Just in case you get into SOC2 and want to know how to map it to existing information security implementation, whatever it may be, GDPR, ISO27001, NIST, … check this page
“ SOC reports refer to an audit of internal controls to ensure data security, minimal waste, and shareholder confidence; SOX relates to government-issued record keeping and financial information disclosure standards law. In other words, one is about keeping information safe, and the other is about keeping corporations in check.“
The main title of the (ISC)² article on CCSP vs CCAK is “CCSP Certification vs. CCAK Certificate: What Are the Distinctions?”
That’s exactly what you get. A list of technical differentiators between CCSP and CCAK, but according to (ISC)².
But if you hope to get an actual answer to what the right certification is, for you… they forget to ask …you.
What do you think would be the conclusion, if you ask that question to either one of the contestants while you compare 2 certifications? Of course each party will simply draw the conclusion that their own certification is the best choice.
To answer the most important question, the dilemma CCSP or CCAK, is simple: do you need technical or audit skills for cloud security?
The answer
In essence, the answer is simple:
if you need cloud audit skills, dive in to the Cloud Security Alliance (CSA) and ISACA Certificate CCAK.
if you want to have architect level technical cloud expertise and knowledge, choose CCSP
if you want cloud security knowledge, in basic or advanced hands-on, there are other choices to start with (more about it below)
So, if you ask the question “what is the right certification for you”, you immediately know that there is no right answer, but there are many options. Options for a multi level expertise roadmap in cloud security, based on your current skills and your future goals.
If you like a tough challenge: why not jump into the CCAK or CCSP, CCSP or CCAK, whatever, right away.
But if you would like to boost your chance of success… take a deep breath and better plan smartly.
And don’t start with CCSP/CCAK, but prepare your track towards CCSP/CCAK first.
First some background to plan your roadmap
Setting expectations
Just to set expectations, this article only focuses on the personal education and certification options, offered by (ISC)², ISACA and CSA. Including other education provider would lead us too far. There are way more other (cyber)security certifications available, but we focus on the cloud security track, which limits the options…
Feel free to comment with other options for cloud security training. I’ll update the article where relevant.
CSA CCSK
The Cloud Security Alliance launched the CCSK in 2011. And as they explained here, “the CCSK was quite literally the industry’s first examination of cloud security knowledge when it was released back in 2011. “
The CCSK is an easy entry, high level introduction to Cloud Security, and it doesn’t require you to have deep technical cloud security expertise.
But it still is a nice baseline for the cloud security essential knowledge.
You need at least five years of cumulative, paid work experience
CCSP is pretty much the same level of difficulty as CISSP, but has focus on cloud security.
The CCSP was launched in 2015, as a cooperation between (ISC)² and CSA. (see CSA press release here), a couple years after the CCSK launch in 2011. The CCSP is the bigger brother of the CCSK, more advanced, and as CSA rightfully mentions in there CCSK-CCSP comparison blog, the CCSP is on the level of CISSP with a major cloud flavor.
That’s where the dummy math description comes from…
CCAK (Certificate of Cloud Auditing Knowledge) is cohosted by ISACA and CSA. And then you immediately know the approach is different than the approach of (ISC)².
As ISACA mentions on their product page: “The Industry’s First Global Cloud Auditing Credential”.
CISSP
For completeness, I mentioned the CISSP ( Certified Information Systems Security Professional). I don’t think it needs a lot of explanation, it’s pretty much the reference standard for IT Systems security. (ISC)² references it as “The World’s Premier Cybersecurity Certification”.
It’s a pretty heavy exam, and it does require at least 5 years professional security experience. This is not an entry level exam.
Due to the experience requirements, CISSP might be a tough credential to start with, although you can pass the exam, and continue to build your experience to grab the CISSP title…
If you want the plan your credentials the smart way, or you’re fresh in cyber-, information or IT-security, you better start with SSCP.
You can buy a double-try access ticket for the CCSK online exam (60 questions, 90 minutes), so if you would fail the first attempt, study again and retry the exam.
Then plan your track: only technical (no interest for audit) or audit, or both
Only technical
If you focus on technical expertise in cloud security, CCSP is a reference standard (at least, on of them…) .
As mentioned: CCSP = CISSP + CCSK.
So the track is clear
After passing the CCSK exam,
Take the CISSP exam
then take the CCSP
This is the easier route if you already have 5yr+ experience. It’s not the cheapest route, as you pass the CISSP first, but it’s worth the effort. (you only need to pay 1 yearly fee at (ISC)², so after 1 certification, … no extra cost in yearly membership fee) For junior, less experienced, security engineers, start with SSCP before jumping into CISSP, and then CCSP.
Audit
When you target IT security audits, you need to take a different route depending your background. Having the CCSP/CISSP background is extremely useful to boost your career in audit.
But for the CCAK, the core audit baseline is CISA.
Keep in mind, similar to CISSP and CCSP, CISA has the same requirements regards professional experience, 5 years.
But if you’re a ISACA CISA, you can add CCSK to the track and land on the CCAK.
Both?
Then it’s obvious, first tech, then audit, meaning a smart combination of
CCSK
(SSCP > ) CISSP
CCSP
CISA (or alternative)
CCAK
Alternative routes
ISO27001 Implementer & Auditor
And alternative route to the auditing experience is ISO27001 auditing, but you’ll need some implementation experience before you can audit.
CISM
Within the ISACA portfolio, the CISM (Certified Information Security Manager), covers the same areas as most ISO27001 (lead) implementer courses.
Which can be helpful to ramp up for the CISA audit part, to gain some hands-on in IT & Infosec governance.
Visualizing your cloud security education roadmap
Lots of blah for a simple choice?
Allow me to visualize the options…
The difference between “certification” and “certificate”, does it really matter?
In it’s blog post (ISC)² tries to put CCSP above CCAK by saying “CCSP is a certification; CCAK is a certificate.”
