De afgelopen twee jaar heeft de VNG Visitatiecommissie Informatieveiligheid 120 gemeenten bezocht om het gesprek aan te gaan over informatieveiligheid. Op 28 september jl. heeft zij haar eindrapport ‘Durven leren’ met daarin niet één maar een dozijn aan boodschappen gepresenteerd. Je leest het goed, twaalf boodschappen op een rij die ik in deze blog graag voor je samenvat tot een top 3. Zo hoef jij het hele rapport niet te lezen, maar

ben je toch snel op de hoogte van de inhoud.

Top 3

De Visitatiecommissie is het gesprek aangegaan met gemeenten om een drietal zaken voor het voetlicht te brengen: het belang van de gemeentelijke aandacht voor informatieveiligheid, het bieden van een gemeentelijk handelingsperspectief én, niet onbelangrijk, toetsen of verplichtende zelfregulering in de gemeentelijke praktijk van alle dag ook echt werkt. Kortom, geen klassieke visitatiecommissie, maar een commissie die het leren van gemeenten wil en ook moet bevorderen. Als je achter de 12 boodschappen die zij in haar eindrapport gepresenteerd heeft kijkt, komen voor mij drie zaken scherp naar voren:

1. Goed voorbeeld doet nog steeds volgen
2. Het leggen van verbinding en verbanden is cruciaal
3. Openheid doet pijn en.. het helpt enorm

1. Goed voorbeeld doet nog steeds volgen

De verantwoordelijkheid van gemeenten voor informatieveiligheid geldt over de gehele linie, van inhuurkracht tot raadslid, van leveranciers tot ketenpartners en vanuit diverse samenwerkingsverbanden. Het vergt een enorme inspanning om deze verantwoordelijkheid waar te maken. Actieve betrokkenheid van het gemeentebestuur is belangrijk voor de prioriteitstelling binnen de gemeentelijke organisatie en tussen gemeenten in samenwerkingsverbanden. Net als de positionering van de CISO in de organisatie. In het algemeen moet er meer bestuurlijke aandacht voor informatieveiligheid zijn. De introductie van de Eenduidige Normatiek Single Information Audit (ENSIA) maakt dit nóg meer noodzakelijk, dit om te voorkomen dat je als gemeente onvoldoende doet op dit beleidsterrein.

2. Het leggen van verbinding en verbanden is cruciaal

Het bewustzijn en het kennisniveau is de afgelopen jaren gegroeid, maar nog te vaak blijken gemeenten het wiel opnieuw uit te vinden. Kortom, het uitwisselen van kennis tussen gemeenten dient niet alleen gestimuleerd te worden vanuit gemeenten zelf, maar dient zeker ook gefaciliteerd te worden vanuit andere organisaties, zoals de IBD dit doet op de IBD-community. Gemeenten kunnen veel van elkaar leren, maar dat doen ze op dit moment nog te weinig, aldus de Visitatiecommissie. Het uitwisselen van kennis in landelijke en regionale netwerken moet veel structureler worden. De commissie ziet hiervoor overigens een breed draagvlak en roept VNG op om in het kader van Samen organiseren ook wat betreft het onderwerp informatieveiligheid een stimulerende en coördinerende rol te vervullen. Net zo belangrijk, en dat is een tweede boodschap van de commissie, is het leggen van verbinding tussen de verschillende onderwerpen als het gaat om bewustzijn op informatieveiligheidsvlak, denk bijvoorbeeld aan integriteit en privacy. Dit helpt gemeenten niet alleen om de aandacht te richten, maar ook om bewust keuzes te maken. Het is daarom van belang dat de aandacht voor informatieveiligheid structureel is. Tenslotte is het geen eenmalig project, maar een continu proces, een leven lang leren.

Van chaos naar orde

De Visitatiecommissie heeft niet voor niets geconstateerd dat gemeenten vaak nog te ongestructureerd werken aan informatieveiligheid. Uitvoering staat in de dagelijkse werkzaamheden voorop en het aanbrengen van structuur wordt hierbij vaak vergeten. Het is dan ook raadzaam om te werken volgens een vastgesteld informatiebeveiligingsbeleid, een jaarlijks op te stellen informatiebeveiligingsplan en een structurele verantwoordingslijn. Vanzelfsprekend dien je ook te toetsen of maatregelen de geïdentificeerde risico’s voldoende afdekken. Op basis daarvan dien je mogelijk je beleid en (vooral) je plan bij te stellen. Ofwel: een plan-do-check-act cyclus.

3. Openheid doet pijn en.. het helpt enorm

Bij het onderwerp informatieveiligheid bestaat er logischerwijs een spanning tussen de openheid die nodig is om te kunnen leren en de geslotenheid die nodig is om juist bescherming te bieden tegen dreigingen. Toch is een meer open houding noodzakelijk, omdat dit leidt tot een versnelling in het leren. Een goed ingericht en onderhouden Information Security Management Systeem (ISMS) zal daar zeker aan bijdragen. Belangrijk is dan wel dat je de gehele plan-do-check-act cyclus doorloopt en niet blijft hangen in ‘plan’ en ‘do’. Transparant zijn over incidenten helpt, leer ervan en realiseer en accepteer dat de risico’s niet geheel zijn uit te sluiten. Een actieve communicatie over de risico’s en incidenten draagt bij aan het besef dat 100% veilig niet mogelijk is. Meer openheid zal leiden tot een versnelling van het leren, door het delen van kennis en het samen leren van incidenten.

Informatieveiligheid vergt continu onderhoud

Het werken aan informatieveiligheid is dus ‘nooit af’. Een gevaar van die constatering is dat het beeld kan ontstaan dat er de afgelopen jaren te weinig gebeurd is bij gemeenten. Net als de commissie ben ik van mening dat dit zeker niet het geval is. Er gebeurt veel, maar omgekeerd geldt ook dat er evenveel nieuwe ontwikkelingen op gemeenten af zullen blijven komen. Vandaag.. en morgen. Ontwikkelingen die ervoor zorgen dat gemeenten dus geen rust kunnen nemen als het gaat om het onderwerp informatieveiligheid. Kortom, ‘schouders eronder en recht zo die gaat!’