Contract en leveranciersmanagement; mitsen en maren bij informatiebeveiliging

‘Een overeengekomen niveau van informatiebeveiliging en dienstverlening handhaven’. En dan ook ‘in overeenstemming met de leveranciersovereenkomsten’. Een hele mond vol. Maar van levensbelang om goed werk te verrichten. In hoofdstuk 15 van de BIO wordt hieraan dan ook niet voor niets aandacht besteed. Maar wat houdt het precies in?

Een vooraf overeengekomen niveau van informatiebeveiliging en dienstverlening

Een lijnmanager, vaak ook proceseigenaar, heeft de taak en verantwoordelijkheid om na te denken over het gewenste niveau van informatiebeveiliging, en dus ook de IT-dienstverlening, voor een bepaald proces. Het is tenslotte niet de bedoeling dat er gevoelige data bij de verkeerde personen terecht komt of dat de continuïteit van de dienstverlening in het geding komt.

Kortom, de lijnmanager moet risicoanalyses (laten) uitvoeren en kwetsbaarheden, afhankelijkheden en risico’s in kaart (laten) brengen, waarmee hij mitigerende maatregelen en ook de betrouwbaarheidseisen voor de informatiesystemen vaststelt c.q. laat vaststellen. Lijnmanagers weten als geen ander in hoeverre risico’s acceptabel zijn voor het proces waar zij verantwoordelijk voor zijn. Maar in de dagelijkse praktijk blijkt het voor hen best lastig om deze informatiebeveiligingsaspecten als uitgangspunt te nemen, aangezien zij de verantwoordelijkheid hebben (of voelen) voor een veelheid aan (soms conflicterende) belangen.

Een voorbeeld: Wanneer een lijnmanager elke dag klagende collega’s aan zijn bureau heeft staan die slecht kunnen werken met de extra beveiligingsstappen die zij moeten nemen in de werkprocessen, moet een lijnmanager stevig in zijn schoenen staan om niet te zwichten voor hun argumentatie. Als organisatie is het daarom van groot belang vooraf rekening te houden met werkbare maatregelen en vooraf een bepaald gewenst niveau van informatiebeveiliging vast te stellen.

De lijnmanager staat hierin uiteraard niet alleen, maar wordt hierin geadviseerd en bij gestaan door Chief Information Security Officer (CISO). Samen bepalen zij het juiste niveau van informatiebeveiliging waarop de IT-dienstverlener hier de passende beveiligingsmaatregelen op kan nemen.

Vereisten voor een nieuwe IT-dienstverlener

Het is belangrijk dat een lijnmanager, voordat er een nieuwe IT-dienstverlener wordt aangetrokken, al op de hoogte is van de basisvereisten vanuit de gemeente. Afdeling Inkoop heeft hierin een rol om de CISO proactief te betrekken. Het is namelijk net iets te makkelijk om te zeggen: ‘de leverancier moet werken volgens de BIO.’ Want wat zegt dat nu eigenlijk en over welke onderdelen van de BIO heb je het dan specifiek? Vaak ligt een deel nog bij de eigen organisatie en een deel bij de leverancier. Dit moet duidelijk zijn voor beide partijen. Uit ervaring kan ik zeggen dat het mij, in de tijd dat ik nog voor een IT-dienstverlener werkzaam was, behoorlijk frustreerde wanneer ik een aanbesteding las waarin alleen werd aangegeven dat je ‘ISO-27001 gecertificeerd‘ moest zijn. Want hoe moet je dat in het licht van de specifieke uitvraag interpreteren?

Leveranciersovereenkomsten en informatiebeveiliging

Zodra het niveau van informatiebeveiliging ten behoeve van de dienstverlening is bepaald, is het tijd om dit ook met de leverancier af te stemmen en vast te leggen in het contract. Niet alleen de afdeling Inkoop moet zich bezighouden met contractmanagement, ook als CISO heb je hierin een belangrijke rol wanneer het specifiek om de afspraken rondom informatiebeveiliging gaat. Wanneer contracten met leveranciers worden opgesteld wordt vaak ook de Functionaris Gegevensbescherming (FG) betrokken voor het toetsen van de verwerkersovereenkomst (wanneer geen gebruik gemaakt wordt van de standaard overeenkomst vanuit de gemeente).

