Nut en noodzaak van baselines


Binnen het vakgebied informatiebeveiliging, en in bescheiden mate binnen het vakgebied privacy, maken we binnen de overheid gebruik van baselines als fundament voor de beveiliging van een organisatie. Simpel gezegd bestaan baselines uit een set aan maatregelen die een basisniveau van beveiliging dient te realiseren. In Nederland hebben we veel sectorale baselines zoals de BIG en de BIR. Waarom bestaan er baselines en wat kan je er precies

mee? En wegen de voordelen van baselines op tegen de nadelen? Ofwel; wat is het nut en de noodzaak van baselines?

Baselines; wat kan je er mee

Een baseline is, zoals in de tro al genoemd, een set aan maatregelen. Doordat de maatregelen bekend zijn, is direct duidelijk wat er moet gebeuren (hands-on). Binnen de BIG zijn er diverse hoofdstukken, doelstellingen, risico’s, beheersmaatregelen en (best practice) beveiligingsmaatregelen die logisch gestructureerd zijn. Dit maakt dat de implementatie van een baseline zoals de BIG zich goed leent voor een projectmatige aanpak. Het brengt de basis op orde en ik ben van mening dat dit alles ‘goed te verkopen is’ aan de beslissers in een organisatie. Een bijkomende voordeel is dat veel baselines sectoraal zijn. Zo heeft de BIG een ‘gemeente sausje’, zodat het goed past bij het (vermeende) unieke karakter van gemeenten.

Met een baseline kan je één (basis)niveau aan informatiebeveiliging bewerkstelligen binnen je organisatie. Je kan met behulp van de baselinetoets (BIV scores) bepalen of een proces, informatiesysteem of informatie onder de baseline valt of dat er additionele maatregelen nodig, zijn bovenop de baseline. Deze maatregelen kunnen worden verkregen uit een voorgedefinieerde lijst met maatregelen, of door een diepgaande risicoanalyse (MAPGOOD). Op het gebied van privacy wordt gebruik gemaakt van een Privacy Impact Assessment (PIA). Een baseline dekt dus niet alles af.

Betrouwbaarheidseisen

Uitgangspunt voor het toepassen van (extra) beveiligingsmaatregelen blijft dus gebaseerd op de betrouwbaarheidseisen die de informatie, het proces of informatiesysteem vergt. Aan de hand van geclasificeerde data wordt bepaald welke beveiligingseisen gelden en welke maatregelen genomen moeten worden om hier aan te voldoen. De informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie.
Een baseline benadering brengt met zich mee dat je voor sommige informatie(systemen) of processen met de basline ‘teveel’ maatregelen neemt dan dat nodig zou zijn puur op basis van de betrouwbaarheidseisen. Anderzijds neemt het de noodzaak weg voor al deze (informatie)systemen en processen een (uitgebreide) risicoanalyse te moeten doen. Onder de baseline gaan kan wel, maar via het ‘pas toe of leg uit’ principe.

Voor- en nadelen

Baselines hebben naar mijn mening onderstaande voor- de nadelen. Voor iedere organisatie geldt dat enkele punten extra zwaar wegen in de beslissing een baseline te adopteren, terwijl andere punten nauwelijks van invloed zijn. Niettemin geeft het een beeld.

Voordelen

  • Een baseline beoogt een eenduidig basisniveau van informatiebeveiliging
  • Sectorale baselines spreken meer tot de verbeelding, omdat ze concreet voor de doelgroep zijn geschreven
  • Je kan snel aan de slag, omdat de maatregelen bekend zijn. Het is dus een duidelijke stip aan de horizon
  • Het abstracte risicodenken blijft op relatief veilige afstand. Doorvertaling naar maatregelen is immers voor velen relatief moeilijk en tijdsintensief.

Nadelen

  • Een eigen sausje per sector bemoeilijkt één gemeenschappelijke ‘taal’. De onderlinge verschillen zijn qua inhoud gering.
  • Er is sprake van een uiteenlopende mate van detaillering in baselines. Het aantal beveiligingsmaatregelen loopt dus uiteen.
  • Eigendom en onderhoud is niet altijd geborgd. Het eigenaarschap van de baseline is niet altijd helder en de actualisatie na de initiële baseline is soms problematisch.
  • De link tussen de maatregelen en de bovenliggende risico’s kan vervagen wat organisatorische acceptatie in de weg kan staan.

Doorgaan of stoppen maar?

Persoonlijk denk ik dat baselines erg bruikbaar zijn en, in ieder geval in de gemeentelijke context, helpen overzicht en structuur te krijgen. De tactisch-operationele insteek valt goed over te brengen naar management en bestuur. Wel sluit ik af met een paar kanttekeningen:

  • Positioneer de implementatie van de baseline vanaf de start als project, met dien verstande dat er daarna beheer volgt, volgens een managementsysteem (ISMS)
  • Behoud een gezonde kijk op het kwantificeren (BIV & P) van informatiebeveiliging
  • Voorkom dat de baseline aanpak een risicogestuurde aanpak gaat vervangen. Niet rücksichtslos een set aan maatregelen implementeren (‘pas toe of leg uit’)
  • Blijf goed kijken naar de actuele ISO 2700X norm (de bron)

Wat vind jij van het gebruik van baselines in jouw organisatie?

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Beleid voor informatiebeveiliging in bredere context

Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.