Van BIG naar BIO in een paar dagen
Concrete roadmap voor overheden
De klok loopt en u heeft nog 14 weken. Vanaf 2020 is de baseline informatiebeveiliging overheden (BIO) van toepassing voor alle bestuurslagen en bestuursorganen van de overheid en daarmee kunnen alle afzonderlijke normenkaders zoals de BIG, BIR, IWI en BIWA de prullenbak in. Een goede ontwikkeling want dat bevordert de harmonisatie en het onderlinge vertrouwen in de publieke sector bij het uitwisselen van informatie. De BIO is gebaseerd op de internationale standaard voor informatiebeveiliging, te weten de ISO/NEN 27001/2, versie 2017 waarop doorgaans wordt gecertificeerd.
Het jaar 2019 geldt voor gemeenten als overgangsperiode waarbij de ENSIA-vragenlijst nog gebaseerd is op de BIG. De vraag is dan hoe gemeenten zich gaan voorbereiden op de BIO? Er is natuurlijk al de nodige ervaring opgedaan met de BIG en de uitdaging is om de transitie naar de BIO zo natuurlijk mogelijk te laten plaatsvinden.
Tijdens onze gesprekken met gemeenten over die transitie van BIG naar BIO merken we dat gemeenten bewust vanaf het tweede half jaar 2019 de BIG negeren en zich alleen richten op datgene wat noodzakelijk is vanuit ENSIA. Dat doen ze door gebruik te maken van reeds beschikbare informatie en ervoor te zorgen dat aan de verplichte eisen voor Suwinet en DigiD wordt voldaan. Daarmee creëren zij ruimte voor de introductie van de BIO en dat is op zich geen onlogische gedachte. Immers waarom zou je nog investeren in een normenkader dat in de prullenbak verdwijnt?
De BIO is overigens een logisch vervolg in de doorontwikkeling van de internationale standaard voor informatiebeveiliging op basis van nieuwe ontwikkelingen. Denk bijvoorbeeld aan nieuwe toepassingen en dreigingen, inzichten en de stand van de techniek. Daarnaast is er nog de vergaande digitalisering. En niet te vergeten ketensamenwerking en onderlinge uitwisseling van informatie met derden. De basis voor interne beheersing van informatiebeveiliging is in principe hetzelfde als in de BIG, zij het dat meer nadruk wordt gelegd op risicomanagement en op de governance door expliciet het eigenaarschap te benoemen bij leidinggevenden en managers.
Risicomanagement
Risicomanagement is een afwegingsproces voor het beheersen van onzekerheden en is onderdeel van de PDCA-cyclus waarop de BIO steunt. De inzet van risicomanagement is voorkomen dat informatie en informatiesystemen te licht of te zwaar worden beveiligd. Er zit aldus een beveiligings- en kostenaspect aan vast en dat vereist balanceren.
Vanuit de BIO behoort het resultaat van risicomanagement te leiden tot een basisbeveiligingsniveau. De BIO hanteert hiervoor 3 niveaus, te weten BBN1, 2 en 3 met een minimum aan beveiliging indien sprake is van BBN1. Het uitgangspunt is dat BBN2 standaard van toepassing is tenzij aangetoond kan worden dat BBN1 toereikend is. Voor gemeenten ligt het in de verwachting dat BBN3 ofwel het zwaarste beveiligingsniveau niet of nauwelijks zal voorkomen. Dat niveau is meer van toepassing op de rijksoverheid.
