Het boek inspireert om zelf te experimenteren en bevat daarbij de nodige praktische tips in plaats van dat het boek alleen opwindend werkt. Daar kunnen veel informatiebeveiligingsbeleidstukken nog wat van leren. Ze zijn niet alleen weinig opwindend maar nodigen de gebruiker ook niet uit om bewust te worden van de risico’s en hier werk van te maken middels passende beveiligingsmaatregelen, noch bieden ze hiervoor voldoende bruikbare handvatten. Dat kan dus beter!
Daarnaast is Grey bang om zichzelf bloot te geven. Met andere woorden hij verbergt zijn identiteit en daarmee raken we in de parallelle digitale wereld aspecten als identiteitsfraude, betrouwbaarheid van authenticatie, anonimisatie/pseudonimisatie en privacy aan. Stuk voor stuk aspecten die we in 2018 nog veel zullen tegen komen met de komst van o.a. eIDAS en de AVG in 2018.
Over de AVG gesproken. Een belangrijk onderdeel van de AVG betreft de verwerkersovereenkomst. Je zou het kunnen zien als een BDSM-contract. De AVG stelt extra/nieuwe eisen aan de huidige bewerkersovereenkomst, zoals afspraken over wat er met de gegevens gebeurt bij het einde van de overeenkomst, meldplicht datalekken, eventuele boetes, PIA’s, geheimhouding en audits. Het is verstandig om, als u bewerkersovereenkomsten hebt, ze voor 25 mei 2018 na te lopen en te updaten conform de AVG-eisen. Let wel, dit is maatwerk waarbij u vooral moet nadenken over hoe u zaken wilt controleren of afdwingen bij de verwerker.
Verder wil Grey in control zijn. Dat roepen veel managers ook als het gaat om informatiebeveiliging. De vraag is of dit realistisch is, vooral als je veel samenwerkt met partners in een keten of netwerk. Wel is het belangrijk om je informatiebeveiliging op orde te hebben door te weten waar je risico’s zitten, welke maatregelen je moet treffen en wat je moet doen als het een keer fout gaat. Met het inrichten van een information security management system creëer je structuur en overzicht en kan je je met droge ogen verantwoorden. Bij InnoValor hebben we onlangs een ISO27001 certificeringstraject doorlopen en ik moet zeggen dat ons dat veel meer zekerheid over onze informatiebeveiliging heeft gegeven.