De succesfactoren voor een goede implementatie van informatiebeveiliging

De komst van de BIO zorgt voor een hoop buzz in overheidsland. In het hele land worden sessies georganiseerd, die druk worden bezocht door CISO’s zoekende naar een manier hoe ze deze baseline kunnen gebruiken om informatiebeveiliging nu eindelijk eens op een goede manier te implementeren. De hamvraag is natuurlijk: gaat dat met de BIO wel makkelijker lukken? En wat zijn nu cruciale succesfactoren om informatiebeveiliging succesvol te implementeren?

Om je maar gelijk uit de droom te halen dat dit met de BIO allemaal wel, of in ieder geval makkelijker, gaat lukken: nee, dit is niet het geval. De komst van de BIO gaat er niet ineens voor zorgen dat je informatiebeveiliging nu wel goed geïmplementeerd gaat krijgen. Je zult hier nog steeds een hoop werk voor moeten verzetten. Net als de BIG is de BIO afgeleid van de ISO27002. De BIO bevat inhoudelijk dus dezelfde onderwerpen als de BIG. Wat wel anders is, is dat de BIO meer kaders biedt voor organisaties.

De basis

Een van de verschillen is dat de BIO drie basisbeveiligingniveaus (BBN) hanteert. Dit houdt in dat op basis van generieke schade en bedreigingen een onderscheid gemaakt wordt in drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Elk BBN bestaat weer uit een aantal controls (maatregelen) en een verantwoordings- en toezichtsregime. En je raadt het al, hoe hoger het niveau, hoe hoger de potentiële impact. Voor alle gemeenten geldt dat alle systemen minimaal moeten voldoen aan BBN 1 en een groot aantal systemen zelfs aan BBN2. Aan de hand van dit niveau weet je als gemeente dus precies welke maatregelen daarbij horen. Maar het in beeld brengen van deze maatregelen is slechts een begin, daarmee ben je er nog niet. Zo zijn er nog een aantal andere (succes)factoren die een belangrijke rol spelen. Deze zijn randvoorwaardelijk voor een goede implementatie van informatiebeveiliging. In deze blog zet ik deze factoren graag op een rij en licht ik ze toe.

De succesfactoren

1 – Een informatiebeveiligingsbeleid

De allereerst stap, en ook de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. Het informatiebeveiligingsbeleid vormt de basis voor de informatiebeveiliging van je gemeente. Het vormt de kapstok voor de implementatie van informatiebeveiliging met kaders en normen voor (verdere) inbedding van het informatiebeveiligingsbeleid. Hierin staan o.a. de uitgangspunten voor het juiste niveau (BBN) van informatiebeveiliging voor de gemeente. Om een beeld te krijgen van hoe zo’n beleid eruit ziet, heeft de IBD een template opgesteld. Let wel op, dit template is bedoeld als uitgangspunt. Het is dus niet de bedoeling dat je dit één op één kopieert en invult voor je eigen gemeente. Elke gemeente is weer anders en als je wilt dat het beleid op de bestuurlijke agenda wordt gezet, dan is het belangrijk dat het aansluit bij de eigen gemeentelijke organisatie. Het moet een beeld geven van de dagelijkse context waar directie, lijnmanagement en medewerkers zich in herkennen. Besteed hier dus goed aandacht aan. Je ziet namelijk vaak dat beleid slechts wordt gezien als een ‘verplicht’ document dat moet worden opgesteld voor auditors of om een vinkje te kunnen zetten achter één van de eisen van onder andere de BIO, voorheen BIG, DigiD, Suwinet et cetera. En dat is niet de juiste motivatie. Want als je wilt dat informatiebeveiliging écht succesvol geïmplementeerd wordt, dan zul je moeten zorgen voor commitment op het hoogste niveau. Zorg dus voor agendering op de bestuurlijke agenda. Bestuurders zijn verantwoordelijk voor kaderstelling en moet het beleid dus (mede) formuleren, ondersteunen en, belangrijk, uitdragen naar de rest van de organisatie. Het moet onderdeel zijn van besluitvorming, zodat er kan worden bijgestuurd indien nodig.

