ENSIA: méér dan de C in PDCA?


Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de Baseline Informatiebeveiliging Overheid (BIO). ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarlijkse onderhoudsbeurt. Maar het is zoveel meer, toch?

ENSIA en de auditlast

Eenduidige Normatiek Single Information Audit; een hele mond vol. Eenvoudig komt het er op neer dat ENSIA bestaande verantwoordingslijnen binnen (lokale) overheden richting toezichthouders heeft gebundeld, en wel op twee manieren: 1) normenkaders zijn zoveel mogelijk ontdubbeld, en 2) de verantwoordingsmomenten zijn zoveel mogelijk uitgelijnd. Dat klinkt veelbelovend.

Deze rijke definitie van ENSIA maakt echter niet dat het instrument in de praktijk ten volle wordt benut. Over de toekomst van ENSIA heb ik ook al eerder geschreven (deel I & deel II). Regelmatig hoor ik geklaag over de hoge auditlast die ENSIA oplegt en hoe het afleidt van het ‘eigenlijke’ werk. Alsof informatiebeveiliging een auto is, waarbij elke onderhoudsbeurt (audit) slechts gedoogd wordt om het gebruik te continueren. Nee, dan laat je veel liggen wat mij betreft.

Onderhoudskosten

Om nog even bij de auto te blijven: de kosten voor een onderhoudsbeurt zijn doorgaans hoger bij een oudere auto, maar ook bij een auto waar onzorgvuldig mee wordt omgegaan. Deze kosten dienen we voor lief te nemen indien de auto ons van A naar B moet blijven brengen. Wanneer het gaat om de jaarlijkse audit op informatiebeveiliging redeneren we echter anders, zo lijkt.

Onvolwassen processen, een managementsysteem dat nog in de kinderschoenen staat, de afwezigheid van interne controle, en in het algemeen: reageren in plaats van anticiperen creëert de perceptie dat ENSIA een hoge auditlast oplegt. Echter, de voornoemde zaken creëren de hoge onderhoudskosten (het werk) en niet de onderhoudsbeurt (de audit) zelf. Wie een oude auto blijft rijden, dient de onderhoudskosten voor lief te nemen. En oplappen is en blijft tijdelijk.

Van onderhoud naar verbetering

Waar de analogie van de auto in de garage echter niet opgaat: ENSIA dient een stap in een verbetercyclus te zijn. We laten geen onderhoudsbeurten uitvoeren om slechts ‘te blijven rijden’, maar om het onderhoud zelf steeds verder te reduceren. Uit een audit volgen immers bevindingen en derhalve verbeterpunten. Een goede opvolging van deze punten maakt dat ze het daarop volgende jaar niet wederom op de factuur van de garage hoeven te staan.

Verbeterplannen zetten auditbevindingen om in maatregelen en acties. Op deze wijze vangt de Plan-Do-Check-Act (PDCA) cyclus opnieuw aan vanuit de audit, die als Check fungeert. Maar papier is geduldig en voor je het weet ligt de spreekwoordelijke brief van de RDW alweer op de mat. Dan ben je alweer toe aan de volgende Check zonder dat je goed invulling hebt kunnen geven aan de tussenliggende fasen. Van monitoring op de plannen was namelijk nauwelijks sprake. Ik begrijp maar al te goed dat de weerbarstige praktijk maakt dat je achter de feiten aan blijft lopen. De auto gaande houden vraagt al genoeg, laat staan dat je nadenkt over verbeteren. Maar ENSIA is een middel, en geen doel op zich.

Stop met smeren

Deze weinig constructieve jaarcyclus doorbreken vraagt mijns inziens tenminste de volgende twee zaken. Allereerst dienen wijzelf, de informatiebeveiligers, te stoppen met smeren. Geen eigen onderhoud tussendoor (dat onder de radar blijft) om zo de kosten voor de jaarlijkse onderhoudsbeurt te beperken. Berg de olieknip op. Wij zijn niet de eigenaar van deze auto. Dat ‘ie vervolgens gaat piepen en kraken is alleen maar goed.

Ten tweede dien je serieus tijd te reserveren in je agenda voor het inrichten van een werkend managementsysteem, ofwel de PDCA-cyclus voor informatiebeveiliging. Kijk regelmatig óver je werk heen en ontwaar de jaarlijks terugkerende, vaste onderdelen en momenten. Zorg dat alle vier fasen invulling krijgen, hoe bescheiden ook. Vervolgens dienen ze elkaar natuurlijk logisch op te volgen. Torenhoge onderhoudskosten kúnnen hierbij als wind in de rug dienen.

Het eigenlijke object van onderzoek

De kunst is om ENSIA aan te grijpen voor het intern verleggen van focus. Die moet niet primair liggen op individuele voorzieningen, systemen of registraties. Niet primair op de aldaar juist geïmplementeerde maatregelen. De focus dient primair te liggen op het proces waarbinnen deze maatregelen geïmplementeerd zijn én beheerd worden. Anders slaag je er niet in om ooit ‘in control’ te komen, zoals we dat dan mooi noemen.

Stel jezelf de vraag: waarop wordt nu eigenlijk onderhoud uitgevoerd? Waarvoor staat die auto? Wat is het eigenlijke object van onderzoek? Voorkom dat je niet voorbij de maatregelen komt. De maatregelen waarvoor je jezelf grotendeels verantwoordelijk voelt. Natuurlijk moeten die maatregelen genomen worden en middels ENSIA blijkt of dat adequaat is gebeurd. Maar informatiebeveiliging is zoveel meer dan alleen maatregelen implementeren.

Tot slot

ENSIA is alles behalve perfect. Onlangs rondde ik als ENSIA-coördinator twee tijdrovende, complexe verantwoordingstrajecten af die niet vanzelf gingen. De E van Eenduidig en de S van Single blijven onder druk staan, maar desalniettemin bepalen jij en ik grotendeels zélf wat we van ENSIA willen maken. En ik rijk daarbij elk jaar een stukje verder. Wil je meer weten over dit onderwerp? Neem dan geheel vrijblijvend contact met ons op.

* Deze blog is onlangs als artikel verschenen in het vakblad Od.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Beleid voor informatiebeveiliging in bredere context

Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.