Het Rijk, gemeenten, provincies en waterschappen zijn per 1 januari 2020 overgegaan op één uniform normenkader voor informatiebeveiliging: de Baseline Informatiebeveiliging Overheid (BIO). Er is nu één taal voor alle overheidsorganisaties, met een en dezelfde beveiligingsnorm. Doel: meer grip krijgen. En dat is hard nodig, want informatieveiligheid is voor veel bestuurders een lastig onderwerp.
Overheidsdienstverlening wordt steeds meer afhankelijk van informatiesystemen, die vaak onderdeel zijn van informatieketens waarin diverse organisaties samenwerken. Dit vergt vertrouwen in alle systemen die digitale dienstverlening mogelijk maken. Inwoners, ondernemers en samenwerkingspartners van overheidsinstellingen verwachten dat hun informatie haast vanzelfsprekend op een veilige manier wordt beheerd. Dat vraagt om duidelijke afspraken over en weer met betrekking tot informatieveiligheid. Informatie moet niet alleen betrouwbaar zijn, maar ook 24/7 beschikbaar, en er moet bovendien zorgvuldig met de informatie worden omgegaan. Hier komt veel meer bij kijken dan technologie alleen. Het vereist actieve bestuurlijke verantwoordelijkheid.
Gemeenten werkten sinds 2013 volgens de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente. Die schreef voor dat gemeenten hun organisatie op een bepaalde manier moeten inrichten. Zo moet er een gemeentelijk Chief Information Security Officer (CISO) worden aangesteld. Verder werkte de VNG de informatiebeveiliging verder uit op basis van de maatregelen in de Baseline Informatiebeveiliging Gemeenten (BIG). Andere overheidsorganisaties kenden een vergelijkbare ontwikkeling. Departementen en zelfstandig bestuursorganen werkten op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR), waterschappen hebben de Baseline Informatiebeveiliging Waterschappen (BIWA) en provincies werken volgens de Interprovinciale Baseline Informatiebeveiliging (IBI). Onderling zeer vergelijkbare normen en maatregelen, maar toch met een nét andere invalshoek.
Die verschillende baselines waren niet meer afdoende om een veilige overheidsdienstverlening te waarborgen. Er wordt namelijk steeds meer (gevoelige) informatie uitgewisseld tussen overheidsorganisaties. Hoe weet je dat informatie van gemeenten ook goed is geborgd bij een andere overheidsorganisatie en vice versa? Bovengenoemde baselines waren bovendien voor een groot deel nog gebaseerd op de ISO-normering uit 2005 en liepen achter op de actuele ISO-normen. Daarom de laatste jaren hard gewerkt om één gezamenlijke baseline voor informatieveiligheid vast te kunnen stellen bij de overheid, gebaseerd op de actuele, internationale standaard voor informatiebeveiliging. De Baseline Informatiebeveiliging Overheid (BIO), vervangt sinds januari 2020 alle andere kaders en heeft risicomanagement als uitgangspunt.
Voordelen van één normenkader
Een gezamenlijke baseline voor alle overheidsorganisaties biedt vele voordelen. Het vergroot de informatieveiligheid en vertrouwen, zorgt voor eenduidigheid en leidt bovendien tot kostenbesparing. De belangrijkste voordelen zijn:
- Het versterken van de informatieveiligheid door betere afstemming binnen ketens van overheden en andere partijen;
- Administratieve lastenverlichting bij overheid en bedrijven door uniforme beveiligingsnormen bij de overheid;
- Aansluiting bij internationale regelgeving en standaarden;
- Vermindering van onderhoudskosten.
- Partijen kunnen makkelijker communiceren en effectiever opereren door gemeenschappelijke taal
Uiteraard moet iedere overheidsorganisatie de BIO implementeren. Vanaf 1 januari 2019 zijn alle overheidslagen gestart met de implementatie van de BIO volgens een door elke overheidslaag zelf opgesteld implementatiepad. Om bestuurders en professionals te ondersteunen bij deze transitie is voor de eerste twee jaar een interbestuurlijk ondersteuningsprogramma opgezet waarin alle overheidslagen betrokken zijn.
Meer aandacht voor risicoanalyse is even wennen
De baseline schrijft een aantal beheerdoelstellingen voor, maar laat in het midden hoe aan die doelstellingen wordt voldaan. Bestuur en management bepalen op basis van een risicoanalyse samen met de CISO van de overheidsinstelling hoe doelstellingen worden ingevuld. De toegenomen aandacht voor risicoanalyse is even wennen voor veel bestuurders. Om gemeenten hierbij te helpen zijn tien bestuurlijke principes geformuleerd. De organisatie is flexibel bij de toepassing van de BIO en kan de veiligheid van de dienstverlening inregelen met een set maatregelen die past bij de gemeente. Die risicobenadering helpt colleges ook om verantwoording af te leggen aan de gemeenteraad over de wijze waarop informatieveiligheid wordt geborgd.
