Print:

Dit kunnen we leren over informatiebeveiliging van CISO’s bij gemeenten

Op het vlak van security en informatiebeveiliging komt er op dit moment veel op gemeenten af. Wat zijn de belangrijkste ontwikkelingen, issues en uitdagingen voor Chief Information Security Officers (CISO’s) bij de lokale overheid? IIR vroeg ervaren CISO’s naar de trends, opgaven en best practices – en de lessen waarmee ook andere organisaties hun voordeel kunnen doen.

Veel gemeenten zijn er al druk mee: de komst van de Baseline Informatiebeveiliging Overheid (BIO). Met ingang van 1 januari 2020 vervangt het normenkader de bestaande baselines voor gemeenten, Rijk, Waterschappen en provincies. Hiermee ontstaat één normenkader voor informatiebeveiliging binnen de gehele overheid, dat is gebaseerd op de internationaal erkende en actuele NEN-ISO 27002.

De BIO belooft helder, actueel en veilig te zijn. Zo legt de BIO meer nadruk op risicomanagement dan de huidige Baseline Informatiebeveiliging Gemeenten (BIG). Daarnaast bevat de nieuwe norm minder verplichte maatregelen.

Theo-Quist IIR“De BIO gaat ervan uit dat managers de eigen werkprocessen in kaart brengen en daarop een risico-afweging maken. Veel gemeentelijke afdelingen zijn nog niet gewend om op die manier naar de processen te kijken – daar ligt een belangrijke rol voor de CISO”, zegt Theo Quist, sinds 2017 Chief Information Security Officer (CISO) en privacy officer bij de gemeenten Heerhugowaard en Langedijk en sinds 1999 in verschillende (management)functies werkzaam bij de overheid. “De CISO kan meedenken over het vaststellen van proceseigenaren, het maken van risico-afwegingen per vakafdeling en het selecteren van de juiste maatregelen. Dat is nu een intensief proces, maar levert voor het werkveld van de CISO ook veel voordelen op. Aan het einde van de rit zijn proceseigenaren geactiveerd, zijn vakafdelingen zich meer bewust van risico’s en zijn de risico’s in kaart gebracht waarop de CISO kan sturen.”

De komst van de BIO levert best nog wel wat kopzorgen op, zegt Paul Oor, Chief Security Officer bij IT-dienstverlener Conclusion. “Alle bestuurslagen van de overheid moeten nu de overgang maken van hun eigen systemen naar de BIO. Dat is een forse klus, waar de komende twee jaar veel tijd en energie in gaat zitten.” In veel gemeenten vraagt ondertussen ook de implementatie van de Algemene verordening gegevensbescherming (AVG) nog veel aandacht, en wordt de introductie van de BIO aangegrepen om nieuwe stappen te zetten met datakwalificatie en dataprotectie.

Vier actuele trends en ontwikkelingent

De overgang van BIG naar BIO is een van de vele ontwikkelingen die impact hebben op het werkterrein van CISO’s bij gemeenten. Quist en Oor noemen vier andere actuele trends.

Groeiende focus op risicomanagement

De BIO zet het risicomanagement extra op de kaart van lokale overheden, merkt Quist. “We gaan steeds meer risicogericht werken, waardoor CISO’s zich in toenemende mate zullen bezighouden met het inventariseren en analyseren van risico’s in de gehele organisatie, het adviseren van de business over risicobeheersing en het ondersteunen van de besluitvorming door het management over het verminderen van risico’s en het accepteren van restrisico’s.”

Nieuwe technologie

Nieuwe technologische ontwikkelingen brengen kansen én risico’s mee voor de gemeentelijke organisatie – en ook voor de CISO. Quist: “De aandacht komt steeds meer te liggen op business continuity management. Dat geldt overigens voor projecten, plannen en programma’s met een digitale component, maar ook als dat niet het geval is.” Paul Oor vult aan: “Fysieke veiligheid, bijvoorbeeld als het gaat om de kantoorinrichting en het toegangsbeheer, is minstens zo belangrijk als digitale informatiebeveiliging. Om die reden werken CISO’s ook steeds nauwer samen met bijvoorbeeld facility managers, bedrijfshulpverleners en gebouwbeveiligers.” Oor noemt zich daarom bewust CSO in plaats van CISO.

