Informatiebeveiliging is essentieel voor de dienstverlening van de gemeente. Om de effectiviteit hiervan te borgen en tijdig in te kunnen spelen op potentiële nieuwe dreigingen en risico’s, is het daarom belangrijk om regelmatig te monitoren en te meten hoe het ervoor staat. Dit kan aan de hand van Key Performance Indicators (KPI’s). Maar wat zijn KPI’s en hoe stel je deze op? Je leest het in deze blog.

Wat zijn KPI’s?

In organisaties worden vaak Kritieke Prestatie-Indicatoren (KPI’s) gebruikt om de effectiviteit van iets te meten. KPI’s maken de voortgang van iets meetbaar en concreet. Dit kan zowel kwalitatief (resultaatgericht) als kwantitatief (procesmatig) zijn. Het zijn meetbare gegevens die je kunt gebruiken als referentiepunt voor toekomstige acties of om iets te vergelijken. In het geval van informatiebeveiliging zijn KPI’s extra belangrijk omdat ze ons helpen bepalen of het werk dat we doen voldoet aan de gewenste doelstellingen. Als we geen manier hebben om te meten hoe goed (of slecht) we presteren, kunnen we ook niet vaststellen wat we kunnen verbeteren. KPI’s zijn indicatoren van de huidige situatie en ondersteunen de gemeente bij de uitvoering van de Plan Do Check Act (PDCA)-cyclus, een continu en interactief proces. Als gemeente is het namelijk noodzakelijk om voortdurend te streven naar verbetering en deze verbeteringen te kunnen aantonen.

Waarom is het belangrijk?

Zoals eerder genoemd, kun je alleen zaken verbeteren als je meet hoe goed of slecht je ervoor staat. Zeker in een snel digitaliserende wereld waarin het steeds moeilijker wordt om dreigingen te ontdekken, is het van cruciaal belang om de status van je informatiebeveiliging te beoordelen. Door KPI’s bij te houden, kun je meten hoe effectief de genomen informatiebeveiligingsmaatregelen zijn en of ze in de loop van de tijd zijn verbeterd of verslechterd. Op basis van deze informatie kun je weer betere beslissingen nemen voor de toekomst.

Daarnaast helpen de resultaten van de gemeten KPI’s – en dan met name de interpretatie van deze KPI’s – bij de rapportages aan het management en de raad. Je kunt hiermee aantonen of doelstellingen zijn bereikt, waar de gemeente zich bevindt in het proces, of er vooruitgang wordt geboekt en zo ja, in de juiste richting. Ook helpt het bij het vaststellen van budgetten voor informatiebeveiliging. Eén van de beste manieren om vast te stellen en te onderbouwen dat je een budget nodig hebt en waarom, is door middel van een goede rapportage met statistieken die de waarde van een goede informatiebeveiliging laten zien.

Wat kan je meten?

Maar wat kun je dan precies meten om te ‘weten’? Hier zijn enkele voorbeelden van metingen die interessant kunnen zijn op het gebied van informatiebeveiliging. Je hoeft niet al deze voorbeelden op te nemen; je kunt zelf kiezen welke relevant zijn voor jouw gemeente en de doelen die je wilt bereiken met je rapportage.

• Niveau van paraatheid: Hoeveel apparaten in het netwerk zijn volledig gepatcht en bijgewerkt? Worden apparaten en software continu bijgewerkt? Hoeveel kwetsbaarheden met een hoog risico zijn er geïdentificeerd?
• Ongeïdentificeerde apparaten op het interne netwerk: Hoeveel van deze apparaten zijn er op het netwerk? Houdt de gemeente een logboek bij van de apparaten die met het netwerk zijn verbonden?
• Pogingen tot indringing: Hoe vaak hebben kwaadwillende actoren geprobeerd het netwerk binnen te dringen? Wat is de frequentie van ongeoorloofde pogingen om de netwerkbeveiliging te doorbreken?
• Mean Time Between Failures (MTBF): Hoeveel tijd zit er tussen systeem- of productstoringen bij het bepalen van betrouwbaarheid? Wat is de frequentie van product- of systeemstoringen?
• Mean Time to Detect (MTTD): Hoe lang duurt het voordat de gemeente zich bewust wordt van een potentieel beveiligingsincident?
• Mean Time to Acknowledge (MTTA): Wat is de gemiddelde tijd die nodig is om aan de slag te gaan met een probleem nadat een waarschuwing is ontvangen?
• Mean Time Between Failures (MTBF): Hoeveel tijd zit er tussen systeem- of productstoringen bij het bepalen van betrouwbaarheid? Wat is de frequentie van product- of systeemstoringen?
• Mean Time to Detect (MTTD): Hoe lang duurt het voordat de gemeente zich bewust wordt van een potentieel beveiligingsincident?
• Mean Time to Acknowledge (MTTA): Wat is de gemiddelde tijd die nodig is om aan de slag te gaan met een probleem nadat een waarschuwing is ontvangen?
• Mean Time to Contain (MTTC): Hoe lang duurt het om geïdentificeerde aanvalspatronen te beperken? Welke stappen of processen worden gevolgd bij het beperken van een beveiligingsincident?
• Mean Time to Resolve (MTTR): Hoe lang duurt het voordat ons team reageert op een bedreiging zodra deze zich bewust is van het probleem?
• Mean Time to Recovery (MTTR): Hoe lang duurt het voordat de gemeente volledig herstelt na een beveiligingsincident?
• Dagen tot patch: Hoe lang duurt het voordat er beveiligingspatches worden geïmplementeerd?
• Bewustwordingstraining: Hoe goed wordt de documentatie voor bewustwordingstrainingen onderhouden? Nemen alle medewerkers van de gemeente hieraan deel?
• Resultaten van bewustwordingstraining: Wie heeft de training gevolgd en begrepen? Biedt de gemeente periodieke trainingen aan?
• Aantal gemelde beveiligingsincidenten: Melden medewerkers beveiligingsincidenten volgens het meldproces? Hoe verhoudt het aantal gemelde beveiligingsincidenten zich tot andere gemeenten of voorgaande jaren?
• Beveiligingsbeoordelingen: Wat is de beveiligingsbeoordeling van de gemeente? Hoe vergelijkt deze zich met die van andere gemeenten?
• Toegangsbeheer: Hoeveel gebruikers hebben beheerdersrechten? Hoe wordt gebruikerstoegang beheerd binnen systemen en netwerken?
• Naleving van beveiligingsbeleid: Hoe goed worden uitzonderingen, configuraties en nalevingscontroles gevolgd? Is er een proces om de naleving van medewerkers met beveiligingsbeleid te volgen en te controleren?
• Niet-menselijk verkeer (NHT): Meten we abnormaal verkeer op onze website die wijst op een mogelijke bot-aanval?
• Monitoring van virusinfecties: Hoe vaak scant de antivirussoftware op bekende malware?
• Succes van phishingaanvallen: Wat is het percentage phishing-e-mails dat door medewerkers wordt geopend?
• Kosten per incident: Hoeveel kost het om te reageren op een beveiligingsincident op te lossen?
• Naleving van beveiligingsaudits: Hoe effectief zijn de tools, technologieën en procedures die de gemeente momenteel gebruikt?

