ENSIA: méér dan de C in PDCA?

| Renco Schoemaker | ,

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de Baseline Informatiebeveiliging Overheid (BIO). ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarlijkse onderhoudsbeurt. Maar het is zoveel meer, toch?

ENSIA en de auditlast

Eenduidige Normatiek Single Information Audit; een hele mond vol. Eenvoudig komt het er op neer dat ENSIA bestaande verantwoordingslijnen binnen (lokale) overheden richting toezichthouders heeft gebundeld, en wel op twee manieren: 1) normenkaders zijn zoveel mogelijk ontdubbeld, en 2) de verantwoordingsmomenten zijn zoveel mogelijk uitgelijnd. Dat klinkt veelbelovend.

Deze rijke definitie van ENSIA maakt echter niet dat het instrument in de praktijk ten volle wordt benut. Over de toekomst van ENSIA heb ik ook al eerder geschreven (deel I & deel II). Regelmatig hoor ik geklaag over de hoge auditlast die ENSIA oplegt en hoe het afleidt van het ‘eigenlijke’ werk. Alsof informatiebeveiliging een auto is, waarbij elke onderhoudsbeurt (audit) slechts gedoogd wordt om het gebruik te continueren. Nee, dan laat je veel liggen wat mij betreft.

Onderhoudskosten

Om nog even bij de auto te blijven: de kosten voor een onderhoudsbeurt zijn doorgaans hoger bij een oudere auto, maar ook bij een auto waar onzorgvuldig mee wordt omgegaan. Deze kosten dienen we voor lief te nemen indien de auto ons van A naar B moet blijven brengen. Wanneer het gaat om de jaarlijkse audit op informatiebeveiliging redeneren we echter anders, zo lijkt.

Onvolwassen processen, een managementsysteem dat nog in de kinderschoenen staat, de afwezigheid van interne controle, en in het algemeen: reageren in plaats van anticiperen creëert de perceptie dat ENSIA een hoge auditlast oplegt. Echter, de voornoemde zaken creëren de hoge onderhoudskosten (het werk) en niet de onderhoudsbeurt (de audit) zelf. Wie een oude auto blijft rijden, dient de onderhoudskosten voor lief te nemen. En oplappen is en blijft tijdelijk.

Van onderhoud naar verbetering

Waar de analogie van de auto in de garage echter niet opgaat: ENSIA dient een stap in een verbetercyclus te zijn. We laten geen onderhoudsbeurten uitvoeren om slechts ‘te blijven rijden’, maar om het onderhoud zelf steeds verder te reduceren. Uit een audit volgen immers bevindingen en derhalve verbeterpunten. Een goede opvolging van deze punten maakt dat ze het daarop volgende jaar niet wederom op de factuur van de garage hoeven te staan.

Verbeterplannen zetten auditbevindingen om in maatregelen en acties. Op deze wijze vangt de Plan-Do-Check-Act (PDCA) cyclus opnieuw aan vanuit de audit, die als Check fungeert. Maar papier is geduldig en voor je het weet ligt de spreekwoordelijke brief van de RDW alweer op de mat. Dan ben je alweer toe aan de volgende Check zonder dat je goed invulling hebt kunnen geven aan de tussenliggende fasen. Van monitoring op de plannen was namelijk nauwelijks sprake. Ik begrijp maar al te goed dat de weerbarstige praktijk maakt dat je achter de feiten aan blijft lopen. De auto gaande houden vraagt al genoeg, laat staan dat je nadenkt over verbeteren. Maar ENSIA is een middel, en geen doel op zich.

Stop met smeren

Deze weinig constructieve jaarcyclus doorbreken vraagt mijns inziens tenminste de volgende twee zaken. Allereerst dienen wijzelf, de informatiebeveiligers, te stoppen met smeren. Geen eigen onderhoud tussendoor (dat onder de radar blijft) om zo de kosten voor de jaarlijkse onderhoudsbeurt te beperken. Berg de olieknip op. Wij zijn niet de eigenaar van deze auto. Dat ‘ie vervolgens gaat piepen en kraken is alleen maar goed.

Ten tweede dien je serieus tijd te reserveren in je agenda voor het inrichten van een werkend managementsysteem, ofwel de PDCA-cyclus voor informatiebeveiliging. Kijk regelmatig óver je werk heen en ontwaar de jaarlijks terugkerende, vaste onderdelen en momenten. Zorg dat alle vier fasen invulling krijgen, hoe bescheiden ook. Vervolgens dienen ze elkaar natuurlijk logisch op te volgen. Torenhoge onderhoudskosten kúnnen hierbij als wind in de rug dienen.

Het eigenlijke object van onderzoek

De kunst is om ENSIA aan te grijpen voor het intern verleggen van focus. Die moet niet primair liggen op individuele voorzieningen, systemen of registraties. Niet primair op de aldaar juist geïmplementeerde maatregelen. De focus dient primair te liggen op het proces waarbinnen deze maatregelen geïmplementeerd zijn én beheerd worden. Anders slaag je er niet in om ooit ‘in control’ te komen, zoals we dat dan mooi noemen.

Stel jezelf de vraag: waarop wordt nu eigenlijk onderhoud uitgevoerd? Waarvoor staat die auto? Wat is het eigenlijke object van onderzoek? Voorkom dat je niet voorbij de maatregelen komt. De maatregelen waarvoor je jezelf grotendeels verantwoordelijk voelt. Natuurlijk moeten die maatregelen genomen worden en middels ENSIA blijkt of dat adequaat is gebeurd. Maar informatiebeveiliging is zoveel meer dan alleen maatregelen implementeren.

Tot slot

ENSIA is alles behalve perfect. Onlangs rondde ik als ENSIA-coördinator twee tijdrovende, complexe verantwoordingstrajecten af die niet vanzelf gingen. De E van Eenduidig en de S van Single blijven onder druk staan, maar desalniettemin bepalen jij en ik grotendeels zélf wat we van ENSIA willen maken. En ik rijk daarbij elk jaar een stukje verder. Wil je meer weten over dit onderwerp? Neem dan geheel vrijblijvend contact met ons op.

* Deze blog is onlangs als artikel verschenen in het vakblad Od.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Ga naar website

Meer blogs lezen

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…
Verder lezen

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog
Verder lezen

Een DPIA uitgevoerd en dan?

Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je een DPIA moet uitvoeren. Maar wat doe je met de uitkomsten van een DPIA en hoe zorg je ervoor dat een DPIA geen eenmalige actie is maar over een bepaalde tijd herhaald wordt?
Verder lezen

Hoe krijg je informatiebeveiliging op de bestuurstafel?

Het ambtelijk bestuur is eindverantwoordelijk voor informatiebeveiliging. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveil…
Verder lezen

Hoe voer je een DPIA uit?

Het uitvoeren van een DPIA is soms niet eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.
Verder lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap