Home / Werkprocessen stroomlijnen / Digitaal werken / De balans tussen informatieveiligheid en gebruiksgemak

De balans tussen informatieveiligheid en gebruiksgemak

Met de ENSIA (Eenduidige Normatiek Single Information Audit) ziet u wat u kunt verbeteren aan de informatieveiligheid binnen uw organisatie. Om de basis op orde te krijgen, zijn onder andere autorisatiemanagement en change- en incidentmanagement onderwerpen die uw aandacht verdienen. Zorg verder voor een goede balans tussen informatieveiligheid en gebruiksgemak.

Eenduidige Normatiek Single Information Audit (ENSIA)

Sinds vorig jaar worden de normen van de BIG (Baseline Informatieveiligheid Gemeenten) getoetst via de ENSIA (Eenduidige Normatiek Single Information Audit ). Dit gebeurt via een zelfevaluatie én externe audits. Het college van B&W moet verantwoording afleggen aan de gemeenteraad over de resultaten van het voorgaande jaar, vaak als onderdeel van de jaarrekening.

Verbeteren

De resultaten van de zelfevaluatie en de auditrapporten laten zien wat op het gebied van informatieveiligheid binnen een gemeente op orde is en wat nog niet. Ze zijn dan ook een goede basis om verbeteracties voor de komende periode te plannen. Stel uzelf daarbij vragen als: waar liggen de grootste risico’s? Of: waar is het risico klein, maar de impact heel groot? En: waar kunnen we gemakkelijk aanpassingen doen zonder al te veel tijd, geld en moeite?

Verklaring van Toepasselijkheid (VvT)

Het kan voorkomen dat u op een bepaald gebied onder de norm presteert, maar dat dit een bewuste keuze is. Bijvoorbeeld omdat het risico en de impact niet in verhouding staan tot de investering die u moet doen om de norm wel te halen. In een Verklaring van Toepasselijkheid (VvT) kunt u aangeven welke risico’s u om deze reden accepteert. Laat dit stuk vaststellen door het college van B&W. Dat is immers eindverantwoordelijk.

De basis op orde

Er is een aantal onderwerpen waarvan we weten dat gemeenten ze niet altijd op orde hebben, terwijl ze wel heel belangrijk zijn. Regel ze op papier en in de praktijk, beide zijn belangrijk voor de ENSIA.

Autorisatiemanagement
Wie mag wat waarin doen en zien? Dit raakt bijna alle processen binnen de gemeente. Denk aan in-, door- en uitstroom van medewerkers en externe arbeidskrachten, het toekennen van lees- en schrijfrechten binnen applicaties, de ruimten waartoe iemand toegang heeft met zijn of haar pas. Stel de regels hiervoor op met betrokkenen vanuit alle geledingen van de organisatie. Daarmee voorkomt u dat u allerlei procedures bedenkt die in de praktijk niet echt werkbaar zijn. In dat geval zoeken mensen namelijk vaak eigen ‘onveilige’ wegen om zaken toch voor elkaar te krijgen.

Change- en incidentmanagement
Hoe gaat u om met wijzigingen of incidenten binnen uw ICT-omgeving? Heeft u hier een goed overzicht van? Zijn hier structurele processen voor ingericht? Weten medewerkers dat deze processen bestaan, dat ze deze moeten volgen en wáárom dat belangrijk is? Het goed inrichten van deze processen zorgt voor centrale grip op uw digitale infrastructuur. Het helpt u ook te adviseren bij inkooptrajecten.

Rollen en verantwoordelijkheden
Hoe zijn de rollen rond informatiebeveiliging binnen uw organisatie verdeeld? Wie zijn proceseigenaars en wie procesdeskundigen? Welke taken en verantwoordelijkheden horen hierbij? Naar wie kunnen medewerkers escaleren als er dingen misgaan? Wie heeft het laatste woord: de Chief Information Security Officer (CISO) of een proceseigenaar? Maak een document waarin u kort en bondig beschrijft welke rollen uw organisatie onderscheidt, hoe deze samenwerken en welke verantwoordelijkheden hierbij horen. Laat dit document vaststellen door het college van B&W.

Bewustzijn van medewerkers
Misschien wel het belangrijkste onderdeel van informatieveiligheid: maak medewerkers bewust van de risico’s van hun eigen handelen, ook in relatie tot datalekken en privacyschendingen. Gebruik alleen beveiligde wifi-netwerken. Zet een pincode of wachtwoord op mobiele apparaten. Vergrendel het scherm als u van uw plek loopt. Dit soort zaken kunt u beter een keer te vaak onder de aandacht brengen dan te weinig. Uiteindelijk moeten simpele handelingen die veel risico’s kunnen voorkomen, onderdeel worden van de dagelijks routine van medewerkers, en daarmee van het DNA van uw organisatie.

Gebruiksgemak hoort ook bij informatieveiligheid

Medewerkers bewust maken van de risico’s is belangrijk, omdat u uiteindelijk niet alles met techniek kunt regelen. Maar zelfs voor de zaken die u technisch wel kunt dichtspijkeren, moet u zich altijd afvragen of u daarmee de informatieveiligheid echt vergroot. Of verkleint u deze misschien juist, omdat medewerkers eigen ‘onveilige’ alternatieven gaan zoeken? Bijvoorbeeld als ze te maken krijgen met een veelheid aan wachtwoorden, als ze grote bijlagen niet beveiligd kunnen versturen of niet bij elkaars informatie kunnen als iemand ziek is of met vakantie. Alleen met een goede balans tussen informatieveiligheid en gebruiksgemak zullen medewerkers inzien dat nadenken over informatieveiligheid een belangrijk onderdeel is van hun werk, in plaats van een belemmering.

Quarant helpt

Informatieveiligheid wordt steeds meer een integraal onderdeel van ieders werk. Organisaties staan daarbij voor de opgave alle medewerkers te helpen bij de ontwikkeling van de kennis en vaardigheden die daarvoor nodig zijn. En bij het stimuleren van een alerte houding. Als Quarant hebben we veel ervaring met het opzetten en uitvoeren van dit soort gebruikersadoptieprogramma’s. Neem zeker contact met ons op als u hier meer over wilt weten: klaas.bolte@quarant.nl, 06 303 989 31.

 

Wij delen kennis, tips en adviezen. Blijf op de hoogte.
Meld u aan voor de nieuwsbrief.

Of volg ons op LinkedIn.

Klaas Bolte
Klaas Bolte
Mijn kracht ligt op het gebied van informatiebeleid, projectportfolio, projectmanagement en het initiëren van nieuwe samenwerkingsvormen. Ik weet mensen mee te krijgen in een verandering en gezamenlijke belangen te behartigen. Ook heb ik gevoel voor het samenspel tussen bedrijfsvoering en politieke belangen. 06 303 989 31

Aanbevolen berichten

Neem contact met ons op

Wilt u meer informatie of heeft u vragen over onze diensten? Wij denken graag met u mee.