congres 2023 De oefening heeft Keijzer-Baldé enigszins ontnuchterd achtergelaten. “Bij EZK zit de veiligheidscultuur minder in onze aard dan bij het veiligheidsdepartement JenV; wij hebben dat echt moeten leren. Jammer dat veiligheid voor veel mensen nog steeds een saai onderwerp is, want het is zo belangrijk. Pas wanneer de dijken breken beseffen we waar ze voor nodig waren. En de dijken moeten verhoogd worden, omdat cyberdreigingen toenemen.” Ze plaatst nog een belangrijke kanttekening: “Red teaming test de feitelijke veiligheid, niet de compliance met veiligheidsprocedures. Groene vinkjes op je ISO-27001 certificaat zijn mooi, maar laat je daardoor niet in slaap sussen.” Neem bestuurders mee Een vraag uit het publiek was hoe een CIO of CISO bestuurders kan meenemen in het veiligheidsverhaal. Keijzer-Baldé: “Cyberrisico’s horen bij de risicoanalyses die het bestuur één of twee keer per jaar moet uitvoeren. Neem ze dus daarin op. Zo komt het onderwerp op de bestuurlijke agenda. En blijf optimistisch aandacht vragen. Als je een penetratietest of kwetsbaarheidsscan laat uitvoeren, pak dan ook het podium om de uitkomsten te presenteren. Leg uit wat er is misgegaan en hoe. Dat schudt mensen echt wel wakker.” Meer informatie over de keuzekaart securitytesten of hoe je als overheidsorganisatie red teaming kunt toepassen is te vinden in de ‘Gereedschapskist red teaming’: www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/cybersecurity/oefenen-en-kennisdelen/ gereedschapskist-red-teaming/ Gerdine KeijzerBaldé: “Pas wanneer de dijken breken beseffen we waar ze voor nodig waren.” Nummer 48, oktober 2023 27
28 Online Touch Home