, een hele goede CISO heeft zich zodanig in een positie gezet dat er helemaal geen discussie is of een directie wel of geen maatregelen zou moeten nemen want die worden gewoon genomen.Haal de directie uit eigen ‘bubble’
Benoem in het gesprek dat aandacht voor digitale continuïteit en weerbaarheid een gevoel van onzekerheid of extra druk kan opleveren over verantwoording, maar dat het voor de langere termijn onmisbaar is
voor de organisatie. Probeer de directie mee te krijgen door hen zelf mee te laten denken. Als overtuigen
op de inhoud niet lukt, overtuig op bestuurlijk afreukrisico. Relevante voorbeelden van (bijna) incidenten
binnen dezelfde sector kunnen ook helpen om de directie uit hun eigen ‘bubble’ te halen.
Benoem in het gesprek dat aandacht voor digitale continuïteit en weerbaarheid een gevoel van onzekerheid of extra druk kan opleveren over verantwoording, maar dat het voor de langere termijn onmisbaar is
voor de organisatie. Probeer de directie mee te krijgen door hen zelf mee te laten denken. Als overtuigen
op de inhoud niet lukt, overtuig op bestuurlijk afreukrisico. Relevante voorbeelden van (bijna) incidenten
binnen dezelfde sector kunnen ook helpen om de directie uit hun eigen ‘bubble’ te halen.
Ik weet niet of dat de taak is van lijnmanagers of CISO's...
Ik heb het nooit in mijn omschrijving gezien overigens...
Ik geef in management termen advies met daarin risico's, kosten, enz. en daarop moet de directie een beslissing nemen.
Nemen ze de beslissing 'ik wil het niet weten' (want niemand op de golfbaan heeft het ook al), tja, dan houdt het voor mij gewoon op.
Het is niet mijn taak om de directie te laten doen waar ze miljoenen euro's voor krijgen. Daar hoort EIGEN verantwoordelijkheid bij, keej, ik weet dat de meeste mensen daar zitten voor het pluche, maar als directie hoor je het risico te lopen en correct te kunnen beheersen voor die bakken geld die je ervoor krijgt. Als je dan een heropvoedcursus nodig hebt van de CISO met informatie van AT, dan hoor je niet op die plek te zitten, ga dan weg en laat er iemand zitten die EN kundig is EN de juiste risico's kan schatten op waarde...
Ik vind het juist een uitdaging om directies over te halen om dingen te doen die ze eigenlijk niet willen. Het is maar hoe je het verkoopt. Je moet uiteraard geen risico's groter maken dan ze zijn maar je kunt wel degelijk zaken goed inzichtelijk maken voor ze en als de dreiging idd bijzonder hoog is de financiele risico's van deze dreigingen duidelijk maken. Geen enkele directie wil negatief in de media komen dus die gevoeligheid moet je benutten. Ik zal overigens nooit zaken voorleggen waarvan de te verwachten schade van een potentiele dreiging minimaal is t.o.v. de kosten die gemaakt moeten worden. Daarmee maak je jezelf ongeloofwaardig en wordt je de volgende keer idd op een zijspoor gezet. Dat soort zaken handel ik intern wel af via de lijn en IT.
Ik heb er een hard hoofd in of dit zoden aan de dijk zet.
Anekdote:
Toen ik nog werkzaam was (ben gepensioneerd) zag ik eens het volgende gebeuren:
Bij gebrek aan de vaste werkplek vanwege een korte verbouwing nam onze directeur op een ochtend, zo'n anderhalf jaar geleden, plaats aan een flexbureau in ons managementkantoor. Een laptop en een smartphone werd tevoorschijn gehaald, maar om onduidelijke reden wilde de laptop niet 'doen wat het moest doen'. Het ding stond gewoon aan maar toch. Tsja goede raad was duur want zo bleek dat er concept op de laptop was opgeslagen (waarom niet op het netwerk, dat gebackupped werd...?) Met wat omstandigheid kwam er een USB stick tevoorschijn, waar 'het' ook op stond.
Voor de directie bestond dus een uitzondering op de no-USB rule, maar God strafte.... het werkte niet :-)
Enfin, dus toen ging het maar verder op het flexwerkstation en daar - hoorde ik later - gebeurde het: Een collega die even moest assisteren (geen idee waarom) zag het wachtwoord dat getypt werd: welkom2020.
Hoe het met die USB stick is verdergegaan weet ik niet want ik moest in vergadering, maar die stak in het werkstation toen ik terugkwam. De directie was weg (werkplek leeg) en de computer was niet vergrendeld...
Ik heb het vermoeden dat zoiets meer regel dan uitzondering is. Hoe hoger aan de top hoe laconieker m.b.t. IT want zij hebben het druk drukker druktst dan wie anders in de organisatie en dan moet no-security voor hen maar een geaccepteerd risico zijn of zij hebben weinig of geen notie wat IT security is.