And they continue “A certification recognizes a candidate’s knowledge, skills, and abilities, typically framed by a job role, while a certificate’s scope is narrower and only documents training course completion. A certification often requires continuing professional education (CPE) to stay in front of trends, while a certificate’s body of knowledge does not evolve over time or require CPE credits to maintain.“
And their explanation is at least flawed and cutting corners to benefit CCSP.
There are many explanations and interpretations of “certification”, depending the context. But in essence, “certification” is a process and a certificate is a document (the result).
When you certify for “CCSP” at (ISC)², you need to comply with the CCSP condition and then get a document, your CCSP certificate. Idem for CCAK, you need to comply with their conditions.
Both the certification process for CCSP as the process for the CCAK are used by other similar education providers.
Eg, PECB, ISACA, EC-COUNCIL, … and others require to pay a yearly fee, keep CPE/CPD (continous professional education or development). Some yearly fees are cheaper as others.
Like CSA, Microsoft and others ask for a 1 time exam fee, and then update the exam on longer term, not yearly, and do not require a yearly maintenance fee.
It’s a choice of the certificate owner, how the evaluation and exams are done.
Some of them comply to the ISO17024, and education standard. There are huge benefits to comply (like increased credibility, compatibility with other certifications, …). But it’s not mandatory.
(ISC)² uses an exam, with experience requirement and continuous education once you pass the exam, but you do not need to pass the exam again, unless it’s upgraded to a new build or major version.
But CSA does exactly the same, for example when CCSK was upgraded from v3 to v4, you needed to pass the exam again.
Not on a yearly basis, but the program is updated, the exam is updated… on a regular basis, without yearly fee.
It’s rather a (small) financial effort, not of significance for most companies paying the bill. (Although as an individual, the cost of certification can become a serious burden…)
And it’s certainly not relevant when choosing between CCSP and CCAK. CCAK is cheaper, as referenced in the (ISC)² comparison chart.
References
(ISC)²: CCSP Certification vs. CCAK Certificate: What Are the Distinctions?
End 2020 IDG published a study on Security priorities, and it provides important guidelines to the priorities of securing yourself and your company
Protection of confidential and sensitive data
End-user awareness
Corporate resilience
Enhance access control
Understand external threats
Application security
Plan for unexpected risks
This pretty much confirms that your customers, stakeholder’s and staff interest in protecting personal data is driving security from business perspective.
If you see the increase of cyberattacks and ransomware hitting the business, it’s pretty obvious that Business Continuity Management and Disaster recovery must be on top of your priority list. You need to have a tested plan against successful cyberattacks and ransomware, to avoid extended business damage and massive (ransom) costs … afterwards.
To put a plan together, you need to understand who is your adversary and what the current state of cybersecurity is. And this study is a simple but smart guide to define your priorities.
The better you prepare, the less it will cost. But you’ll only be able to tell when it goes wrong.
Sinds een aantal jaren (2003) heeft de overheid, met name de Federale Overheidsdienst (FOD) Economie, het bedrijvenregister gemoderniseerd en via KBO (Kruispuntbank Ondernemingen) op internet ter beschikking gesteld. Het is een publieke en wettelijke verplichting van de overheid om dat te doen.
Maar dat register bevat natuurlijk heel wat interssante data van bedrijven en hun verantwoordelijke personen. Niet alleen om contractuele partijen te valideren… maar ook gebruiken heel wat commerciële bedrijven de collectie om die data door te verkopen in de vorm van adressenlijsten.
Er zijn een aantal spelregels die het gebruik van die data aan banden leggen en die je moet kennen, met name de Belgische wet op KBO, de gebruikerslicenties van KBO en … GDPR die belangrijke verplichtingen oplegt voor het hergebruik van publieke data.
Maar daar vegen heel veel data brokers en direct marketing bedrijven dus gewoon hun voeten aan.
Disclaimer: niet alle databrokers schenden de wet en gebruiken wel de juiste data, door persoonlijke gegevens te verwijderen uit hun data collectie. Maar dit is eerder uitzondering dan regel.
Dit artikel
geeft je wat meer achtergrond bij de spelregels,
legt uit wat er fout loopt en waar je moet op letten en
geeft je ook wat tips hoe je jezelf kan beschermen tegen deze praktijk.
Samenvatting
Direct marketing is elke communicatie, in welke vorm dan ook, gericht op de promotie of verkoop (m.u.v overheid)
De wet verbiedt om direct marketing te doen met alle KBO data
In geval van GDPR data zijn er nog bijkomende richtlijnen te volgen
Neem maatregelen tegen misbruik (verwijder overbodige data of gebruik specifiek mail adres)
2. Publieke verplichting van de overheid om bedrijfsgegevens te publiceren
De contactgegevens van de entiteiten die geregistreerd zijn bij de Kruispuntbank van Ondernemingen worden beschikbaar gesteld zowel via onze “public search” website als via webdiensten / hergebruikbestanden.
Open data: https://kbopub.economie.fgov.be/kbo-open-data die je kan consulteren via maandelijkse updates (gratis download, na registratie) of via API (met een gebruikskost per download)
Dit laatste bepaalt dus het volgende: « Artikel 1, §1. De volgende gegevens van de Kruispuntbank van Ondernemingen zijn via het internet toegankelijk:
1° het ondernemingsnummer en het (de) vestigingseenheidsnummer(s);
2° de benamingen van de onderneming en/of van haar vestigingseenheden;
3° de adressen van de onderneming en/of van haar vestigingseenheden;
(…)
10° de verwijzing naar de website van [1 de geregistreerde entiteit]1, haar telefoon- en faxnummer alsook haar e-mailadres.
Deze laatste (het mail adres) is natuurlijk cruciaal en zeer interessant voor direct marketing (of als je het spam wil noemen, ook goed).