Extra maatschappelijke opgaven

Gemeenten hebben te maken met een nieuwe opgave: burgers en ondernemers ondersteunen op het vlak van cyberveiligheid. Quist: “De Vereniging van Nederlandse Gemeenten (VNG) heeft geadviseerd om informatiebeveiliging onderdeel te maken van de lokale integrale veiligheidsplannen, waardoor de gemeente prioriteit geeft aan het voorkomen van cybercrime bij burgers en bedrijven. De CISO kan meedenken over de rol die de gemeente hierin kan oppakken.”

Ontwikkelingen in de functie

Quist signaleert dat de functie van de CISO als zodanig in ontwikkeling is. “De CISO was vroeger vaak gepositioneerd bij de afdeling Informatisering & Automatisering (I&A) en rapporteerde aan de Chief Information Officer (CIO) als hoofd van die afdeling. Dat zien we gelukkig steeds minder: er wordt in toenemende mate erkend dat informatiebeveiliging veel meer is dan een ICT-uitdaging en daar past ook een andere plek voor de CISO bij. De CISO is idealiter direct aangehaakt op het management, of is zelfs onderdeel van het managementteam.”

Vier uitdagingen voor CISO’s bij gemeenten

De ontwikkelingen in het werkveld van CISO’s brengen nieuwe uitdagingen mee. De vier opvallendste op een rij.

Expertise, positionering en autoriteit

Het thema informatiebeveiliging is heel breed geworden en stelt steeds hogere eisen aan de expertise van CISO’s, zegt Oor. “In feite gaat de CISO over alles – van technische zaken tot de dagelijkse werkprocessen. Natuurlijk kan je niet alles weten, maar je moet wel snel en makkelijk kunnen schakelen en de juiste experts aanhaken.”

Quist vult aan: “De CISO is de programmamanager die zorgt dat informatiebeveiliging op de agenda staat van verschillende taakvelden, die werkzaamheden op het vlak van informatiebeveiliging coördineert en die collega’s daarover adviseert.” Een dergelijke rol is nu niet altijd vanzelfsprekend: vaak zit de CISO volop in uitvoering. Dat is niet wenselijk, vindt Quist. “Net als de concern controller moet de CISO worden aangehaakt op het managementteam en de directie. Daarmee krijgen CISO’s echt de positie en autoriteit die passen bij hun adviserende, controlerende en managende taken.”

Draagvlak en awareness

Naast de positionering en autoriteit van de CISO is het draagvlak voor informatiebeveiliging een uitdaging waarmee Quist en zijn vakgenoten te maken krijgen. “Binnen de gemeentelijke organisatie spelen heel veel verschillende zaken. Dan is het wel eens lastig om het belang van informatiebeveiliging voor het voetlicht te brengen en er de tijd, aandacht en middelen voor te organiseren. Vooral als er geen incidenten zijn, is het een uitdaging om informatiebeveiliging op de (bestuurlijke) agenda te zetten en te houden, het bewustzijn te borgen en de sense of urgency bij het management vast te houden.”

“Het is een absolute prioriteit voor elke CISO om het eerlijke verhaal te vertellen van de risico’s die er spelen”, zegt Oor. “We moeten leidinggevenden en medewerkers bewust maken dat er echt kwaadwillenden zijn die een heel andere agenda hebben. De CISO kan als geen ander voor de troepen staan om aan de hand van aansprekende voorbeelden aan te geven wat er kan misgaan en wat er moet gebeuren om dat te voorkomen.” Ook trends en cijfers uit onafhankelijke rapporten zoals het Cybersecurity Beeld Nederland (CBNL) van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) spelen hierbij een rol. “De CISO moet ontwikkelingen monitoren en duiden om op basis daarvan het gesprek aan te gaan over de inspanningen die de organisatie er mogelijk op moet verrichten.”

Uitbesteding

Paul-Oor IIR“Doordat steeds meer overheidstaken zijn uitbesteed, neemt de informatie-uitwisseling tussen publieke en private partijen toe. Dat roept allerlei lastige vragen op, bijvoorbeeld over gegevensbescherming en het waarborgen van de correctheid van informatie”, signaleert Paul Oor, die als Chief Security Officer bij IT-dienstverlener Conclusion ook veel samenwerkt met de overheid. De consultants van Conclusion komen bij diverse gemeenten over de vloer. Bovendien is Conclusion kennispartner van het Centrum Informatiebeveiliging en Privacybescherming (CIP), een publiek-private netwerkorganisatie die werkt aan kennisontwikkeling en -deling met als doel om de informatieveiligheid te vergroten van de Nederlandse overheid en de ketens waarin de organisaties samenwerken. Samen met de VNG is het CIP ook een belangrijke kennispartner voor gemeenten die met vraagstukken rond de uitbesteding van taken en diensten te maken hebben.

