Uw organisatie GDPR Compliant

Auteur: Diane Mintjens

Op 25 mei 2018 trad de Europese GDPR – Algemene Verordening op Gegevensbescherming (AVG) – in België in werking.

Een enorme golf van vermeldingen van deze wetgeving overspoelde de sociale en andere media. Als marketingcampagne was dit geslaagd: deze wet wordt zeer ernstig genomen. En terecht ook. De tijd van de oudheid waarin privacy ongekend was is voorbij, en er was zelfs reeds een privacywetgeving in België, zij het minder gekend.

In deze wetgeving staat niets onredelijks denken we. Dat zullen de tijd en de praktijk nog moeten uitwijzen. Zeker is wel dat er een markt gekomen is voor diegenen die deze wet kunnen helpen realiseren. Zowel voor de consultants als bij de ‘kunstenaars’ van het geschreven woord verschaft de AVG werk.

Dit boek gaat over modellen voor een praktische implementatie van de AVG.

Het bestaat uit twee grote delen:

Deel 1 gaat over een algemene toelichting bij de wetgeving zelf. Het handelt over de toepassingsgebieden, algemene beginselen ivm verwerking van persoonsgegevens en nadien de rechten en verplichtingen van een aantal betrokken partijen.

Deel 2 gaat over 29 modellen van documenten, elk in 4 talen: Nederlands, Frans, Engels en Duits. De opbouw van deze modellen bestaat uit een checklist, een casus en een voorbeeldmodel. Dit maakt het interessant voor mensen die niet sterk juridisch onderlegd zijn, of geen goede inspiratie hebben.

Het waardevolste stuk van deel 1 van dit boekwerk is voor mij punt 61: het Stappenplan. Dit legt uit een onderneming moet doen wanneer zij haar verwerkingen in overeenstemming wenst te brengen met de AVG en de aanverwante wetgeving.

Cyber Crime en Cyber War

Auteur: Marc Goodman

De auteur geeft in dit boek een rondleiding in een wereld die 24/7/365 on line is. Het gaat over een nieuw verhaal van wat er allemaal kan misgaan. En het is geen oude wijn in nieuwe zakken. Het zijn allemaal nieuwe misdaad mogelijkheden. Wie is er potentiële klant? Jij ! Wat is er een potentieel product dat verhandeld wordt in de misdaadwereld? Ook jij ! Waarom? Omdat je een laptop of een smartphone hebt, of een kredietkaart, bijvoorbeeld. Of een e-mail adres. Alles aan ons is interessant. Alles kan verkocht worden. Alles kan geld opbrengen in een of andere misdadige context. Wie kan ons verdedigen? Wijzelf moeten dat doen !

Dat is zeer kort verteld waar het over gaat.

Nu even breder verteld.

Hoofdstuk 1 begint met een nare ervaring van Mat Honan. Hij werd gehackt door een tiener, grotendeels voor de lol. Maar de schade was enorm. Ook de impact van de eerste virussen op de wereld wordt geschetst. En het feit dat burgers denken dat ze veilig zijn, terwijl de wereld vertrouwt op achterophinkende veiligheidssoftware. De invloed op de beurs is er regelmatig en is enorm. En toch draait de wereld verder alsof er niets aan de hand is.

Hoofdstuk 2 maakt duidelijk dat niet alleen computers het doelwit hoeven te zijn. De beveiliging van openbare infrastructuur is zó slecht dat een veertienjarige puber een volledig netwerk van de tramlijnen in de Poolse stad Lódz kon hacken met een zelfgebouwde infrarood afstandsbediening.

Strikt genomen zijn de meeste informatienetwerken niet van betere kwaliteit qua beveiliging. De burger is dus niet veilig. Wat kan met tramlijnen kan met scada systemen van waterzuiveringsinstallaties, elektriciteitscentrales enz.  En leuk is te weten dat alle nodige kennis voor deze en vele andere misdrijven te vinden zijn op het internet. Daar vind je ook boeken zoals The Mujahideen Poisons Handbook en de dikke Encyclopedia of Jihad. Maar niet enkel kinderen en pubers zijn crimineel op internet, ook het misdaadmilieu maar ook natiestaten spelen een belangrijke rol.

