Skip to main content

Nut en noodzaak van baselines


Binnen het vakgebied informatiebeveiliging, en in bescheiden mate binnen het vakgebied privacy, maken we binnen de overheid gebruik van baselines als fundament voor de beveiliging van een organisatie. Simpel gezegd bestaan baselines uit een set aan maatregelen die een basisniveau van beveiliging dient te realiseren. In Nederland hebben we veel sectorale baselines zoals de BIG en de BIR. Waarom bestaan er baselines en wat kan je er precies

mee? En wegen de voordelen van baselines op tegen de nadelen? Ofwel; wat is het nut en de noodzaak van baselines?

Baselines; wat kan je er mee

Een baseline is, zoals in de tro al genoemd, een set aan maatregelen. Doordat de maatregelen bekend zijn, is direct duidelijk wat er moet gebeuren (hands-on). Binnen de BIG zijn er diverse hoofdstukken, doelstellingen, risico’s, beheersmaatregelen en (best practice) beveiligingsmaatregelen die logisch gestructureerd zijn. Dit maakt dat de implementatie van een baseline zoals de BIG zich goed leent voor een projectmatige aanpak. Het brengt de basis op orde en ik ben van mening dat dit alles ‘goed te verkopen is’ aan de beslissers in een organisatie. Een bijkomende voordeel is dat veel baselines sectoraal zijn. Zo heeft de BIG een ‘gemeente sausje’, zodat het goed past bij het (vermeende) unieke karakter van gemeenten.

Met een baseline kan je één (basis)niveau aan informatiebeveiliging bewerkstelligen binnen je organisatie. Je kan met behulp van de baselinetoets (BIV scores) bepalen of een proces, informatiesysteem of informatie onder de baseline valt of dat er additionele maatregelen nodig, zijn bovenop de baseline. Deze maatregelen kunnen worden verkregen uit een voorgedefinieerde lijst met maatregelen, of door een diepgaande risicoanalyse (MAPGOOD). Op het gebied van privacy wordt gebruik gemaakt van een Privacy Impact Assessment (PIA). Een baseline dekt dus niet alles af.

Betrouwbaarheidseisen

Uitgangspunt voor het toepassen van (extra) beveiligingsmaatregelen blijft dus gebaseerd op de betrouwbaarheidseisen die de informatie, het proces of informatiesysteem vergt. Aan de hand van geclasificeerde data wordt bepaald welke beveiligingseisen gelden en welke maatregelen genomen moeten worden om hier aan te voldoen. De informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie.
Een baseline benadering brengt met zich mee dat je voor sommige informatie(systemen) of processen met de basline ‘teveel’ maatregelen neemt dan dat nodig zou zijn puur op basis van de betrouwbaarheidseisen. Anderzijds neemt het de noodzaak weg voor al deze (informatie)systemen en processen een (uitgebreide) risicoanalyse te moeten doen. Onder de baseline gaan kan wel, maar via het ‘pas toe of leg uit’ principe.

Voor- en nadelen

Baselines hebben naar mijn mening onderstaande voor- de nadelen. Voor iedere organisatie geldt dat enkele punten extra zwaar wegen in de beslissing een baseline te adopteren, terwijl andere punten nauwelijks van invloed zijn. Niettemin geeft het een beeld.

Voordelen

  • Een baseline beoogt een eenduidig basisniveau van informatiebeveiliging
  • Sectorale baselines spreken meer tot de verbeelding, omdat ze concreet voor de doelgroep zijn geschreven
  • Je kan snel aan de slag, omdat de maatregelen bekend zijn. Het is dus een duidelijke stip aan de horizon
  • Het abstracte risicodenken blijft op relatief veilige afstand. Doorvertaling naar maatregelen is immers voor velen relatief moeilijk en tijdsintensief.

Nadelen

  • Een eigen sausje per sector bemoeilijkt één gemeenschappelijke ‘taal’. De onderlinge verschillen zijn qua inhoud gering.
  • Er is sprake van een uiteenlopende mate van detaillering in baselines. Het aantal beveiligingsmaatregelen loopt dus uiteen.
  • Eigendom en onderhoud is niet altijd geborgd. Het eigenaarschap van de baseline is niet altijd helder en de actualisatie na de initiële baseline is soms problematisch.
  • De link tussen de maatregelen en de bovenliggende risico’s kan vervagen wat organisatorische acceptatie in de weg kan staan.

Doorgaan of stoppen maar?

Persoonlijk denk ik dat baselines erg bruikbaar zijn en, in ieder geval in de gemeentelijke context, helpen overzicht en structuur te krijgen. De tactisch-operationele insteek valt goed over te brengen naar management en bestuur. Wel sluit ik af met een paar kanttekeningen:

  • Positioneer de implementatie van de baseline vanaf de start als project, met dien verstande dat er daarna beheer volgt, volgens een managementsysteem (ISMS)
  • Behoud een gezonde kijk op het kwantificeren (BIV & P) van informatiebeveiliging
  • Voorkom dat de baseline aanpak een risicogestuurde aanpak gaat vervangen. Niet rücksichtslos een set aan maatregelen implementeren (‘pas toe of leg uit’)
  • Blijf goed kijken naar de actuele ISO 2700X norm (de bron)

Wat vind jij van het gebruik van baselines in jouw organisatie?

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

BCM-routekaart voor gemeenten

Met een goed geïmplementeerd BCM-systeem ben je als organisatie beter voorbereid, waardoor je sneller en effectiever kunt reageren op verstoringen.

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…