Met betrekking tot het verstrekken van contactgegevens in het kader van webdiensten/ hergebruik-bestanden, stelt de Kruispuntbank van Ondernemingen, via het volledige bestand voor hergebruik van gegevens, een aantal gegevens ter beschikking. Tussen deze gegevens, zitten ook persoonsgegevens. Het gaat om het geheel van de informatie betreffende de entiteiten natuurlijk persoon alsook de namen en voornamen van de personen die, binnen rechtspersonen, functies uitoefenen of de ondernemersvaardigheden bewijzen.
Belangrijk om te weten is ook dat je als verantwoordelijke van een bedrijf ook “declaratieve”, bijkomende contact gegevens kan toevoegen (dus je mail adres).
Zelfs als je vrijwillig contact data in KBO ingeeft, blijven dat KBO bedrijfsgegevens, maar het kan dus ook persoonlijke data zijn (zoals je mail adres) zijn die onder GDPR valt.
Voor we verder gaan wil ik toch even de interpretatie van “direct marketing” toelichten, want dat vind ik niet zelf uit. En ik wil ook vermijden dat er door de data brokers of de commerciële bedrijven zelf een twist aan gegeven wordt.
“De GBA stelt voor het begrip direct marketing als volgt te interpreteren:
elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.
Direct marketing omvat alle vormen van communicatie, ongeacht of deze gericht zijn op de promotie van goederen of diensten, de promotie van ideeën, voorgesteld of ondersteund door een persoon of organisatie, maar ook de promotie van die persoon of organisatie zelf, met inbegrip van zijn/haar merkimago of de merken die zijn/haar eigendom zijn of door hem/haar worden gebruikt, met uitzondering van de promotie die wordt uitgevoerd op initiatief van overheidsinstanties die strikt handelen in het kader van hun wettelijke verplichtingen of openbare dienstverleningstaken voor diensten waarvoor zij alleen verantwoordelijk zijn.
De berichten kunnen bijgevolg zowel uit de commerciële als de niet-commerciële sector komen, zoals de politieke sector of non-profitorganisaties.”
De bekendmaking van de contactgegevens is dus volledig in overeenstemming met de taken die de wetgever aan de KBO/FOD Economie heeft toevertrouwd. Voor de FOD Economie is de verwerking is dus rechtmatig in de zin van artikel 6 c) van de GDRR, aangezien die noodzakelijk is voor de naleving van een wettelijke verplichting waaraan de FOD Economie is onderworpen.
Voor het overige moet je weten dat het gebruik voor directmarketingdoeleinden van door de KBO ter beschikking gestelde persoonsgegevens verboden is.
Art.2.§ 1. De openbare gegevens van de Kruispuntbank van Ondernemingen kunnen overeenkomstig de nadere regels en de voorwaarden van dit besluit, door de beheersdienst doorgegeven worden aan derden met het oog op [1 …]1 hergebruik. Derden mogen evenwel geen persoonsgegevens voor direct marketingdoeleinden gebruiken en/of herverspreiden.
Die zeggen allemaal hetzelfde, conform de Belgische wet uiteraard:
“2.2 De licentienemer mag de persoonsgegevens niet gebruiken voor direct-marketing doeleinden, in overeenstemming met artikel 2 van het koninklijk besluit van 18 juli 2008 betreffende het hergebruik van publieke gegevens van de Kruispuntbank van Ondernemingen.”
Van: webservice-Public-Search-gebruiksvoorwaarden.pdf
5. Nog andere spelregels van toepassing?
De gegevens van de Kruispuntbank van Ondernemingen (KBO) zijn dus publiek, maar er is in de wet dus een uitdrukkelijk verbod om de gegevens te gebruiken voor direct marketing doeleinden.
Maar dat zijn niet alle regels die hier van toepassing zijn. Want ook GDPR is hier van toepassing, tenminste op de persoonsgegevens die in de bedrijfsdata zitten.
5.1. GDPR
Want GDPR definieert persoonsgegevens als data die een persoon (kunnen) identificeren, dus dat betekent ook dat een persoonlijk professioneel mail adres GDPR data is. Let op, niet alle data in KBO is GDPR data, want algemene bedrijfsdata valt buiten GDPR.
Waarom is de GDPR belangrijk hier?
Buiten het verbod op direct marketing, zeggen KBO en de Belgische wet NIKS over transparantie naar de betrokken bedrijven als je data kopieert uit KBO.
Dat is natuurlijk heel andere koek in GDPR, met name
Art.5 (Beginselen inzake verwerking van persoonsgegevens)
ze moeten “worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”)”
Art 6 (Rechtmatigheid van de verwerking)
Dit is van belang als publieke data plots gebruikt wordt voor een ander doel, bijvoorbeeld commerciële adreslijsten
Verhouding tussen gerechtvaardigd belang en toestemming, “wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.”
Art. 12: Transparantie voor toepassing van Art. 13 en 14.
Art. 13: “Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld”
Art. 14: “Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen”
6. Wat is het GDPR probleem?
6.1 Overheid
Ook op vlak van GDPR heeft de overheid de verplichting om deze data te publiceren, in functie van hun publieke verantwoordelijkheid.
Dit valt onder GDPR artikel 6) 1.c (wettelijke verplichting) en nog belangrijker Art.6.1.e. “taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen”
En bij het opstarten van je bedrijf, bij registratie in KBO dus, krijg je de uitleg en de privacy policy van KBO vult de andere transparantieverplichtingen aan. Je hebt niet veel keuze, het is een publieke verplichting.
6.2 Data broker / direct marketing
Maar dat verandert dus helemaal als een data broker of een direct marketing je data van KBO steelt.
Wat moeten zij dan doen, als je het volgens de regels van GDPR speelt?
Algemene taak als verwerkingsverantwoordelijke
Eerst en vooral bij het copieren van KBO data, zeker voor het gebruik voor commerciele doeleinden, met name werven van klanten, gaat het dus bijna altijd om “direct marketing”. Het kopieren en gebruiken van KBO data is illegaal door de Belgische wet, jammer maar helaas, dat heeft niks met GDPR te maken.