Zoals je ziet zijn sommige van deze KPI’s meer gericht op ICT-aspecten. Als Chief Information Security Officer (CISO) is het daarom belangrijk om de ICT-afdeling bij deze metingen te betrekken. Sommige gemeenten hebben daarnaast ook een Technisch Information Security Officer (TISO) die zich specifiek kan richten op deze technische aspecten.

Rapporteren

Het is belangrijk om de uitkomsten van bovenstaande zaken regelmatig (bijvoorbeeld elk kwartaal) te rapporteren aan het management. Een aantal tips hierbij:

• Hanteer een duidelijk format: Maak de rapportage gestandaardiseerd en consistent. In de rapportage moeten voor elke KPI de cijfers van de vorige periode, de huidige waarden en een indicatie (is iets verslechterd, verbeterd of gelijk gebleven) worden opgenomen. Zo zijn de resultaten eenvoudig te vergelijken met die van voorgaande perioden en vallen trends of afwijkingen sneller op. Uiteraard moet je niet alleen de cijfers rapporteren, maar ook de context toevoegen om aan te geven wat de cijfers betekenen. Zonder context zeggen de meetgegevens helemaal niets. Neem bijvoorbeeld de registratie van het aantal beveiligingsincidenten waarmee de gemeente te maken heeft gehad. Een toename van het aantal geregistreerde incidenten kan verschillende reacties oproepen, zoals: ‘We moeten de beveiligingsmaatregelen aanscherpen omdat het aantal incidenten toeneemt.’ Maar het kan ook zijn dat we een beter beeld hebben van het aantal incidenten en datalekken omdat de signalering en registratie zijn verbeterd.
• Leg de impact uit: Zorg ervoor dat je in je rapportage de impact van beveiligingsincidenten op de dienstverlening van de gemeente opneemt. Laat zien hoe investeringen in informatiebeveiliging geld besparen of waarde toevoegen.
• Maak gebruik van visualisaties: Gebruik grafieken en visuele weergaven om de gegevens begrijpelijker te maken voor belanghebbenden zonder technische kennis.
• Voeg context toe: Zorg voor een duidelijke toelichting in je rapportage en pas deze aan het kennisniveau van het management aan. Zeker in het geval van informatiebeveiliging is het belangrijk om te weten of ze technische details begrijpen of niet. Moet je een korte samenvatting maken, of hebben ze meer achtergrondinformatie nodig?
• Focus op kostenbesparingen en waardecreatie: Toon aan hoe inspanningen op het gebied van informatiebeveiliging de gemeente helpen om incidenten te voorkomen of hoe ze waarde toevoegen door het beschermen van de gegevens van burgers en het behouden van hun vertrouwen in de gemeente.

Kortom: het meten en rapporteren over informatiebeveiliging is essentieel om een goede informatiebeveiligingsfunctie te beheren. Daarnaast moeten de rapportages begrijpelijk zijn voor alle belanghebbenden, inclusief degene zonder technische kennis. Het uiteindelijke doel is om de effectiviteit van informatiebeveiligingsmaatregelen te meten en te verbeteren, terwijl tegelijkertijd de resultaten van de inspanningen kunnen worden aangetoond.  

Meer informatie of hulp nodig?
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Laat ons dit dan weten en neem contact met ons op.