Wim Hoekstra Consultant en Partner, Quarant
25 augustus 2021

4 urgente dilemma’s rond informatiebeveiliging voor gemeenten

Technologische ontwikkelingen blijven elkaar razendsnel opvolgen, met telkens de roep van burgers en medewerkers om er gebruik van te maken. Tegelijkertijd wordt de informatiebeveiliging steeds complexerzowel het technische als het organisatorische deel, door het snelgroeiend aantal digitale toepassingen in de organisatie. Hoe breng je dit alles in balans? En welke dilemma’s, opgaven en keuzes kom je daarbij tegen? 

De Baseline Informatiebeveiliging Overheid (BIO)

Vanaf 1 januari 2020 moeten alle overheden voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). Dat heeft veel voordelen, zoals minder spraakverwarring tussen organisaties over dit onderwerp. Kijken we om ons heen dan zien we dat de meeste gemeenten al veel stappen hebben gezet, of aan het zetten zijn, om te voldoen aan de BIO:

  • de BBN-toets uitvoeren
  • risicoanalyses laten aansluiten op de BIO
  • de basisbeveiligingsniveaus (BBN) van de systemen en/of processen in beeld brengen
  • periodiek inzichtelijk maken in hoeverre de organisatie de controls en maatregelen heeft geïmplementeerd
    verplichte maatregelen implementeren
  • de rollen, taken en verantwoordelijkheden rondom de implementatie en het beheer van de BIO bepalen
  • regelmatig rapporteren over de status van het beveiligingsniveau van de organisatie

 

"Hoe zorg je ervoor dat bestuurders voldoende kennis van informatiebeveiliging en risicobeheersing hebben om hun rol niet alleen formeel, maar ook praktisch invulling te laten geven?"
Het laaghangend BIO-fruit geplukt

Tegelijkertijd zien we dat gemeenten nog veel te doen hebben om hun informatieveiligheid naar een hoger plan te tillen. Dat gaat dan niet zozeer om het uitvoeren van een toets, aanschaffen van wat software, maken van een periodiek overzichtje of invoeren van een verplichte maatregelAl die werkzaamheden kun je zien als het laaghangend BIO-fruit. Als je dat geplukt hebt, is het tijd de lastigere opgaven te gaan regelen, zoals het maken van keuzes bij een aantal ingewikkelde dilemma’s. 

Dilemma 1: welke risico’s zijn acceptabel en welke niet?

De BIO geeft je als organisatie de ruimte maatregelen te nemen die gebaseerd zijn op het risiconiveau dat je acceptabel vindt voor jouw organisatie. Het is een belangrijke afweging, want aan meer veiligheid hangt vaak een prijskaartje, in de vorm van meer geld, meer werk en/of minder gebruiksmogelijkheden en gemak. Securityspecialisten in je organisatie kunnen prima uitleggen wat de gevaren van bepaalde risico’s zijn, welke maatregelen je kunt nemen om die risico’s te beheersen en wat die maatregelen van je organisatie vragen. 

Een bestuurlijke beslissing 

De beslissing welke risico’s je als organisatie bereid bent te nemen, hoort echter altijd door het bestuur of management genomen te worden. Uiteindelijk is de bestuurder namelijk verantwoordelijk voor een veilige informatievoorziening. En hij of zij is ook degene die moet controleren of de veiligheidsmaatregelen die de organisatie neemt, de risico’s terugbrengen tot het gekozen acceptabel niveau. Overschrijding van dat niveau vereist expliciete besluitvorming. Hier ligt gelijk een flinke uitdaging voor veel gemeentelijke organisaties: hoe zorg je ervoor dat bestuurders voldoende kennis van informatiebeveiliging en risicobeheersing hebben om hun rol niet alleen formeel, maar ook praktisch invulling te laten geven?  

"Hoe goed een ICT-beheerteam ook is, er zitten altijd grenzen aan wat men kan. En dat kan ook gevolgen hebben voor de informatiebeveiliging."
Dilemma 2: inzetten op techniek of regie?

Ontwikkelingen in de securitytechniek gaan snel. Tegelijkertijd ontwikkelen gemeentelijke architecturen zich in een rap tempo tot (hybride) cloudarchitecturen. Dat heeft voor- en nadelen. Enerzijds verspreiden we de gemeentelijke kroonjuwelen over steeds meer (datacenter) locaties. Daarmee verkleinen we de impact van een calamiteit. Anderzijds neemt de complexiteit van connectiviteit en beveiliging door deze ‘gedistribueerde architectuur’ flink toe.  

Een groeiend aantal schoteltjes 

Gemeentelijke ICT-beheerteams moeten zich door de opkomst van cloudarchitecturen steeds meer tot regie-organisaties ontwikkelen. Tegelijkertijd moeten deze teams in de (huidige) overgangsperiode, tussen lokaal en cloud, ook het beheer van de eigen techniek uitvoeren. Waarbij ze, door de groei aan technische mogelijkheden, ook nog eens op beide fronten een groeiend aantal schoteltjes in de lucht moeten houden. Hoe goed een ICT-beheerteam ook is, er zitten altijd grenzen aan wat men kan. En dat kan ook gevolgen hebben voor de informatiebeveiliging. Dit maakt onder andere de volgende vragen urgent: 

