Het uitvallen van belangrijke ICT-voorzieningen door externe bedreigingen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Het ambtelijk bestuur (hierna directie) is eindverantwoordelijk voor reputatieschade en de maatschappelijke impact als gevolg hiervan. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveiliging op de bestuurstafel?
Informatiebeveiliging is een organisatiebrede opgave waarbij de directie van de gemeente eindverantwoordelijk is. Dit staat ook duidelijk beschreven in de Baseline Informatiebeveiliging Overheid (BIO). Maar, als je niet uitkijkt is het vooral iets van de Chief Information Security Officer (CISO) of Chief Information Officer (CIO). En dat kan echt niet meer. De implementatie van de BIO is een verantwoordelijkheid van de hele organisatie, waarbij het belangrijk is dat de CISO regelmatig overleg heeft met de directie. Want, pas wanneer informatiebeveiliging en daarmee risicomanagement onderdeel zijn op de bestuurlijke agenda, kunnen de juiste vragen gesteld worden en kan er bijgestuurd worden. Daarnaast is de directie verantwoordelijk voor de kaderstelling.
Informatiebeveiliging is een integraal onderdeel van alle bedrijfsprocessen en moet daarom meegenomen worden in allerlei besluitvormingen (net zoals andere risicofactoren als geld, personeel en huisvesting). De verantwoordelijkheid voor informatiebeveiliging moet daarom onderdeel zijn van het integraal management en het eigenaarschap moet ook op bestuursniveau liggen. De directie kan informatiebeveiliging dus niet behandelen als onderdeel van de techniek en daarmee een ‘ver van mijn bed show’, maar moet zich realiseren dat het gebruik van informatie binnen de gemeente een randvoorwaarde is om enige vorm van dienstverlening uit te kunnen voeren. Helaas wordt informatiebeveiliging nog niet altijd vanzelfsprekend meegenomen in de begroting en worden er niet automatisch maatregelen genomen (zoals security en privacy by design). Dit moet veranderen.
Neem bijvoorbeeld de ENSIA rapportage. ENSIA streeft naar een effectief en efficiënt verantwoordingsstelsel voor informatiebeveiliging. Zo moet het college zich jaarlijks verantwoorden aan de gemeenteraad door middel van de ENSIA BIO Zelfevaluatie. In de praktijk zie ik alleen vaak dat dit als hamerstuk op de bestuurstafel behandeld wordt (voor DigiD en Suwinet), waarbij weinig toelichting wordt gegeven op de daadwerkelijke stand van de informatiebeveiliging binnen de gemeente. Gelukkig is dit niet overal zo, en zijn er ook voorbeelden van CISO’s die juist het ENSIA moment aangrijpen om hun jaarrapportage te presenteren en de risico’s beschrijven.
De directie moet zich bewust zijn van hun verantwoordelijkheid over informatiebeveiliging. Informatiebeveiliging is niet alleen de taak van de ICT-afdeling omdat het iets technisch is. Informatiebeveiliging heeft meerder dimensies, je moet daarbij kijken naar mens, processen en techniek. Maar hoe start je als lijnmanagement of CISO het gesprek met de directie? Het ministerie van Economische Zaken en Klimaat heeft de Handreiking ‘Digitale Continuïteit en Weerbaarheid op de bestuurstafel’ gepubliceerd. Deze handreiking legt uit hoe je effectief het gesprek aangaat met de directie over het belang van informatiebeveiliging. Zo kan de directie weloverwogen besluiten nemen over risico’s en investeringen in informatiebeveiliging. Hieronder kort uitgelegd hoe je dit kan doen:
Wanneer informatiebeveiliging eenmaal een vast punt op de bestuurstafel is, is het belangrijk dat dit onderwerp ook terugkerend besproken wordt: Waar staan we? Maken we vorderingen? En zo ja, in de juiste richting? Of zijn er verbeteringen/aanvullende maatregelen nodig? Hieronder een aantal tips om dit voor elkaar te krijgen:
Benieuwd naar meer tips? Lees dan hier de hele handreiking ‘Digitale Continuïteit en Weerbaarheid op de bestuurstafel’. Heb je na het lezen van deze blog vragen of hulp nodig op dit vlak? Laat ons dit dan weten en neem contact met ons op.
Om een in-house cursus in te plannen, neem contact met ons op!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap