De implementatie van de BIO is niet alleen specifiek de verantwoording van de CISO. Het is een samenspel van diverse specialisten uit verschillende vakgebieden, waaronder ook applicatiebeheer. Applicatiebeheer is (de naam zegt het al) verantwoordelijk voor het beheer van alle applicaties binnen de gemeente. Maar hoe weet je als applicatiebeheerder of je volgens de BIO-kaders werkt?

Applicatiebeheer in het kort

Als applicatiebeheerder houd je je bezig met het beheer en onderhoud van computerprogramma’s, ofwel applicaties. De rol van de applicatiebeheerder wordt in de praktijk op verschillende manieren ingevuld. Zo wordt er vaak een onderscheid gemaakt tussen functioneel applicatiebeheer en technisch applicatiebeheer. Waarbij de functioneel applicatiebeheerder de gebruiker helpt met de applicatie te werken, en de technisch applicatiebeheerder de verantwoordelijkheid heeft dat de nieuwste versies/patches van de applicatie geïnstalleerd zijn. Binnen deze blog maak ik niet concreet een onderscheid tussen technisch of functioneel applicatiebeheer, omdat binnen gemeenten deze functies qua taken en verantwoordelijkheden divers is ingevuld.

Onderdelen BIO

Om een goed beeld te krijgen van de onderdelen van de Baseline Informatiebeveiliging Overheid (BIO) die ook van toepassing zijn voor jou als applicatiebeheerder, heb ik een overzicht gemaakt van enkele belangrijke punten die per onderdeel aan bod komen. Zodat je voor jezelf en voor de applicaties waar jij voor verantwoordelijk bent hier invulling aan kunt geven.

Op dinsdag 8 en 15 maart zal er een 2-daagse cursus georganiseerd worden door IB&P, speciaal voor applicatiebeheerders. Hier kun jij je ook voor opgeven om meer inzicht te krijgen in welke BIO onderdelen van belang zijn voor een applicatiebeheerder. Kijk hiervoor op deze link!

1. Informatiebeveiligingsbeleid

Allereerst is het belangrijk om te weten dat het algemene informatiebeveiligingsbeleid van toepassing is. Het is zinvol om als applicatiebeheerder te weten wat hierin staat, zodat de kaders waarbinnen jij je werk moet uitvoeren bekend zijn. Daarnaast is het belangrijk om te weten of er een beleid is wat specifiek van toepassing is voor de applicatie. Voor sommige applicaties is het namelijk handig een specifiek beleid of regelement te hebben, waarin de basisregels voor het gebruik van de applicatie staan beschreven en de wijze waarop de verantwoordelijkheden rondom de applicatie zijn geregeld. Een voorbeeld waar dit vaak al gebeurd is bij Suwinet, waar veel gemeenten een aansluitbeleid voor hebben. Deze basisregels/-afspraken hoe om te gaan met de applicatie(s) kunnen uiteraard ook meegenomen worden in het algemene informatiebeveiligingsbeleid.

2. Organiseren van informatiebeveiliging

Zorg dat de taken en verantwoordelijkheden van de applicatiebeheerder goed zijn vastgelegd én bekend zijn. Zo kun je al in de functieomschrijving van de applicatiebeheerder aandacht voor informatiebeveiliging opnemen zodat duidelijk is wat jouw taken en verantwoordelijkheden hierin zijn. Ook is het handig om een overzicht te hebben van de belangrijkste contactpersonen (intern en extern) die je kunt benaderen bij problemen, zoals de Security Officer, Privacy Officer, systeem- en/of proceseigenaar.

3. Veilig personeel

Controleer als applicatiebeheerder bij een nieuwe aanvraag voor toegang tot een applicatie of alles klopt. Zo is een juiste functiebeschrijving voor een nieuwe medewerker van belang om de juiste rollen (en daarmee de rechten) te kunnen bepalen. Ook bewustwording op het gebied van informatieveiligheid speelt hier een rol. Als applicatiebeheerder heb jij hier een (voorbeeld)rol in richting je collega’s. Wijs nieuwe medewerkers bijvoorbeeld op de basisregels met betrekking tot het gebruik van een applicatie of geef nieuwe medewerkers een korte training met betrekking tot het (veilig) gebruik van de applicatie.

4. Beheer van bedrijfsmiddelen

Zorg dat je weet of de informatie die verwerkt wordt in de applicatie een dataclassificatie heeft. Vaak is de systeem- of proceseigenaar verantwoordelijk dat de dataclassificatie wordt uitgevoerd, maar als applicatiebeheerder kun je bij het opstellen van de dataclassificatie betrokken worden. Op basis van de uitkomst van de dataclassificatie is het mogelijk dat je als applicatiebeheerder bepaalde onderdelen binnen de applicatie op het gebied van informatiebeveiliging moet aanscherpen om te voldoen aan de eisen en/of het risicoprofiel van de informatie die hierin wordt opgeslagen.

5. Toegangsbeveiliging

Hierbij kun je denken aan de formele afspraken die gemaakt zijn rondom gebruikerstoegang. Is er een procedure om toegangsrechten toe te wijzen of in te trekken? Of zijn er afspraken over op welke wijze er wijzigingen in autorisaties moeten worden aangevraagd, en is het duidelijk wat je hier aan informatie nodig hebt voordat je deze wijziging doorvoert? Ook ben je als applicatiebeheerder vaak degene die de applicatiematrix onderhoudt waarin de rechten binnen de applicaties zijn vastgesteld op rollen of functies van medewerkers. Meer weten? Lees dan ook onze eerdere blog ‘Hoe stel je een autorisatiematrix op?’.

6. Cryptografie

Het komt niet vaak voor dat er vanuit applicatiebeheer gewerkt moet worden met cryptografie/encryptie, omdat dit meestal organisatiebreed wordt opgepakt vanuit ICT of vanuit de leverancier binnen de applicatie. Maar wanneer cryptografie gebruikt wordt binnen bepaalde applicatie, is het wel belangrijk om als applicatiebeheerder kennis te hebben van het cryptografiebeleid/proces.

7. Fysieke beveiliging

Zorg dat je als applicatiebeheerder op de hoogte bent van regels rondom fysieke beveiliging en deze ook naleeft. Zijn onbemenste werkplekken bijvoorbeeld altijd vergrendeld? En doe jij dit zelf ook altijd? Als applicatiebeheerder heb je vaak aanvullende rechten, daarom is het zeker noodzakelijk voor iemand met deze functie om je werkplek te vergrendelen wanneer je je werkplek verlaat. In sommige gevallen kunnen ook binnen specifieke applicaties configuratie-instellingen worden ingesteld om aan de BIO te voldoen. Bijvoorbeeld een screensaver die automatisch in werking gaat na maximaal 15 minuten inactiviteit of remote sessies die altijd vergrendeld worden na een vastgestelde periode.

8. Beveiliging bedrijfsvoering

Hieronder vallen een aantal processen en procedures waar je als applicatiebeheerder iets mee moet. Is er bijvoorbeeld een wijzigingsbeheerproces? Een testbeleid en een back-up beleid? Zijn er back-up en recovery procedures? Heeft een applicatie logging mogelijkheden? Is er een procedure voor informatiebeveiligingsincidenten? En is er voor elke applicatie een patch procedure vastgesteld? Wellicht sta jij als applicatiebeheerder niet altijd aan de lat voor deze onderdelen, maar het is wel belangrijk dat jij een goed beeld hebt van de wijze waarop dit wordt uitgevoerd.

9. Acquisitie, ontwikkeling en onderhoud

Als applicatiebeheerder kun je betrokken zijn bij de ontwikkeling van de applicatie. Vaak wanneer er maatwerk wordt gemaakt, worden de functionaliteiten met de gebruikers bepaald en het systeem gebouwd. Bij de implementatie van een standaardpakket wordt deze ook vaak ingericht voor de betreffende organisatie. In de eindfase is er vaak een traject waar er overdracht komt richting beheer, waar jij als applicatiebeheerder onderdeel van bent.

10. Leveranciersrelaties

Als applicatiebeheerder heb je vaak ook contact met de leverancier van de applicatie. Het is daarbij belangrijk dat je weet welke afspraken er zijn gemaakt met betrekking tot de taken die de applicatiebeheerder moet uitvoeren en welke taken er bij de leverancier liggen.

11. Beheer informatiebeveiligingsincidenten

Als applicatiebeheerder kun je te maken krijgen met informatiebeveiligingsincidenten. Dit kunnen incidenten zijn die je zelf als applicatiebeheerder constateert, of meldingen van een gebruiker van de applicatie. Zorg dat je weet waar je beveiligingsincidenten kunt melden. Is er bijvoorbeeld een meldloket? Dit kan intern zijn, maar ook extern bij de leverancier van de applicatie. Daarnaast is het belangrijk dat je als applicatiebeheerder op de hoogte bent van het proces en de taken en verantwoordelijkheden van de informatiebeveiligingsincidenten procedure en dat (beveiligings)incidenten rondom de applicatie die je beheert ook vastgelegd worden.

12. Naleving

Bij naleving gaat het binnen de BIO niet alleen om de naleving van informatiebeveiligingsprincipes, maar ook de naleving van andere verwante wetgeving zoals de AVG. Verwerkt de applicatie ook persoonsgegevens? Zie er dan op toe dat de applicatie ook wordt opgenomen in het verwerkingsregister van de gemeente. En wordt de applicatie jaarlijks gecontroleerd op naleving van de beveiligingsnormen (bijvoorbeeld bij de controle van de General IT Controls bij de jaarrekening)? Dan word je als applicatiebeheerder vaak gevraagd om mee te werken aan deze controle en bepaalde zaken (bijvoorbeeld over autorisaties) op te leveren ter controle. Werk hier actief aan mee.

Checklist en Cursus

Ik hoop je met deze blog meer inzicht te hebben gegeven in de onderdelen van de BIO die ook van toepassing zijn voor jou als applicatiebeheerder. Om het gemakkelijker te maken om dit allemaal na te lezen, heb ik een checklist gemaakt met daarin alle punten die van belang zijn voor het goed inrichten van je werkzaamheden. Je kunt de checklist hier downloaden.

Op dinsdag 8 en 15 maart zal er een 2-daagse cursus georganiseerd worden door IB&P. Hier kun jij je ook voor opgeven om meer inzicht te krijgen in welke BIO onderdelen van belang zijn voor een applicatiebeheerder. Kijk hiervoor op deze link!

Meer informatie?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan even weten en neem contact met ons op.