Hoofdstuk 3 maakt duidelijk dat de wettelozen de wet van Moore aan hun kant hebben. Omdat zij uitkiezen waar ze aanvallen en wanneer, kunnen ze de exponentiële groei van technologie maximaal benutten, terwijl de verdedigingslinie alles moet beveiligen, waardoor in het beste geval een lineaire groei mogelijk is.

Daarmee komt de auteur in hoofdstuk 4 op een ander punt: de “brave mensen” zijn veelal geen klant, maar een product ten voordele van het misdadig milieu. Omdat ze een ziekte hebben, of een e-mail adres, of een kredietkaart, of een auto, of een job, of een smartphone, of een kind zijn, enz…

En de misdaad is niet ver te zoeken, sociale media organisaties zoals facebook en Google of hotmail maken soms fouten met betrekking tot het vertrouwen dat hun klanten in hun stellen. Dat doen ze door hun diensten zoals webmail, chat, opslagruimte enz zogenaamd gratis aan te bieden. Maar in werkelijkheid worden zij eigenaars van de data die de mensen er op zetten, en kunnen die verhandelen. Waarom kunnen ze dat? Niemand leest de gebruiksvoorwaarden voordat ze die ondertekenen. Deze voorwaarden worden trouwens zo geschreven en geformatteerd dat ze haast onleesbaar zijn.

Alle hoofdstukken hier vertellen zou ons te ver leiden. Maar wat kan je nog verwachten in het boek?

Misdaad gebeurt op het deep web. Daarvoor kan je een TOR installeren op je PC. Daarmee kan je de gekste dingen aankopen via de juiste sociale media aldaar: wapens, drugs, kinderporno, malware op maat, huurmoordenaars, afpersing, …

Maar de vraag is dan ook, “Wat zijn nu eigenlijk de toekomstige misdaden? Want dit kennen we allemaal al de dag van vandaag”.

Wel, wat dacht je van misdaad op maat van je DNA? Biosynth misdrijven zoals virussen die op maat van uw DNA gemaakt zijn, en enkel u of bijna enkel u uitschakelen.

En wat dacht je van Internet gestuurde terreuraanslagen, die op termijn eventueel gebruik gaan maken van artificiële intelligentie? Of de dreiging die uitgaat van het samengaan van robotica en algemene artificiële intelligentie?

En wat dacht je van het hacken van uw domotica? Want ook zogenaamde kruimeldieven moeten met hun tijd mee. En ijskasten die aangeven dat de melk op is, en een bestelling plaatsen. Auto’s zonder bestuurder.

Of van planten die ’s nachts licht geven? Of eencelligen die geherprogrammeerd worden om drugs te maken. Of DNA-technologie die gebruikt wordt voor opslag van gegevens.

Het probleem van technologie is dus dat het een tweesnijdend zwaard is. Enerzijds kan het voor de mensheid een zegen zijn, maar anderzijds is het een vloek, eens in de handen van de misdaad. En de misdaad zit steeds op de eerste rij om er toepassingen voor te vinden, terwijl de overheden vaak op de laatste rij zitten.

In een van de laatste hoofdstukken legt de auteur een belangrijke verantwoordelijkheid bij de burger. Die mag niet verwachten dat de overheid tegen alles kan bescherming bieden. Dat is niet realistisch. Daarom moeten deze twee laatste partijen de handen in elkaar slaan. Crowdsourcing en gamificatie kunnen daarbij een rol krijgen.

Yes ! I Screwed up – 13 fouten die je bedrijf beter maken

Auteur: Miloe Van Beek

Dit boek is anders dan de andere, omdat het een boek is over falen, wat er fout ging, bij start ups, en niet over succesverhalen. Het gaat daarentegen over de fouten van ondernemers en de bijhorende lessons identified, zodat de lezer, die een ondernemer wil worden, daarvan kan leren. Het is dus ook geen uitgeschreven procedure voor veilig een onderneming naar succes te leiden. Het boek bestaat voor 99% uit voorbeeldmateriaal met daarin de lessen verteld, wat het erg doet aanspreken.