Je zou dus “gerechtvaardigd belang” kunnen inroepen, maar zelfs dan zijn er belangrijke voorwaarden aan verbonden. Dat leg ik straks uit onder de verplichting van art. 14.
Transparantie
GDPR Art. 12. 1
“De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt,“
Bepaling van DAR/SAR (subject data access request), Art. 12. 3
“De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven.”
Eerste direct contact betrokken persoon (Art. 13)
Art.13 is van toepassing als je de gegevens direct van de betrokken persoon krijgt.
Indirect contact (Art. 14)
Volgens Art. 14 moet je de betrokken persoon verwittigen bij het verzamelen van de gegevens als ze niet rechtstreeks van de betrokken persoon komen en de nodige details bezorgen, inclusief
wanneer de gegevens verkregen zijn
doeleinde verwerking;
de ontvangers (dus de marketing bedrijven, in dit geval)
hoelang de gevens opgeslagen worden;
gerechtvaardigde belangen;
de bron. (“Art. 14 §2.f de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;”)
en nog andere info…
En nog veel belangrijker volgens Art. 14 §3, moet de betrokken persoon moet daarvan verwittigd worden, ik citeer : “
a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.
En net daar gaan HEEL VEEL data brokers en direct-marketing bedrijven NOG EENS in de fout, geen transparantie, geen bronvermelding, geen details van collectie, … Een simpele vermelding in de “privacy policy” is niet voldoende…
7. Wat moet je dan WEL doen als data broker of direct marketing?
Enkele tips
Zorg dat je een heel duidelijke en expliciete privacy en data protection policy hebt, die publiek beschikbaar is en goed leesbaar.
Gebruik GEEN KBO data.
Dat is illegaal. Heeft niks met GDPR te maken, geen direct marketing met KBO data volgens de wet.
Contacteer het prospectbedrijf via de algemene contact gegevens, via hun website, … via andere kanalen.
Bij gebruik van algemene bedrijfsgegevens (algemeen telefoon nummer, info@bedrijf.url…) dan is GDPR niet van toepassing.
Als je gegevens van persoon, de bedrijfsverantwoordelijke zélf ontvangt
Pas Art.12 -, 13 en 14 toe
Wees transparant, vertel waar de gegevens vandaan komen
Vraag bij eerste contact om toestemming, of regel een andere wettelijke grond die stand houdt.
Bij weigering of intrekken toestemming, verwijder data onmiddellijk, tenzij andere redenen van toepassing zijn.
Als je contact gegevens verzamelt uit andere bronnen dan de persoon zelf,
VERWIJDER ALLE PERSOONLIJKE DATA, dan is het géén GDPR data.
Pas Art.12, 13 en 14 toe
Wees transparant, vertel waar de gegevens vandaan komen
Vraag bij eerste contact om toestemming
Bij weigering, verwijder de data onmiddellijk
Onderhoud je data op regelmatige tijdstippen, vb check met de contactpersoon minstens 1x per jaar dat de data nog up to date is, bij weigering of gebrek aan antwoord: wis de data
Beperk de data opslag tot redelijke bruikbare termijn, dat is een paar jaar. GEEN 15 jaar, zoals sommige data brokers doen. Email adressen zijn na een paar jaar niet meer vers. Er verandert vrij veel in de contact gegevens.
Declaratieve gegevens zijn optioneel, en niet strikt noodzakelijk voor de werking van KBO. Maar het kan om bepaalde redenen toch wel handig zijn…
Zorg dat je KBO-gegevens als persoonsgegevens onder GDPR vallen
Gebruik geen algemeen mail adres. Maak het persoonlijk, dan kan je de rechten onder GDPR afdwingen.
Let op: Bij gebruik van algemene bedrijfsgegevens (algemeen telefoon nummer, info@bedrijf.url…) dan is GDPR niet van toepassing.
Natuurlijk als je graag marketing ontvangt of het nodig hebt, dan is deze discussie niet zo belangrijk.
TIP: gebruik een alias zoals uitgelegd in het LinkedIN article, zodat je je mailbox netjes kan houden.
7.2 Reactief
Als je ondanks de voorzorgen TOCH spam krijgt, die je niet wil ontvangen, kan je actie ondernemen. Hou er rekening mee dat dit vaak tijd neemt en soms een lastige administratieve route is.
Mogelijke acties
Dus, dan zijn er een aantal mogelijke opties (- eenvoudig, +/- vergt wat werk, ++ moeilijk)
(-) Dien een subject data acces request (DAR/SAR) in bij het direct marketing bedrijf dat je contacteert, zodat je weet
waar de data vandaan komt,
welke data ze hebben,
enz…
TIP: zorg dat je voldoende details opvraagt, zie GDPR art. 13 en 14.
(-) Dien een DAR/SAR in bij de data broker die contact data levert
(+/-) Stel het direct marketing bedrijf officieel in gebreke, dit is een eerste officiële klacht, los van de GDPR rechten, die vaststelt dat er een inbreuk is gepleegd. Het is wettelijk geldig om dit via mail te doen.
(+/-)Stel de data broker officieel in gebreke, dit is een officiële klacht, los van de GDPR rechten, die vaststelt dat er een inbreuk is gepleegd. Het is wettelijk geldig om dit via mail te doen.
(+/-) Leg een klacht neer bij de GBA, wanneer
blijkt dat ze illegaal data verzameld wordt
je GDPR rechten niet gerespecteerd worden
GDPR SAR/DAR + ingebreke stelling
Klacht bij KBO & FOD Eco
Hoewel de FOD Economie weinig kan doen aan het misbruik van data, hebben een aantal data brokers een licentie bij KBO. Dus het loont om misbruiken te rapporteren, zo dat ze actie kunnen nemen, waar mogelijk.
Klacht GBA
Op de website van de gegevensbeschermingsautoriteit vind deze link om een klacht in te dienen.
Wees voorbereid, neem voldoende tijd om dit goed aan te pakken,
want ze vragen dat je eerst probeert om de klacht op te lossen met de tegenpartij.