Grote verschillen met het bedrijfsleven
Er is sowieso veel veranderd als het gaat om informatiebeveiliging bij gemeenten. Terwijl het vroeger vooral draaide om het voldoen aan audits, heeft de gemeente nu zelf meer de regie. Informatieveiligheid is de afgelopen jaren een veel groter item geworden, net als privacy. Er gaat geen collegevoorstel meer uit zonder dat er over privacy en informatiebeveiliging is nagedacht. Waar het in het bedrijfsleven vooral draait om geld en besluiten vaak snel worden genomen, gaat het bij gemeenten vaak wat trager. Dat betekent dat er zaadjes moeten worden gepland en CISO’s niet meteen resultaat zien van hun werk. Verandertrajecten kosten nu eenmaal veel tijd.
Bovendien hebben overheidsorganisaties te maken met aanbestedingsregels en is er vaak een wildgroei aan applicaties die niet altijd even makkelijk te koppelen zijn. Daarnaast moet er beter in kaart worden gebracht wie bij welke data mag komen (role based access control). De verwachting is dat er in de toekomst voor overheidsorganisaties alleen nog maar meer technische oplossingen bijkomen. Uitdaging is om technologie niet te laten bepalen welke oplossingen er gebruikt gaan worden. Er moet allereerst worden vastgesteld welk probleem overheidsorganisaties willen oplossen en wat daarbij nodig is. Daarnaast moeten zij afwegen of zij securityoplossingen zelf willen implementeren of uit willen besteden aan een security operations center.
Belangrijke knelpunten
Uit onderzoek van het Centrum Informatiebeveiliging en Privacybescherming (CIP) blijkt dat het merendeel van de CISO’s binnen de overheid hun functie parttime uitvoeren, geen team of medewerkers hebben, en ook nog eens beschikken over weinig of geen budget. Het CIP noemt het beeld over de beschikbare capaciteit van CISO’s ‘niet positief’. “Dit komt de status en slagvaardigheid van deze ‘solistische’ functie niet ten goede”, schrijven de onderzoekers.
Verder wordt een rol voor de CISO bij inkopen en aanbestedingen nauwelijks gezien en wordt hij of zij niet of incidenteel betrokken bij veranderingen in de informatievoorziening. Volgens het CIP zou de CISO op structurele basis betrokken moeten worden bij veranderingsprocessen in de informatievoorziening. “Informatieveiligheid is namelijk een steeds dominanter kwaliteitsaspect en moet als integraal onderdeel worden meegenomen en geborgd.”
Tot slot geeft 70 procent van de ondervraagde CISO’s aan onvoldoende of zelfs geen zicht te hebben op de omvang of het effect van IB-gerelateerde schade bij incidenten. Mogelijk zijn er te weinig harde gegevens bekend bij de CISO’s uit risicoanalyses. Aangezien de BIO risicoanalyses veronderstelt, is dit volgens CIP op zijn minst een aandachtspunt.
Meer dan technologie
Risicomanagement draait in eerste instantie om risicobewustzijn en de wijze waarop bestuurders, managers en medewerkers in de organisatie met risico’s omgaan. Denk bijvoorbeeld aan: privacy-schendingen door een datalek, reputatieschade door het uitlekken van vertrouwelijke plannen of fysieke schade door storingen in systemen in de openbare ruimte. Informatiebeveiliging gaat dus verder dan alleen ICT. Het gaat ook om het vergroten van kennis en bewustzijn, over de manier waarop organisaties met risico’s omgaan en het inrichten van processen en procedures.
De young professionals van Breinstein zijn opgegroeid in het digitale tijdperk. Tijdens onze traineeships boosten we hun technologische en soft skills, zodat ze van ongekende waarde zijn voor organisaties in de digitale transformatie. Zij kunnen bijvoorbeeld helpen bij de implementatie en naleving van de BIO door het vergroten van het bewustzijn voor het belang van informatiebeveiliging. Of ze bevorderen een veilige en open cultuur, waarin medewerkers zich vrij voelen om potentiële risico’s proactief te melden, zodat adequaat kan worden gereageerd op dreigende risico’s. Ook kunnen zij worden ingezet bij het borgen van risicomanagement, het bevorderen van ketensamenwerkingen en het controleren en evalueren van het informatiebeveiligingsbeleid.
Geïnteresseerd? Lees wat een van onze young professionals op dit vlak heeft betekend voor de Veiligheidsregio Kennemerland.