4 urgente dilemma’s rond informatiebeveiliging voor gemeenten
Technologische ontwikkelingen blijven elkaar razendsnel opvolgen, met telkens de roep van burgers en medewerkers om er gebruik van te maken. Tegelijkertijd wordt de informatiebeveiliging steeds complexer, zowel het technische als het organisatorische deel, door het snelgroeiend aantal digitale toepassingen in de organisatie. Hoe breng je dit alles in balans? En welke dilemma’s, opgaven en keuzes kom je daarbij tegen?
De Baseline Informatiebeveiliging Overheid (BIO)
Vanaf 1 januari 2020 moeten alle overheden voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). Dat heeft veel voordelen, zoals minder spraakverwarring tussen organisaties over dit onderwerp. Kijken we om ons heen dan zien we dat de meeste gemeenten al veel stappen hebben gezet, of aan het zetten zijn, om te voldoen aan de BIO:
- de BBN-toets uitvoeren
- risicoanalyses laten aansluiten op de BIO
- de basisbeveiligingsniveaus (BBN) van de systemen en/of processen in beeld brengen
- periodiek inzichtelijk maken in hoeverre de organisatie de controls en maatregelen heeft geïmplementeerd
verplichte maatregelen implementeren - de rollen, taken en verantwoordelijkheden rondom de implementatie en het beheer van de BIO bepalen
- regelmatig rapporteren over de status van het beveiligingsniveau van de organisatie
Het laaghangend BIO-fruit geplukt
Tegelijkertijd zien we dat gemeenten nog veel te doen hebben om hun informatieveiligheid naar een hoger plan te tillen. Dat gaat dan niet zozeer om het uitvoeren van een toets, aanschaffen van wat software, maken van een periodiek overzichtje of invoeren van een verplichte maatregel. Al die werkzaamheden kun je zien als het laaghangend BIO-fruit. Als je dat geplukt hebt, is het tijd de lastigere opgaven te gaan regelen, zoals het maken van keuzes bij een aantal ingewikkelde dilemma’s.
Dilemma 1: welke risico’s zijn acceptabel en welke niet?
De BIO geeft je als organisatie de ruimte maatregelen te nemen die gebaseerd zijn op het risiconiveau dat je acceptabel vindt voor jouw organisatie. Het is een belangrijke afweging, want aan meer veiligheid hangt vaak een prijskaartje, in de vorm van meer geld, meer werk en/of minder gebruiksmogelijkheden en gemak. Securityspecialisten in je organisatie kunnen prima uitleggen wat de gevaren van bepaalde risico’s zijn, welke maatregelen je kunt nemen om die risico’s te beheersen en wat die maatregelen van je organisatie vragen.
Een bestuurlijke beslissing
De beslissing welke risico’s je als organisatie bereid bent te nemen, hoort echter altijd door het bestuur of management genomen te worden. Uiteindelijk is de bestuurder namelijk verantwoordelijk voor een veilige informatievoorziening. En hij of zij is ook degene die moet controleren of de veiligheidsmaatregelen die de organisatie neemt, de risico’s terugbrengen tot het gekozen acceptabel niveau. Overschrijding van dat niveau vereist expliciete besluitvorming. Hier ligt gelijk een flinke uitdaging voor veel gemeentelijke organisaties: hoe zorg je ervoor dat bestuurders voldoende kennis van informatiebeveiliging en risicobeheersing hebben om hun rol niet alleen formeel, maar ook praktisch invulling te laten geven?
Dilemma 2: inzetten op techniek of regie?
Ontwikkelingen in de securitytechniek gaan snel. Tegelijkertijd ontwikkelen gemeentelijke architecturen zich in een rap tempo tot (hybride) cloudarchitecturen. Dat heeft voor- en nadelen. Enerzijds verspreiden we de gemeentelijke kroonjuwelen over steeds meer (datacenter) locaties. Daarmee verkleinen we de impact van een calamiteit. Anderzijds neemt de complexiteit van connectiviteit en beveiliging door deze ‘gedistribueerde architectuur’ flink toe.
Een groeiend aantal schoteltjes
Gemeentelijke ICT-beheerteams moeten zich door de opkomst van cloudarchitecturen steeds meer tot regie-organisaties ontwikkelen. Tegelijkertijd moeten deze teams in de (huidige) overgangsperiode, tussen lokaal en cloud, ook het beheer van de eigen techniek uitvoeren. Waarbij ze, door de groei aan technische mogelijkheden, ook nog eens op beide fronten een groeiend aantal schoteltjes in de lucht moeten houden. Hoe goed een ICT-beheerteam ook is, er zitten altijd grenzen aan wat men kan. En dat kan ook gevolgen hebben voor de informatiebeveiliging. Dit maakt onder andere de volgende vragen urgent:
- Is het kennisniveau van de ICT-professionals in je organisatie nog wel up-to-date?