Anekdote:
Toen ik nog werkzaam was (ben gepensioneerd) zag ik eens het volgende gebeuren:
Bij gebrek aan de vaste werkplek vanwege een korte verbouwing nam onze directeur op een ochtend, zo'n anderhalf jaar geleden, plaats aan een flexbureau in ons managementkantoor. Een laptop en een smartphone werd tevoorschijn gehaald, maar om onduidelijke reden wilde de laptop niet 'doen wat het moest doen'. Het ding stond gewoon aan maar toch. Tsja goede raad was duur want zo bleek dat er concept op de laptop was opgeslagen (waarom niet op het netwerk, dat gebackupped werd...?) Met wat omstandigheid kwam er een USB stick tevoorschijn, waar 'het' ook op stond.
Voor de directie bestond dus een uitzondering op de no-USB rule, maar God strafte.... het werkte niet :-)
Enfin, dus toen ging het maar verder op het flexwerkstation en daar - hoorde ik later - gebeurde het: Een collega die even moest assisteren (geen idee waarom) zag het wachtwoord dat getypt werd: welkom2020.
Hoe het met die USB stick is verdergegaan weet ik niet want ik moest in vergadering, maar die stak in het werkstation toen ik terugkwam. De directie was weg (werkplek leeg) en de computer was niet vergrendeld...
Ik heb het vermoeden dat zoiets meer regel dan uitzondering is. Hoe hoger aan de top hoe laconieker m.b.t. IT want zij hebben het druk drukker druktst dan wie anders in de organisatie en dan moet no-security voor hen maar een geaccepteerd risico zijn of zij hebben weinig of geen notie wat IT security is.
Gartner publiceert al een decennium jaarlijks een slidedeck voor CISOs om daar de board roam mee in te stappen om "security te verkopen". Tevens een template voor de elevator pitch.
Door Anoniem: Gartner publiceert al een decennium jaarlijks een slidedeck voor CISOs om daar de board roam mee in te stappen om "security te verkopen". Tevens een template voor de elevator pitch.
Niet alleen Gartner de hoeveelheid Executive summaries die ik voor bij heb zien komen door de jaren heen zijn waarschijnlijk meer dan de onderzoeks documenten. Zelden heb je er wat aan. Microsof is befaamd om de summaries waar je echt niks mee kan. Hier de summary van dit jaar. https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2022
Vroeger kreeg je atleast nog de papieren variant die kon je dan gebruiken als opvul material voor pakketjes versturen als iemand weer de bubblewrap had kapot gedrukt.
Door [Account Verwijderd]: Ik heb er een hard hoofd in of dit zoden aan de dijk zet.
Anekdote:
Toen ik nog werkzaam was (ben gepensioneerd) zag ik eens het volgende gebeuren:
Bij gebrek aan de vaste werkplek vanwege een korte verbouwing nam onze directeur op een ochtend, zo'n anderhalf jaar geleden, plaats aan een flexbureau in ons managementkantoor. Een laptop en een smartphone werd tevoorschijn gehaald, maar om onduidelijke reden wilde de laptop niet 'doen wat het moest doen'. Het ding stond gewoon aan maar toch. Tsja goede raad was duur want zo bleek dat er concept op de laptop was opgeslagen (waarom niet op het netwerk, dat gebackupped werd...?) Met wat omstandigheid kwam er een USB stick tevoorschijn, waar 'het' ook op stond.
Voor de directie bestond dus een uitzondering op de no-USB rule, maar God strafte.... het werkte niet :-)
Enfin, dus toen ging het maar verder op het flexwerkstation en daar - hoorde ik later - gebeurde het: Een collega die even moest assisteren (geen idee waarom) zag het wachtwoord dat getypt werd: welkom2020.
Hoe het met die USB stick is verdergegaan weet ik niet want ik moest in vergadering, maar die stak in het werkstation toen ik terugkwam. De directie was weg (werkplek leeg) en de computer was niet vergrendeld...
Ik heb het vermoeden dat zoiets meer regel dan uitzondering is. Hoe hoger aan de top hoe laconieker m.b.t. IT want zij hebben het druk drukker druktst dan wie anders in de organisatie en dan moet no-security voor hen maar een geaccepteerd risico zijn of zij hebben weinig of geen notie wat IT security is.
Anekdote:
Toen ik nog werkzaam was (ben gepensioneerd) zag ik eens het volgende gebeuren:
Bij gebrek aan de vaste werkplek vanwege een korte verbouwing nam onze directeur op een ochtend, zo'n anderhalf jaar geleden, plaats aan een flexbureau in ons managementkantoor. Een laptop en een smartphone werd tevoorschijn gehaald, maar om onduidelijke reden wilde de laptop niet 'doen wat het moest doen'. Het ding stond gewoon aan maar toch. Tsja goede raad was duur want zo bleek dat er concept op de laptop was opgeslagen (waarom niet op het netwerk, dat gebackupped werd...?) Met wat omstandigheid kwam er een USB stick tevoorschijn, waar 'het' ook op stond.