Onder andere de volgende lessen zijn besproken:

  • Maak je een product? Maak de eerste batch niet te groot.
  • Zorg dat je er aan gedacht hebt om het product grondig door te testen.
  • Werk samen met de klant. Ken zijn smaak.
  • Geef je fouten toe, zeg sorry en los het probleem op.
  • Zie dat de pot de ketel niet verwijt dat hij zwart ziet. Zit samen rond tafel en denk constructief.
  • Bevries niet bij tegenslag of tegenwerking.
  • Vertrouw er op dat je het mis hebt, om het dan goed te doen.
  • Durf fouten maken. Winnaars vallen ook, maar staan terug recht.
  • Durf hulp te vragen.
  • Relateer het marketingbudget niet aan de omzet.
  • Praat met klanten. Onbekend maakt onbemind.
  • Een marketingcampagne is nodig, maar ook een salesstrategie.
  • Weet waar de klant behoefte aan heeft.
  • Hecht tijdens het salesgesprek geen waarde aan de uitkomst er van. Bouw geen stress op.
  • Vraag aan de tegenpartij of zij uw idee goed vindt.
  • Wees er niet voor iedereen. Begin met een kleinere doelgroep.
  • Geef de consumenten veel aandacht om hen te overtuigen.
  • Vraag de klanten naar hun interesses. Werk daar naar toe.
  • Voorkom tunnelvisie van uw eigen idee. Ken de behoeftes.
  • Ga in een vroeg stadium naar de markt en vraag dan reeds constructieve feedback. Begin in het klein. Schaam je desnoods een beetje.
  • Spreek concreet over de prijs.
  • Slank een bedrijfsidee af als het te weinig aansluit bij de noden van de markt.
  • Toets regelmatig de evolutie van de noden van de klant.
  • Zorg dat je op de markt komt als de nood aan uw product er is. Timing is belangrijk.
  • Werk met kleine stapjes naar je doel.
  • Pas op met teveel financiering.
  • Durf verantwoord bluffen.
  • Werk samen met anderen indien opportuun.
  • Wees op tijd met innovatie.
  • Anticipeer op veranderingen van de markt. Creëer een wendbare cultuur.
  • Kijk uit voor en naar andere producten.
  • Brainstorm uitgebreid over ideeën. Laat heel de werkvloer meedenken.
  • Pas op voor zogenaamde vanity metrics.
  • Motiveer je team doorheen veranderingen. Communiceer veelvuldig.
  • Als er tientallen aanbieders zijn, doe dan iets anders. Doe iets bijzonders.
  • Blijf scherp als het goed gaat.
  • Stuur op de cijfers. Gebruik allerhande indicatoren.
  • Zorg dat klanten betalen. Gebruik desnoods een debiteurenbeleid.
  • Bereid uw financiële gesprekken goed voor.
  • Laat investeerders niet de dagelijkse leiding verstoren.
  • Pas op voor teveel geld van investeerders.
  • Trek op tijd aan de bel als het fout gaat.
  • Geld lenen kost ook geld.
  • Kijk naar lange termijn perspectieven.
  • Let op voor superioriteitsgevoel. Zet het van u af. Loop niet naast uw schoenen.
  • Groei niet om te groeien.
  • Als de economie tegenzit, kan je bedrijf in één keer floppen.
  • Verwen uzelf niet met overdadige mediabelangstelling. Hou u bezig met het realiseren van uw visie, missie, strategie, doel. Media-aandacht geeft geen businessmodel.
  • Focus u op uw doelen. Niet op de middelen.
  • Let op om ja te zeggen tegen leuke projecten. Past het in de business? Let op met teveel enthousiasme. Kies wijs en verstandig.
  • Let op tijdens groeifasen voor chaos en te weinig focus.
  • Kies een doel om je te gidsen.
  • Let op voor stress. Luister naar je lichaam. Let op voor burn out.
  • Hou voldoende van uw privésituatie. Niet enkel uw gezin.
  • Zeventig uur per week werken is voor niemand goed. Neem vakantie.
  • Hou altijd de big picture in het hoofd.
  • Plan naargelang het jaar vordert voldoende resources.
  • Groei pas als je er klaar voor bent.
  • Word niet lui wanneer het goed gaat.
  • Stel geen zaken uit. Kom op tijd in actie.
  • Weet dat de werkvloer en het middenkader de situatie zeer scherp aanvoelen.
  • 10 jaar groeitijd om tot 20 medewerkers te komen is normaal.
  • Communiceer omstandig met de medewerkers.
  • Ga af op cijfers, ga niet enkel af op buikgevoel
  • Luister naar de mening van adviseurs. Wees niet eigenwijs. Steel gedachtengoed en ideeën.
  • Je wordt niet beter van te horen hoe goed je bezig bent.
  • Weet waarom je wil ondernemen.
  • Deel je fouten met anderen. Leer van de fouten van anderen.
  • Praat over potentiële keuzes met derden.
  • Start geen business met vrienden.
  • Zorg voor voldoend complementaire partners en medewerkers.
  • Samen is beter dan alleen. Misschien best met drie. Maar enkel gestoeld op eerder samenwerken.
  • Let op met nieuw afgestudeerden.
  • Ga met een potentiële werknemer op café. Check of er een klik is.
  • Bespreek de werkvoorwaarden goed door. Vertrouwen alleen is niet voldoende.
  • Ga niet teveel af op de toezeggingen van één persoon.
  • Investeer in personeel en personeelsbeleid.
  • Leer delegeren.
  • Weet wanneer je moet stoppen. Baseer je daarbij op cijfers.
  • Falen is geen schande.

