Inhoud
"Er moet meer bestuurlijke aandacht komen voor informatieveiligheid, met een hechtere verbinding tussen bestuurder en de chief information security officer (CISO). De CISO heeft binnen de gemeentelijke organisatie een spilfunctie, om ervoor te kunnen zorgen dat de juiste acties worden genomen ten aanzien van de informatiebeveiliging". Dat concludeerde de Visitatiecommissie Informatieveiligheid na het bezoeken van de colleges B&W en CISO’s van 120 gemeenten eind 2017.
De visitatiecommissie stelde vast dat het in alle gevallen van belang is dat de CISO onafhankelijk is gepositioneerd, een directe rapportagelijn heeft naar de (eindverantwoordelijke) gemeentesecretaris en de (bestuurlijk) portefeuillehouder en daarmee periodiek overleg heeft. Daarnaast dient de CISO verbonden te zijn met de ambtelijke organisatie en het primaire proces. Het is voor een CISO echter niet doenlijk (en ook niet zijn/haar rol) om nauw betrokken te zijn bij de specifieke werkprocessen.
Gemeenten verschillen van elkaar qua organisatie en daardoor in de wijze waarop de CISO functie wordt ingevuld. Met de invoering van de Baseline Informatiebeveiliging Overheid (BIO) en het verbindend verklaren van dit normenkader voor de hele overheid per 1 januari 2020, is aanstelling van een CISO niet langer vrijblijvend, maar verplicht geworden. De aanstelling van een CISO is een belangrijke voorwaarde om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen.
Tevens is sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming van kracht, de wet die strenge eisen stelt aan de verwerking van persoonsgegevens en de informatiebeveiligingsmaatregelen. Ook zijn de rechten van betrokken flink uitgebreid.
Maar ook de buitenwereld is bezig met een privacy inhaalslag; de Autoriteit Persoonsgegevens is begonnen met handhaving en heeft net de eerste AVG boete uitgedeeld aan het HAGAZiekenhuis. Aan een betrokkene bij een datalek door gemeente Enschede is door de rechterbank Overijssel in hoger beroep een schadevergoeding toegekend van €500.- Een datalek met duizenden betrokkenen kan zo al snel flink in de papieren lopen en naar verwachting zullen collectieve claim procedures dan ook snel volgen. Zaak dus om uw informatiebeveiliging op orde te hebben.
Kijkend ook naar de astronomische boetes die momenteel worden uitgedeeld aan de multinationale datafabrieken zoals FaceBook dan is het duidelijk dat informatiebeveiliging in zeer korte tijd een serieus vakgebied geworden is waar organisaties, gezien het enorme aantal vacatures, een flinke inhaalslag op aan het maken zijn.
Kortom; de CISO is in toenemende mate en met versneld tempo van belang om er binnen de gemeente over te waken dat (persoons)gegevens van burgers en bedrijven goed verwerkt worden en onverlaten er niet bij kunnen. Hierbij geldt voor kleinere gemeentes dat een deeltijd- of gecombineerde-functie CISO beter is dan helemaal geen CISO. En soms is het inhuren van een CISO voor een paar dagen per maand door meerdere aanpalende gemeentes ook een goede eerste stap. De CISO is in ieder geval wel vast onderdeel van het gemeentelijk meubilair geworden!
Maar waar hebben we het dan samen over?
Als burgemeester, wethouder, gemeentesecretaris, raadslid of collega ambtenaar wordt u soms pas actief betrokken bij het werk van de CISO als het te laat is. Als de krant bericht dat de gemeente gehackt is, als er een datalek heeft plaatsgevonden of als er om budget gevraagd wordt in de voorjaarsnota. Informatiebeveiliging echter, is de verantwoordelijkheid van iedereen binnen de organisatie die met data omgaat. Bewustwording en het pro-actief bezig zijn met informatiebeveiliging is dus cruciaal.
De volgende 5 vragen kunt u de CISO stellen om het gesprek met hem of haar te starten. Het zijn mogelijke vragen om de dialoog te starten, geen vastomlijnde aanpak voor informatiebeveiliging. Daarvoor verwijs ik graag naar de Informatiebeveiligingsdienst. 5 vragen zijn natuurlijk bij lange na niet voldoende dus het is slechts een eerste aanzet. Ook is de relevantie van sommige vragen tijdgebonden en daardoor over een tijdje wellicht weer minder actueel. Maar we kunnen toch ergens beginnen? Ik nodig u uit andere relevante vragen via de comments toe te voegen en de lijst aan te vullen..
1. wat is ons dataprotectie-risicoprofiel?
Ik begin de eerste vraag niet zonder reden. Er zijn CISO's die compliance-based en andere die risk-based werken. De eerste zal séc willen voldoen aan de (wettelijke) voorschriften (de groene vinkjes) terwijl de tweede kijkt naar de actuele informatiebeveiligingrisico's en kiest voor adequate mitigatie ervan om zo toch de organisatorische doelstellingen te kunnen blijven behalen. Het paraat hebben van de laatste stand van zaken op Technologisch-, Personeel- en Organisatorisch dataprotectie-gebied is daarom ook van groot belang. Waar zitten de gaten ten opzichte van de overheidsbaseline (GAP-Analyse) plus welke bijzonderheden heeft deze gemeente waar we specifiek naar moeten kijken? Heb je een Informatiebeveiligingsplan waarin staat hoe we hier mee omgaan? Welke beveiligings incidenten hebben we de afgelopen tijd aan de hand gehad en hebben we data onbedoeld vrijgegeven? Een interessante openingsvraag toch?
2. ben je al begonnen met het ISMS?
