Nut en noodzaak van baselines

| Renco Schoemaker | ,

Binnen het vakgebied informatiebeveiliging, en in bescheiden mate binnen het vakgebied privacy, maken we binnen de overheid gebruik van baselines als fundament voor de beveiliging van een organisatie. Simpel gezegd bestaan baselines uit een set aan maatregelen die een basisniveau van beveiliging dient te realiseren. In Nederland hebben we veel sectorale baselines zoals de BIG en de BIR. Waarom bestaan er baselines en wat kan je er precies

mee? En wegen de voordelen van baselines op tegen de nadelen? Ofwel; wat is het nut en de noodzaak van baselines?

Baselines; wat kan je er mee

Een baseline is, zoals in de tro al genoemd, een set aan maatregelen. Doordat de maatregelen bekend zijn, is direct duidelijk wat er moet gebeuren (hands-on). Binnen de BIG zijn er diverse hoofdstukken, doelstellingen, risico’s, beheersmaatregelen en (best practice) beveiligingsmaatregelen die logisch gestructureerd zijn. Dit maakt dat de implementatie van een baseline zoals de BIG zich goed leent voor een projectmatige aanpak. Het brengt de basis op orde en ik ben van mening dat dit alles ‘goed te verkopen is’ aan de beslissers in een organisatie. Een bijkomende voordeel is dat veel baselines sectoraal zijn. Zo heeft de BIG een ‘gemeente sausje’, zodat het goed past bij het (vermeende) unieke karakter van gemeenten.

Met een baseline kan je één (basis)niveau aan informatiebeveiliging bewerkstelligen binnen je organisatie. Je kan met behulp van de baselinetoets (BIV scores) bepalen of een proces, informatiesysteem of informatie onder de baseline valt of dat er additionele maatregelen nodig, zijn bovenop de baseline. Deze maatregelen kunnen worden verkregen uit een voorgedefinieerde lijst met maatregelen, of door een diepgaande risicoanalyse (MAPGOOD). Op het gebied van privacy wordt gebruik gemaakt van een Privacy Impact Assessment (PIA). Een baseline dekt dus niet alles af.

Betrouwbaarheidseisen

Uitgangspunt voor het toepassen van (extra) beveiligingsmaatregelen blijft dus gebaseerd op de betrouwbaarheidseisen die de informatie, het proces of informatiesysteem vergt. Aan de hand van geclasificeerde data wordt bepaald welke beveiligingseisen gelden en welke maatregelen genomen moeten worden om hier aan te voldoen. De informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie.
Een baseline benadering brengt met zich mee dat je voor sommige informatie(systemen) of processen met de basline ‘teveel’ maatregelen neemt dan dat nodig zou zijn puur op basis van de betrouwbaarheidseisen. Anderzijds neemt het de noodzaak weg voor al deze (informatie)systemen en processen een (uitgebreide) risicoanalyse te moeten doen. Onder de baseline gaan kan wel, maar via het ‘pas toe of leg uit’ principe.

Voor- en nadelen

Baselines hebben naar mijn mening onderstaande voor- de nadelen. Voor iedere organisatie geldt dat enkele punten extra zwaar wegen in de beslissing een baseline te adopteren, terwijl andere punten nauwelijks van invloed zijn. Niettemin geeft het een beeld.

Voordelen

  • Een baseline beoogt een eenduidig basisniveau van informatiebeveiliging
  • Sectorale baselines spreken meer tot de verbeelding, omdat ze concreet voor de doelgroep zijn geschreven
  • Je kan snel aan de slag, omdat de maatregelen bekend zijn. Het is dus een duidelijke stip aan de horizon
  • Het abstracte risicodenken blijft op relatief veilige afstand. Doorvertaling naar maatregelen is immers voor velen relatief moeilijk en tijdsintensief.

Nadelen

  • Een eigen sausje per sector bemoeilijkt één gemeenschappelijke ‘taal’. De onderlinge verschillen zijn qua inhoud gering.
  • Er is sprake van een uiteenlopende mate van detaillering in baselines. Het aantal beveiligingsmaatregelen loopt dus uiteen.
  • Eigendom en onderhoud is niet altijd geborgd. Het eigenaarschap van de baseline is niet altijd helder en de actualisatie na de initiële baseline is soms problematisch.
  • De link tussen de maatregelen en de bovenliggende risico’s kan vervagen wat organisatorische acceptatie in de weg kan staan.

Doorgaan of stoppen maar?

Persoonlijk denk ik dat baselines erg bruikbaar zijn en, in ieder geval in de gemeentelijke context, helpen overzicht en structuur te krijgen. De tactisch-operationele insteek valt goed over te brengen naar management en bestuur. Wel sluit ik af met een paar kanttekeningen:

  • Positioneer de implementatie van de baseline vanaf de start als project, met dien verstande dat er daarna beheer volgt, volgens een managementsysteem (ISMS)
  • Behoud een gezonde kijk op het kwantificeren (BIV & P) van informatiebeveiliging
  • Voorkom dat de baseline aanpak een risicogestuurde aanpak gaat vervangen. Niet rücksichtslos een set aan maatregelen implementeren (‘pas toe of leg uit’)
  • Blijf goed kijken naar de actuele ISO 2700X norm (de bron)

Wat vind jij van het gebruik van baselines in jouw organisatie?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …
Verder lezen

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…
Verder lezen

De ENSIA-coördinator als projectleider?

Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.
Verder lezen

De rol van de gemeenteraad bij informatiebeveiliging en privacy

De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden…
Verder lezen

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…
Verder lezen

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap