Met de BIO bezig blijven: hoe lang?


Ja, met de Baseline Informatiebeveiliging Overheid (BIO) ben je nog wel even bezig. Net zoals je daarvoor al de nodige jaren bezig kon zijn met haar voorlopers, waaronder de Baseline Informatiebeveiliging Gemeenten. Zo gingen gemeenten van BIG naar BIO. Cynisch bezien kan je jaren blijven stellen dat je bezig bent met de implementatie, mits het normenkader steeds maar wijzigt. Oude wijn in nieuwe zakken is ons niet vreemd. Vandaag echter nauwelijks cynisme, maar een oprechte poging te ontleden waarom dat ‘vaart maken’ voor gemeenten zo verrekte lastig is.

Voor de liefhebber heb ik verwijzingen opgenomen naar 25 blogs die ik door de jaren heen schreef over de genoemde onderwerpen. Hopelijk zie je aanleiding (online) verder te lezen!

Voorbeeldgedrag

Het is geen willekeur dat ik met dit onderwerp begin. Tot mijn verbazing zijn we er maar mondjesmaat in geslaagd het management dermate te overtuigen dat zij intrinsiek gemotiveerd zijn geraakt om tijd en middelen te steken in informatiebeveiliging. Je kent hun immer relativerende uitspraken vast wel uit je eigen praktijk. Het belang van informatiebeveiliging mag inmiddels duidelijk zijn toch, denk je dan. Gezien de gedwongen winkelnering bij de overheid moet het toch juist daar op rode zijn! Het angst-argument volstaat echter niet. Het voorbeeldgedrag valt dus tegen en dit dienen we onszelf grotendeels aan te rekenen: een onvoldoende voor business alignment, wat mij betreft. En dat schaadt ons vak want goed voorbeeld doet volgen.

Op bestuurlijk niveau loopt het ook niet echt storm. We blijven steken bij tien goedbedoelde principes en een krappe voldoende voor het inrichten van intern (horizontaal) toezicht door de gemeenteraad. Áls de raad al geïnformeerd wordt. En grasduin eens door een aantal rekenkamerrapporten heen en je zal ontdekken dat we het vanuit daar ook niet gaan redden: te algemene en wollige aanbevelingen in termen als PDCA, ISMS en GRC. Maar vooral: nauwelijks follow-up! Op een enkele pijnlijke kwetsbaarheid die uit een pentest rolt na.

Veiligheidscultuur

Managers en bestuurders die voor de troepen uitlopen zijn essentieel voor de sterkte van de veiligheidscultuur binnen een organisatie. Kai Roer onderscheidt in zijn werk in totaal zeven dimensies van een sterke veiligheidscultuur en zonder het ontstaan van een dergelijke cultuur blijven bewustwordingscampagnes grotendeels mislukken of op z’n best alleen op korte termijn werken. En nee, het is naïef zwaar te willen leunen op de integriteit van mensen als escape.

Als CISO ga je deze cultuur niet in je eentje vormgeven. Daar heb je de tijd niet voor en zeer waarschijnlijk ook de kennis niet. En nog belangrijker: die positie heb je gewoonweg niet. Dat is niet erg, maar het is goed je bewust te zijn van je bescheiden invloed op de veiligheidscultuur. Al je goede initiatieven ten spijt. Dat jij enthousiast bent en het belangrijk vindt verwacht iedereen; het is immers je werk zogezegd. Het zijn de managers en bestuurders die voorop moeten omdat hun voorbeeldgedrag nu eenmaal veel meer impact heeft dan het jouwe.

Het CISO schaap

Over de CISO gesproken, die moet werkelijk van alles kunnen. En meestal daarbij accepteren dat hij/zij minstens één schaal te laag is ingeschaald en ofwel geen fulltime dienstverband heeft, ofwel de CISO ‘rol’ mag combineren met iets anders. Als CISO moet je moet goed overweg kunnen met de veelheid aan instrumenten, formats en templates die beschikbaar zijn vanuit het gemeentelijke CERT (IBD). Ook is het prettig als het goed botert met de privacy collega’s als de Functionaris Gegevensbescherming en de Privacy Officer. Helderheid over wie wat doet en mag is wenselijk.

Bedrijfscontinuïteitsbeheer ligt meestal ook op je bord. Bofkont. En had ik al gezegd dat je actuele kennis moet hebben over relevante wet- en regelgeving, normenkaders, frameworks enzo? Vergeet niet het management en het bestuur mee te nemen dat 30 onderwerpen met meer urgentie te bespreken heeft. En de Plan Do Check Act cyclus op te zetten. En incidenten hebben voorrang op alles. You get the picture. Ben jij dat niet-bestaande schaap met de vijf poten?

Kortzichtig over ISO27001

Ten tijde van de BIG is er door veel CISO’s – de ingehuurde incluis – veel te licht gedacht over het managementsysteem voor informatiebeveiliging. Ook wel het Information Security Management System, wat lekkerder bekt als ISMS. ISMS is de Plan Do Check Act cyclus ingevuld voor informatiebeveiliging en is derhalve het proces waarbinnen beveiligingsmaatregelen worden genomen. Daar is heel veel óver gepraat door de jaren heen, maar er zijn maar bar weinig gemeenten die een goed werkend ISMS-proces hebben, hoe bescheiden ook.