En ze vragen bewijs te leveren, en om je klacht goed te onderbouwen.
En besef dat een procedure met de GBA tijd neemt. Dus verwacht niet meteen resultaat op korte termijn.
Daarentegen is het wel belangrijk om klacht neer te leggen, want dat geeft ook duidelijk aan bij de GBA hoe ernstig dit probleem is, als er meerdere slachtoffers dit rapporten. Zowel binnen de sector van direct marketing, of specifiek voor een bepaald bedrijf dat de regels niet respecteert.
The CIS (Center for Information Security) Controls list is a very well known list of security measures to protect your environment against cyberattacks. The Center for Information Security provides a handy XLS sheet for download to assist in your exercise.
Security note for the security freaks, apparently the document is hosted on the pardot(dot)com Salesforce website, which might be blocked by Adlist domain blockers as it’s used for marketing campaigns, you might need to unblock it, or use Tor browser…)
FYI, the previous version (2019, v1) of the mapping had quite some gaps. Therefor I’ve submitted a suggestion for an updated CIS-ISO27001 mapping. And after review, a new version (1.1) with updates has been published on the CIS workbench.
You’ll notice that the update (1.1) version has still some gaps. And I’ll leave to the discretion of the CIS review work group to argument these gaps.
But I’m convinced you can map the CIS controls for 100% to ISO27001, in one way or another, meaning use ALL ISO27001 controls in certain extent (sometimes a subset, equally or a superset of it, combining controls.)
But the license for use of the CIS controls mapping does not allow redistribution of modified materials…
To further clarify the Creative Commons license related to the CIS ControlsTM content, you are authorized to copy and redistribute the content as a framework for use by you, within your organization and outside of your organization for non-commercial purposes only, provided that (i) appropriate credit is given to CIS, and (ii) a link to the license is provided. Additionally, if you remix, transform or build upon the CIS Controls, you may not distribute the modified materials. Users of the CIS Controls framework are also required to refer to (http://www.cisecurity.org/controls/) when referring to the CIS Controls in order to ensure that users are employing the most up-to-date guidance. Commercial use of the CIS Controls is subject to the prior approval of CIS® (Center for Internet Security, Inc.).”
So I CANNOT distribute the XLS as modified material (Why not?).
Extending the mapping
If you still want to build an extended version of the mapping on your own, you download the 1.1 version and add these items to the list:
CIS section
Coverage
ISO27001 Control
2.2
=
A.12.5.1
2.5
=
A.8.1.1
2.8
small subset
A.12.5.1
2.10
small superset
A.9.4.1/A.8.2
3.1
small subset
A.12.6.1
3.2
small subset
A.12.6.1
3.4
small subset
A.12.6.1
3.5
small subset
A.12.6.1
3.6
small subset
A.12.6.1
4.1
small superset
A.8.1.1/A.9.2.3
6.5
small subset
A.12.4.1
6.6
small subset
A.12.4.1
6.8
small subset
A.12.4.1
7.3
small subset
A.12.2.1
7.5
small superset
A.8./A.13.1.1
7.6
small subset
A.13.1.1
8.3
small subset
A12.2.1
9.5
small subset
A.13.1.1
10.2
small subset
A.12.3.1
10.5
=
A.12.3.1
11.1
small subset
A.13.1.1
11.2
small subset
A.13.1.1
11.6
small subset
A.13.1.1
12.1
small subset
A.13.1.1
12.5
small subset
A.13.1.1
12.10
small subset
A.13.1.1
13.2
small subset
A.11.2.5
14.7
small subset
A.8.2.3
16.2
small subset
A.9.3.1
16.3
small subset
A.9.3.1
16.9
small subset
A.9.2.1
16.10
small subset
A.9.2.1
16.12
=
A.12.4.1
16.13
=
A.12.4.1
17.1
=
Clause 7.2
18.3
=
A.12.5.1
18.4
=
A.12.5.1
18.7
=
A.14.2.9
18.10
small subset
A.14.2.5
18.11
small subset
A.14.2.5
19.3
small subset
A16.1.1
19.6
small subset
A16.1.2
19.7
small subset
A16.1.1
19.8
small subset
A16.1.4
20.1
small subset
A18.2.3
20.2
small subset
A18.2.3
20.3
small subset
A18.2.3
20.4
small subset
A18.2.3
20.5
small subset
A18.2.3
20.6
small subset
A18.2.3
20.7
small subset
A18.2.3
20.8
small subset
A18.2.3
Planning for ISO Certification using CIS Controls?
When you look at it from a different angle and you would like to build a plan to certify your ISO27001 implementation, we need to turn around the mapping, and look for the gaps in the ISO27001 security controls AND CLAUSES, when doing the CIS control mapping.
And then you’ll notice the explicit difference in approach between CIS controls and ISO27001 controls. CIS controls are focusing on technical implementation to harden your cybersecurity, while ISO27001 is a management system that needs these controls, but requires a management layer to support these technical controls. CIS controls are lacking this management layer. If you compare both systems in a table the story gets clear:
The “red” areas require extra work to make it ISO27001 compliant.
And as always, if you have suggestions of feedback to improve this article, let me know, I’ll fix it on the fly.
Afgelopen vrijdag 21 februari, organiseerde Agentschap Innoveren & Ondernemen een praktisch webinar over Cybersecurity.
We toonden een vernieuwende aanpak die de zelfredzaamheid en veerkracht bij KMO’s inzake cybersecurity helpt vergroten.
Cybersecurity wordt beschouwd als één van de grootste bekommernissen in het huidige ondernemerschap. De veiligheid van (klanten)gegevens is een topprioriteit en een beleid hieromtrent uitwerken is noodzakelijk. Als adviseur zult u wel vaker de vraag krijgen van uw klanten over hoe ze hiermee aan de slag moeten gaan.
