De Baseline Informatiebeveiliging Overheid (BIO) is nu dé norm voor de gehele overheid voor informatiebeveiliging. Meer nadruk op risicomanagement staat centraal in deze nieuwe norm. Uiteindelijk maakt de BIO het je makkelijker. Echter sta je als gemeente eerst voor een aantal grote uitdagingen. Nu moet er daadwerkelijk volgens de BIO gewerkt én verantwoord worden. Voor jou als CISO of IT-manager de uitdaging om actie te ondernemen om tijdig met deze wet- en regelgeving aan de slag te gaan. Hoe pak je dit aan in jouw organisatie en hoe lukt het jou om een effectieve implementatie te verzorgen van de BIO? Wij helpen je met de volgende zes tips op weg.
Waar begin je met de BIO?
Het implementeren van de BIO kost veel tijd. Tel daarbij op dat het een continu proces is en je daarom eigenlijk nooit klaar bent. Door ontwikkelingen intern en extern zijn altijd weer nieuwe aandachtspunten. Echter moet je ergens beginnen en start je door de eerdere BIG activiteiten niet bij nul. Een gap-analyse geeft je inzicht in waar je precies staat als organisatie ten opzichte van de BIO. Met deze analyse onderzoek je de maatregelen en maak je een vergelijking tussen de bestaande situatie en de gewenste situatie. Je kunt de gap-analyse opknippen in thema’s, zoals: personeel of facilitair. Door thematisch te werken breng je focus aan en houd je het behapbaar voor jezelf en de verantwoordelijken.
Wie betrek je bij de BIO en hoe?
De BIO is niet alleen specifiek de verantwoording van de Chief Information Security Officer (CISO) of de Functionaris Gegevensbescherming (FG) Het is een samenspel van diverse specialisten uit verschillende vakgebieden zoals: inkoop, applicatiebeheerders, facilitaire medewerkers, ICT-specialisten en HRM medewerkers. Dit vraagt om een gemeente brede implementatie van de BIO. Wellicht zijn binnen jouw gemeente nog niet alle proceseigenaren in beeld gebracht. Teamleiders worden vaak benoemd tot proceseigenaar, omdat dit een voor de hand liggende verantwoordelijkheid is bij hun rol. Echter zegt dit nog niet dat zij zich hier ook bewust van zijn en met volle energie aan de slag gaan met informatieveiligheid. Door de vraag: “Wie vindt informatieveiligheid leuk?” aan de afdelingen te stellen, vind en benoem je ambassadeurs voor informatiebeveiliging. Probeer via deze ambassadeurs de interesse en energie over te brengen naar de proceseigenaren.
Hoe?
Zorg dat er betrokkenheid ontstaat. Bijvoorbeeld door ieder kwartaal een overleg te organiseren voor de proceseigenaren en ambassadeurs. Stel samen doelen op en zorg voor een gezamenlijk verantwoordelijkheidsgevoel. Realistische timings helpen met het behalen van de gezamenlijk gestelde doelen en het behouden van de energie. Start met een klein groepje en gebruik dat succes om andere medewerkers te betrekken en te enthousiasmeren. Dit vraagt wel om persoonlijke aandacht en een switch van zelf doen naar coaching. Waar het budget het toelaat, kun je ze misschien extra aanmoedigen met een award en bijbehorende prijs.
Wat is belangrijk voor jouw organisatie en hoe creëer je dit inzicht bij het management en collega’s?
Bewustwording helpt bij de implementatie van de maatregelen om te voldoen aan de BIO. Je legt hiermee het ‘waarom’ van informatiebeveiliging en privacy uit aan medewerkers. Beveiligingsrisico’s kunnen ervoor zorgen dat de gemeente negatief in het nieuws komt. Wanneer een gemeente wordt gehackt kan een burgemeester hier letterlijk van wakker liggen. Een imago komt immers te voet en gaat te paard. Daarnaast brengt een hack ook financiële schade met zich mee. Echter zijn beveiligingsrisico’s lang niet altijd top of mind. Leer daarom zelf van voorbeelden bij andere organisaties en zet deze in om je eigen organisatie bewust te houden.
In het kader van ‘Never waist a good crisis’ kun je recente gebeurtenissen gebruiken als eyeopener voor je organisatie. Zo deelde de gemeente Lochem en de Universiteit van Maastricht allebei hun geleerde lessen nadat ze gehackt werden. Ook kan het delen van nieuwsberichten over bijvoorbeeld phishing of ransomeware aanvallen zorgen voor bewustwording in de organisatie.
