Het uitvallen van belangrijke ICT-voorzieningen door externe bedreigingen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Het ambtelijk bestuur (hierna directie) is eindverantwoordelijk voor reputatiescha­de en de maatschappelijke impact als gevolg hiervan. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveiliging op de bestuurstafel?

Organisatiebrede opgave

Informatiebeveiliging is een organisatiebrede opgave waarbij de directie van de gemeente eindverantwoordelijk is. Dit staat ook duidelijk beschreven in de Baseline Informatiebeveiliging Overheid (BIO). Maar, als je niet uitkijkt is het vooral iets van de Chief Information Security Officer (CISO) of Chief Information Officer (CIO). En dat kan echt niet meer. De implementatie van de BIO is een verantwoordelijkheid van de hele organisatie, waarbij het belangrijk is dat de CISO regelmatig overleg heeft met de directie. Want, pas wanneer informatiebeveiliging en daarmee risicomanagement onderdeel zijn op de bestuurlijke agenda, kunnen de juiste vragen gesteld worden en kan er bijgestuurd worden. Daarnaast is de directie verantwoordelijk voor de kaderstelling.

Integraal management

Informatiebeveiliging is een integraal onderdeel van alle bedrijfsprocessen en moet daarom meegenomen worden in allerlei besluitvormingen (net zoals andere risicofactoren als geld, personeel en huisvesting). De verantwoordelijkheid voor informatiebeveiliging moet daarom onderdeel zijn van het integraal management en het eigenaarschap moet ook op bestuursniveau liggen. De directie kan informatiebeveiliging dus niet behandelen als onderdeel van de techniek en daarmee een ‘ver van mijn bed show’, maar moet zich realiseren dat het gebruik van informatie binnen de gemeente een randvoorwaarde is om enige vorm van dienstverlening uit te kunnen voeren. Helaas wordt informatiebeveiliging nog niet altijd vanzelfsprekend meegenomen in de begroting en worden er niet automatisch maatregelen genomen (zoals security en privacy by design). Dit moet veranderen.

Praktijkvoorbeeld

Neem bijvoorbeeld de ENSIA rapportage. ENSIA streeft naar een effectief en efficiënt verantwoordingsstelsel voor informatiebeveiliging. Zo moet het college zich jaarlijks verantwoorden aan de gemeenteraad door middel van de ENSIA BIO Zelfevaluatie. In de praktijk zie ik alleen vaak dat dit als hamerstuk op de bestuurstafel behandeld wordt (voor DigiD en Suwinet), waarbij weinig toelichting wordt gegeven op de daadwerkelijke stand van de informatiebeveiliging binnen de gemeente. Gelukkig is dit niet overal zo, en zijn er ook voorbeelden van CISO’s die juist het ENSIA moment aangrijpen om hun jaarrapportage te presenteren en de risico’s beschrijven. 

Verantwoordelijkheid Informatiebeveiliging

De directie moet zich bewust zijn van hun verantwoordelijkheid over informatiebeveiliging. Informatiebeveiliging is niet alleen de taak van de ICT-afdeling omdat het iets technisch is. Informatiebeveiliging heeft meerder dimensies, je moet daarbij kijken naar mens, processen en techniek. Maar hoe start je als lijnmanagement of CISO het gesprek met de directie? Het ministerie van Economische Zaken en Klimaat heeft de Handreiking ‘Digitale Continuïteit en Weerbaarheid op de bestuurstafel’ gepubliceerd. Deze handreiking legt uit hoe je effectief het gesprek aangaat met de directie over het belang van informatiebeveiliging. Zo kan de directie weloverwogen besluiten nemen over risico’s en investeringen in informatiebeveiliging. Hieronder kort uitgelegd hoe je dit kan doen:

1. Ga in gesprek
   Om de ideale situatie te bereiken, is het nodig om in gesprek te gaan met de directie. Stem je boodschap af op de directie en spreek vanuit de doelen van de organisatie. Het is de taak van de directie om de doelen en strategie van de organisatie te bepalen. Laat de directie meedenken over hoe informatiebeveiliging kan bijdragen aan het behalen van deze doelen. Geeft tijdens het gesprek ook aan hoe risico’s op het gebied van informatiebeveiliging het behalen van deze doelen kunnen bedreigen en welke impact en kosten dit met zich meebrengt. Kom altijd met (potentiële) maatregelen om deze risico’s voldoende te beheersen. Door de directie te voorzien van de juiste informatie, kunnen zij geïnformeerde besluiten nemen over risico’s en investeringen op het gebied van informatiebeveiliging. Het is daarbij belangrijk om regelmatig de voortgang te laten zien door middel van procesafspraken.
   