Hartelijk dank Melissa Gasthuys als gastvrouw en Eveline Borgermans voor de perfecte begeleiding en opname bij Agentschap Innoveren & Ondernemen
Hier de link naar de slides
De link naar de opname:
En je kan altijd nog even gaan kijken op cybervoorkmo.be voor meer tips en hints.
Many InfoSec and data protection or privacy courses reference 3 authoritative yearly reports that show interesting numbers, statistics and trends about breaches year over year.
And these are extremely useful to talk about to your management…
Interesting to know they all have been updated for 2019.
1. Verizon DBIR
(The Verizon Data breach Investigations Report, DBIR)
Update 2020-09-08: Links bijgewerkt met info nieuwe website GBA BE.
Update 2020-05-29: link toegevoegd naar advies van GBA (Gegevensbeschermingsautoriteit), over het gebruik van de identiteitskaart als waarborg en ook over het nemen van fotokopies van identiteitskaart.
Waarborg?
Hoewel je het in privé omstandigheden waarschijnlijk wat minder zal tegenkomen, zullen heel wat professionele collega’s (en zeker consultants en/of security specialisten) de situatie wel herkennen dat je bij het bezoek aan een organisatie door de receptionist of bewaker gevraagd wordt om je identiteitskaart af te geven in ruil voor een (tijdelijke) toegangsbadge. Bij het inleveren van die badge krijg je dan nadien je identiteitskaart (aka eID) terug, normaalgezien.
Naar aanleiding van een aantal weerkerende discussies die ik afgelopen tijd met verschillende klanten en collega’s had, over het gebruik van de (elektronische) identiteitskaart als onderpand of waarborg, ben ik bij het opzoekings-/onderzoekswerk een aantal interessante bronnen en referenties tegengekomen.
Die zijn relatief makkelijk te vinden, ware het niet dat de links van de vroegere ‘privacy commission” (NL/FR) niet meer correct doorverwijzen naar de Belgische GBA , waardoor heel veel oude publieke referenties jammer genoeg niet doorverwezen worden, maar stranden op een onbeschikbare pagina.
Bovendien heeft de vernieuwde website van de Gegegevensbeschermingsautoriteit er nog een schep bovenop gedaan, dus er is nog even werk om dit in de artikels aan te passen.
Dus ik hoop dat onderstaande info alvast interessant is en nuttig om te delen, al is het maar als geheugensteun voor toekomstige discussies [of om bepaalde discussies aan de receptie vanaf nu meteen kort te sluiten 🙂 ].
Wetgeving
Eerst en vooral, focus ik hier op de BELGISCHE eID en de Belgische wetgeving. Voor de buitenlandse identiteitskaarten is er wat meer opzoekingswerk nodig en wellicht is de wetgeving daar anders of heeft andere nuances in de toepassing…
De basis over het gebruik van de eID en het RRN/SSN (Rijksregisternummer, Social Security Number), vind je terug bij FOD Binnenlandse zaken.
Eerst en vooral, moet je een duidelijk verschil tussen
het overhandigen van de ID als waarborg en
het tonen van een identiteitskaart, en
het gebruik van de RRN/SSN
Als je in de FAQ de “Historiek” sectie overslaat, kom je meteen op de kern van de zaak, die aan de basis ligt van alle antwoorden op de kernvraag en de tweede vraag.
“Moet ik verplicht mijn identiteitskaart bij me hebben?”
“Het KB (koninklijk besluit) van 25 maart 2003 betreffende de identiteitskaarten bepaalt dat iedere Belg vanaf de leeftijd van 15 jaar, zijn identiteitskaart steeds bij zich moet hebben. “
De volgende vraag in de FAQ is ook uitermate interessant als we de oorspronkelijke vraag willen beantwoorden.
“Mag men bij het onthaal van een openbaar gebouw een identiteitskaart vragen en bijhouden?
/../. Dit is het geval bij elk verzoek van de politie, in het kader van haar wettelijke en reglementaire opdrachten, alsmede bij elke vraag naar certificaten en uittreksels door gemeentelijke of door andere openbare diensten.
Over het algemeen sluiten deze bepalingen de mogelijkheid niet uit om naar de identiteitskaart te vragen bij het onthaal van een gebouw dat tot de openbare of privésfeer behoort. Het spreekt voor zich dat voornoemde bepalingen niet toelaten dat het onthaalpersoneel, bijvoorbeeld, de identiteitskaart langer bijhouden dan nodig om kennis te nemen van de identiteit.
Wat de verplichting betreft om zijn identiteitskaart voor te leggen (zonder dat deze bijgehouden wordt), bepaalt het koninklijk besluit van 25 maart 2003 dat de identiteitskaart voorgelegd moet worden “als de houder het bewijs van zijn identiteit dient te leveren”, dit wil zeggen dat dit beoordeeld moet worden in functie van het algemene principe dat geldt voor de bescherming van de persoonlijke levenssfeer, namelijk dat het doel waarvoor de voorlegging van de kaart wordt geëist, wettig, bepaald en expliciet moet zijn. Het feit om zich te moeten verzekeren van de identiteit van de bezoekers in het licht van het eigendomsrecht en van de noodzaak om de veiligheid van een gebouw te verzekeren, lijkt aan deze criteria te voldoen. Het is echter niet gerechtvaardigd om de identiteitskaart bij te houden tijdens de duur van het bezoek. Het feit om aan een derde te vragen om zijn identiteitskaart voor te leggen, moet bepaald worden door een wet, een besluit of een intern reglement.”
Op de website van Agoria staat ook een goed artikel met meer praktische uitleg van deze situatie. (artikel dd 23 april 2015)
“Volgens het KB van KB van 25 maart 2003 betreffende de identiteitskaarten mag de identiteitskaart enkel door daartoe bevoegde personen en enkel in welbepaalde gevallen gecontroleerd worden.
