Onlangs heb ik het boek “Fifty shades of Grey” gelezen. Ik vond er niet zoveel aan…. Wel interessant is dat er paralellen zijn met diverse principes in informatiebeveiliging.

Voor de lezer die het boek niet gelezen heeft of de film niet heeft gezien, kort nog even een samenvatting van het verhaal. Fifty shades of Grey gaat over de net afgestudeerde Anastasia Steele die een seksuele relatie krijgt met de jonge zakenman Christian Grey. Christian en Anastasia onderhandelen over de inhoud van een BDSM-contract waarin staat dat Christian haar mag onderwerpen in sadomasochistische rollenspellen. Dit omdat Grey bang is om op welk moment dan ook de controle los te laten en zich bloot te geven. De titel verwijst naar de verschillende, vaak ruwe, stemmingen en onverwachte stemmingswisselingen van Christian Grey die Anastasia gaandeweg leert kennen.

Maar waar zitten dan de paralellen met informatiebeveiliging? Ik zal ze op een rijtje zetten.

Het boek inspireert om zelf te experimenteren en bevat daarbij de nodige praktische tips in plaats van dat het boek alleen opwindend werkt. Daar kunnen veel informatiebeveiligingsbeleidstukken nog wat van leren. Ze zijn niet alleen weinig opwindend maar nodigen de gebruiker ook niet uit om bewust te worden van de risico’s en hier werk van te maken middels passende beveiligingsmaatregelen, noch bieden ze hiervoor voldoende bruikbare handvatten. Dat kan dus beter!

Daarnaast is Grey bang om zichzelf bloot te geven. Met andere woorden hij verbergt zijn identiteit en daarmee raken we in de parallelle digitale wereld aspecten als identiteitsfraude, betrouwbaarheid van authenticatie, anonimisatie/pseudonimisatie en privacy aan. Stuk voor stuk aspecten die we in 2018 nog veel zullen tegen komen met de komst van o.a. eIDAS en de AVG in 2018.

Over de AVG gesproken. Een belangrijk onderdeel van de AVG betreft de verwerkersovereenkomst. Je zou het kunnen zien als een BDSM-contract. De AVG stelt extra/nieuwe eisen aan de huidige bewerkersovereenkomst, zoals afspraken over wat er met de gegevens gebeurt bij het einde van de overeenkomst, meldplicht datalekken, eventuele boetes, PIA’s, geheimhouding en audits. Het is verstandig om, als u bewerkersovereenkomsten hebt, ze voor 25 mei 2018 na te lopen en te updaten conform de AVG-eisen. Let wel, dit is maatwerk waarbij u vooral moet nadenken over hoe u zaken wilt controleren of afdwingen bij de verwerker.

Verder wil Grey in control zijn. Dat roepen veel managers ook als het gaat om informatiebeveiliging. De vraag is of dit realistisch is, vooral als je veel samenwerkt met partners in een keten of netwerk. Wel is het belangrijk om je informatiebeveiliging op orde te hebben door te weten waar je risico’s zitten, welke maatregelen je moet treffen en wat je moet doen als het een keer fout gaat. Met het inrichten van een information security management system creëer je structuur en overzicht en kan je je met droge ogen verantwoorden. Bij InnoValor hebben we onlangs een ISO27001 certificeringstraject doorlopen en ik moet zeggen dat ons dat veel meer zekerheid over onze informatiebeveiliging heeft gegeven.

Sadomasochistische rollenspellen en informatiebeveiliging? Jazeker! Hiermee doel ik op ethical hacking wat booming is op dit moment. Veel partijen doen zichzelf pijn door iemand in te huren die de kwetsbaarheden van de informatiesystemen test. Ofwel, een rollenspel dat net zoals in het boek gebaseerd is op ongelijkheid en kwetsbaarheid en wordt toegepast in de ICT. Dit verwijst ook naar de ruwe en vaak onverwachte stemmingswisselingen van Grey. Wees voorbereid op het onverwachte, want dat zal de manier zijn waarop hackers typisch zullen toeslaan.

Tot slot de titel zelf: 50 shades of grey. Dat gaat in het algemeen ook op voor informatiebeveiliging. Er is niet één kleur oplossing, maar de sterkte van de beveiliging zit in zijn gelaagdheid en aanpasbaarheid. Defense-in-depth en het vermogen van de beveiliging om zich aan te passen aan de situatie. Vooral dat laatste is nuttig in de context van BYOD of BYOID. Denk daarbij aan context afhankelijke toegangsrechten en step-up of continue authenticatie. Er is ook niet één kleur risico, ook daar heb je gradaties in. Of in Grey termen – wat vind je spannend en risicovol en waar houd de controle op? Welke ‘risk appetite’ heb je als bedrijf en waar houd de informatiebeveiliging op omdat het te duur of onpraktisch wordt? Oplossingen als risk-based authenticatie en autorisatie passen hierin natuurlijk.

Er zijn vast nog wel meer parelellen te vinden. Ik hoor ze graag van u!