Print:

Security specialisten en privacy professionals: samen op zoek naar de win-win

Mark Tissink , Security Specialist, CISO ad interim

LinkedIn profiel

Wat moeten privacy professionals precies weten, kunnen en doen als het gaat om security? Mark Tissink van Secure IT Is vertelt wat er nodig is op het vlak van informatiebeveiliging om dataprotectie op het juiste niveau te brengen.

De Eenduidige Normatiek Single Information Audit (ENSIA), die gemeenten ondersteunt om verantwoording af te leggen over de naleving van de Baseline Informatiebeveiliging Overheid (BIO), is inmiddels breed geïmplementeerd. Op Europees niveau wordt nu een wetswijziging verwacht op het gebied van cybersecurity. Er komt namelijk een nieuwe versie van de EU Directive on security of network and information systems (NIS Directive), de richtlijn die zich richt op de beveiliging van kritische infrastructuren.

Het zijn slechts enkele voorbeelden van security thema’s waarmee privacy professionals in het dagelijkse werk te maken kunnen krijgen. “Er spelen voortdurend allerlei ontwikkelingen in de wet- en regelgeving en de normen en standaarden voor informatiebeveiliging”, zegt Mark Tissink, auteur, trainer, coach, security-expert en hoofddocent van de praktijkcursus Security voor privacyprofessionals van IIR. “Maar wat is er precies nieuw? En is de organisatie echt veilig als de richtlijnen worden gevolgd?”

“Basiskennis over security is essentieel om als privacy professional invulling te geven aan het beleid en de governance voor dataprotectie – en daarmee aantoonbaar te kunnen voldoen aan de Algemene Verordening Gegevensbescherming (AVG),” zegt Tissink over de relevantie en het belang van security-expertise. Naast kennis over de praktische aanpak van technische en organisatorische beveiliging, gaat het dan ook over bijvoorbeeld de invloed en controle op security maatregelen. “Hoe zorg je dat de juiste maatregelen er daadwerkelijk komen?”

Een gedeeld perspectief

De competenties en softskills van privacy professionals zijn minstens zo belangrijk als hun inhoudelijke kennis van het securityveld, benadrukt Tissink. “Als je de basiskennis eenmaal in huis hebt, gaat het erom welwillend open te staan voor de wereld van de security professional. Zoek elkaar op, ga in gesprek, toon interesse en vind de samenwerking. Probeer elkaar te begrijpen. Als privacy professional moet je de hoofdlijnen van de wet- en regelgeving en de normen en standaards op het gebied van security kennen, maar de uitvoering daarvan moet security regelen. Op die manier wordt het privacy- en securitybeleid goed op elkaar afgestemd.”

De risico-gebaseerde aanpak die al jarenlang gangbaar is in security, wordt in toenemende mate ook door privacy professionals omarmd, ziet Tissink. “Zo’n gedeeld perspectief legt een basis om samen te kijken naar security én privacy. En elkaar aan te vullen waar dat nodig is. Pijlers zoals cultuur, houding en gedrag geven handvatten om de volwassenheid van de informatiebeveiliging in de organisatie onder de loep te nemen en daarover met de directie het gesprek te voeren. Waarom maken we werk van dataprotectie: vinden we het simpelweg een compliancevraagstuk, of zijn we intrinsiek gemotiveerd om het goed te regelen? Hoe verankeren we de analyse en de aanpak van de kwetsbaarheden, dreigingen en risico’s binnen de organisatie, uitgaande van onze missie, visie en strategie?”

Actuele cases en ervaringen uit de praktijk

De driedaagse praktijkcursus Security voor privacyprofessionals is speciaal ontwikkeld voor iedereen die betrokken is bij informatiebeveiliging en de veiligheid van data en persoonsgegevens. Bijvoorbeeld (aankomende) Functionarissen voor de Gegevensbescherming, compliance officers, veiligheidscoördinatoren, kwaliteitsmanagers en HR-managers. Aan bod komen vraagstukken zoals technische en organisatorische beveiliging, IT-uitbesteding en security awareness. Doorgewinterde professionals zoals Rence Damming van PON en Jan Willem Schoenmaker van het Erasmus UMC delen ervaringen uit de praktijk.

“Ik ben als hoofddocent net zozeer trainer als facilitator. We gaan in elke module met elkaar in gesprek over praktijkcases en actuele nieuwsberichten. Wat gebeurt er precies en wat zou zo’n situatie voor jouw eigen organisatie betekenen? Recent is bijvoorbeeld bekend geworden dat er kwetsbaarheden zitten in de Microsoft Exchange Servers, de standaard e-mailservers die in bijna alle organisaties in Nederland wordt gebruikt. Microsoft komt nu met een speciale update om de beveiliging te verbeteren, zelfs voor de versies die al niet meer worden ondersteund. Hoe zit dat in jouw organisatie? Speelt het probleem hier misschien ook? Is het al gesignaleerd? Is er inmiddels iemand bezig met een aanpak? Wat zijn de implicaties van het gebruik van verouderde systemen?”

De Autoriteit Persoonsgegevens (AP) heeft de afgelopen weken (22/03/2021) 75 meldingen gekregen van datalekken bij organisaties die Microsoft Exchange Server gebruiken om e-mail te ontvangen en versturen. 

Samen adviseren

Wat zijn anno nu de grote opgaven en prioriteiten voor privacy professionals als het gaat om security? Tissink: “De risico’s en tekortkomingen in informatiebeveiliging betekenen dat de privacy professional een vertaalslag moet maken tussen security en privacy issues. Hoe urgent is de aanpak van kwetsbaarheden in de informatiebeveiliging, zoals het uitblijven van reguliere security updates van softwareprogramma’s? Wanneer is er precies sprake van een datalek en wat betekent dat voor dataprotectie en het privacybeleid? De security specialist en privacy professional moeten hierover onderling in gesprek gaan, een gezamenlijk advies opstellen en samen adviseren richting het management. Het is dan natuurlijk heel belangrijk om kennis te hebben van elkaars werkgebied, zodat je elkaars taal spreekt en elkaar goed begrijpt.”

Op zoek naar de win-win

In de ideale organisatie communiceren privacy en security elk vanuit een eigen perspectief én met een eenduidige boodschap, zegt Tissink. “Je spreekt elk een eigen taal en kijkt vanuit je eigen discipline. Als er bijvoorbeeld een tekortkoming wordt geconstateerd, dan is er ruimte voor verbetering vanuit de verschillende vakgebieden. Maar als je allebei investeert in een risicoanalyse, samen de businesscase voor oplossingen uitwerkt en gezamenlijk optreedt richting de directie dan sta je sterker.”

Ga op zoek naar de win-win, adviseert Tissink privacy professionals. “Ga veel kopjes koffie drinken met security en probeer elkaar echt te begrijpen. Hoe ben je gewend te werken en waar kan je elkaar mogelijk helpen en versterken? Dat begint allemaal met basiskennis over elkaars werk. Wees nieuwsgierig naar het vakgebied van de ander. Dan kan je vervolgens samen op zoek naar verbindingen met andere functies in de organisatie die zich ook inzetten voor compliance, kwaliteitsborging en ondersteuning van de business. En daar wordt iedereen uiteindelijk beter van.”

Als privacyprofessional aan de slag met informatiebeveiliging? Volg dan de driedaagse praktijkcursus Security voor privacyprofessionals.

Verder lezen?

Laat uw e-mail achter en ontvang de brochure: Security voor Privacy professionals direct in uw mailbox.