10 bestuurlijke principes voor informatiebeveiliging bij gemeenten
Dit jaar is de intrede van de Baseline Informatiebeveiliging Overheid, ofwel de BIO, die vanaf 2020 van kracht gaat. Veel meer dan bij de BIG helpt de BIO het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging en risicomanagement. Daarnaast zijn er ‘10 bestuurlijke principes voor informatiebeveiliging’ vastgesteld om het bestuur in hun rol te ondersteunen bij de implementatie van de BIO.
De tien bestuurlijke principes
Om bestuurders te helpen in het nemen van hun verantwoordelijkheid op het gebied van informatiebeveiliging, heeft de Vereniging voor Nederlandse Gemeenten (VNG) ‘De 10 bestuurlijke principes voor informatiebeveiliging’ ontwikkelt. De principes dienen als aanvulling op de nieuwe baseline, en gaat over waarden die daar bij horen. Het is belangrijk dat deze waarden aansluiten op de waarden van de eigen gemeente. Ze zijn randvoorwaardelijk voor een goede borging van informatiebeveiliging. Renco Schoenaker van IB&P zet de principes graag op een rij en maakt ze concreet en tastbaar.
Bestuurders bevorderen een (informatie)veilige cultuur
Bij een informatieveilige omgeving hoort ook een veilige (meld)cultuur. Zo is het belangrijk dat collega’s niet bang zijn om incidenten te melden. Tevens wil je bevorderen dat iedereen risico’s signaleert en deze ook meldt en elkaar aanspreekt op onveilig gedrag. Stimuleer als wethouders en raadsleden elkaar om melding te maken van incidenten of datalekken. Daarbij is de bijvangst van een incident om er iets van te leren, en je hierdoor zaken alleen maar kunt verbeteren of de gevolgen van een incident kunt beperken. Wees je als bestuurder bewust van je voorbeeldfunctie en draag dat ook uit naar de rest van de organisatie. Spoor lijnmanagement in de ambtelijke organisatie aan om hun verantwoordelijkheid als het gaat om risicomanagement te pakken.
Informatiebeveiliging is van iedereen
Naast de inzet van een technisch veilige omgeving zijn het de collega’s en hun handelen die de omgeving écht veilig (of onveilig) maken. Het veilig omgaan met informatie is de verantwoordelijkheid van alle collega’s. Met als verantwoordelijkheid van de werkgever om hier een stimulerende en toetsende rol in te spelen, bijvoorbeeld door het uitrollen van een bewustwordingscampagne. Belangrijk daarbij is dat een campagne herkenbaar moet zijn en in lijn met de business risico’s, ofwel ‘dichtbij’ is voor collega’s. Situaties moeten vergelijkbaar zijn met wat mensen in hun dagelijks werk tegenkomen op de werkvloer maar ook privé. Dit betekent dus ook specifiek maatwerk per afdeling of team. Maar met alleen een campagne ben je er niet. Bewustwording is namelijk meer dan alleen maar het ‘zenden’ van informatie. Je moet zorgen voor een blijvende en meetbare gedragsverandering, ook bij het bestuur. Hoe je dit succesvol doet, lees je in onze eerdere blog hierover. Zorg dat alle inhoudelijk betrokken functionarissen met elkaar samenwerken en dat er communicatie capaciteit beschikbaar is.
Informatiebeveiliging is risicomanagement
Als gemeente ben je afhankelijk van de beschikbaarheid van informatie en de continuïteit van de informatievoorziening voor je dienstverlening naar burgers en bedrijven. Informatiebeveiliging hoort dus thuis in de lijn want de verantwoordelijkheden houden direct relatie met de bedrijfsvoering. Maak lijnmanagers verantwoordelijk voor risicomanagement en maar heldere afspraken over wat er van hen verwacht wordt. Zorg bijvoorbeeld dat risico’s geagendeerd worden en standaard onderdeel zijn van bestuurlijke documenten en dat lijnmanagers hierover rapporteren. Daarnaast dienst risicobewustzijn ook standaard onderdeel te zijn van samenwerkingen en uitbestedingen. Hoe je lijnmanagers in de juiste rol plaats lees je in de handreiking ‘Risicomanagement door lijnmanagers’ van de IBD.
Risicomanagement is onderdeel van de besluitvorming
Het is uiteraard belangrijk om risico’s en maatregelen te monitoren en te toetsen, zodat de maatregelen, indien gewenst per afdeling, verantwoordelijkheidsgebied of onderwerp, hierop kunnen worden bijgesteld. Maak risicomanagement daarom onderdeel van besluitvorming en laat lijnmanagement hierover rapporteren. Zorg daarnaast voor agendering op de bestuurlijke agenda. Op die manier kunnen de juiste vragen gesteld worden en kan er bijgestuurd worden (al dan niet op een passend (hoger) abstractieniveau). Bestuurders zijn verantwoordelijk voor kaderstelling (vaststellen). Tevens kan besluitvorming ook inhouden dat risico’s toch bewust, al dan niet tijdelijk, gelopen worden. Ook dan ben je ‘in control’. Zo is het bijvoorbeeld minder schadelijk als het stadsarchief tijdelijk niet beschikbaar is dan wanneer het GBA eruit ligt.
