Informatiebeveiliging is binnen de BIO ook een verantwoordelijkheid van de proceseigenaar. De proceseigenaar bepaalt welke kwetsbaarheden zich kunnen voordoen binnen het proces dat onder zijn/haar verantwoordelijkheid wordt uitgevoerd en hoe groot het risico is als er een incident plaatsvindt. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in?

De Baseline Informatiebeveiliging Overheid (BIO) gaat ervan uit dat een deel van de verantwoordelijkheid voor informatiebeveiliging bij de proceseigenaar ligt. De proceseigenaar is vaak de lijnmanager of leidinggevende van een afdeling en deze is verantwoordelijk voor de beveiliging van zijn/haar processen en/of informatiesystemen. Voor welke onderdelen je verantwoordelijk bent heb ik voor je onder elkaar gezet in deze blog:

Algemene kennis

Allereerst is het belangrijk dat je weet wat informatiebeveiliging inhoudt en waarom dit belangrijk is binnen de organisatie. Ook is het handig om te weten wat de BIO inhoudt, hoe deze tot stand is gekomen en waarom dit binnen de overheid als standaard is aangenomen. Dit geeft je inzicht in waarom informatiebeveiliging ook voor jouw afdeling belangrijk is. Tot slot moet je op de hoogte zijn van wat er in het informatiebeveiligingsbeleid van de gemeente staat, zoals op welke wijze de BIO is geïmplementeerd en hoe de taken/verantwoordelijkheden zijn belegd. Hiermee weet je gelijk ook wat jouw verantwoordelijkheden zijn binnen je eigen organisatie en daarnaast is het goed om te weten hoe informatiebeveiliging binnen de organisatie is ingericht en wie de ‘spelers’ hierin zijn, dan zal je ook zien dat je er niet alleen voor staat.

Een veilige werkplek

Als proceseigenaar moet je nadenken over wat er nodig is om jouw afdeling te laten functioneren (“draaien”). Denk aan zaken als: Welke applicaties worden er gebruikt en wie moet daar toegang toe hebben? Welke informatie hebben de medewerkers nodig om hun werk te kunnen doen en zijn de toegangsrechten goed geregeld – kunnen ze bij deze informatie en niet bij te veel informatie wat niet relevant is voor het uitvoeren van hun taak? Maar ook, hoe zorg je voor een veilige (thuis)werkplek? Het gaat dus niet alleen over het operationeel uitvoeren van taken binnen de (vak)afdeling, maar ook over hoe je als leidinggevende ervoor kan zorgen dat medewerkers binnen jouw afdeling de juiste processen/middelen en beveiliging hebben om hun werk goed uit te kunnen voeren.

Personeel

Als gemeente moet je bouwen aan een ‘informatiebewuste’ omgeving, waarin elke collega zich bewust is van de risico’s en zijn eigen handelen als het gaat om informatiebeveiliging en privacy, vanaf het moment dat je binnenkomt tot het moment dat je vertrekt. Het is dus belangrijk dat dit een structureel karakter heeft en dat dit geborgd is in het HR-beleid van de gemeente. Eerder schreef ik een uitgebreide blog over de instroom, doorstroom en uitstroom van mensen: ‘Je medewerkers ‘beveiligen’; hoe doe je dat?’. Het is belangrijk dat je als proceseigenaar inzicht hebt in de HR-processen en ook inziet dat je daar een verantwoordelijkheid in hebt wanneer medewerkers instromen, uitstromen of doorstromen naar een andere afdeling.

Applicaties

Als proceseigenaar ben je verantwoordelijk voor alles wat er binnen jouw afdeling gebeurt, dus ook voor de applicaties die worden gebruikt. Zo moet je weten wat er allemaal komt kijken bij het gebruik van deze applicaties, zoals: Wie heeft er allemaal toegang tot deze applicaties? Welke data wordt gebruikt binnen de applicaties? Is deze data gevoelig? Zo ja, dan is het belangrijk dat deze goed beschermd wordt. Ook moet je kennis hebben over zaken die komen kijken op het moment dat je een nieuwe applicatie gaat aanschaffen en/of ontwikkelen. Zoals: hoe moet het programma van eisen en wensen eruit zien, wat is privacy-by-design en security-by-design, met welke data gaan we testen en door wie? En hoe gaan we om met toekomstige wijzigingen in het systeem? Een hoop zaken om over na te denken. En aangezien je als proceseigenaar (vaak) geen ICT’er bent, is het daarom belangrijk te weten welke van bovenstaande taken bij ICT liggen en welke bij jou als proceseigenaar. Zo doet ICT het technische beheer, maar als proceseigenaar is het jouw taak om na te denken over wie toegang heeft tot de applicatie en wat de gevolgen kunnen zijn van oneigenlijk gebruik. Tot slot, is het ook goed om te kijken naar bedrijfscontinuïteit binnen jouw afdeling. Welke work-arounds zijn er wanneer de applicatie niet beschikbaar is? En hoe kan je er dan voor zorgen dat de activiteiten van de afdeling toch op een andere manier doorgang vinden.