2 – Informatiebeveiliging hoort thuis in de lijn

Bij de inrichting en de implementatie van informatiebeveiliging is de steun van het lijnmanagement randvoorwaardelijk, want de verantwoordelijkheden houden direct relatie met de bedrijfsvoering. Lijnmanagers zijn verantwoordelijk voor informatiebeveiliging binnen hun organisatieonderdeel en dienen de daarbij horende taken en verantwoordelijkheden op te pakken. Maak dus heldere afspraken over wat er van hen verwacht wordt. Zij zijn het fundament voor een goede informatiebeveiliging. Zij dienen informatiebeveiliging te agenderen en hierover te rapporteren. Daarnaast moeten zij maatregelen uitdragen, zorgen voor voldoende (financiële)middelen, en moeten zij zich bewust zijn van hun voorbeeldfunctie en dit ook uitdragen naar hun medewerkers. Zo stimuleren en monitoren zij het gedrag van medewerkers als het gaat om informatieveilig werken. De CISO kan de lijnmanager hier uiteraard in ondersteunen.

3 – Organisatie van de informatiebeveiligingstaak

Informatiebeveiliging is een continu proces. Om dit ook daadwerkelijk als proces te laten werken en slagen, moet de gemeente dat proces ondersteunen. Zo moeten functies, rollen, taken en verantwoordelijkheden worden belegd bij personen (leg dit ook vast in je beleid). De belangrijkste functie is uiteraard die van de CISO, die een coördinerende rol heeft in het gehele proces. Vaak zie je dat deze rol wordt belegd binnen de IT-afdeling. Het is echter aan te raden om dit op een algemener, breder niveau te beleggen (bijvoorbeeld bij concernstaf). Nog een belangrijke tip die ik je hier wil meegeven: benader informatiebeveiliging niet als een project, het is een continu proces waar je als gemeente aan moet blijven werken. Elke dag brengt nieuwe uitdagingen, projecten, processen et cetera. Dit vraagt om structurele borging in de organisatie.

4 – Passende maatregelen

Zoals in het begin van de blog aangegeven volgen er uit de BIO maatregelen die geïmplementeerd moeten worden. Deze maatregelen moeten passen bij de gemeentelijke organisatie en afgestemd zijn op de risico’s die er zijn voor de bedrijfsvoering. Het is dus belangrijk om goed inzicht te hebben in de gemeentelijke bedrijfsvoering, de diverse informatiestromen en de impact van dreigingen op gemeentelijke processen. Om te bepalen welke gegevens binnen gemeentelijke processen in meer of mindere mate beschermd moet worden, kun je de gegevens classificeren. Wil je hier mee over weten lees dan de eerdere blog die we hierover schreven of maak gebruik van de hulpmiddelen die de IBD heeft ontwikkeld om gemeenten hierin te ondersturen, zoals de handreiking ‘Dataclassificatie’, de Baselinetoets en de handreiking ‘Risicomanagement door lijnmanagers’. Ga dus niet zomaar allerlei maatregelen implementeren omdat deze toevallig ook in de ISO27002 staan, maar kies zorgvuldig de maatregelen die passen bij jouw organisatie.

5 – Gemeentelijke cultuur

Hoe informatiebeveiliging wordt opgepakt verschilt per gemeente. Een belangrijke voorwaarde voor een geslaagde implementatie is dat de uitgangspunten en de wijze van implementatie (de aanpak) passen bij de cultuur van de gemeente. Uiteraard is de publieke taak die een gemeente uitvoert voor elke gemeente hetzelfde, maar de manier waarop dit gedaan wordt verschilt per gemeente. Dit heeft onder andere te maken met hoe de organisatie is opgebouwd, hoe de werkprocessen lopen en wat de grote is van de gemeente. Houd hier dus ook rekening mee bij de implementatie van informatiebeveiliging. Iets wat bij de ene gemeente werkt hoeft bij de ander niet te werken (no one-size-fits-all). Zo kun je bijvoorbeeld de implementatie van informatiebeveiliging bij een kleine gemeente niet vergelijken met de implementatie bij een G4 gemeente. Dit gaat om een heel andere omvang en vergt dus een andere aanpak.

