ENSIA: méér dan de C in PDCA?


Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de Baseline Informatiebeveiliging Overheid (BIO). ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarlijkse onderhoudsbeurt. Maar het is zoveel meer, toch?

ENSIA en de auditlast

Eenduidige Normatiek Single Information Audit; een hele mond vol. Eenvoudig komt het er op neer dat ENSIA bestaande verantwoordingslijnen binnen (lokale) overheden richting toezichthouders heeft gebundeld, en wel op twee manieren: 1) normenkaders zijn zoveel mogelijk ontdubbeld, en 2) de verantwoordingsmomenten zijn zoveel mogelijk uitgelijnd. Dat klinkt veelbelovend.

Deze rijke definitie van ENSIA maakt echter niet dat het instrument in de praktijk ten volle wordt benut. Over de toekomst van ENSIA heb ik ook al eerder geschreven (deel I & deel II). Regelmatig hoor ik geklaag over de hoge auditlast die ENSIA oplegt en hoe het afleidt van het ‘eigenlijke’ werk. Alsof informatiebeveiliging een auto is, waarbij elke onderhoudsbeurt (audit) slechts gedoogd wordt om het gebruik te continueren. Nee, dan laat je veel liggen wat mij betreft.

Onderhoudskosten

Om nog even bij de auto te blijven: de kosten voor een onderhoudsbeurt zijn doorgaans hoger bij een oudere auto, maar ook bij een auto waar onzorgvuldig mee wordt omgegaan. Deze kosten dienen we voor lief te nemen indien de auto ons van A naar B moet blijven brengen. Wanneer het gaat om de jaarlijkse audit op informatiebeveiliging redeneren we echter anders, zo lijkt.

Onvolwassen processen, een managementsysteem dat nog in de kinderschoenen staat, de afwezigheid van interne controle, en in het algemeen: reageren in plaats van anticiperen creëert de perceptie dat ENSIA een hoge auditlast oplegt. Echter, de voornoemde zaken creëren de hoge onderhoudskosten (het werk) en niet de onderhoudsbeurt (de audit) zelf. Wie een oude auto blijft rijden, dient de onderhoudskosten voor lief te nemen. En oplappen is en blijft tijdelijk.

Van onderhoud naar verbetering

Waar de analogie van de auto in de garage echter niet opgaat: ENSIA dient een stap in een verbetercyclus te zijn. We laten geen onderhoudsbeurten uitvoeren om slechts ‘te blijven rijden’, maar om het onderhoud zelf steeds verder te reduceren. Uit een audit volgen immers bevindingen en derhalve verbeterpunten. Een goede opvolging van deze punten maakt dat ze het daarop volgende jaar niet wederom op de factuur van de garage hoeven te staan.

Verbeterplannen zetten auditbevindingen om in maatregelen en acties. Op deze wijze vangt de Plan-Do-Check-Act (PDCA) cyclus opnieuw aan vanuit de audit, die als Check fungeert. Maar papier is geduldig en voor je het weet ligt de spreekwoordelijke brief van de RDW alweer op de mat. Dan ben je alweer toe aan de volgende Check zonder dat je goed invulling hebt kunnen geven aan de tussenliggende fasen. Van monitoring op de plannen was namelijk nauwelijks sprake. Ik begrijp maar al te goed dat de weerbarstige praktijk maakt dat je achter de feiten aan blijft lopen. De auto gaande houden vraagt al genoeg, laat staan dat je nadenkt over verbeteren. Maar ENSIA is een middel, en geen doel op zich.

Stop met smeren

Deze weinig constructieve jaarcyclus doorbreken vraagt mijns inziens tenminste de volgende twee zaken. Allereerst dienen wijzelf, de informatiebeveiligers, te stoppen met smeren. Geen eigen onderhoud tussendoor (dat onder de radar blijft) om zo de kosten voor de jaarlijkse onderhoudsbeurt te beperken. Berg de olieknip op. Wij zijn niet de eigenaar van deze auto. Dat ‘ie vervolgens gaat piepen en kraken is alleen maar goed.

Ten tweede dien je serieus tijd te reserveren in je agenda voor het inrichten van een werkend managementsysteem, ofwel de PDCA-cyclus voor informatiebeveiliging. Kijk regelmatig óver je werk heen en ontwaar de jaarlijks terugkerende, vaste onderdelen en momenten. Zorg dat alle vier fasen invulling krijgen, hoe bescheiden ook. Vervolgens dienen ze elkaar natuurlijk logisch op te volgen. Torenhoge onderhoudskosten kúnnen hierbij als wind in de rug dienen.

Het eigenlijke object van onderzoek

De kunst is om ENSIA aan te grijpen voor het intern verleggen van focus. Die moet niet primair liggen op individuele voorzieningen, systemen of registraties. Niet primair op de aldaar juist geïmplementeerde maatregelen. De focus dient primair te liggen op het proces waarbinnen deze maatregelen geïmplementeerd zijn én beheerd worden. Anders slaag je er niet in om ooit ‘in control’ te komen, zoals we dat dan mooi noemen.

Stel jezelf de vraag: waarop wordt nu eigenlijk onderhoud uitgevoerd? Waarvoor staat die auto? Wat is het eigenlijke object van onderzoek? Voorkom dat je niet voorbij de maatregelen komt. De maatregelen waarvoor je jezelf grotendeels verantwoordelijk voelt. Natuurlijk moeten die maatregelen genomen worden en middels ENSIA blijkt of dat adequaat is gebeurd. Maar informatiebeveiliging is zoveel meer dan alleen maatregelen implementeren.

Tot slot

ENSIA is alles behalve perfect. Onlangs rondde ik als ENSIA-coördinator twee tijdrovende, complexe verantwoordingstrajecten af die niet vanzelf gingen. De E van Eenduidig en de S van Single blijven onder druk staan, maar desalniettemin bepalen jij en ik grotendeels zélf wat we van ENSIA willen maken. En ik rijk daarbij elk jaar een stukje verder. Wil je meer weten over dit onderwerp? Neem dan geheel vrijblijvend contact met ons op.

* Deze blog is onlangs als artikel verschenen in het vakblad Od.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.

Security by Design concreet gemaakt

Met de komst van de AVG in 2018, is er ook veel aandacht voor de begrippen ‘Privacy by Design’ en ‘Security by Design’. Maar wat wordt hier nu eigenlijk mee bedoeld en waarom is het zo belangrijk? In deze blog wil ik graag specifiek ingaan op Secu…

Mobile Device Management: MDM, MAM en Windows 10

Vanuit de BIO is het helder dat je een vorm van beheer dient te voeren op apparaten, waaronder mobiele apparaten als telefoons, tablets en laptops. Welke mogelijkheden heb je daar eigenlijk tot je beschikking voor iOS, Android en Windows 10?

De BIO en het toepassen van encryptie; wat moet je weten?

Encryptie is een serieus onderdeel geworden binnen veel organisaties. Niet voor niets worden er in BIO eisen benoemd als het gaat om encryptie. Welke eisen zijn dit en wat moet je hier als CISO over weten?

De ingrediënten van een jaarverslag

In gemeenteland komt het jaarverslag er weer aan. Schrijf jij als CISO of FG al een separaat jaarverslag over informatiebeveiliging of privacy? Zeker doen!