Leveranciersmanagement

Als proceseigenaar heb je vaak ook contact met de leverancier van de applicatie(s). Deze samenwerking is belangrijk om de applicatie(s) te laten werken zoals de afdeling deze nodig heeft. Denk aan updates en nieuwe features die binnen de afdeling gebruikt kunnen worden. Uiteraard komt ook hier het veilig werken met de applicatie aan de orde. Het is daarbij belangrijk dat je weet welke taken de organisatie moet uitvoeren en welke taken er bij de leverancier liggen.

Beveiligingsincidenten

Ook al neem je nog zoveel beveiligingsmaatregelen, vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. De gevolgen hiervan kunnen zeer ernstig zijn en de dienstverlening in gevaar brengen. Het is daarom belangrijk dat je goed voorbereid bent. Welke stappen moeten er bijvoorbeeld genomen worden wanneer een incident plaatsvindt? Op welke manier moeten collega’s een incident melden? En hoe kan je de gevolgen beheersen? Dit en meer wordt o.a. vastgelegd in een Incident Response Plan. Meer weten over beveiligingsincidenten? Lees dan ook mijn blog ‘Wat te doen bij een beveiligingsincident?’. Als proceseigenaar ben je mede verantwoordelijk dat jou medewerkers binnen de afdeling weten waar ze een incident moeten melden en ondersteuning geven in het oplossen (of in de toekomst voorkomen) hiervan.

Bewustwording

De medewerkers binnen jouw team moeten zich bewust zijn van de risico’s op het gebied van informatiebeveiliging. Binnen de BIO komt het op diverse plaatsen voor dat er een concrete maatregel is waarin ook specifiek wordt aangegeven dat de bewustwording meegenomen moet worden. Maar wat is bewustwording nu eigenlijk? En waarom is het zo belangrijk? Als proceseigenaar heb jij hierin een voorbeeldrol richting je medewerkers en collega’s. Wat betreft bewustwording creëren is ons eigen boek een aanrader om eens te lezen.

Privacy

Naast de BIO is vanuit privacy perspectief de implementatie van de AVG (Algemene Verordening Gegevensbescherming) van belang. Zorg dus dat je (basis)kennis hebt van deze wetgeving. De Privacy Officer en/of Functionaris Gegevensbescherming kan je ook helpen en inzicht geven in hoe dit binnen jouw organisatie is ingericht. Met name wanneer er persoonsgegevens worden verwerkt in het proces waar jij verantwoordelijk voor bent, is het belangrijk dat je je houdt aan het privacybeleid van je organisatie. In dat geval is niet alleen de BIO van toepassing, maar ook de AVG. De BIO en de AVG hebben een aantal punten met overlap, maar de AVG heeft ook aanvullende eisen met bijvoorbeeld met betrekking tot wanneer je gegevens mag gebruiken.

Moet je dit dan allemaal alleen doen?

Nee. Dat je verantwoordelijk bent voor bovenstaande zaken, wil niet zeggen dat je het ook allemaal zelf moet doen. De CISO kan je hierbij helpen. Alleen moet je als proceseigenaar wel op de hoogte zijn, en de urgentie/verantwoordelijkheid voelen om zelf in actie te komen voor wat betreft bovenstaande zaken en zorgen dát het gebeurt. De CISO heeft vooral een adviserende en ondersteunende rol.

1-daagse cursus voor proceseigenaren
Gezien het succes van de 2-daagse cursus ‘Applicatiebeheer en de BIO’ die al bij diverse gemeenten inhouse (op locatie van de gemeente) gegeven is aan (applicatie)beheerders, is er nu ook een 1-daagse cursus ‘Proceseigenaren en de BIO’. Ook deze cursus is inhouse te geven voor alle proceseigenaren (of alleen de proceseigenaren van de primaire processen) binnen de gemeente. In deze cursus wordt de BIO behandeld en de belangrijkste AVG-aspecten die voor een proceseigenaar van belang zijn. Wil je ook zo’n inhouse cursus inplannen (voor applicatiebeheerders en/of proceseigenaren) binnen jouw gemeente? Neem dan contact met ons op.