6 – Bijdrage aan productiviteit/effectiviteit gebruikersorganisatie

Vaak zie je dat medewerkers informatiebeveiliging ervaren als een belemmering. “Er mag van de CISO weer eens iets niet!” of “Al die beveiliging belemmert mij om mijn werk goed te doen”. Terwijl de achterliggende reden om het wel te doen zou moeten zijn: “Ik ben als gemeentelijke collega dienstverlener en handel in een schat aan data van partners, bedrijven en burgers en zij moeten erop kunnen vertrouwen dat alle informatie die zij verstrekken bij ons in veilige handen is”. Toch is het opvallend als je ziet hoeveel zaken er binnen gemeenten nog op een foutgevoelige en daardoor dus vaak onveilige manier verlopen. Informatiebeveiling wordt dan gezien als belemmering in het werk, terwijl je het ook vanuit een andere bril kunt bekijken en informatiebeveiliging in kunt zetten als een driver voor innovatieve oplossingen voor oude IT problemen. Op die manier benader je het vanuit een positieve manier en heeft het ook nog eens een positief effect op het verhogen van productiviteit en effectiviteit binnen de IT-afdeling. Zij kunnen zich dan weer focussen op andere zaken.

7 – Kennis en bewustwording

Het veilig omgaan met informatie is de verantwoordelijkheid van alle collega’s. Zij moeten dus ook weten wat hun rol hierin is en wat de eventuele gevolgen zijn van hun (onveilig) handelen. Vaak krijgen medewerkers te horen dat zij door ‘onwetend’ handelen iets fout hebben gedaan en dus onveilig handelen. Alleen in veel gevallen weten medewerkers helemaal niet hoe ze veilig moeten handelen in bepaalde situaties, simpelweg omdat het ze nooit verteld is. Het verhogen van het kennisniveau van medewerkers en het geven van handreikingen is dus uitermate belangrijk om bewustwording op het vlak van informatiebeveiliging te creëren én te behouden. Dit betekent dus ook specifiek maatwerk per afdeling of team. Bewustwording is één van de randvoorwaarden voor een succesvolle implementatie van informatiebeveiliging. Het zijn namelijk de collega’s en hun handelen die de omgeving écht veilig (of onveilig) maken.

8 – Financiële middelen en capaciteit

Last but not least, zijn er natuurlijk financiële middelen en capaciteit nodig. Informatiebeveiliging kost nu eenmaal geld. En dan bedoelen we niet het IT- budget, waar in veel gevallen een klein gedeelte voor informatiebeveiliging in is gereserveerd voor snelle acties. Wanneer de financiële cijfers worden gerapporteerd lijkt het dan vaak of er heel veel geld naar informatiebeveiliging gaat. En dit is onjuist, want uit het IT budget worden veel meer zaken betaald. Informatiebeveiliging vraagt om constante aandacht en hiervoor moeten middelen en mensen beschikbaar worden gesteld. Om een voorbeeld te geven uit de praktijk: ik zie vaak dat een CISO die er in zijn eentje voor staat soms ook nog parttime andere gemeenten bediend. Maar dit is alleen mogelijk wanneer die gemeente ook een interne security organisatie heeft ingericht die het operationele werk kan uitvoeren. De kerntaken van een CISO bestaan in principe uit: coördineren, controleren, adviseren en communiceren. Maar dat kan alleen als er ook Security Officers zijn aangesteld om de operationele zaken uit te voeren (tenzij lijnmanagement heeft besloten dit er ook bij te doen, al verwacht ik niet dat er veel managers zijn die daar de tijd en ruimte voor hebben/krijgen).

Het is uiteindelijk een hele lijst, maar mijn mening is dat wanneer je bovenstaande succesfactoren goed adresseert, je de implementatie van informatiebeveiliging tot een succes kunt brengen. Heb je naar aanleiding van deze blog vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

SIVA – Inhoud & auditelementen (1)
SIVA - Structuur & overzicht

Copyright © 2014-2019 IB&P B.V. - Informatiebeveiliging Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring.Ook handig: de sitemap