- Welke taken kan de I&A-organisatie goed uitvoeren?
- Op welke kennis en vaardigheden ga je inzetten als je nieuwe mensen werft?
- Welke kennis en vaardigheden gaan in de toekomst juist verdwijnen?
- Als je niet alles zelf kunt, wat is dan met het oog op de toekomst een slimme sourcingstrategie?
Dilemma 3: uitbesteden of zelf doen
We hebben een ICT–omgeving gecreëerd waarvan we verwachten dat die 24×7 functioneert. Ook cybercriminelen werken 24×7 (around the world). De meeste I&A-ers bij gemeenten werken echter vooral tijdens kantoortijden. En tijdens die kantoortijden zijn ze ook nog eens heel druk. Kijk maar eens naar de projectenkalender bij je gemeente. Het aantal projecten waarbij ICT een prominente rol speelt groeit flink. Ondertussen moet het ‘reguliere beheer’ uiteraard gewoon doorgaan. Ook dit levert weer een aantal vragen en keuzes op voor gemeenten. Onder andere:
- Hoe borg je de 24×7 monitoring (en beheer) van ICT?
- Hoe zorg je dat het ‘reguliere beheer’ (waaronder bijvoorbeeld adequaat patchmanagement) niet leidt onder de druk van de vele projecten?
- Wat wil en kun je zelf regelen en welke werkzaamheden kun je misschien beter inhuren of uitbesteden?
Dilemma 4: is de CISO een geschikte FG?
De Functionaris gegevensbescherming (FG) houdt toezicht op de naleving van de AVG. De Chief Information Security Officer (CISO) is verantwoordelijk voor het opstellen en het uitvoeren van het informatiebeveiligingsbeleid van de organisatie. Hij of zij heeft een adviserende en controlerende rol. De functieomschrijvingen van de FG en de CISO overlappen op sommige punten. Dat maakt het misschien verleidelijk, zeker voor kleinere organisaties, de functies te combineren en één persoon tot FG/CISO te benoemen.
Voorkom belangenverstrengeling
Maar één persoon die zowel FG als CISO is, is niet wenselijk. Ze werken weliswaar nauw samen, maar hebben andere verantwoordelijkheden. Het is de taak van de CISO om passende beveiligingsmaatregelen te implementeren en aan de FG om hier toezicht op te houden. Dat kan een belangenconflict opleveren als deze rollen gecombineerd worden in één persoon.
Camerabeveiliging als voorbeeld
Belangenverstrengeling kan op alle niveaus plaatsvinden. Operationeel kun je bijvoorbeeld denken aan zoiets als camerabeveiliging. Vanuit security oogpunt wil de CISO misschien wel camera’s ophangen. Lekker veilig. Vanuit privacy oogpunt wil de FG wellicht geen camera’s ophangen, omdat daar ook privacy-risico’s aan verbonden zitten. Het is erg lastig de juiste afweging te maken als je voor beide rollen verantwoordelijk bent.
De juiste prioriteiten
Op een meer tactisch en strategisch niveau kan het ook gaan knellen. De CISO is verantwoordelijk voor meer typen informatie dan alleen persoonsgegevens. Wellicht neigt een CISO ernaar om vanuit oogpunt van bedrijfscontinuïteit in zijn of haar werkzaamheden prioriteit te geven aan andere gegevens dan persoonsgegevens. Voor de FG hebben persoonsgegevens altijd de hoogste prioriteit.
Zijn de CISO en de FG verschillende personen in je organisatie? Zo nee, welke acties zijn er nodig om die rollen wel te splitsen?
Informatiebeveiliging hoort bij de digitale transformatie
Zomaar vier dilemma’s met enkele moeilijke keuzes waarvoor gemeenten staan. In ieder geval als ze hun informatiebeveiliging naar een hoger plan willen tillen. En dat is wel iets dat we met zijn allen van gemeenten mogen verwachten. Per slot van rekening is ook informatiebeveiliging een belangrijke onderdeel van de digitale transformatie.
Gemeenten na corona 5 focuspunten voor IT
Ontdek de vijf belangrijkste focuspunten voor gemeenten die snel een duurzame verandering in gang willen zetten in hun IT-strategie.
Lees ook
Meer
Pas op voor Kubernetes ‘Pets’
We zien in de praktijk dat Kubernetes-clusters als huisdieren worden behandeld. Daar willen we nu juist...
READ MORE
Shift-left Security met ‘Stretched’ DevSecOps
Of het nu een pandemie is, een nieuwe technologie die opkomt, of plotselinge ontwikkelingen in de...
READ MORE
Data als goud(en) standaard voor verzekeraars
Met de alsmaar groeiende hoeveelheid data groeit ook de behoefte aan een veilig, stabiel en betrouwbaar...
READ MORE