  • Is het kennisniveau van de ICT-professionals in je organisatie nog wel up-to-date? 
  • Welke taken kan de I&A-organisatie goed uitvoeren? 
  • Op welke kennis en vaardigheden ga je inzetten als je nieuwe mensen werft?  
  • Welke kennis en vaardigheden gaan in de toekomst juist verdwijnen? 
  •  Als je niet alles zelf kunt, wat is dan met het oog op de toekomst een slimme sourcingstrategie? 
Dilemma 3: uitbesteden of zelf doen

We hebben een ICTomgeving gecreëerd waarvan we verwachten dat die 24×7 functioneert. Ook cybercriminelen werken 24×7 (around the world). De meeste I&A-ers bij gemeenten werken echter vooral tijdens kantoortijden. En tijdens die kantoortijden zijn ze ook nog eens heel druk. Kijk maar eens naar de projectenkalender bij je gemeente. Het aantal projecten waarbij ICT een prominente rol speelt groeit flink. Ondertussen moet het ‘reguliere beheer’ uiteraard gewoon doorgaanOok dit levert weer een aantal vragen en keuzes op voor gemeenten. Onder andere: 

  • Hoe borg je de 24×7 monitoring (en beheer) van ICT?  
  • Hoe zorg je dat het ‘reguliere beheer’ (waaronder bijvoorbeeld adequaat patchmanagement) niet leidt onder de druk van de vele projecten?  
  • Wat wil en kun je zelf regelen en welke werkzaamheden kun je misschien beter inhuren of uitbesteden? 

 

"Maar één persoon die zowel FG als CISO is, is niet wenselijk. Ze werken weliswaar nauw samen, maar hebben andere verantwoordelijkheden."
Dilemma 4: is de CISO een geschikte FG?

De Functionaris gegevensbescherming (FG) houdt toezicht op de naleving van de AVG. De Chief Information Security Officer (CISO) is verantwoordelijk voor het opstellen en het uitvoeren van het informatiebeveiligingsbeleid van de organisatie. Hij of zij heeft een adviserende en controlerende rol. De functieomschrijvingen van de FG en de CISO overlappen op sommige punten. Dat maakt het misschien verleidelijk, zeker voor kleinere organisaties, de functies te combineren en één persoon tot FG/CISO te benoemen.  

Voorkom belangenverstrengeling 

Maar één persoon die zowel FG als CISO is, is niet wenselijk. Ze werken weliswaar nauw samen, maar hebben andere verantwoordelijkheden. Het is de taak van de CISO om passende beveiligingsmaatregelen te implementeren en aan de FG om hier toezicht op te houden. Dat kan een belangenconflict opleveren als deze rollen gecombineerd worden in één persoon.  

Camerabeveiliging als voorbeeld 

Belangenverstrengeling kan op alle niveaus plaatsvinden. Operationeel kun je bijvoorbeeld denken aan zoiets als camerabeveiliging. Vanuit security oogpunt wil de CISO misschien wel camera’s ophangen. Lekker veilig. Vanuit privacy oogpunt wil de FG wellicht geen camera’s ophangen, omdat daar ook privacy-risico’s aan verbonden zitten. Het is erg lastig de juiste afweging te maken als je voor beide rollen verantwoordelijk bent. 

De juiste prioriteiten 

Op een meer tactisch en strategisch niveau kan het ook gaan knellen. De CISO is verantwoordelijk voor meer typen informatie dan alleen persoonsgegevens. Wellicht neigt een CISO ernaar om vanuit oogpunt van bedrijfscontinuïteit in zijn of haar werkzaamheden prioriteit te geven aan andere gegevens dan persoonsgegevens. Voor de FG hebben persoonsgegevens altijd de hoogste prioriteit.  

Zijn de CISO en de FG verschillende personen in je organisatie? Zo nee, welke acties zijn er nodig om die rollen wel te splitsen? 

Informatiebeveiliging hoort bij de digitale transformatie

Zomaar vier dilemma’s met enkele moeilijke keuzes waarvoor gemeenten staan. In ieder geval als ze hun informatiebeveiliging naar een hoger plan willen tillen. En dat is wel iets dat we met zijn allen van gemeenten mogen verwachten. Per slot van rekening is ook informatiebeveiliging een belangrijke onderdeel van de digitale transformatie.

Meedenken over de dilemma’s

Tijdens de gratis online Ronde Tafel gemeenten: ‘Informatiebeveiliging: breng je organisatie en techniek in balans’ op 13 oktober bieden we gemeenten de gelegenheid om met elkaar in gesprek te gaan over de dilemma’s in deze blog. Wil je samen met collega’s en experts sparren over best practices en inzichten verkrijgen over hoe je de IT binnen je eigen organisatie beter kunt beveiligen?Schrijf je dan gratis in!   

Heb je voor die tijd vragen over deze blog? Of kun je niet bij de Ronde Tafel aanwezig zijn, maar wil je wel graag meer weten over de dilemma’s bij informatiebeveiliging? Neem dan gerust contact met mij op. 

Wim Hoekstra: 06 21 26 06 38 / wim.hoekstra@quarant.nl. 

Online Ronde Tafel Gemeenten

Informatiebeveiliging: breng je organisatie en techniek in balans

Woensdag 13 oktober 2021 organiseren wij een online ronde tafel om gemeenten verder te helpen bij hun digitale transformatie, ditmaal rondom het thema Informatiebeveiliging. Klik hieronder voor meer informatie en meld je aan!

Lees ook

Meer