Een andere optie is om gebruik te maken van een managementgame of een digitale brandoefening. Hiermee kun je het management confronteren met de werkelijke situatie in de organisatie. Dit geeft je vervolgens munitie voor het beschikbaar stellen van budget om maatregelen te nemen en bedreigingen te mitigeren.
Wees voorbereid op het onverwachte met informatiebeveiliging
Deze periode met Corona is een crisissituatie die vermoedelijk voor iedere gemeente leerzaam is en de urgentie en noodzaak heeft onderstreept van informatiebeveiliging en privacy. Een moment voor jou om vanuit jouw rol het belang te onderstrepen en dit als vertrekpunt te gebruiken. Waarschijnlijk lag er bij jouw gemeente nog geen plan voor dit scenario waarin er wel ICT is, maar geen gebouw om te benutten. Hiernaast bestaan ook de scenario’s met wel een gebouw, maar geen ICT (of geen dataverkeer en telefoonnetwerk) en het scenario waarin je als organisatie niet beschikt over ICT en een gebouw.
Denk hierbij aan een gaslek of brand in de serverruimte, waarbij elders kunnen werken noodzakelijk is. Het is goed om deze scenario’s eens langs te lopen. Dit kan door het uitvoeren van een ‘droge oefening’. Zet de procesverantwoordelijken van je organisatie bij elkaar in een ruimte, schets een realistisch scenario en stel de vraag hoe zij dit op gaan lossen. Er is een gecoördineerde inzet van de organisatie vereist om de dreiging weg te nemen. Wat gaan ze doen, wie is er nodig, wat zijn de verantwoordelijkheden en hoe gaan zij prioriteren? Het doorspreken van deze vragen levert je waardevolle input op om tot een plan van aanpak te komen als het scenario zich werkelijk voordoet.
Zet de procesverantwoordelijken van je organisatie bij elkaar in een ruimte, schets een realistisch scenario en stel de vraag hoe zij dit op gaan lossen.
Haak informatiemanagement aan
Zorg dat je de organisatie kent en de organisatie jou. Weet wat er speelt in de organisatie en speel hierop in. De komende jaren moet informatieveiligheid steeds steviger op de agenda komen te staan, van collega’s, het management en het bestuur. Je wilt als CISO niet achter de feiten aan lopen. Dit voorkom je door aangehaakt te zijn bij de besluitvorming rondom (IT) projecten en aanpassingen. Als CISO wil je ‘security/privacy by design’ hebben, goed om dus te weten wat de projecten en wensen zijn van de afdelingen. Zo weet je op voorhand wat de plannen zijn, wat wordt aangeschaft en kan er mee worden gedacht op het gebied van informatiebeveiliging. Zorg daarom dat je frequent contact hebt met de informatiemanager en beleidsmakers van je organisatie.
Positie van de CISO in de organisatie
Gemeenten zijn divers in organisatiestructuur en verschillen daardoor ook in de wijze waarop de CISO functie is ingevuld. Met de invoering van de BIO is het aanstellen van een CISO verplicht geworden. Het in dienst hebben van een CISO is een belangrijke voorwaarde om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te realiseren. Het management is eindverantwoordelijk voor de interne processen en dus ook voor de informatiebeveiliging en privacy.
Om informatiebeveiliging en de BIO de juiste aandacht en kracht geven die het verdient heb je als CISO een onafhankelijke positie nodig waarin je rechtstreeks rapporteert aan het management of directie. De meest ideale situatie is dat je als CISO in een staffunctie bent gepositioneerd. Dit zorgt ervoor dat je onafhankelijk kan acteren en niet afhankelijk bent van het team (of teammanager).
Immers is informatiebeveiliging een gemeente breed aandachtspunt wat soms meer impact heeft op het ene team dan het andere. Daarom is onafhankelijkheid met mandaat, kennis én een eigen budget cruciaal. Ook kan je hierdoor makkelijker de samenwerking opzoeken met een concern controller en de FG. Doordat deze functies ook gericht zijn op het in control brengen van de organisatie kan je door samen op te trekken efficiënter en effectiever werken.
Ondersteuning en advies voor de BIO
Met de tool van Inergy LIAS ISMS, kun je direct aan de slag met de implementatie van de BIO. De IBD heeft een stappenplan opgesteld om de BIO te implementeren. Op basis van dit stappenplan lichten wij in het document Implementatie van de BIO met LIAS ISMS toe hoe je met gebruik van de tool de stappen eenvoudig kunt doorlopen.
