Bewust zijn op informatieveiligheid
‘Logius biedt voorzieningen en standaarden die alle overheidsorganisaties gebruiken in hun digitale dienstverlening. Mensen kennen ons van bijvoorbeeld DigiD en MijnOverheid. Voor Logius stel ik de kaders vast waarmee de integriteit, beschikbaarheid en vertrouwelijkheid van de informatie(voorziening) wordt gewaarborgd. En ik adviseer in hoofdlijnen hoe we de informatiebeveiliging verder kunnen inrichten. Informatiebeveiliging zit onder meer in techniek, processen, procedures en audits. Maar ook in de mens. We moeten alert zijn op de gevaren die internet met zich meebrengt. Om het beveiligingsbewustzijn te vergroten, organiseer ik regelmatig sessies. Samen doen we opdrachten, delen we cases en bedenken we maatregelen. Mijn netwerk als CISO is groter geworden doordat ik deze presentaties geef aan teams binnen en buiten Logius. Daarnaast werk ik nauw samen met onder andere de CISO van BZK en het Nationaal Cyber Security Center.
Valide e-mail of phishing?
Social engineering, de mens 'kraken', is een onderdeel dat ik vaak terug laat komen in deze sessies. Hoe weet ik zeker dat ik aan de telefoon zit met de persoon die ik denk dat het is? Een beheerder kan zomaar een systeem uitzetten, omdat hij denkt dat iemand hem die opdracht geeft die daarvoor geautoriseerd is. Maar is die persoon dat ook wel? Bij Logius werken inmiddels zo'n 500 professionals. Ik ken ze dus niet allemaal van gezicht. Hoe weet ik of iemand die voor de deur staat hier werkt of niet? Het zit niet in mijn aard voor een onbekende de deur dicht te gooien. Een eenvoudige maatregel is om met zo'n onbekende mee te lopen naar de plek waar hij moet zijn.
Informatiebeveiliging is dan ook niet alleen maar aangeven wat er allemaal niet kan, maar vooral aangeven wat en vooral hoe het wèl kan. Ook bij e-mail is alertheid belangrijk. Zo kreeg ik via e-mail het verzoek om een 360 graden- feedbackformulier voor mijn collega in te vullen. Voordat ik op zo'n link klik, check ik bij mijn collega of het klopt. Je kunt natuurlijk niet elk mailtje wantrouwen, het moet wel werkbaar blijven.
Business en IT verbinden
De e-overheid raakt ontzettend veel partijen. Samenwerken met die partijen vind ik het leukste onderdeel van mijn baan. ICT heeft me vanaf mijn tienerjaren gefascineerd, ik ben een ICT opleiding gaan doen en vrij technisch aangelegd. Daarnaast kom je verder door het management uit te kunnen leggen waarom maatregelen noodzakelijk zijn. De brug tussen ICT en het management is vrij groot en ik vind het geweldig om enerzijds met techneuten rond te tafel te zitten en anderzijds met bestuurders en die vertaalslag te maken. Ingewikkelde materie uitleggen in voor velen begrijpelijke taal, zo'n verbindende rol past bij me.'