In een onderneming mogen alleen bewakingsfirma’s waaraan de beveiliging van het bedrijf wordt uitbesteed of interne bewakingsdiensten voorlegging van identiteitsdocumenten vragen. Ze mogen deze documenten enkel laten voorleggen gedurende de tijd die nodig is om de identiteit te controleren bij toegang tot niet-publiek toegankelijke plaatsen.
Hoewel het opvragen van de identiteitskaart niet geregeld wordt door de privacywet, is voorzichtigheid geboden wanneer men de informatie op de identiteitskaart leest, kopieert en in een bestand opneemt. Dat is immers een “verwerking van persoonsgegevens”. In dat geval moet de privacywet dus worden nageleefd (informatieverplichting, recht op inzage, verbetering, …).”
En dan komen ze tot de kern van de zaak
“De noodzaak om een persoon te identificeren betekent niet dat een kopie moet worden gemaakt van de identiteitskaart. Een visuele controle van de identiteitskaart volstaat.
De commissie stelt vast dat in sommige gevallen aan personen wordt gevraagd hun identiteitskaart als waarborg af te geven (bijvoorbeeld gedurende de tijd waarin een audiogids wordt gehuurd voor het bezoek aan een tentoonstelling). Die praktijk is niet aanvaardbaar aangezien de houder van de identiteitskaart hierdoor zijn wettelijke verplichting om zijn identiteitskaart bij zich te hebben niet kan nakomen.”
Voor alle duidelijkheid, de paragraaf daaronder verwijst nog naar de oude links van de Privacy commissie :
Agoria verwijst dus naar het artikel van de Belgische privacy commissie, correctie: tegenwoordig de GBA of gegevensbeschermingsautoriteit, die dit topic dus al eerder aangekaart heeft.
In de vernieuwde versie (2020) van de thema pagina staat ook meer uitleg over het (juiste) gebruik van de eID (onder sectie Praktische toepassingen), en heel speciek het gebruik als waarborg (“+ Inhouding van uw identiteitskaart als waarborg”)
“Uw identiteitskaart kan niet als borg worden ingehouden. Deze praktijk is niet aanvaardbaar, omdat u hierdoor in gebreke blijft met uw wettelijke verplichting om uw identiteitskaart bij zich te dragen. Deze praktijk brengt ook risico’s van identiteitsdiefstal met zich mee.
Het nemen van een kopie van uw identiteitskaart levert in deze omstandigheden ook problemen op met betrekking tot de verenigbaarheid met de AVG. Indien nodig kan alleen uw identificatie worden uitgevoerd door u te vragen uw identiteitskaart te tonen en alleen de relevante gegevens te noteren, namelijk uw naam, voornaam en het nummer van uw identiteitskaart.”
Die wijkt uiteraard niet af van de Belgische wetgeving op de identiteitskaart, maar ze voegen er wel nog een aantal interessante voorbeelden aan toe, in het licht van privacy en data protection…
” Enkele voorbeelden van wat mag en niet mag:
een videotheekuitbater mag je identiteitskaart vragen wanneer je een dvd huurt. Stel dat iemand de dvd niet terugbrengt, dan kan hij die persoon contacteren;
wanneer je een verblijf in een hotel boekt, is de uitbater wettelijk verplicht om je te identificeren;
bij een bezoek aan een tentoonstelling moet je soms je identiteitskaart afgeven als waarborg voor de audiogids. Dit is onaanvaardbaar: niet alleen moet je je identiteitskaart op elk moment bij je hebben (ook tijdens je bezoek aan de tentoonstelling), maar je loopt ook nog eens het risico dat je elektronische handtekening en je pincode gestolen worden;”
Dus in het kort, de conclusie over het gebruik van de eID als waarborg is daarmee: nee, niet toegelaten.
Trouwens, ter info: als je de GBA website doorzoekt op ‘eid’ krijg je nog een hele hoop extra informatie, met bespreking van praktische situaties.
Het laatste voorbeeld dat de GBA in het voorgenoemde artikel geeft, verwijst naar een ander interessant onderwerp: het gebruik van het RRN/SSN nummer…
“Het rijksregisternummer dat op elke eID staat, mag enkel verwerkt worden als de verantwoordelijke voor de gegevensverwerking daartoe gemachtigd is door het Sectoraal comité van het Rijksregister. Meer informatie hierover is beschikbaar op de specifieke pagina over de machtigingsprocedure bij het Sectoraal comité van het Rijksregister. In het algemeen geldt wel dat een verantwoordelijke die geen taak van openbaar belang heeft, het rijksregisternummer niet zal mogen gebruiken”
De uitleg over de machtigingen staan nu op de website van IBZ
“Het identificatienummer van het Rijksregister mag niet worden gebruikt zonder machtiging of
voor andere doeleinden dan die waarvoor die machtiging is verleend.”
En die machtigingen zijn onderworpen aan strikte regels en worden niet zomaar toegekend. Wat dus enige inventiviteit vergt om dit op te lossen in het operationeel gebruik voor identity and access management, IT Security of data protection voor burgers.
It’s an understatement to say security is moving fast, it’s changing very rapidly and the pressure to keep up with it, increases too.
From various angles, people in IT (as in Information Technology), are under fire to keep the infrastructure secure. Cloud is getting mature, new features pop up every week.
It’s almost a contradiction, but also legislation is catching up to close the holes regarding the protection of people’s security and privacy.
In many cases, the first reaction of customers, management, ITPros, Developers, DevOps,… is to look for the ultimate and ideal tool that will help to plug the security hole.
But if you only focus on the tooling, you’ll discover rather sooner than later, it is not sufficient to get your security watertight.
One of the basic reasons is that tools can’t be implemented properly without involving people and processes. I don’t need to explain the PPT (people-proces-technology) or PPP (people-proces-products) triade, right?
Lots of security management approaches and certifications handle this triad (ISO27001, CISSP, … I’ll cover that another time.
Rather than diving into the search for a tool, you better take a step back and consider first.
What’s the primary function of security?
Protecting an item that you want to keep (safe), right?