PRAGMATIC Security Metrics

Auteurs: W.Krag Brotby en Gary Hinson

Het boek gaat over hoe je security metrieken moet maken, beoordelen, voor wie ze te gebruiken, maar vooral dat het nuttig is ze te gebruiken.

PAGMATIC staat voor

  • Predictive
  • Relevant
  • Actionable
  • Genuine
  • Meaningful
  • Accurate
  • Timely
  • Independent
  • Cheap

En dit zijn de criteria waarop elke indicator moet beoordeeld worden.

Mijn persoonlijke favoriet is de eerste: Predictive. Een indicator moet iets kunnen vertellen over wat er in de nabije toekomst te verwachten valt. De tweede is voor mij Actionable, omdat een indicator moet kunnen een maatregel opleveren die de indicator kan bijsturen. Meaningful is belangrijk, omdat te vaak de eigenaars van de indicatoren teleurgesteld worden erdoor, omdat te gemakkelijke indicatoren gemaakt worden, die snel en gemakkelijk meetbaar zijn, maar weinig zeggen over de security van de organisatie. Meaningful staat volgens mij dan ook lijnrecht tegenover Cheap, dat beter Complex had geweest, omdat Complexere indicatoren meer informatie in zich dragen, maar moeilijker te verkrijgen zijn, ook moeilijker te interpreteren en dus duurder zijn in gebruik.

Accurate doet me dan denken aan het feit dat indicatoren best cijfermateriaal opleveren dat juist is. Er moet hard kunnen gediscuteerd worden, en dat is moeilijk als de indicatoren flou worden gedefinieerd en / of gemeten.

Het zevende kenmerk, Timely, geeft de vanzelfsprekende eigenschap aan dat het management geen boodschap heeft aan indicatoren die reeds hun tijd voorbij zijn. Dit is ook van belang voor het voorspellend karakter van de indicator.

Het boek opent met een office memorandum: de CEO van het bedrijf vraagt kort door de bocht genomen aan de CSO om argumentatie waarom Information Security belangrijk is. Een antwoord dat er morgen moet liggen.

Het boek begint daarna met een hoofdstuk dat onontbeerlijk is: een hoop inspiratie om aan de verschillende doelgroepen in de organisatie duidelijk te maken waarom werken met Security Indicatoren van belang is, naast het feit dat men reeds de gewoonte heeft om met tal van andere indicatoren te werken op voornamelijk financieel vlak.

