18-05-2020

In slechts vijftien werkdagen verscherpte Edwin Vos de regels rond informatiebeveiliging van een overheidsorganisatie. De tijdsdruk was niet eens zo’n uitdaging geweest, als hij geen onvoorziene drempels had moeten nemen.

Hoe lang en ingewikkeld moet een wachtwoord zijn? Hoe vaak moet je het vervangen? En in welke mate moet het nieuwe wachtwoord afwijken van het oude? Het zijn maar wat simpele voorbeelden, voor iedereen herkenbaar, van de vraagstukken op het gebied van informatiebeveiliging waar bedrijven en publieke organisaties mee worstelen. Want hoe bescherm je in dit digitale tijdperk belangrijke documenten of privacygevoelige informatie?

Nieuwe uitdagingen
Voor zulke vragen kun je bij principal consultant Edwin Vos aankloppen. Al 25 jaar werkt hij bij Nivo, lang genoeg om te weten dat er in dit alsmaar veranderende vak telkens weer nieuwe uitdagingen liggen. Zoals de opdracht van een overheidsorganisatie, eind oktober, om de digitale beveiliging eens flink aan te scherpen.
Het verzoek aan Nivo was om twee richtlijnen voor specifieke thema’s te schrijven. En om een haalbare strategie te bedenken voor de implementatie van deze en de al bestaande richtlijnen op de werkvloer. Tot slot was er behoefte aan beleid voor het monitoren van alle verschillende veiligheidsmeldingen – van meldingen over herhaaldelijk foutief inloggen tot berichten over mogelijke hackaanvallen.

Tijdsdruk
Op zich waren de verzoeken niets nieuws. Edwin krijgt ze regelmatig. Uitdagender was de tijdsdruk. In vijftien werkdagen, en nog voor het einde van het jaar, moest hij de opdracht afronden. Edwin: ‘Ook dat was niet onhaalbaar. Maar het wordt wel ingewikkeld wanneer je zaken tegenkomt die je niet kon voorzien. In dit geval bleek het interviewen van medewerkers amper mogelijk, ondanks toezeggingen vooraf.’ Die interviews waren nodig om de situatie en pijnpunten in beeld te krijgen, zodat hij een zo doelgericht mogelijk plan van aanpak kon opstellen.
‘Maar als het op de ene manier niet kan, doen we het op de andere manier. Door soms wat gesprekken te voeren bij de koffieautomaat, bijvoorbeeld.’

Drempel
Het opstellen van richtlijnen was niet erg ingewikkeld, Edwins focus lag bij het concretiseren van alle richtlijnen voor de werkvloer. ‘Het moet allereerst heel duidelijk zijn wat er van medewerkers verwacht wordt, anders gaan ze zelf op zoek naar oplossingen. Én het moet haalbaar zijn. Bij veel organisaties vormt security voor mensen een drempel om hun werk goed te doen. Het vertraagt en bemoeilijkt, sommige handelingen zijn zelfs verboden. Het is onze taak om ook aan te geven wat wél kan. En hoe. Alleen dan hebben richtlijnen zin.’

De opdrachtgever: ‘Edwin begreep onze organisatie’
Het werk van Edwin Vos heeft duidelijke handvatten geboden om met het veiligheidsvraagstuk aan de slag te gaan, laat de opdrachtgever weten. ‘We zijn blij met de snelheid waarmee hij was ingewerkt, met zijn kennis en ervaring. En we zijn nog het meest te spreken over zijn vermogen om onze organisatie in korte tijd te begrijpen.’