Drie best practices uit gemeenten

Hoe worden CISO’s goed toegerust op de uiteenlopende uitdagingen van nu en straks? Er is gelukkig geen gebrek aan best practices, tips, handreikingen, adviezen van ervaren CISO’s. Drie tips die relevant zijn voor gemeenten én andere sectoren.

Overleg op topniveau

Zorg dat je regelmatig aan tafel zit met het management, adviseert Quist. Voor gemeenten zijn naast het lijnmanagement ook de gemeentesecretaris en de bestuurder, bij voorkeur de burgemeester, de logische gesprekspartners van de CISO. In het bedrijfsleven zal het gaan om het managementteam en de Raad van Bestuur. “Op die manier blijf je goed op de hoogte van wat er speelt in de organisatie en kan je tijdig inspelen op de besluitvorming.” Een goede verstandhouding op het hoogste niveau van de organisatie is volgens Quist ook van belang om voldoende capaciteit en middelen vrij te maken om taken uit te voeren.

Word geen neezegger

De praktijk leert dat het belangrijk is om te denken in mogelijkheden in plaats van belemmeringen, zodat de CISO niet bekend komt te staan als degene die plannen tegenhoudt of projecten ingewikkeld maakt. Oor licht toe: “CISO’s moeten af en toe een grens trekken om onveilige en al te risicovolle situaties te voorkomen. Maar je wilt niet onnodig zaken blokkeren, want dan richt je soms meer schade aan dan als je meekijkt hoe het verloopt en daarop bijstuurt.” Expertise op het terrein van risicomanagement is hiervoor essentieel: de gehele organisatie moet ervan doordrongen zijn dat informatiebeveiliging niet absoluut is en er daarom altijd restrisico’s zijn waarop een passend antwoord moet worden gevonden.

Quist signaleert dat CISO’s op dit vlak wel eens een imagoprobleem hebben. “De business ziet CISO’s nogal eens als neezeggers. Het is belangrijk dat de CISO vroegtijdig is betrokken bij nieuwe initiatieven en steeds kan meedenken in oplossingen. Ook als het op een bepaalde manier niet mogelijk is, dan probeer ik te kijken hoe het misschien wel kan. Dat leidt uiteindelijk tot meer draagvlak voor de CISO en betere acceptatie van maatregelen voor informatiebeveiliging.”

Werk samen met specialisten en ambassadeurs

De CISO heeft van oudsher een sterk technische oriëntatie, terwijl anno nu een integraal perspectief op informatiebeveiliging en organisatieprocessen nodig is. Veel gemeentelijke CISO’s wisselen hierover onderling ervaringen uit.

Ook interne samenwerking is een must, benadrukt Oor. “Als generalist moeten CISO’s voor hun oordeel over risico-analyses veel vertrouwen op experts. Naast het externe netwerk is ook het interne netwerk hiervoor belangrijk: je moet goed weten wie je waarvoor kunt raadplegen.”

Quist adviseert om ook krachten te bundelen met collega’s zoals de concern controller en FG. “We trekken bijvoorbeeld samen op als we nieuwe activiteiten ontwikkelen, verantwoording afleggen en over trends rapporteren.” Ook als het gaat om de inzet van interne ambassadeurs liggen er kansen voor samenwerking. “In het kader van de AVG zijn veel gemeenten met privacy ambassadeurs gestart. Waar mogelijk kunnen daar combinaties worden gelegd met informatiebeveiliging, waarvoor vaak al interne ambassadeurs waren. Want uiteindelijk is elke organisatie niet alleen gebaat bij privacy awareness maar ook bij wat we data awareness zouden kunnen noemen.”

Goed nieuws voor publieke en private partijen

Volgens Oor is de BIO, die een eenduidige norm vastlegt voor alle overheidsinstanties en is gebaseerd op het normenkader van ISO, in ieder geval goed nieuws voor gemeenten én de private partijen die werken voor of met de overheid. “Er ontstaat een homogeen speelveld, wat de informatiebeveiliging veel overzichtelijker en effectiever maakt. Bovendien hebben we al jarenlang ervaring met de NEN-ISO 27002 en kennen we de do’s en dont’s dus door en door.”

Meer weten over de best practices die elke CISO moet kennen om succesvol te opereren? Volg dan de 3-daagse praktijkcursus CISO als strategisch business partner. Bekijk ook de andere security trainingen & opleidingen.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten