Skip to main content

Nut en noodzaak van baselines


Binnen het vakgebied informatiebeveiliging, en in bescheiden mate binnen het vakgebied privacy, maken we binnen de overheid gebruik van baselines als fundament voor de beveiliging van een organisatie. Simpel gezegd bestaan baselines uit een set aan maatregelen die een basisniveau van beveiliging dient te realiseren. In Nederland hebben we veel sectorale baselines zoals de BIG en de BIR. Waarom bestaan er baselines en wat kan je er precies

mee? En wegen de voordelen van baselines op tegen de nadelen? Ofwel; wat is het nut en de noodzaak van baselines?

Baselines; wat kan je er mee

Een baseline is, zoals in de tro al genoemd, een set aan maatregelen. Doordat de maatregelen bekend zijn, is direct duidelijk wat er moet gebeuren (hands-on). Binnen de BIG zijn er diverse hoofdstukken, doelstellingen, risico’s, beheersmaatregelen en (best practice) beveiligingsmaatregelen die logisch gestructureerd zijn. Dit maakt dat de implementatie van een baseline zoals de BIG zich goed leent voor een projectmatige aanpak. Het brengt de basis op orde en ik ben van mening dat dit alles ‘goed te verkopen is’ aan de beslissers in een organisatie. Een bijkomende voordeel is dat veel baselines sectoraal zijn. Zo heeft de BIG een ‘gemeente sausje’, zodat het goed past bij het (vermeende) unieke karakter van gemeenten.

Met een baseline kan je één (basis)niveau aan informatiebeveiliging bewerkstelligen binnen je organisatie. Je kan met behulp van de baselinetoets (BIV scores) bepalen of een proces, informatiesysteem of informatie onder de baseline valt of dat er additionele maatregelen nodig, zijn bovenop de baseline. Deze maatregelen kunnen worden verkregen uit een voorgedefinieerde lijst met maatregelen, of door een diepgaande risicoanalyse (MAPGOOD). Op het gebied van privacy wordt gebruik gemaakt van een Privacy Impact Assessment (PIA). Een baseline dekt dus niet alles af.

Betrouwbaarheidseisen

Uitgangspunt voor het toepassen van (extra) beveiligingsmaatregelen blijft dus gebaseerd op de betrouwbaarheidseisen die de informatie, het proces of informatiesysteem vergt. Aan de hand van geclasificeerde data wordt bepaald welke beveiligingseisen gelden en welke maatregelen genomen moeten worden om hier aan te voldoen. De informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie.
Een baseline benadering brengt met zich mee dat je voor sommige informatie(systemen) of processen met de basline ‘teveel’ maatregelen neemt dan dat nodig zou zijn puur op basis van de betrouwbaarheidseisen. Anderzijds neemt het de noodzaak weg voor al deze (informatie)systemen en processen een (uitgebreide) risicoanalyse te moeten doen. Onder de baseline gaan kan wel, maar via het ‘pas toe of leg uit’ principe.

Voor- en nadelen

Baselines hebben naar mijn mening onderstaande voor- de nadelen. Voor iedere organisatie geldt dat enkele punten extra zwaar wegen in de beslissing een baseline te adopteren, terwijl andere punten nauwelijks van invloed zijn. Niettemin geeft het een beeld.

Voordelen

  • Een baseline beoogt een eenduidig basisniveau van informatiebeveiliging
  • Sectorale baselines spreken meer tot de verbeelding, omdat ze concreet voor de doelgroep zijn geschreven
  • Je kan snel aan de slag, omdat de maatregelen bekend zijn. Het is dus een duidelijke stip aan de horizon
  • Het abstracte risicodenken blijft op relatief veilige afstand. Doorvertaling naar maatregelen is immers voor velen relatief moeilijk en tijdsintensief.

Nadelen

  • Een eigen sausje per sector bemoeilijkt één gemeenschappelijke ‘taal’. De onderlinge verschillen zijn qua inhoud gering.
  • Er is sprake van een uiteenlopende mate van detaillering in baselines. Het aantal beveiligingsmaatregelen loopt dus uiteen.
  • Eigendom en onderhoud is niet altijd geborgd. Het eigenaarschap van de baseline is niet altijd helder en de actualisatie na de initiële baseline is soms problematisch.
  • De link tussen de maatregelen en de bovenliggende risico’s kan vervagen wat organisatorische acceptatie in de weg kan staan.

Doorgaan of stoppen maar?

Persoonlijk denk ik dat baselines erg bruikbaar zijn en, in ieder geval in de gemeentelijke context, helpen overzicht en structuur te krijgen. De tactisch-operationele insteek valt goed over te brengen naar management en bestuur. Wel sluit ik af met een paar kanttekeningen:

  • Positioneer de implementatie van de baseline vanaf de start als project, met dien verstande dat er daarna beheer volgt, volgens een managementsysteem (ISMS)
  • Behoud een gezonde kijk op het kwantificeren (BIV & P) van informatiebeveiliging
  • Voorkom dat de baseline aanpak een risicogestuurde aanpak gaat vervangen. Niet rücksichtslos een set aan maatregelen implementeren (‘pas toe of leg uit’)
  • Blijf goed kijken naar de actuele ISO 2700X norm (de bron)

Wat vind jij van het gebruik van baselines in jouw organisatie?

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…

Wat is een gerechtvaardigd belang?

Wanneer je als organisatie persoonsgegevens verwerkt, heb je altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Eén van de grondslagen is een ‘gerechtvaardigd belang’. Maar wat houdt een ‘gerechtvaardigd belang’ eigenl…

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.