Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is hiervoor een uitstekend middel. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op informatiebeveiligingsvlak. In deze blog lees je waarom dit belangrijk is en welke onderwerpen je hierin kan opnemen.

Waarom belangrijk?

Informatiebeveiliging is een continu proces. Om de effectiviteit hiervan te borgen en tijdig in te kunnen spelen op potentiële nieuwe dreigingen en risico’s, is het belangrijk om regelmatig te monitoren, meten én hierover te rapporteren. Met een jaarrapportage kan je als CISO verantwoording afleggen aan het management/bestuur over wat je het afgelopen jaar voor de organisatie hebt gedaan. Waar staan we? Maken we vorderingen? En zo ja, in de juiste richting? Of zijn er verbeteringen/aanvullende maatregelen nodig? Als we niet weten hoe goed (of slecht) we het doen, weten we ook niet of en wat we kunnen verbeteren of waar we moeten bijsturen.

Middels de jaarrapportage worden het college en de gemeenteraad geïnformeerd over wat de status van informatiebeveiliging binnen de gemeente is. Om beveiligingsrisico’s aan te kunnen pakken, is het als college/raad namelijk belangrijk om een goed beeld te hebben van de beveiliging van de gemeente. Zorg daarbij dat je ze als CISO wel aanspreekt op de zaken die zij belangrijk vinden. Vertaal informatiebeveiliging daarom naar risico’s en gevolgen voor de organisatie. Ze zijn met name geïnteresseerd in het waarom achter de beveiligingsaspecten. Dus waarom is het nodig dat we dit doen? Waarom moeten deze maatregelen genomen worden? Geef ook duidelijk aan wat je van ze verwacht en nodig hebt: waarop moeten zij actie ondernemen? Wat zijn de gevraagde beslissingen? Wat zijn de volgende stappen? Moeten ze daadwerkelijk iets met deze informatie doen, of is de rapportage slechts informatief? Aan de hand van de jaarrapportage kunnen ze nagaan waar de gemeente staat en welke maatregelen ze in de toekomst (eventueel al het komende jaar) kunnen verwachten. Ook worden ze dan niet overvallen door situaties, zoals dit in de praktijk nogal eens gebeurt.

Terugblik

Ga in het jaarverslag in op de activiteiten en ontwikkelingen van het afgelopen jaar en hoe die hebben bijgedragen aan het behalen van de gewenste resultaten. Kortom, welke risico’s hebben we gemitigeerd? Welke processen zijn verbeterd? En wat heeft onze organisatie veiliger gemaakt?

Het is aan te raden in ieder geval de volgende onderdelen in je jaarrapportage op te nemen:

Beveiligingsincidenten

Geef aan welke belangrijke beveiligingsincidenten er het afgelopen jaar hebben plaatsgevonden, bijvoorbeeld het aantal phishingpogingen. Daarnaast kan je per incident beschrijven welke maatregelen er zijn genomen om deze incidenten in de toekomst te voorkomen óf welke maatregelen er nog genomen moeten worden het komende jaar. Geef bijvoorbeeld per groot/belangrijk incident aan:

1. wat de oorzaak is/was;
2. wat de gevolgen waren/zijn (of eventueel hadden kunnen zijn wanneer het niet op tijd was opgemerkt);
3. wat de acties zijn die je hebt genomen om het incident op te lossen;
4. en welke maatregelen je hebt genomen (of nog gaat nemen) om te voorkomen dat het in de toekomst nogmaals gebeurt (tevens relatie/brug naar volgende onderdeel).

Beveiligingsmaatregelen
Beschrijf welke maatregelen er afgelopen jaar zijn genomen om de informatiebeveiliging van de gemeente te verbeteren. Heb je bijvoorbeeld aanvullende maatregelen genomen op basis van het vorige jaarplan, auditbevindingen of incidenten? Hierbij kan je denken aan het implementeren van nieuwe technologieën, het trainen van medewerkers en het aanpassen van beleid en procedures. Zo kan het bijvoorbeeld zijn dat je samen met de ICT-afdeling gewerkt hebt aan het verbeteren van de back-up procedures en dat intern medewerkers getraind zijn in het herkennen van phishingmails.

