Home / Informatie managen / Informatie en beveiligingsbeleid / Informatiebeveiliging: de 4 urgente dilemma’s voor gemeenten

Informatiebeveiliging: de 4 urgente dilemma’s voor gemeenten

Technologische ontwikkelingen blijven elkaar razendsnel opvolgen, met telkens de roep van burgers en medewerkers om er gebruik van te maken. Tegelijkertijd wordt de informatiebeveiliging steeds complexer, zowel het technische als het organisatorische deel, door het snelgroeiend aantal digitale toepassingen in de organisatie. Hoe breng je dit alles in balans? En welke dilemma’s, opgaven en keuzes kom je daarbij tegen?

De Baseline Informatiebeveiliging Overheid (BIO)

Vanaf 1 januari 2020 moeten alle overheden voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). Dat heeft veel voordelen, zoals minder spraakverwarring tussen organisaties over dit onderwerp. Kijken we om ons heen dan zien we dat de meeste gemeenten al veel stappen hebben gezet, of aan het zetten zijn, om te voldoen aan de BIO:

  • de BBN-toets uitvoeren
  • risicoanalyses laten aansluiten op de BIO
  • de basisbeveiligingsniveaus (BBN) van de systemen en/of processen in beeld brengen
  • periodiek inzichtelijk maken in hoeverre de organisatie de controls en maatregelen heeft geïmplementeerd
  • verplichte maatregelen implementeren
  • de rollen, taken en verantwoordelijkheden rondom de implementatie en het beheer van de BIO bepalen
  • regelmatig rapporteren over de status van het beveiligingsniveau van de organisatie

Het laaghangend BIO-fruit geplukt

Tegelijkertijd zien we dat gemeenten nog veel te doen hebben om hun informatieveiligheid naar een hoger plan te tillen. Dat gaat dan niet zozeer om het uitvoeren van een toets, aanschaffen van wat software, maken van een periodiek overzichtje of invoeren van een verplichte maatregel. Al die werkzaamheden kun je zien als het laaghangend BIO-fruit. Als je dat geplukt hebt, is het tijd de lastigere opgaven te gaan regelen, zoals het maken van keuzes bij een aantal ingewikkelde dilemma’s waarvoor gemeenten staan.

Dilemma 1: welke risico’s zijn acceptabel en welke niet?

De BIO geeft je als organisatie de ruimte maatregelen te nemen die gebaseerd zijn op het risiconiveau dat je acceptabel vindt voor jouw organisatie. Het is een belangrijke afweging, want aan meer veiligheid hangt vaak een prijskaartje in de vorm van meer geld, meer werk en/of minder gebruiksmogelijkheden en gemak. Securityspecialisten in je organisatie kunnen prima uitleggen wat de gevaren van bepaalde risico’s zijn, welke maatregelen je kunt nemen om die risico’s te beheersen en wat die maatregelen van je organisatie vragen.

Een bestuurlijke beslissing
De beslissing welke risico’s je als organisatie bereid bent te nemen, hoort echter altijd door het bestuur of management genomen te worden. Uiteindelijk is de bestuurder namelijk verantwoordelijk voor een veilige informatievoorziening. En hij of zij is ook degene die moet controleren of de veiligheidsmaatregelen die de organisatie neemt, de risico’s terugbrengen tot het gekozen acceptabel niveau. Overschrijding van dat niveau vereist expliciete besluitvorming. Hier ligt gelijk een flinke uitdaging voor veel gemeentelijke organisaties:

  • Hoe zorg je ervoor dat bestuurders voldoende kennis van informatiebeveiliging en risicobeheersing hebben om hun rol niet alleen formeel, maar ook praktisch in te vullen?

Dilemma 2: inzetten op techniek of regie?

Ontwikkelingen in de securitytechniek gaan snel. Tegelijkertijd ontwikkelen gemeentelijke architecturen zich in een rap tempo tot (hybride) cloudarchitecturen. Dat heeft voor- en nadelen. Enerzijds verspreiden we de gemeentelijke kroonjuwelen over steeds meer (datacenter) locaties. Daarmee verkleinen we de impact van een calamiteit. Anderzijds neemt de complexiteit van connectiviteit en beveiliging door deze ‘gedistribueerde architectuur’ flink toe.

Een groeiend aantal schoteltjes
Gemeentelijke ICT-beheerteams moeten zich door de opkomst van cloudarchitecturen steeds meer tot regie-organisaties ontwikkelen. Tegelijkertijd moeten deze teams in de (huidige) overgangsperiode, tussen lokaal en cloud, ook het beheer van de eigen techniek uitvoeren. Waarbij ze, door de groei aan technische mogelijkheden, ook nog eens op beide fronten een groeiend aantal schoteltjes in de lucht moeten houden. Hoe goed een ICT-beheerteam ook is, er zitten altijd grenzen aan wat men kan. En dat kan ook gevolgen hebben voor de informatiebeveiliging. Dit maakt onder andere de volgende vragen urgent:

  • Is het kennisniveau van de ICT-professionals in je organisatie nog wel up-to-date?
  • Welke taken kan de I&A-organisatie goed uitvoeren?
  • Op welke kennis en vaardigheden ga je inzetten als je nieuwe mensen werft?
  • Welke kennis en vaardigheden gaan in de toekomst juist verdwijnen?
  • Als je niet alles zelf kunt, wat is dan met het oog op de toekomst een slimme sourcingstrategie?