De Informatie BeveiligingsDienst definieert het ISMS als volgt: "Het Information Security Management System (ISMS) is een procesgerichte benadering voor informatiebeveiliging. Het is een managementsysteem waarin het risicobeheerproces centraal staat, zodat risico’s adequaat worden beheerd. Het ISMS is de motor van de informatiebeveiligingsactiviteiten en wordt onderhouden middels de plan-do-check-act cyclus". Het werken volgens een ISMS geeft aan dat de CISO het beleid niet alleen opstelt maar ook de implementatie ervan toetst en het beleid door de tijd heen bijstelt waar nodig. Vaak wordt een ISMS tool gebruikt om het framework en de bijbehorende documenten in onder te brengen. Het ISMS is een van de beste manieren om de taken van een CISO over te dragen aan een opvolger. Het stelt ook tijdelijke krachten in staat om sneller op stoom te zijn.
3. hoe staan we ervoor met de ENSIA rapportage?
ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning en control-cyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van hun gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad.
ENSIA helpt gemeenten in één keer slim verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG (en vanaf 2020 op de BIO). De verantwoordingssystematiek over de Basisregistratie Personen (BRP) en wet- en regelgeving Reisdocumenten (PUN en PNIK), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet) is samengevoegd en gestroomlijnd.
De eerste ENSIA cyclus is achter de rug en de nieuwe 2019 cyclus is gestart per 1 juli jongstleden. Bespreek samen het resultaat 2018 en op welke wijze 2019 aangevlogen wordt. Wat zijn de lessons learned en hoe, adviseert de CISO, gaan we de vastgestelde tekortkomingen wegwerken?
4. zijn we op tijd klaar met de BIO implementatie?
Vanaf 1 januari 2019 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt per 1 januari 2020 de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Van BIG, BIR, BIR2017, IBI en BIWA naar BIO. 2019 is een overgangsjaar. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek. Helder, actueel en veilig.
Vraag de CISO (kudo's voor u, u heeft er al een aangesteld ;-) naar de impact voor de gemeente, waar u staat als organisatie en op welke wijze de belangrijkste wijzigingen doorgevoerd kunnen worden. De BIO Praatplaat kan helpen het gesprek met de clusters te voeren om inzichtelijk te krijgen wat er nog moet gebeuren. Maak ook hier in overleg keuzes in de activiteiten om compliant te geraken. First things first, eerst de hoge risico's, dan de lagere.
5. hoe staan we ervoor m.b.t. de 2019 streefbeeld afspraken?
De vorige vragen waren redelijk strategisch en tactisch van aard op het gebied van informatiebeveiliging. Toch ontkomt u er niet aan af en toe over de techniek te praten. De laatste CISO vraag is daardoor misschien wat te complex voor de gemiddelde ambtenaar maar niet minder relevant. Kijk eens hoe ver u samen komt!
Binnen de overheid zijn er adoptieafspraken over standaarden voor internetveiligheid en informatieveiligheid. Op dit moment is de afspraak dat ALLE websites van de overheid beveiligd moeten zijn met de standaarden HTTPS, HSTS en TLS conform de richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Daarnaast dienen domeinnamen beveiligd te zijn met de standaard DNSSEC. Voor mail is de afspraak dat de standaarden SPF, DKIM en DMARC worden ondersteund voor het voorkomen van phishing en dat STARTTLS en DANE worden toegepast voor het beveiligen van mailverkeer. Na het instellen van de mailstandaarden dienen DMARC en SPF vervolgens zodanig geconfigureerd te worden dat phishing van mail actief wordt bestreden.
Dit betekent dat voor deze standaarden niet het tempo van ‘pas toe of leg uit’ wordt gevolgd (i.e. wachten op een volgend investeringmoment en dan de standaarden implementeren) maar dat actief wordt ingezet op implementatie van de standaarden op de korte termijn.
Weinig overheden kunnen al deze afspraken allemaal tijdig (eind 2019) nakomen. De praktijk leert dat het implementeren ervan over meerdere schakels dient te gebeuren, derde (cloud)partijen die je niet altijd zelf in de hand hebt waardoor het ook nog eens eindeloos kan duren. Bespreek met uw CISO wat er gebeurt als u niet tijdig klaar bent, de risico's die u loopt en de verantwoordelijkheid die u in de keten hebt om wél tijdig klaar te zijn. Vraag uw CISO om advies op welke wijze de techniek aangepast moet worden en wie in de organisatie deze taken dienen uit te voeren.
Tot slot
Zoals al eerder gezegd is de dataprotectie arbeidsmarkt op dit moment enorm schaars. Goed opgeleide medewerkers zijn lastig te vinden en de gemeentelijke salarissen kunnen moeilijk concurreren met het bedrijfsleven. Zorg er derhalve voor dat u de CISO en zijn/haar stafmedewerkers voldoende uitrusting geeft om het werk ook daadwerkelijk te kunnen verrichten. Dat is niet alleen salaris maar zeker ook voldoende budget voor opleiding, seminars/congressen, ICT-tooling en tijdelijke ondersteuning (inhuur) voor projectwerk. Ook een directe, doorlopende en open dialoog met het bestuur en college is belangrijk. Immers, gemeentelijke informatiebeveiliging is een bestuurlijke verantwoordelijkheid. Als laatste en hopelijk ten overvloedde, noem ik daarom nog vraag 6. Eigenlijk de meest belangrijke vraag die u uw CISO kunt stellen:
"Hoe gaat het met je, heb je het nog naar je zin en wat kan ik voor je doen?"
Auteur: Dimitri v. Zantvliet Rozemeijer MBA CISM CISA CIPP-E CIPM FIP, CISO / Manager Strategie, Security en Privacy gemeente Haarlemmermeer