2. Zorg voor wederzijds begrip en inzicht
   Ook is er wederzijds begrip en inzicht nodig tussen de directie, het lijnmanagement en de CISO. Het lijnmanagement en de CISO moeten inzicht hebben in wat de directie nodig heeft om geïnformeerde keuzes en besluiten te kunnen maken. Andersom moet de directie (in hoofdlijnen) inzicht hebben in wat het lijnmanagement en de CISO nodig hebben om informatiebeveiliging in de organisatie te borgen.
   
3. Zorg voor de juiste taal en boodschap
   Om dit wederzijds begrip en inzicht te creëren, is het belangrijk om de juiste taal en boodschap te gebruiken. Het verhaal dat het lijnmanagement en de CISO aan de directie overbrengen moet goed aansluiten op de belevingswereld van de directie. Je kunt zaken nog zo mooi presenteren door middel van een mooi, kleurrijk dashboard waarop bijvoorbeeld meters en rode en groene lampjes te zien zijn. Of door grafieken die de vergelijking van maand tot maand laten zien. Alleen deze kunnen ook verkeerd worden geïnterpreteerd. Meten is namelijk nog geen weten als je de context niet kent. Het is daarom belangrijk om in je rapportage duidelijk de context toe te lichten en rekening te houden met het kennisniveau van het management. Vooral bij informatiebeveiliging is het belangrijk om te weten of de directie de technologie begrijpt. Is een korte samenvatting voldoende of hebben zij meer achtergrondinformatie nodig om het te kunnen begrijpen? Andersom geldt hetzelfde voor de directie. Ook zij moeten moeite doen om de taal van informatiebeveiliging te begrijpen, zodat ze zelf ook de verantwoordelijkheid kunnen nemen die op hun bordje ligt. Want, wanneer zij het niet begrijpen, kunnen ze ook niet (bij)sturen.
   
4. Beleg verantwoordelijkheden en maak procesafspraken
   Een effectief gesprek met de directie kan alleen plaatsvinden wanneer de organisatorische basis goed is ingericht. Het is daarom belangrijk om de rollen en verantwoordelijkheden goed te beleggen, zodat er procesafspraken gemaakt kunnen worden binnen de organisatie. Op deze manier kan er blijvende aandacht worden gegeven aan informatiebeveiliging. Ook is het belangrijk om samenwerking met ketenpartners vast te leggen in procesafspraken.

Terugkerend onderwerp

Wanneer informatiebeveiliging eenmaal een vast punt op de bestuurstafel is, is het belangrijk dat dit onderwerp ook terugkerend besproken wordt: Waar staan we? Maken we vorderingen? En zo ja, in de juiste richting? Of zijn er verbeteringen/aanvullende maatregelen nodig? Hieronder een aantal tips om dit voor elkaar te krijgen:

• Blijf in gesprek
  Zorg ervoor dat de directie het belang van informatiebeveiliging blijft inzien. Jaarlijks dienen de KPI’s die zijn vastgelegd besproken te worden en moeten zij op de hoogte gebracht worden van actuele voorbeelden van informatiebeveiligingsincidenten. Deze voorbeelden dienen vertaald te worden naar de eigen organisatie. Tijdens deze gesprekken kunnen bijvoorbeeld succesvol uitgevoerde maatregelen getoond worden die de organisatie hebben beschermd tegen soortgelijke incidenten

• Maak actieplannen voor verbeteringen of extra maatregelen die nodig zijn
  Geef hierbij duidelijk aan wat je van de directie verwacht en nodig hebt: waarop moeten zij actie ondernemen? Wat zijn de gevraagde beslissingen? Wat zijn de volgende stappen? Moet de directie daadwerkelijk iets met deze informatie doen, of is de rapportage slechts informatief?

• Wees toekomstgericht
  Breng informatiebeveiliging en de business bij elkaar en leg potentiële conflicten tussen informatiebeveiliging en innovatie op de bestuurstafel. Kom niet alleen met problemen, maar ook met oplossingen. Zorg tot slot ook voor een strategie voor informatiebeveiliging op de lange termijn die aansluit bij het ambitieniveau van de gemeente.

Meer informatie?

Benieuwd naar meer tips? Lees dan hier de hele handreiking ‘Digitale Continuïteit en Weerbaarheid op de bestuurstafel’. Heb je na het lezen van deze blog vragen of hulp nodig op dit vlak? Laat ons dit dan weten en neem contact met ons op.