Binnen de lokale overheid moet er grote een slag worden gemaakt om de informatieveiligheid te vergroten. En er is haast bij.
– column – Jule Hintzbergen
In het verleden werd er binnen de lokale overheid een veelheid aan normen om informatie te beveiligen gebruikt. Daarnaast is door diverse grote incidenten in de afgelopen jaren gebleken dat informatieveiligheid een onderwerp is dat op bestuurlijk niveau continue aandacht en sturing verdient. Bijvoorbeeld door het inrichten van de functie van een CISO (Chief Information Security Officer), die onder meer rapporteert aan het College of de gemeentesecretaris.
Eind vorig jaar is tijdens de Buitengewone Algemene Ledenvergadering van de VNG (BALV), met 95 procent van de stemmen, de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ aangenomen. Daarmee is de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) erkend als basisnormenkader voor het gemeentelijke domein.
Ik vind deze op de BALV aangenomen BIG het beste wat er de laatste jaren voor gemeenten is gebeurd. Er is nu immers een gemeenschappelijk normenkader en iedereen weet wat er gedaan moet worden.
De tijd dringt
Binnen de lokale overheid moet er een slag worden gemaakt om de informatieveiligheid verder te vergroten. Die slag is nodig om de verschillen in informatieveiligheid tussen gemeenten onderling, maar ook tussen gemeenten, samenwerkingsverbanden en ketenpartners, te verkleinen. Dit bevordert de digitale samenwerking en het op gelijke voet kunnen delen van gegevens.
Waarom zouden gemeenten haast moeten maken met de BIG?
• Sinds 23 mei 2013 ligt er een visiebrief ‘Digitale Overheid 2017’ van de minister van Binnenlandse Zaken en Koninkrijksrelaties waarin onder meer de onderwerpen online, digitaal, gebruikersvriendelijkheid, toegankelijkheid en informatieveiligheid worden geadresseerd;
• Vanaf 1 januari 2015 moeten gemeenten klaar zijn voor de decentralisaties in het sociale domein (werk, jeugd, zorg);
• Door de BIG wordt het vertrouwen van de burger in de overheid vergroot, een overheid waar ze hun zaken veilig en makkelijk digitaal mee kunnen afhandelen;
• De BIG vergroot het vertrouwen van ketenpartners die weten dat serieus wordt omgegaan met gegevensbescherming;
• De BIG voorziet in de noodzakelijke waarborgen om dagelijks de kwaliteit en continuïteit van de huidige dienstverlening te kunnen garanderen.
Het invoeren van de BIG is overigens niet een activiteit die gemeenten er even bij doen. Het is iets dat structureel moet worden ingepland.
Worsteling
Voor een aantal gemeenten zal het een worsteling zijn waar te beginnen. Daarom heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) stappenplannen en implementatiehandleidingen gepubliceerd. Ook zijn er handreikingen om verschillende onderwerpen aan te pakken.
Zo is er een instrument om te toetsen in hoeverre een gemeente aan de BIG voldoet: de 0-meting of GAP-analyse. Deze 0-meting geeft wel even veel werk, maar is (eenmalig) nodig om te bepalen waar gemeenten staan en waar zij mee moeten beginnen. Enkele aanpakken die mogelijk zijn:
1. Stel vast wat essentiële systemen zijn en begin daarmee (doe de rest later, maar wel voor 2017);
2. Splits de GAP-analyse op in actiehouders en laat deze actiehouders de analyse uitvoeren en hierover rapporteren;
3. Splits de BIG op in generieke maatregelen en systeemspecifieke maatregelen. Wijs de generieke maatregelen toe aan bijvoorbeeld ICT, P&O, Facilitaire zaken. Wijs de systeemspecifieke maatregelen toe aan systeemeigenaren ter controle;
Uiteindelijk moeten de resultaten wel worden verzameld, zodat dit door middel van de impactanalyse leidt tot een informatiebeveiligingsplan. Wie doet wat en wanneer is het klaar? Prioriteer hier op af te dekken risico’s, essentiële systemen, doorlooptijd en bijvoorbeeld kosten. Voor grote gemeenten is het bijhouden van alle maatregelen voor veel informatiesystemen complex. Overweeg dan ook om hiervoor tooling in te zetten.
Niet onbelangrijk: betrek het management nadrukkelijk bij alle stappen die worden uitgevoerd. Zorg ervoor dat het management informatieveiligheid actief ondersteunt en uitdraagt. Betrek het management ook bij de keuzes die te maken zijn voor het invoeren van ontbrekende maatregelen. Op deze manier is het voor iedere gemeente haalbaar om zaken veilig en makkelijk digitaal af te
kunnen handelen.
Over de Auteur: Jule Hintzbergen is adviseur Informatiebeveiliging bij de Informatiebeveiligingsdienst voor gemeenten (IBD), een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING)
Gemeenten kunnen nog een hoop leren van het bedrijfsleven. De zorg en de financiële sector zijn daar mooie illustraties van. Met name van de fouten die daar gemaakt worden in de aanpak kan veel worden geleerd. Helemaal als je -zoals Jule zegt – haast moet maken.
Lees in de Computable een analyse van die situatie: http://bit.ly/comprule
Naast regievoering is informatiebeveiliging één van de grootste zwakke
punten van overheids-ICT.
Reeds sinds begin jaren 90 is informatiebeveiliging een verplichting
voor gemeenten. Rapporten van Rekenkamer en Registratiekamer (nu CBP),
A&K-analyse, de Code Informatiebeveiliging, het zou bekend moeten zijn.
De CISO is alweer passé, wie kent de Privacyfunctionaris?
De 8 mei j.l. geïntroduceerde BIG is weer een nieuwe stap.
Het ‘Comply-or-Explain’-principe is mooi, maar wordt direct boterzacht
gemaakt door de impliciete managementverantwoording.
Volgens de BIG is het lijnmanagement verantwoordelijk – uiteindelijk dus
de gemeentesecretaris – en stelt het College van B&W van een gemeente
het informatiebeveiligingsbeleid vast en draagt dit uit.
Informatiebeveiliging valt onder Governance&Compliance – zowel binnen
bedrijfsleven als overheid – en staat en valt met accountability en
sanctionering. Niets daarvan wordt genoemd in de BIG.
Wachten is dus op de eerste audits.