De insteek van de BIO is dat van elk relevant bedrijfsproces en informatiesysteem (wij noemen dat objecten) een basisbeveiligingsniveau wordt vastgesteld met bijbehorende set van (verplichte) beveiligingsmaatregelen. Veel beveiligingsmaatregelen in de BIO hebben overigens een generiek karakter. Dat wil zeggen dat deze maatregelen organisatiebreed van toepassing zijn en dus ook voor alle objecten. Een voorbeeld van een generieke maatregel is het ondertekenen van een geheimhoudingsverklaring. Dat is een activiteit die bij HRM ligt en als eenmaal is vastgesteld dat hieraan is voldaan dan geldt dit eveneens voor de objecten waarop deze maatregel van toepassing is. Daarnaast zijn er maatregelen die per object beoordeeld behoren te worden zoals bijvoorbeeld de toegangsbeveiliging van informatiesystemen op niveau BBN2. Als er 40 informatiesystemen zijn op basisbeveiligingsniveau 2, dan zal dit per object vastgesteld moeten worden. Wij beschouwen deze systemen als de kroonjuwelen van de organisatie. Dat wil niet zeggen dat dit jaarlijks moet geschieden, maar wel bijvoorbeeld per kroonjuweel in een cyclische periode van 3 jaar. Alleen een procedure toegangsbeveiliging hebben, is te kort door de bocht. Je zult moeten vaststellen dat deze procedure ook werkt net zoals dat thans geldt voor Suwinet.
Governance
De BIO onderscheidt 3 hoofdrollen in het kader van de governance van informatiebeveiliging, te weten de gemeentesecretaris, de proceseigenaren en dienstenleveranciers.
De BIO geeft aan dat de gemeentesecretaris eindverantwoordelijk is voor de integrale beveiliging en de inrichting en werking van de beveiligingsorganisatie. In de BIG kwam deze verantwoordelijkheid niet zo nadrukkelijk in beeld. Deze nuancering impliceert eveneens dat bij het ontbreken van een proceseigenaar om wat voor reden dan ook, het eigenaarschap automatisch bij de gemeentesecretaris komt te liggen. De gedachte hierachter is dat de gemeentesecretaris vanuit zijn bevoegdheid dan zelf een eigenaar aanwijst. Deze benadering kan overigens een behoorlijke impact hebben op de governance bij gemeenten. Waarbij de slagingskans voor een groot deel afhankelijk is van de ‘tone at the top’ en bedrijfscultuur. Interessant is dat de vraag naar eigenaarschap eveneens speelt in het privacydomein en in het kader van de financiële rechtmatigheid. Daarover binnenkort een serie blogs.
Een proceseigenaar is een lijnmanager of leidinggevende en is verantwoordelijk voor de beveiliging van zijn/haar objecten (processen / informatiesystemen).
Met dienstenleverancier wordt bedoeld de leverancier die belast is met beveiligingstaken namens de gemeentesecretaris of proceseigenaren. Dit kunnen zowel interne als externe leveranciers zijn zoals de afdeling ICT of intern rekencentrum, facilitaire zaken, HRM maar ook externe partijen zoals serviceproviders.
Het opstarten van de BIO begint met meten aan de hand van de beveiligingsdoelstellingen (controls) en bijbehorende beveiligingsmaatregelen. Van elke maatregel kan worden bepaald in hoeverre wel, deels of niet is voldaan waarbij ons advies is niet te veel aandacht aan te besteden. Een scherp beeld is namelijk niet nodig, maar de meting moet wel voldoende informatie opleveren voor vervolgstappen. Bij twijfel of een maatregel wel of niet is geïmplementeerd kan dan beter het antwoord ‘onbekend’ gegeven worden. Dat wordt dan voorlopig geparkeerd en later uitgezocht. Punt is namelijk dat we de PDCA-cyclus in gang willen brengen gericht op continu verbeteren en dat vereist discipline en een normale doorstroom zonder vertraging. Punten die nu niet opgepakt worden, komen dan in de volgende cyclus aan bod.
Het resultaat van de meting leidt tot een gap-analyse waarbij keuzes gemaakt worden welke verbeteringen gepland kunnen worden. Er vindt aldus een afwegingsproces (lees risicomanagement) plaats dat zich uit in prioritering in de wetenschap dat niet elke tekortkoming direct opgepakt hoeft te worden. Dat is immers niet realistisch. Het gaat erom dat de juiste keuzes worden gemaakt binnen hetgeen wat haalbaar. Er zijn nu eenmaal beperkingen die zich kunnen uiten in bijvoorbeeld een laag ambitieniveau, krappe capaciteit en een gering absorptievermogen van de organisatie. En ook dat zijn factoren waarmee in het afwegingsproces rekening dient te worden gehouden.