Voor de directie bestond dus een uitzondering op de no-USB rule, maar God strafte.... het werkte niet :-)
Enfin, dus toen ging het maar verder op het flexwerkstation en daar - hoorde ik later - gebeurde het: Een collega die even moest assisteren (geen idee waarom) zag het wachtwoord dat getypt werd: welkom2020.
Hoe het met die USB stick is verdergegaan weet ik niet want ik moest in vergadering, maar die stak in het werkstation toen ik terugkwam. De directie was weg (werkplek leeg) en de computer was niet vergrendeld...
Ik heb het vermoeden dat zoiets meer regel dan uitzondering is. Hoe hoger aan de top hoe laconieker m.b.t. IT want zij hebben het druk drukker druktst dan wie anders in de organisatie en dan moet no-security voor hen maar een geaccepteerd risico zijn of zij hebben weinig of geen notie wat IT security is.
Ironisch genoeg het beste wat je als CISO in zo cultuur kan overkomen is een datalek.
Moment dat er wel wat speelt en een onafhankelijk onderzoek komt is het meestal gedaan met de uitzonderingen
.
Ik ben tot de dag van vandaag nog steeds dankbaar voor de idiote aandeelhouder bij ons die via een externe relatie een kleine hoeveelheid oude mails had gelekt. Want nadat het vernietigende rapport er lag waarin duidelijk waarschuwingen en maatregelen waren genegeerd en het AP er bij kwam heb ik volle controle en vetorecht gekregen over alle beslissingen die digitale infra aangaan. Ze zijn als des doods zijn dat ze nog een melding moeten maken in het dossier.
Ik drop hem elk jaar op de dag van het incident een bedank kaartje achter de ruitenwisser van zijn auto.
Bijzonder om te lezen hoe een hoop mensen hier menen te kunnen vertellen hoe een CISO zijn/haar werk moet doen en wat er allemaal niet goed is aan het stuk van het agentschap, maar uit hun opmerking duidelijk laten blijken geen CISO-ervaring te hebben.
Man man, wat zeurt iedereen hier toch altijd. Wees blij dat men iets doet. Het is hier altijd 1 brok negativiteit, niets is goed.
Wat wel interessant is dat bij de overheid de BIO geldt (en ze dit advies dus niet zelf volgen).
Door Anoniem: Man man, wat zeurt iedereen hier toch altijd. Wees blij dat men iets doet. Het is hier altijd 1 brok negativiteit, niets is goed.
Heb je het advies gelezen? Dat je dit soort basis info moet verkopen naar 1ste jaars studenten informatica is nog te volgen maar van CISO's mag je verwachten dat ze up to date zijn met bedrijfsvoering, BI, en security trends.Dat is namelijk hun werk daar zijn ze voor opgeleid en gecertificeerd hebben ze leiding over een team en hopelijk het vertrouwen van de directie.
Dit is het zelfde als een blad verspreiden onder piloten hoe ze moeten vliegen met een chesna terwijl ze al in de lucht zitten met een 737.
Anders gezegd reden waarom men hier voornamelijk negatief is omdat er te veel onzin verkondigd wordt waar de tijd van organisaties beter besteed kon worden aan zaken die een bijdrage brengen aan de sector.
Door Anoniem:
Dat is namelijk hun werk daar zijn ze voor opgeleid en gecertificeerd hebben ze leiding over een team en hopelijk het vertrouwen van de directie.
Dit is het zelfde als een blad verspreiden onder piloten hoe ze moeten vliegen met een chesna terwijl ze al in de lucht zitten met een 737.
Anders gezegd reden waarom men hier voornamelijk negatief is omdat er te veel onzin verkondigd wordt waar de tijd van organisaties beter besteed kon worden aan zaken die een bijdrage brengen aan de sector.
Je hebt overduidelijk niet zoveel kijk op en ervaring met de praktijk.Door Anoniem: Man man, wat zeurt iedereen hier toch altijd. Wees blij dat men iets doet. Het is hier altijd 1 brok negativiteit, niets is goed.
Heb je het advies gelezen? Dat je dit soort basis info moet verkopen naar 1ste jaars studenten informatica is nog te volgen maar van CISO's mag je verwachten dat ze up to date zijn met bedrijfsvoering, BI, en security trends.Dat is namelijk hun werk daar zijn ze voor opgeleid en gecertificeerd hebben ze leiding over een team en hopelijk het vertrouwen van de directie.
Dit is het zelfde als een blad verspreiden onder piloten hoe ze moeten vliegen met een chesna terwijl ze al in de lucht zitten met een 737.
Anders gezegd reden waarom men hier voornamelijk negatief is omdat er te veel onzin verkondigd wordt waar de tijd van organisaties beter besteed kon worden aan zaken die een bijdrage brengen aan de sector.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