Compliance
Hier kan je een terugkoppeling geven op de ENSIA (Eenduidige Normatiek Single Information Audit) resultaten. Hoe is het proces rondom ENSIA verlopen en zijn hier nog verbeterpunten? In de ENSIA-tool is een BIO-vragenlijst opgenomen waarmee een beeld ontstaat in hoeverre de gemeente voldoet aan de Baseline Informatiebeveiliging Overheid (BIO). Geef een korte samenvatting van de resultaten uit deze zelfevaluatie BIO. Het college ziet vaak alleen de formele rapportages richting toezichthouder (DigiD, Suwinet, BRP en Reisdocumenten, BAG, BGT, BRO, WOZ), maar het is ook relevant om de zelfevaluatie op het gebied van informatiebeveiliging binnen ENSIA te delen met het college.

Risicomanagement
Het goed organiseren van informatiebeveiliging staat of valt met het uitvoeren van risicomanagement. Beschrijf of en hoe jij je het afgelopen risicomanagement hebt vormgegeven. Heb je risico’s voor de organisatie of specifieke processen geïdentificeerd en gekeken hoe je deze risico’s het beste kan beheren? Hierbij kan je denken aan risico’s zoals hackers, malware of natuurrampen. Wanneer er binnen de organisatie nog weinig aan risicomanagement wordt gedaan, kan je hier ook aangeven wat jij als CISO graag aan maatregelen wilt nemen om risicomanagement een integraal onderdeel te laten zijn van de bedrijfsvoering.

Controle
Heb je het afgelopen jaar je prestaties op informatiebeveiligingsvlak gemonitord? (Onderdeel van je Plan- Do-Check-Act) Beschrijf dan de uitkomsten hiervan. Hierbij kan je bijvoorbeeld kijken naar de resultaten van beveiligingsaudits en penetratietesten. Zo kan je zien welke beveiligingsmaatregelen goed werken en welke maatregelen verbeterd kunnen worden. Zijn de maatregelen effectief gebleken? Door deze analyse kan je gerichte maatregelen nemen om de beveiliging te verbeteren.

Vooruitblik komend jaar en verder

Geef ook een doorkijkje naar het komende jaar. Doe dit vooral op de thema’s waar de resultaten achterblijven. Zo zijn er voor het komende jaar vast een aantal aandachtspunten waar je als gemeente rekening mee wilt houden. Zie hiervoor ook het ‘Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten’ van de Informatiebeveiligingsdienst voor gemeenten (IBD). Hierin staan de grootste risico’s op het gebied van informatiebeveiliging en gegevensbescherming voor gemeenten beschreven. Aan de hand van een risicoanalyse kan je als CISO kijken welke risico’s de grootste dreiging vormen voor jouw organisatie en welke maatregelen je kan nemen om deze risico’s te beperken. Is er nog geen budget geregeld om de geplande maatregelen te realiseren? Dan is dit ook het ideale moment om hier aandacht voor te vragen.

Borging BIO

Daarnaast heeft ook het borgen van de BIO vaak nog de nodige aandacht nodig. Denk aan zaken als het in stelling brengen en begeleiden van de proceseigenaren. Informatiebeveiliging is binnen de BIO namelijk ook een verantwoordelijkheid van de proceseigenaar. De proceseigenaar bepaalt (met begeleiding van ISO/CISO) welke kwetsbaarheden zich kunnen voordoen binnen het proces dat onder zijn/haar verantwoordelijkheid wordt uitgevoerd en hoe groot het risico is als er een incident plaatsvindt. De proceseigenaar moet wel op de hoogte zijn, en de urgentie/verantwoordelijkheid voelen om zelf in actie te komen voor deze zaken en zorgen dát het gebeurt. Als CISO heb je hierin een adviserende en ondersteunende rol.

Ook is er steeds meer focus met betrekking tot bedrijfscontinuïteitmanagement (BCM) en het verbeteren van de incidentresponse-processen. Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het namelijk slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Want, door snel en op de juiste manier op de bedreiging te reageren, kan de impact ervan worden geminimaliseerd.

Besteed hier dus ook aandacht aan in je jaarverslag. Heb je als CISO hulp nodig bij deze onderwerpen, dan kunnen wij hier bij ondersteunen. Zo hebben we o.a. een BCM-routekaart en trainingen voor applicatiebeheerders en speciaal voor proceseigenaren over de BIO. 

Tot slot ook als tip voor de CISO: rapporteer samen met de Functionaris Gegevensbescherming (FG) over informatiebeveiliging en privacy. In mijn vorige blog kan je lezen wat je als FG kan rapporteren naar de gemeenteraad en het college van B&W.

Meer informatie?

Heb je na het lezen van deze blog vragen of hulp nodig bij het opstellen van je jaarrapportage? Laat ons dit dan weten en neem contact met ons op.