Uiteindelijk behoort de gap-analyse inclusief prioritering te zijn opgenomen in een jaarplan BIO. Deze zijn voorzien van de nodige stuurinformatie zoals de geplande verbeterpunten voor de komende periode. De directie behoort dit jaarplan formeel vast te stellen, enerzijds om daarmee hun betrokkenheid voor informatiebeveiliging aan te tonen, anderzijds het mandaat te geven aan de CISO voor het uitvoeren van het jaarplan. Zonder mandaat is het niet aan te bevelen om als CISO het veld in te gaan voor het doorvoeren van verbeteringen.
2. Bepaal het basisbeveiligingsniveau
De BIO geeft aan dat proceseigenaren het basisbeveiligingsniveau bepalen. Ook dat gaat niet vanzelf en daarvoor zijn nadere afspraken nodig met alle belanghebbenden. Allereerst is vooraf inzicht nodig in de belangrijkste bedrijfsprocessen en informatiesystemen en moet duidelijk zijn welke proceseigenaren daaraan gerelateerd worden. Als dit eenmaal in beeld is, is een planning nodig voor de uitrol. Daarnaast behoren proceseigenaren te worden geïnformeerd en gewezen op hun rol en verantwoordelijkheid. Daarbij is het niet uitgesloten dat enige weerstand bij proceseigenaren tot uiting komt. Kortom, voorbereiding, planning en mandaat is hierbij geboden. Voor het mandaat is een formele procedure nodig over de wijze waarop het basisbeveiligingsniveau en bijbehorende maatregelen worden bepaald. Houdt hierbij rekening met rugdekking van de gemeentesecretaris als vangnet ingeval er sprake is opkomende weerstand bij proceseigenaren.
Naast het bepalen van beveiligingsniveaus is het ook belangrijk dat alle verplichte maatregelen zoals opgenomen in de BIO zijn voorzien van een eigenaar.
3. Bundel de slagkracht door samenwerking
De CISO is het centrale aanspreekpunt als het gaat om vraagstukken op het gebied van informatiebeveiliging en zich inzet op naleving van de BIO. Dat laatste kan de CISO niet alleen en daarom zijn gelijkgezinden nodig verdeeld in de organisatie die de ‘voelsprieten’ zijn van de CISO. Op het niveau van de CISO zijn er ook andere ‘poortwachters’ die soortgelijke belangen hebben zoals de privacy officer, de functionaris gegevensbescherming (FG) en de concerncontroller voor de financiële rechtmatigheid. Net zoals de CISO streven zij ernaar dat proceseigenaren hun verantwoordelijkheid nemen als het gaat om naleving van de privacywetgeving en financiële rechtmatigheid (compliance).
4. Introduceer een GRC–oplossing voor ISMS
De omvang van alle jaarlijkse relevante beheersactiviteiten in het kader van informatiebeveiliging vereist een effectieve en efficiënte benadering. Het inzetten van een professioneel geautomatiseerde GRC-oplossing als managementinformatiesysteem voor informatiebeveiliging (ISMS) is onvermijdelijk geworden. Er zijn simpelweg te veel beheersactiviteiten verdeeld over diverse medewerkers in de organisatie die gestroomlijnd behoren te worden. Dat lukt niet meer in Excelachtige omgevingen evenals het combineren, delen en actueel houden van informatie in het kader van informatiebeveiliging. Key2Control biedt een zeer gebruikersvriendelijke GRC-oplossing voor ISMS die eveneens ingezet kan worden voor privacybescherming en financiële rechtmatigheid. Daarmee wordt de basis gelegd voor een integraal platform voor interne beheersing. Dat heeft als voordeel dat met 1 systeem alle relevante beheersactiviteiten op welk thema dan ook kunnen worden gemanaged. En dat biedt mogelijkheden tot integratie, kwaliteitsverbetering en efficiencyvoordelen (lees kostenbesparing) voor overheden op het gebied van interne beheersing.
Wilt u meer weten over onze aanpak ten aanzien van de BIO en/of over onze GRC-oplossing, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.