De balans tussen informatieveiligheid en gebruiksgemak

Met de ENSIA (Eenduidige Normatiek Single Information Audit) zie je wat je kunt verbeteren aan de informatieveiligheid binnen jouw organisatie. Om de basis op orde te krijgen, zijn onder andere autorisatiemanagement en change- en incidentmanagement onderwerpen die je aandacht verdienen. Zorg verder voor een goede balans tussen informatieveiligheid en gebruiksgemak.

Datum
2 oktober 2018
Auteur
Klaas Bolte
Diensten
I&A organisatie op orde
Leestijd
4 min

Eenduidige Normatiek Single Information Audit (ENSIA)

Sinds vorig jaar worden de normen van de BIG (Baseline Informatieveiligheid Gemeenten) getoetst via de ENSIA (Eenduidige Normatiek Single Information Audit ). Dit gebeurt via een zelfevaluatie én externe audits. Het college van B&W moet verantwoording afleggen aan de gemeenteraad over de resultaten van het voorgaande jaar, vaak als onderdeel van de jaarrekening.

Verbeteren

De resultaten van de zelfevaluatie en de auditrapporten laten zien wat op het gebied van informatieveiligheid binnen een gemeente op orde is en wat nog niet. Ze zijn dan ook een goede basis om verbeteracties voor de komende periode te plannen. Stel jezelf daarbij vragen als: waar liggen de grootste risico’s? Of: waar is het risico klein, maar de impact heel groot? En: waar kunnen we gemakkelijk aanpassingen doen zonder al te veel tijd, geld en moeite?

Verklaring van Toepasselijkheid (VvT)

Het kan voorkomen dat je op een bepaald gebied onder de norm presteert, maar dat dit een bewuste keuze is. Bijvoorbeeld omdat het risico en de impact niet in verhouding staan tot de investering die je moet doen om de norm wel te halen. In een Verklaring van Toepasselijkheid (VvT) kun je aangeven welke risico’s je om deze reden accepteert. Laat dit stuk vaststellen door het college van B&W. Dat is immers eindverantwoordelijk.

De basis op orde

Er is een aantal onderwerpen waarvan we weten dat gemeenten ze niet altijd op orde hebben, terwijl ze wel heel belangrijk zijn. Regel ze op papier en in de praktijk, beide zijn belangrijk voor de ENSIA.

Autorisatiemanagement

Wie mag wat waarin doen en zien? Dit raakt bijna alle processen binnen de gemeente. Denk aan in-, door- en uitstroom van medewerkers en externe arbeidskrachten, het toekennen van lees- en schrijfrechten binnen applicaties, de ruimten waartoe iemand toegang heeft met zijn of haar pas. Stel de regels hiervoor op met betrokkenen vanuit alle geledingen van de organisatie. Daarmee voorkom je dat je allerlei procedures bedenkt die in de praktijk niet echt werkbaar zijn. In dat geval zoeken mensen namelijk vaak eigen ‘onveilige’ wegen om zaken toch voor elkaar te krijgen.

Change- en incidentmanagement

Hoe ga je om met wijzigingen of incidenten binnen je ICT-omgeving? Heb je hier een goed overzicht van? Zijn hier structurele processen voor ingericht? Weten medewerkers dat deze processen bestaan, dat ze deze moeten volgen en wáárom dat belangrijk is? Het goed inrichten van deze processen zorgt voor centrale grip op je digitale infrastructuur. Het helpt je ook te adviseren bij inkooptrajecten.

Rollen en verantwoordelijkheden

Hoe zijn de rollen rond informatiebeveiliging binnen je organisatie verdeeld? Wie zijn proceseigenaars en wie procesdeskundigen? Welke taken en verantwoordelijkheden horen hierbij? Naar wie kunnen medewerkers escaleren als er dingen misgaan? Wie heeft het laatste woord: de Chief Information Security Officer (CISO) of een proceseigenaar? Maak een document waarin je kort en bondig beschrijft welke rollen je organisatie onderscheidt, hoe deze samenwerken en welke verantwoordelijkheden hierbij horen. Laat dit document vaststellen door het college van B&W.

Bewustzijn van medewerkers

Misschien wel het belangrijkste onderdeel van informatieveiligheid: maak medewerkers bewust van de risico’s van hun eigen handelen, ook in relatie tot datalekken en privacyschendingen. Gebruik alleen beveiligde wifi-netwerken. Zet een pincode of wachtwoord op mobiele apparaten. Vergrendel het scherm als je van je plek loopt. Dit soort zaken kun je beter een keer te vaak onder de aandacht brengen dan te weinig. Uiteindelijk moeten simpele handelingen die veel risico’s kunnen voorkomen, onderdeel worden van de dagelijks routine van medewerkers, en daarmee van het DNA van je organisatie.

Gebruiksgemak hoort ook bij informatieveiligheid

Medewerkers bewust maken van de risico’s is belangrijk, omdat je uiteindelijk niet alles met techniek kunt regelen. Maar zelfs voor de zaken die je technisch wel kunt dichtspijkeren, moet je jezelf altijd afvragen of je daarmee de informatieveiligheid echt vergroot. Of verklein je deze misschien juist, omdat medewerkers eigen ‘onveilige’ alternatieven gaan zoeken? Bijvoorbeeld als ze te maken krijgen met een veelheid aan wachtwoorden, als ze grote bijlagen niet beveiligd kunnen versturen of niet bij elkaars informatie kunnen als iemand ziek is of met vakantie. Alleen met een goede balans tussen informatieveiligheid en gebruiksgemak zullen medewerkers inzien dat nadenken over informatieveiligheid een belangrijk onderdeel is van hun werk, in plaats van een belemmering.

Meer weten?

Stel je vraag aan Klaas. Of laat een bericht achter in de chat.

Consultant
Klaas Bolte
Mijn kracht ligt op het gebied van informatiebeleid, projectportfolio, projectmanagement en het initiëren van nieuwe samenwerkingsvormen. Ik weet mensen mee te krijgen in een verandering en gezamenlijke belangen te behartigen. Ook heb ik gevoel voor het samenspel tussen bedrijfsvoering en politieke belangen.
Pagina delen: