Skip to main content

Met de BIO bezig blijven: hoe lang?


Ja, met de Baseline Informatiebeveiliging Overheid (BIO) ben je nog wel even bezig. Net zoals je daarvoor al de nodige jaren bezig kon zijn met haar voorlopers, waaronder de Baseline Informatiebeveiliging Gemeenten. Zo gingen gemeenten van BIG naar BIO. Cynisch bezien kan je jaren blijven stellen dat je bezig bent met de implementatie, mits het normenkader steeds maar wijzigt. Oude wijn in nieuwe zakken is ons niet vreemd. Vandaag echter nauwelijks cynisme, maar een oprechte poging te ontleden waarom dat ‘vaart maken’ voor gemeenten zo verrekte lastig is.

Voor de liefhebber heb ik verwijzingen opgenomen naar 25 blogs die ik door de jaren heen schreef over de genoemde onderwerpen. Hopelijk zie je aanleiding (online) verder te lezen!

Voorbeeldgedrag

Het is geen willekeur dat ik met dit onderwerp begin. Tot mijn verbazing zijn we er maar mondjesmaat in geslaagd het management dermate te overtuigen dat zij intrinsiek gemotiveerd zijn geraakt om tijd en middelen te steken in informatiebeveiliging. Je kent hun immer relativerende uitspraken vast wel uit je eigen praktijk. Het belang van informatiebeveiliging mag inmiddels duidelijk zijn toch, denk je dan. Gezien de gedwongen winkelnering bij de overheid moet het toch juist daar op orde zijn! Het angst-argument volstaat echter niet. Het voorbeeldgedrag valt dus tegen en dit dienen we onszelf grotendeels aan te rekenen: een onvoldoende voor business alignment, wat mij betreft. En dat schaadt ons vak want goed voorbeeld doet volgen.

Op bestuurlijk niveau loopt het ook niet echt storm. We blijven steken bij tien goedbedoelde principes en een krappe voldoende voor het inrichten van intern (horizontaal) toezicht door de gemeenteraad. Áls de raad al geïnformeerd wordt. En grasduin eens door een aantal rekenkamerrapporten heen en je zal ontdekken dat we het vanuit daar ook niet gaan redden: te algemene en wollige aanbevelingen in termen als PDCA, ISMS en GRC. Maar vooral: nauwelijks follow-up! Op een enkele pijnlijke kwetsbaarheid die uit een pentest rolt na.

Veiligheidscultuur

Managers en bestuurders die voor de troepen uitlopen zijn essentieel voor de sterkte van de veiligheidscultuur binnen een organisatie. Kai Roer onderscheidt in zijn werk in totaal zeven dimensies van een sterke veiligheidscultuur en zonder het ontstaan van een dergelijke cultuur blijven bewustwordingscampagnes grotendeels mislukken of op z’n best alleen op korte termijn werken. En nee, het is naïef zwaar te willen leunen op de integriteit van mensen als escape.

Als CISO ga je deze cultuur niet in je eentje vormgeven. Daar heb je de tijd niet voor en zeer waarschijnlijk ook de kennis niet. En nog belangrijker: die positie heb je gewoonweg niet. Dat is niet erg, maar het is goed je bewust te zijn van je bescheiden invloed op de veiligheidscultuur. Al je goede initiatieven ten spijt. Dat jij enthousiast bent en het belangrijk vindt verwacht iedereen; het is immers je werk zogezegd. Het zijn de managers en bestuurders die voorop moeten omdat hun voorbeeldgedrag nu eenmaal veel meer impact heeft dan het jouwe.

Het CISO schaap

Over de CISO gesproken, die moet werkelijk van alles kunnen. En meestal daarbij accepteren dat hij/zij minstens één schaal te laag is ingeschaald en ofwel geen fulltime dienstverband heeft, ofwel de CISO ‘rol’ mag combineren met iets anders. Als CISO moet je goed overweg kunnen met de veelheid aan instrumenten, formats en templates die beschikbaar zijn vanuit het gemeentelijke CERT (IBD). Ook is het prettig als het goed botert met de privacy collega’s als de Functionaris Gegevensbescherming en de Privacy Officer. Helderheid over wie wat doet en mag is wenselijk.

Bedrijfscontinuïteitsbeheer ligt meestal ook op je bord. Bofkont. En had ik al gezegd dat je actuele kennis moet hebben over relevante wet- en regelgeving, normenkaders, frameworks enzo? Vergeet niet het management en het bestuur mee te nemen dat 30 onderwerpen met meer urgentie te bespreken heeft. En de Plan Do Check Act cyclus op te zetten. En incidenten hebben voorrang op alles. You get the picture. Ben jij dat niet-bestaande schaap met de vijf poten?

Kortzichtig over ISO27001

Ten tijde van de BIG is er door veel CISO’s – de ingehuurde incluis – veel te licht gedacht over het managementsysteem voor informatiebeveiliging. Ook wel het Information Security Management System, wat lekkerder bekt als ISMS. ISMS is de Plan Do Check Act cyclus ingevuld voor informatiebeveiliging en is derhalve het proces waarbinnen beveiligingsmaatregelen worden genomen. Daar is heel veel óver gepraat door de jaren heen, maar er zijn maar bar weinig gemeenten die een goed werkend ISMS-proces hebben, hoe bescheiden ook.

Buiten de (lokale) overheid om praten we trouwens gewoon over de ISO27001 norm voor het ISMS met op het gebied van privacy de jongste telg: ISO 27701. En de BIO is in tegenstelling tot de BIG gelukkig wel een één-op-één doorvertaling van de ISO27002, ook wel de implementatierichtlijn genoemd. Er is door menig gemeente veel te snel ISMS-software ingezet in de hoop en verwachting dat daarmee het PDCA proces gaandeweg wel zou gaan lopen. Niets bleek minder waar. Bedenk dus goed wanneer en hoe je ISMS-software inzet. Ander punt van aandacht is het op poten zetten van risicomanagement op het gebied van informatiebeveiliging, samen met het lijnmanagement. Of, wanneer je geluk hebt, risicomanagement in z’n geheel. De BIO lijkt hierbij te hinken op twee gedachten: enerzijds risicomanagement bedrijven met behulp van het ISMS (27001) en anderzijds een basisbeveiligingsniveau afdwingen via de implementatierichtlijn (27002).

Nadruk op ISO27002

Voor dat laatste hebben we de Rijksoverheid te bedanken die toch wel erg graag wilde dat de overgang van de BIR – waarvan de inkt in 2017 nog nat was – beleidsneutraal zou zijn. En dus hangt het ISO27001 deel er wat ongelukkig bij. Enfin, in de BIG kreeg het praktisch nul aandacht dus dat is alsnog winst. Nu staat wat mij betreft de nut en noodzaak van baselines niet ter discussie, maar het is en blijft lastig om vanuit het managen van maatregelen ‘op te klimmen’ naar het managen van risico’s. Terwijl het wel daar om draait, nietwaar? Anders ga je die managers en bestuurders zeker niet aanspreken en verwordt informatiebeveiliging tot een plichtmatig af te werken vinkenlijst.

Wat dan ook niet helpt is de van oudsher aanwezige nadruk op het naleven van wet- en regelgeving. Ofwel, de nadruk op compliance. Met de komst van de Eenduidige Normatiek Single Information Audit (ENSIA) is de auditlast – gericht op de naleving van normenkaders – enigszins gedaald, maar toch durf ik te stellen dat ENSIA slechts minimaal wordt benut. ENSIA kan zoveel meer zijn dan de (beperkte) C in de PDCA-cyclus. Van mijn eerder in het IB Magazine beschreven toekomstscenario’s voor ENSIA komt vooralsnog weinig terecht.

Dus: bezig blijven

De B in BIO staat niet voor Bezig of Blijven, maar ik denk wel dat de implementatie ervan bij veel gemeenten een lang verhaal wordt (is). Uitgezonderd een enkele (grote) gemeente, hoor ik in gemeenteland niets over een ISO27001 certificering, terwijl de provincies daar al in 2018 toe besloten. Daarmee blijft het, zo vrees ik, teveel (losse) BIO maatregelen (ad-hoc) nemen. Veel Plan en Do, maar nauwelijks via Check en Act terug naar Plan. En daarmee poetsen we die onvoldoende op business alignment niet weg.

Hopelijk heeft dit artikel je een overzicht gegeven in mogelijk oorzaken van het stroperige tempo op de BIO implementatie. En ik hoop dat het je helpt met het goed besteden van je schaarse tijd. Ofwel: blijf inderdaad nog jaren bezig met die BIO, maar dan wél op zo’n manier dat het ieder jaar meetbaar een stukje beter gaat en dat het stuur ieder jaar een beetje meer overgaat naar het management. Bouw aan het (management)systeem!

Eerder verscheen dit artikel in IB Magazine #2 (2021) van PvIB. Een totaaloverzicht van de referenties vind je op deze pagina (wachtwoord=pvib).

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…