Security specialist Kenneth Smit aan het woord.

Security expert; “Informatiebeveiliging begint met inzicht“

Het succes van Ventus is te danken aan tientallen IT-professionals die iedere dag hun ervaring en expertise inzetten voor onze opdrachtgevers. In de serie “Focus op Functies” laten we steeds één van hen aan het woord over zijn of haar werkzaamheden, de uitdagingen van het vak en belangrijke trends en ontwikkelingen.

Binnen organisaties ontstaat steeds meer bewustwording over het belang van informatiebeveiliging. Data wordt opgeslagen in de Cloud, in- en extern gedeeld en op afstand benaderd via een smartphone, laptop of de pc thuis. Die toegankelijkheid heeft grote voordelen, maar er kleven ook aanzienlijke risico’s aan. Security expert Kenneth Smit is sinds 2017 werkzaam bij Ventus en heeft zich gespecialiseerd in informatiebeveiliging. Hij helpt organisaties met het voorkomen van datalekken door inzicht te geven in datagebruik en -beheer en passende oplossingen aan te dragen.

Wat is informatiebeveiliging?

Onder informatiebeveiliging verstaan we een samenhang van organisatorische en technische maatregelen, die een organisatie inzet om haar gegevens te beschermen. Dat varieert van autorisatie (wie mag waar bij) tot verificatie (hoe krijg je toegang). Behalve aan interne regels moet ook aan wettelijke eisen worden voldaan.

Hoe weet je of de informatiebeveiliging op orde is?

Veel bedrijven zijn al op de goede weg. Computers en applicaties hebben wachtwoorden, iedereen weet dat je niet op dubieuze linkjes moet klikken en dankzij de Cloud hoeft niemand meer in de trein op een USB-stick te letten. Helaas laat de toename van veiligheidsincidenten zien dat we in de huidige realiteit nog genoeg stappen te zetten hebben. Het is daarom voor elke organisatie belangrijk om informatiebeveiliging zeer serieus te nemen. Er zijn veel factoren om in de gaten te houden en niet iedereen (h)erkent de zwakke plekken. Een security specialist kijkt met een kritische blik naar het beveiligingsbeleid van de organisatie en brengt mogelijke risico’s in kaart. Aan de hand van de bevindingen wordt samen gekeken naar wat noodzakelijk, mogelijk en acceptabel is.

Hoe gaat een security specialist te werk?

Allereerst probeer je inzicht te krijgen, o.a. in de dataflow van de organisatie. Informatie wordt verzameld, opgeslagen, gebruikt, gedeeld, gearchiveerd en uiteindelijk vernietigd. Dat is althans zoals het zou moeten gaan. Maar is alle data die verzameld wordt wel nodig? Wat mag juridisch wel en wat niet? Waar sla je de informatie op, wie kan erbij en hoe sterk is de beveiliging? Daarna analyseer je de risico’s en kijk je of de actuele wet- en regelgeving wordt gevolgd. Tot slot geef je advies over mogelijke verbeteringen. De verantwoordelijkheid voor de aanpassingen ligt echter altijd bij de organisatie.

Wat is ISO 27001?

ISO 27001 is de internationale standaard voor informatiebeveiliging. Bedrijven die ISO 27001 gecertificeerd zijn, laten zien dat ze goed omgaan met informatiebeveiliging en zich beschermen tegen ongeoorloofde toegang tot of verspreiding van data. De standaard wordt regelmatig vernieuwd. In de laatste versie uit 2022 ligt bijvoorbeeld een sterke focus op risicomanagement. Overigens garandeert de implementatie van het ISO-framewerk geen 100% bescherming tegen veiligheidsrisico’s.

Kun je een voorbeeld geven van een opdracht waarbij informatiebeveiliging een grote rol speelde?

In het beginstadium van de Covid-pandemie ben ik bij het RIVM aan de slag gegaan. Daar was het verzamelen van gegevens noodzakelijk voor het verkrijgen van inzicht in de ziekte en het bepalen van een mogelijke aanpak. Tegelijkertijd moest men zich houden aan wettelijke regels omtrent het vergaren en delen van persoonlijke informatie. Wat doe je met de verkregen data? Wat mag je wel en niet bekend maken? RIVM had natuurlijk al ervaring met de beveiliging van persoonsgegevens, maar deze situatie, op zo’n grote schaal en onder een publiekelijk vergrootglas was niet eerder voorgekomen. Dat zorgde voor een ander speelveld. Het was Champions League niveau op het gebied van informatiebeveiliging en privacy. Als security expert ben ik daar echt met mijn neus in de boter gevallen. Het was een bijzondere tijd en ik heb er heel veel ervaring opgedaan.

Wat is voor jou de grootste uitdaging op het gebied van informatiebeveiliging?

Het is een dynamisch vakgebied. De ontwikkelingen gaan zo snel, daar moet je als professional bovenop blijven zitten. Nieuwe technologieën brengen weer nieuwe risico’s met zich mee. Artificial Intelligence (AI) is daarvan een goed voorbeeld. Organisaties gebruiken steeds vaker AI-systemen, maar wat mag wettelijk gezien en welke risico’s brengt het met zich mee? Bedrijven zijn daar vaak niet genoeg op voorbereid en kunnen hun informatie daardoor niet afdoende beschermen. Voor een security expert als ik liggen daar mooie uitdagingen. Het is bovendien leuk om jezelf te blijven ontwikkelen. Niet alleen met opleidingen en certificeringen, maar ook met nieuwe ideeën om organisaties verder te helpen. Zo is ook Privacy Grip tot stand gekomen.

Wat is Privacy Grip?

Privacy Grip richt zich op het voorkomen van datalekken en het beschermen van privacygevoelige gegevens. Dat doen wij door organisaties inzicht te geven in hun data lifecycle en door beveiligingsrisico’s op te sporen. Daarnaast geven we advies over zowel technische als juridische aspecten en bieden we de mogelijkheid een externe Functionaris Gegevensbescherming of Privacy Officer in te huren. Hiermee helpen we organisaties met hun privacy en informatiebeveiligingsvraagstukken. Wij geloven in een aanpak waarbij privacy en informatiebeveiliging niet los van elkaar horen te functioneren. Privacy Grip wordt ondersteund door Ventus.

Kenneth Smit
operationeel directeur VIP

Wil je meer weten over onze IT-professionals? Of wil je zelf bij Ventus aan de slag? Neem dan gerust contact met ons op.