Toekomstscenario’s voor ENSIA – deel 2

Dat nog te bezien valt of je ENSIA al een ‘effectief en efficiënt verantwoordingsstelsel’ mag noemen heb je kunnen lezen in het vorige deel van de reeks over de toekomst voor ENSIA. Nu ga ik het hebben over hoe ENSIA zich in de komende jaren kan ontwikkelen om deze omschrijving wél te verdienen. Dat begint wat mij betreft bij een goed fundament van het ENSIA-verantwoordingsstelsel richting de raad. Daartoe helpen onderstaande drie toekomstscenario’s waarbij ik een combinatie van scenario 1 en 2 op voorhand afraad.

Toekomstscenario 1: werking toevoegen

Binnen ENSIA is een gemeente verplicht, voor wat betreft het DigiD normenkader en een deel van het Suwinet normenkader, jaarlijks een IT-audit te laten uitvoeren. Voor DigiD bestaat deze verplichting al jaren en vorig jaar heeft de NOREA haar duiding van de Suwinet toetsing aangescherpt door de aandacht te vestigen op de ‘General IT Controls’. Wel kijken IT-auditors momenteel alleen naar de opzet en het bestaan van de maatregelen. Er wordt dus niet over een langere periode getoetst op de werking van maatregelen. Het doel is een gemeente veiliger maken en juist dát toets je met werking toetsen.

Mijn advies is om werking per 2021 binnen scope te brengen voor de ENSIA IT audit, te beginnen met DigiD. Het jaar daarop zou ook Suwinet kunnen volgen. Ik realiseer me terdege dat ik hiermee de al langer bestaande wens van de NOREA opteken. Idealiter toets je werking voor je horizontale verantwoording, nog vóór de verticale toezichthouder het afdwingt.

Toekomstscenario 2: GITC’s verbreden

Vooralsnog worden de ‘General IT Controls’ (GITC’s) alleen met betrekking op Suwinet getoetst binnen de IT-audit. Het gaat dan ook nog om een specifieke vorm van Suwinet: DKD-Inlezen. DKD staat voor Digitaal Klantdossier en binnen deze vorm lezen applicaties die in het beheer zijn van gemeenten direct Suwinet gegevens in. De inlezende applicatie dient daarmee te voldoen aan de GITC’s. Maar gemeenten hebben natuurlijk talloze applicaties waarin gevoelige persoonsgegevens worden verwerkt. Op basis van een risicoanalyse op voornamelijk het vertrouwelijkheidsaspect dienen zij een top 10 kritieke applicaties te laten vaststellen. Uitvoering en vaststelling kan plaatsvinden in 2021.

Mijn advies is om met ingang van 2022 deze top 10 van applicaties binnen de scope van de ENSIA IT audit te laten vallen. De GITC’s zoals die nu bij Suwinet gelden worden dan in opzet en bestaan ook getoetst bij deze 10 applicaties. Eén of twee jaar later wordt ook werking toegevoegd. De parallel met de jaarrekeningcontrole zal de geïnformeerde lezer niet zijn ontgaan. Daar schreef ik eerder al een tweeluik over (deel 1 & deel 2)

Toekomstscenario 3: relatie met risico’s aanbrengen (juiste abstractieniveau)

Of de toekomst nu meer langs scenario 1 of scenario 2 vorm krijgt, in beide gevallen zouden we veel meer werk moeten maken van het vertalen van (het niet voldoen aan) normen naar het lopen van risico’s. Vooral in de BIO is er, in ieder geval op papier, veel aandacht voor risicomanagement. Bij het vakgebied informatiebeveiliging kijken we dan naar beschikbaarheid, integriteit en vertrouwelijkheid, maar ook dat zal een bestuurder doorgaans weinig zeggen. Welke risico’s loopt een gemeente nu werkelijk? Afgesloten worden van DigiD is geen risico, maar een onderbreking in de dienstverlening naar burgers zeer waarschijnlijk wél. 

Een raad voert haar toezichthoudende taak uit op het hoogste abstractieniveau. Als informatiebeveiligers moeten we leren onze vakgebied te relateren aan vraagstukken op dat hoge abstractieniveau. Per direct stoppen met het informeren van een raad op normniveau, wat mij betreft. Hoe kan een betrouwbare informatievoorziening bijvoorbeeld de uitoefening van publieke taken garanderen? Wanneer het digitale loket geheel stilvalt voor meerdere dagen (beschikbaarheid), het heffen van de OZB niet op basis van juiste informatie gebeurt (integriteit) of wanneer er zeer gevoelige informatie van minderjarigen lekt (vertrouwelijkheid) dán heb je de aandacht. For better or for worse. Liever voorkomen dan genezen, daar zal een bestuurder het al snel mee eens zijn.

Tot slot

Je kan van ENSIA vinden wat je wilt, maar we hebben met elkaar een belangrijke eerste stap gezet naar een meer volwassen wijze van verantwoording over informatiebeveiliging. Het fundament is er, maar nu is verder bouwen nodig. Er zijn zeker onvolkomenheden en bij de huidige effectiviteit en efficiëntie zijn terechte vraagtekens te zetten. Niettemin moeten we de blik vooruit gericht houden en niet onbedoeld van een middel het doel maken. Heb je naar aanleiding van dit tweeluik nog aanvullende vragen of hulp nodig? Neem dan contact met ons op.

Renco Schoemaker
Recente berichten van Renco Schoemaker (bekijk alles)
    Het goede nieuws over datalekken!
    Toekomstscenario’s voor ENSIA – deel 1