[The reason (“why”) for keeping it safe = the CIA triad, Confidentiality, Integrity and Availability]
When you think about the processes (“how”) to secure an asset (anything that is worth securing), there are 3 basics actions you need to define
authorization: what you can do with the asset (the CRUD stuff, create/read/update/delete)
identification: who needs the authorization?
authentication: the method to proof your identity (using passwords, passes, cards, 2FA, MFA, …)
This is essentially the foundation of my credo “no security without identity”
Just by interpreting the basic components of security, you directly hit the “PROCESS” part of the PPT triad.
Now, here’s were most technical people get into trouble… not knowing how to put this in practice.
But let me ask you a simple question: within the normal, usual businesses or companies, where does the identity process typically start?
Yes, correct, HR (Human Resources)
The second question: can you name at least 2 typical high-level HR processes (for people).
Answer: something like “hire” and “fire”, or synonyms like “onboarding/off-boarding”, “termination”, “end-of-life” (but that sounds pretty dramatic when talking about people…).
These 2 events announce the beginning and the end of a lifecycle, the identity lifecycle.
And to make it complete, you also need to define the life-in-between as people change over time.
BTW, just a small side step here: this does not apply to humans only, but any other asset in your environment has pretty much the same cycle and it does not matter if it’s considered “IT” or not… computer, certificates, smart cards, disks, tapes, … but also cars, documents, …
This idea to consider the lifecycle as universal, is a great approach to explain the “identity lifecycle” to non-techies that get involved in the identity lifecycle processes.
This is the common ground you can use to talk to HR people, business managers, Executive level, …
Now, if you look on the internet for pictures on identity lifecycle management, you’re smashed with a lot of complex schemas…
Many of results are variations of 3 essential processes
Depending on your background you might name them differently, like:
For the sake of simplicity, when teaching IDM and security workshops I usually only keep the keywords “Hire”, “Change” and “Fire”.
Short and easy to remember for most people.
For your understanding, the circle approach would assume you start over again after the “Fire” block, but that’s not always the case. The cycle might stop.
So, the approach below is easier to visualize for most people.
Clockwise:
Starting the cycle at (1),
updating the identity at (2),
exiting the cycle at (3)
As I mentioned, earlier, virtually any IT or asset related proces is basically working like this.
Now, let’s take it a step further… How does identity management control security?
A first thing to consider is the typical length of the hire-change-fire modules.
How many tasks/steps does it usually take to complete each of the 3 steps?
Keep the asset in mind and keep it simple…
Typical actions in a hire process:
signing contract
getting an network/AD account
getting an email address
getting building access
IT stuff (laptop, …)
…
Pretty straight forward…
How much time would it take, in simple cases to start working? Hours if not days.
What about the change process? For example, you get promotion to team lead or head of department…
hand over your tasks to peers
get ramped up on new job
in some cases, there is segregation of duties, getting rid of existing rights permissions
getting access to new environment
changing communications channels (notifications to stakeholders of change)
…
In reality, this usually takes a few weeks.
And what are the typical things your consider for the “fire” process?
informing stakeholders/customers
disabling the account
changing password
lock account
removing access
extracting documentation form personal storage
move documents to manager or team
handing over ownership
knowledge transfer
data backup/archiving
cleaning the mailbox
deleting the account (* not always allowed for various reasons)
sending legal / tax documents
and more…
As you can understand, this entire termination process might take months… In many situations the termination process must be executed in different steps, like:
Disabling the account till x+30 days (for example, revert in case the person gets a renewal)
Removing access on x+60 days
Kill mailbox on X+90
Remove the account on X+1y (or even: never)
In some cases accounts must be kept for legal reasons or tracking/cybersecurity reasons…
The further you go in the lifecycle, you need to combine more tasks, and tasks or decisions get more complex.
Overall you can distinguish 2 properties of these processes: duration and complexity. Both go up.
Now, when considering security, why is this important?
Instead of discussing the impact of successful processes, it’s easier to find out what happens if it fails.
WHAT IF… (the process fails)??
Let’s run through the cycle again….
What if the “Hire” process fails?
you can’t access the building
you do not get an account
you can’t logon
you can’t access documents
…
Basically, on your first (few) day(s) you can’t work. Sorry!
But what’s the balance for security: just great, because the risk is nearly 0, except for a bad start and a bit of reputation damage..
At the end: you can’t do any harm, essentially.
In case of the “change” process, a larger part of the tasks and operations will impact the security posture.
When your “change” process fails, for example
you can still access your old documents
you get more access (eg collecting access of your old and new role)
you start collection sensitive accesses over time
managers don’t know
user profiles get copied from existing colleagues in the same team (no ‘reset’ or the permissions before the new ones are assigned)
…
So for this second piece of the circle, the impact might be significant, over time.
But for the “end-of-life” the story is completely different, a failing “deprovisioning” scenario has major impact on the business and IT process
accounts stay active
accounts not being disabled
access not removed
active accounts not detected
account with highly privileged access still active
accounts being deleted too soon
unauthorized users that have access to critical resources
hackers go undetected for a long time, using sleeping accounts
hardware not returned,
data stolen,
over-use of budgets to software licenses that are not revoked
access badges allow unauthorized access to your building and environment
failure to ‘deprovision’ old hard disks properly expose your company data to interested (unauthorized) parties…
…,
It’s clear that a failing deprovisioning/end-of-life process has major impact on your enterprise security.
And hackers or disgruntled employees like that.
Of course you can imagine the benefits of an efficient and effective end-of-life process. It’s the opposite.
Does that require you implement an automated identity management?
No.
That’s where ISO27001 and eg GDPR surprises a lot of people.
Once you’ve got the basic processes in place you can discuss tooling, not the other way around.
You have no security without managing your identity.
you want no identity without security.
Did I mention that I’ll be presenting more of this fun stuff on TechoRama 2017.
Check it out here: http://sched.co/9M94
Identity Underground 
You must be logged in to post a comment.