Buiten de (lokale) overheid om praten we trouwens gewoon over de ISO27001 norm voor het ISMS met op het gebied van privacy de jongste telg: ISO 27701. En de BIO is in tegenstelling tot de BIG gelukkig wel een één-op-één doorvertaling van de ISO27002, ook wel de implementatierichtlijn genoemd. Er is door menig gemeente veel te snel ISMS-software ingezet in de hoop en verwachting dat daarmee het PDCA proces gaandeweg wel zou gaan lopen. Niets bleek minder waar. Bedenk dus goed wanneer en hoe je ISMS-software inzet. Ander punt van aandacht is het op poten zetten van risicomanagement op het gebied van informatiebeveiliging, samen met het lijnmanagement. Of, wanneer je geluk hebt, risicomanagement in z’n geheel. De BIO lijkt hierbij te hinken op twee gedachten: enerzijds risicomanagement bedrijven met behulp van het ISMS (27001) en anderzijds een basisbeveiligingsniveau afdwingen via de implementatierichtlijn (27002).

Nadruk op ISO27002

Voor dat laatste hebben we de Rijksoverheid te bedanken die toch wel erg graag wilde dat de overgang van de BIR – waarvan de inkt in 2017 nog nat was – beleidsneutraal zou zijn. En dus hangt het ISO27001 deel er wat ongelukkig bij. Enfin, in de BIG kreeg het praktisch nul aandacht dus dat is alsnog winst. Nu staat wat mij betreft de nut en noodzaak van baselines niet ter discussie, maar het is en blijft lastig om vanuit het managen van maatregelen ‘op te klimmen’ naar het managen van risico’s. Terwijl het wel daar om draait, nietwaar? Anders ga je die managers en bestuurders zeker niet aanspreken en verwordt informatiebeveiliging tot een plichtmatig af te werken vinkenlijst.

Wat dan ook niet helpt is de van oudsher aanwezige nadruk op het naleven van wet- en regelgeving. Ofwel, de nadruk op compliance. Met de komst van de Eenduidige Normatiek Single Information Audit (ENSIA) is de auditlast – gericht op de naleving van normenkaders – enigszins gedaald, maar toch durf ik te stellen dat ENSIA slechts minimaal wordt benut. ENSIA kan zoveel meer zijn dan de (beperkte) C in de PDCA-cyclus. Van mijn eerder in het IB Magazine beschreven toekomstscenario’s voor ENSIA komt vooralsnog weinig terecht.

Dus: bezig blijven

De B in BIO staat niet voor Bezig of Blijven, maar ik denk wel dat de implementatie ervan bij veel gemeenten een lang verhaal wordt (is). Uitgezonderd een enkele (grote) gemeente, hoor ik in gemeenteland niets over een ISO27001 certificering, terwijl de provincies daar al in 2018 toe besloten. Daarmee blijft het, zo vrees ik, teveel (losse) BIO maatregelen (ad-hoc) nemen. Veel Plan en Do, maar nauwelijks via Check en Act terug naar Plan. En daarmee poetsen we die onvoldoende op business alignment niet weg.

Hopelijk heeft dit artikel je een overzicht gegeven in mogelijk oorzaken van het stroperige tempo op de BIO implementatie. En ik hoop dat het je helpt met het goed besteden van je schaarse tijd. Ofwel: blijf inderdaad nog jaren bezig met die BIO, maar dan wél op zo’n manier dat het ieder jaar meetbaar een stukje beter gaat en dat het stuur ieder jaar een beetje meer overgaat naar het management. Bouw aan het (management)systeem!

Eerder verscheen dit artikel in IB Magazine #2 (2021) van PvIB. Een totaaloverzicht van de referenties vind je op deze pagina (wachtwoord=pvib).

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.

Security by Design concreet gemaakt

Met de komst van de AVG in 2018, is er ook veel aandacht voor de begrippen ‘Privacy by Design’ en ‘Security by Design’. Maar wat wordt hier nu eigenlijk mee bedoeld en waarom is het zo belangrijk? In deze blog wil ik graag specifiek ingaan op Secu…

Mobile Device Management: MDM, MAM en Windows 10

Vanuit de BIO is het helder dat je een vorm van beheer dient te voeren op apparaten, waaronder mobiele apparaten als telefoons, tablets en laptops. Welke mogelijkheden heb je daar eigenlijk tot je beschikking voor iOS, Android en Windows 10?

De BIO en het toepassen van encryptie; wat moet je weten?

Encryptie is een serieus onderdeel geworden binnen veel organisaties. Niet voor niets worden er in BIO eisen benoemd als het gaat om encryptie. Welke eisen zijn dit en wat moet je hier als CISO over weten?

De ingrediënten van een jaarverslag

In gemeenteland komt het jaarverslag er weer aan. Schrijf jij als CISO of FG al een separaat jaarverslag over informatiebeveiliging of privacy? Zeker doen!