Daarna volgen hoofdstukken over waarom we Security willen meten. Ook dit kan motiverend werken om de mensen in de organisatie te helpen overtuigen.

Het volgende belangrijke hoofdstuk is Hoofdstuk 6 dat ons een kennismaking geeft met de mnemonic PRAGMATIC. Uiteindelijk staat het de lezer echter vrij om andere criteria te kiezen.

De hoofdbrok wordt echter opgeëist in hoofdstuk 7 door de toepassing van de PRAGMATIC-criteria op een 150-tal indicatoren, met bespreking. Dit om de lezer onder te dompelen in het principe van het denken volgens deze criteria.

Daarna gaat het boek verder over het opzetten van een Information Security Measurement System en wat daarbij gebruikt kan worden. Er wordt een inleiding gegeven in Key Indicatoren, de nadelen van metrieken, en de praktijk wordt belicht in o.a. een hoofdstuk dat de case behandelt van het office memorandum in het begin. Nadien volgt een niet te complexe conclusie. Het boek sluit af met een antwoord van de CSO op de CEO zijn vraag in het begin van het boek.

De Klimaatparadox

Auteur: Peter van Druenen

In dit essay behandelt de auteur een bijna evenzeer gevoelig als  ethisch moeilijk onderwerp: de mens als grootste vijand van het klimaat, zichzelf en daarbij de wereld.

Er blijkt reeds in het jaar 1972 een “Club van Rome” te zijn samen geweest, bestaande uit ambtenaren en industriëlen, die een voorspellend document de wereld hebben ingestuurd met hun toekomstvisie over de leefbaarheid van de wereld, afhankelijk van vijf verschillende parameters, maar met als belangrijkste de bevolkingsgroei. Later werd deze studie langs alle kanten aangevallen, en tegengesproken. Echter, de feiten laten de grote voorspellende kracht van het document zien.

Het essay behandelt echter nog een ander document. Een soortgelijk document werd reeds opgesteld in 1798, met zelfsoortige maar andere voorspellingen, maar zonder rekening te houden met o.a. de industriële revolutie. Ook daarin stelde de toenmalige auteur, Thomas Robert Malthus, dat de bevolkingstoename het grootste probleem zal zijn, o.a. met de capaciteit van de wereldlijke voedselproductie, die lineair steeg, terwijl de bevolking exponentieel explodeerde.

Deze laatste werd gecontesteerd omwille van de radicale conclusies die hij stelde: doe niet aan medemenselijkheid, zet geen noodhulp op voor door rampen geteisterde gebieden, laat oorlogen gerust gebeuren en doe niet aan voedselhulp. Want al wat je nu doet om goed te doen zal zich later negatief wreken via meer leed wanneer de populatie te groot wordt, en veel meer mensen noodlijdend zullen zijn, ziek, hongersnood kennen en in een oorlogssituatie verkeren. Deze zeer crue standpunten kwamen nota bene van een professionele dominee.

De uiterste reacties op de situatie zijn dus duidelijk niet aan de orde, omdat het een ongemakkelijke waarheid is dat het individuele leven door velen in de bevolking hoger naar waarde geschat wordt dan het overleven van de soort. Institutionele levensbeëindiging is dus – terecht – onbespreekbaar. Een aantal andere maatregelen trekken dan de aandacht. Een daarvan is de geboortebeperking. China heeft ook daarin een grote voorsprong getoond, en daaruit leren we dat de bevolkingsaangroei toch problematisch is voor het klimaat door een grotere levensverwachting van het individu. Geboortebeperking alleen lost het probleem van het klimaat dus niet op.

Inmiddels zijn er tevens een aantal initiatieven om de wereld te redden door haar op te kuisen. Maar de vraag is of dit effectief helpt, gezien het probleem van de stijging van het zeeniveau. Daarom roept de auteur op tot een alternatief: bouw eerst de goede dijken om het droog te houden, werk pas daarna aan de opkuis van de aarde.