In praktijk komt het regelmatig voor dat een leverancier gecontracteerd wordt, zonder dat je als CISO het contract daadwerkelijk gecontroleerd hebt op informatiebeveiligingsaspecten. Als CISO word je dan achteraf geconfronteerd met de contractuele afspraken die er zijn gemaakt. Het kan dan voorkomen dat het contract niet voldoet aan het gewenste niveau van informatiebeveiliging binnen de gemeente, of dat er te globaal is genoemd dat de leverancier aan de BIO of ISO-27001 moet voldoen. En dat is juist precies wat je wilt voorkomen.

Handhaven

Om ervoor te zorgen dat er in de praktijk wordt voldaan aan de opgestelde en overeengekomen beveiligingseisen, is het als CISO belangrijk om na te denken over de wijze waarop de leverancier gecontroleerd moet worden. In hoofdstuk 15.2.1.1 van de BIO staat beschreven dat er jaarlijks gekeken moet worden naar de prestaties van de leveranciers op het gebied van informatiebeveiliging, waarbij de beoordelingscriteria vooraf moeten zijn vastgesteld door middel van prestatie-indicatoren. Deze prestatie-indicatoren (KPI’s) vormen een wezenlijk onderdeel van het contract en zijn transparant voor de leverancier.

Zinvolle KPI’s vaststellen op het gebied van informatiebeveiliging is behoorlijk lastig. In het verleden hebben hele werkgroepen zich hiermee beziggehouden (bron: PvIB). De handreiking Contractmanagement 2.0 van de IBD zegt het zo: “In de inkoopcontracten worden expliciet prestatie-indicatoren en de bijbehorende verantwoordingsrapportages opgenomen”. Maar ook hier wordt geen concrete handreiking gedaan voor de prestatie-indicatoren die je kunt gebruiken. Het is te afhankelijk van de context of situatie. Wel geeft het document belangrijke en zinvolle aandachtspunten voor de juiste beveiligingseisen in contracten.  

Waar moet je dan op letten met het definiëren van KPI’s?

  1. KPI’s moeten passen bij de risico’s en doelstellingen die gelde voor het proces waar een IT-dienstverlener voor wordt ingezet.
  2. Probeer niet alles in KPI’s te vatten en voorkom dat je een legio aan KPI’s krijgt op informatiebeveiligingsgebied. Je kunt beter een klein aantal KPI’s definiëren die ertoe doen, dan te veel KPI’s. Hoe beter de KPI’s, hoe beter het resultaat.
  3. Vertaal de belangrijkste afspraken (beveiligingsmaatregelen) met de IT-dienstverlener naar meetbare KPI’s. Bijvoorbeeld dat patches binnen een vastgestelde tijd worden uitgerold. In een KPI-overzicht kan een leverancier rapporteren over wanneer welke patches zijn geïnstalleerd en of dit binnen de afgesproken tijd gebeurd is.
  4. Betrek de IT-dienstverlener ook bij het opstellen van KPI’s. Stel de gedeelde belangen vast en bepaal of de gewenste KPI ook daadwerkelijk goed meetbaar is.
  5. Maak afspraken over de wijze en frequentie waarop over de KPI’s wordt gerapporteerd, om te voorkomen dat er maandelijks rapporten worden aangeleverd door de IT-dienstverlener die vervolgens in de la verdwijnen omdat ze niet leesbaar zijn.

Aan de slag!

Het blijkt maar weer hoe belangrijk het is om je vooraf als CISO goed te verdiepen in contracten met leveranciers wil je aan de eisen van de BIO voldoen. De vraag is natuurlijk hoe je dit binnen je eigen gemeente slim kunt organiseren.

Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig? Neem dan contact met ons op.

De jongste aanwinst in de ISO 27000-reeks: 27701 PIMS

Copyright © 2014 - 2019 IB&P B.V.
Onze algemene voorwaarden & privacyverklaring. Ook handig: de sitemap