Dilemma 3: uitbesteden of zelf doen

We hebben een ICT-omgeving gecreëerd waarvan we verwachten dat die 24×7 functioneert. Ook cybercriminelen werken 24×7 (around the world). De meeste I&A-ers bij gemeenten werken echter vooral tijdens kantoortijden. En tijdens die kantoortijden zijn ze ook nog eens heel druk. Kijk maar eens naar de projectenkalender bij je gemeente. Het aantal projecten waarbij ICT een prominente rol speelt, groeit flink. Ondertussen moet het ‘reguliere beheer’ uiteraard gewoon doorgaan. Ook dit levert weer een aantal vragen en keuzes op voor gemeenten. Onder andere:

  • Hoe borg je de 24×7 monitoring (en beheer) van ICT?
  • Hoe zorg je dat het ‘reguliere beheer’ (waaronder bijvoorbeeld adequaat patchmanagement) niet leidt onder de druk van de vele projecten?
  • Wat wil en kun je zelf regelen en welke werkzaamheden kun je misschien beter inhuren of uitbesteden?

Dilemma 4: is de CISO een geschikte FG?

De Functionaris gegevensbescherming (FG) houdt toezicht op de naleving van de AVG. De Chief Information Security Officer (CISO) is verantwoordelijk voor het opstellen en het uitvoeren van het informatiebeveiligingsbeleid van de organisatie. Hij of zij heeft een adviserende en controlerende rol. De functieomschrijvingen van de FG en de CISO overlappen op sommige punten. Dat maakt het misschien verleidelijk, zeker voor kleinere organisaties, de functies te combineren en één persoon tot FG/CISO te benoemen.

Voorkom belangenverstrengeling
Maar één persoon die zowel FG als CISO is, is niet wenselijk. Ze werken weliswaar nauw samen, maar hebben andere verantwoordelijkheden. Het is de taak van de CISO om passende beveiligingsmaatregelen te implementeren en aan de FG om hier toezicht op te houden. Dat kan een belangenconflict opleveren als deze rollen gecombineerd worden in één persoon.

Camerabeveiliging als voorbeeld
Belangenverstrengeling kan op alle niveaus plaatsvinden. Operationeel kun je bijvoorbeeld denken aan zoiets als camerabeveiliging. Vanuit security oogpunt wil de CISO misschien wel camera’s ophangen. Lekker veilig. Maar vanuit privacy oogpunt wil de FG misschien juist geen camera’s ophangen, omdat daar privacy-risico’s aan verbonden zitten. Het is erg lastig de juiste afweging te maken als je voor beide rollen verantwoordelijk bent.

De juiste prioriteiten
Op een meer tactisch en strategisch niveau kan het ook gaan knellen. De CISO is verantwoordelijk voor meer typen informatie dan alleen persoonsgegevens. Wellicht neigt een CISO ernaar om vanuit oogpunt van bedrijfscontinuïteit in zijn of haar werkzaamheden prioriteit te geven aan andere gegevens dan persoonsgegevens. Voor de FG hebben persoonsgegevens altijd de hoogste prioriteit.

  • Zijn de CISO en de FG verschillende personen in je organisatie?
  • Zo nee, welke acties zijn er nodig om die rollen wel te splitsen?

Informatiebeveiliging hoort bij de digitale transformatie

Zomaar vier dilemma’s met enkele moeilijke keuzes waarvoor gemeenten staan. In ieder geval als ze hun informatiebeveiliging naar een hoger plan willen tillen. En dat is wel iets dat we met zijn allen van gemeenten verwachten. Per slot van rekening is ook informatiebeveiliging een belangrijk onderdeel van de digitale transformatie. Wil je weten hoe je de informatiebeveiliging in jouw organisatie op orde kunt krijgen? Of heb je een vraag over dit onderwerp? Neem dan contact op met Wim Hoekstra: 06 212 606 38, wim.hoekstra@quarant.nl.

Uitnodiging Ronde Tafel: Informatiebeveiliging: breng balans in je organisatie en techniek

Tijdens de online Ronde Tafel: ‘Informatiebeveiliging: breng je organisatie en techniek in balans’ op 13 oktober ga je in gesprek met collega-gemeenten en experts. Hoe is informatiebeveiliging bij jouw gemeente georganiseerd? Hoe zorg je ervoor dat dit steeds weer aansluit op alle digitale ontwikkelingen? Je krijgt:

  • een interactief programma met ruimte voor vragen en antwoorden en een breakoutsessie;
  • inspirerende presentaties van experts en ervaringsdeskundigen, waaronder een gemeentelijke praktijkcase van Hof van Twente;
  • meer inzicht in de drie belangrijkste pijlers van een goede informatiebeveiliging: de balans tussen organisatorische, menselijke en technische aspecten;
  • praktische handvatten om de beveiliging van jouw gemeentelijke organisatie te versterken.
Wim Hoekstra
Wim Hoekstra
Ik ben één van de partners van Quarant en werkzaam als Consultant. Dienstverlening verbeteren, meer samenwerken met andere gemeenten en interne werkprocessen stroomlijnen, daar liggen nog genoeg mogelijkheden. Mijn specialisme is het zorgen voor goede informatisering en automatisering. Meer informatie? 06 212 606 38
Lees meer blogs

Aanbevolen berichten