Informatiebeveiliging behoeft ook aandacht in (keten)samenwerking
Als gemeente werk je met veel (keten)partners samen. Hierbij geldt ‘de ketting is zo sterk als de zwakste schakel’, juist als het gaat om informatiebeveiliging. Elke organisatie heeft immers in meer of mindere mate te maken met digitale dreigingen. Wanneer je met verschillende organisaties samenwerkt, vraagt dit dus niet alleen om een inschatting van de eigen risico’s, maar ook van die van andere. Als organisatie in een keten ben je afhankelijk van elkaar en daarbij is het belangrijk dat je ook in kaart hebt wat de risico’s van ketenpartners zijn. Zorg dat je de risico’s die een gevaar vormen voor de informatievoorziening van de bedrijfsvoering van de gemeente en de risico’s die voortkomen uit ketensamenwerking goed in kaart brengt. Ook bij diensten die je uitbesteedt, dienen de risico’s in kaart te worden gebracht. Ken verantwoordelijkheden toe en tref de juiste maatregelen. Dit is dus ook van toepassing op alle bestuurlijke samenwerkingen. Je kunt hiervoor gezamenlijk maatregelen treffen. In de handreiking ‘Start een Ketensamenwerking’ van het NCSC vind je richtlijnen hoe dit succesvol te doen.
Informatiebeveiliging is een proces
Informatiebeveiliging betekent niet eenmalig een checklist doorlopen (implementatie), alle vinkjes zetten en klaar. Het is een continu proces waar je als gemeente aan moet blijven werken. Elke dag brengt nieuwe uitdagingen, projecten, processen et cetera. Het vraagt om structurele borging en moet onderdeel worden van (bestaande) processen. Maak hierbij gebruik van een gedocumenteerd ‘Information Security Management System’ (ISMS). ISMS gaat uit van de Plan Do Act Check cyclus (PDCA-cyclus), een continu en interactief proces. Daarnaast moeten zaken gemonitord worden en moet je kunnen aantonen dat je informatiebeveiliging op orde is. Dit gebeurt onder andere middels ENSIA. Houd dus rekening met een veranderende omgeving en zorg dat risicomanagement structureel op de (bestuurlijke) agenda staat. Zo kun je reageren op veranderingen en daarop tijdig bijsturen.
Informatiebeveiliging kost geld
Risicomanagement vraagt niet om snelle acties maar om constante aandacht. En hiervoor moeten middelen beschikbaar worden gesteld. Je hebt als gemeente de morele verplichting om zorgvuldig en veilig met gegevens om te gaan. Een incident kan leiden tot (grote) materiële en immateriële schade voor je gemeente. Denk aan datalekken die grote gevolgen voor het imago en de bedrijfsvoering van je gemeente hebben, tevens legt het veel (politieke) druk op je gemeente wat weer kan leiden tot reputatieschade. Stel voldoende middelen beschikbaar zodat er maatregelen getroffen kunnen worden bij risico’s die een gevaar zijn voor de continuïteit van de bedrijfsvoering. Ja, informatiebeveiliging kost geld.
Onzekerheid dient te worden ingecalculeerd
De input voor risicomanagement is gebaseerd op wat er in het verleden is gebeurd (ervaringen) en op actuele informatie. Daarnaast dien je rekening te houden met wat je in de toekomst kunt verwachten. Dit is uiteraard lastiger in te schatten, houdt daarom rekening met eventuele beperkingen en onzekerheden die nu nog niet met zekerheid zijn vast te stellen en afhankelijk zijn van toekomstige ontwikkelingen. Op het moment dat er besluiten genomen moeten worden, dient er rekening gehouden te worden met deze risico’s. Dit vergt goede en actuele informatie over de risico’s die de gemeente loopt. Zorg dat er voldoende tijd, geld, uren en mensen ter beschikking zijn, die bijdragen aan het gestalte (kunnen) geven van risicomanagement.
Verbetering komt voort uit leren en ervaring
Het is niet de vraag of je als gemeente slachtoffer wordt van een incident, maar wanneer. Hoe goed je informatiebeveiliging ook is, incidenten zullen altijd voorkomen. Voorkomen ga je het dus niet. Het is daarom belangrijker om na te denken hoe je er mee omgaat en wat je ervan kunt leren. Zorg dat je veerkrachtig bent als organisatie (resilient) en rekening houdt met kansen en risico’s van nieuwe ontwikkelingen. Transparant zijn over incidenten helpt, leer ervan en realiseer en accepteer dat risico’s niet geheel zijn uit te sluiten. Reflecteer op risico’s en betrek ook de medewerkers bij het delen van hun ervaringen als het gaat om risico’s die processen binnen de informatievoorziening bedreigen. Zo zorg je dat de gemeente kan leren van incidenten en tevens leer je zo te ontdekken wat wel en wat niet werkt. Dit helpt bij het nemen van toekomstige besluiten.
Het bestuur controleert en evalueert
Tot slot, is het belangrijk om te controleren wat de status is van de implementatie van het informatiebeveiligingsbeleid en om te kijken of risicomanagement ook daadwerkelijk is ingebed binnen de organisatie. Dit kan door lijnmanagement hierover te laten rapporteren. Op die manier krijg je als bestuurder goed inzicht in waar de organisatie staat en komen verbeterpunten aan het licht. Laat daarnaast de gemeente op effectiviteit en efficiency toetsen, door een (externe) auditor. Zo krijg je een goed beeld van hoe het beleid in de praktijk uitwerkt en of je op schema loopt. Ook kunnen er zaken aan het licht komen, zoals toename van datalekken, Laat je goed informeren over risico’s en weeg belangen goed af, neem hierin als bestuurder verantwoordelijkheid om besluiten en maatregelen te (laten) nemen. Of neem een voorbeeld aan de gemeente Beemster, die in het nieuwe informatiebeveiligingsbeleid van de gemeente zelfs actief verwijzen naar de hier genoemde 10 bestuurlijke principes.