Ons vakgebied verandert. Van ‘nice to have’ is digitale dienstverlening op alle terreinen een ‘must have’ geworden, met bijpassende kwaliteitseisen. Mijn tweede tip: Beschouw informatiebeveiliging als je ‘core business’. Is je domeinnaam-management bijvoorbeeld goed geregeld? Vorm coalities, werk samen met collega-organisaties en externe partijen.
Ons vakgebied verandert. Van ‘nice to have’ is digitale dienstverlening op alle terreinen een ‘must have’ geworden, met bijpassende kwaliteitseisen. Mijn tweede tip: Beschouw informatiebeveiliging als je ‘core business’. Is je domeinnaam-management bijvoorbeeld goed geregeld? Vorm coalities, werk samen met collega-organisaties en externe partijen.
De laatste zin van de eerste blog geldt in versterkte mate voor het domein van informatiebeveiliging. En toch is juist daar sprake van zelfoverschatting en naïviteit. Elke ict-organisatie waar ik gedurende mijn loopbaan ging werken meende de informatiebeveiliging beter op orde te hebben dan collega-organisaties. Dat kan per definitie niet waar zijn. Alle overheidsorganisaties hebben gewoon nog veel werk te doen. Als je de “Baseline Informatiebeveiliging Overheid” (BIO) – ik beschouw die als de vertaling van de ISO 27001 norm voor de overheid – echt goed wilt implementeren dan is dat een enorme klus. Voor iedereen.
Op 2 juli 2014 werd ik als CIO van de gemeente Den Haag verrast door de gemeentelijke Rekenkamer, die geholpen door een extern bureau, voortvarend de publiciteit had gezocht om te laten weten dat Den Haag “zo lek als een mandje” was. Geen leuke actie van de Rekenkamer, maar wel een ‘wake up call’ voor de gemeentelijke ict-organisatie. En voor mij. Sindsdien besef ik hoe kwetsbaar je bent als ict-dienstverlener. Bij de Tweede Kamer maakte ik in oktober 2017 voor het eerst kennis met ‘spoofing’, toen er pseudo-mails van bewindspersonen naar de kamerleden werden gestuurd. Niet van echt te onderscheiden. Een actie van “Follow the money”. Ik herinner me nog goed hoe er voor de interne en externe ict-experts een wereld openging. Was de mailomgeving echt zo kwetsbaar? Ja, helaas wel. PBLQ was zo behulpzaam om de kwestie te onderzoeken; ook voor de senior-consultants van PBLQ bleek ‘spoofing’ een betrekkelijk onbekend fenomeen. Het was aansluitend nog een hele klus om de mail beter te beveiligen, maar het lukte gelukkig wel. Recent maakte ik kennis met DDoS aanvallen. Ik vertel er niet alles over, maar ik geef als tip aan collega CIO’s om eens na te gaan hoe goed je domeinnaam-management geregeld is. Het zijn wat mij betreft illustraties van de omvang en diversiteit van het beveiligingsdomein. Je blijft altijd leren en je blijft altijd kwetsbaar.
Heel hinderlijk op het gebied van informatiebeveiliging vind ik het ontbreken van een goed geoutilleerde en goed functionerende nationale ‘brandweer’. Ik heb eerder gepleit voor een Rijksdienst ICT naar het model van Rijkswaterstaat en ik blijf dat doen. De slagkracht en taak van het NCSC zijn in mijn ogen veel te beperkt. Iedereen vindt daardoor noodgedwongen zelf het wiel uit – een mooi verdienmodel voor beveiligingsbedrijven. Zelfs iets ‘simpels’ als het snel en veilig delen van informatie over kwetsbaarheden, bedreigingen en ‘hacks’ is niet geregeld. Er liggen daardoor heel wat interessante rapporten in diepe bureaulades, omdat niemand de vuile was buitenhangt. Bij grote calamiteiten is er geen effectieve alarmering, zoals de weercodes van Rijkswaterstaat en KNMI. In het beste geval wordt een deel van de organisaties en bedrijven actief gewaarschuwd. Ik vind dat deze situatie dringend verbeterd moet worden. De dreiging groeit snel en de maatschappelijke risico’s daarvan zijn gewoon veel te groot.
Wat is in deze lastige situatie het advies voor een individuele CIO? Vorm coalities. Werk samen met collega-organisaties en externe partijen. En het belangrijkste: beschouw informatiebeveiliging als je ‘core business’.
Zeven tips voor cio’s door Jan Willem Duijzer
In januari 2016 schreef ik op iBestuur.nl een bijdrage met tips voor jonge CIO’s bij de overheid. Ik meende, na CIO-rollen bij een ministerie en een grote gemeente, wel zo’n beetje te weten hoe die wereld in elkaar zit en wilde dat meegeven aan mijn jonge collega’s. Nu, zes jaar later, valt me op hoe snel het vakgebied de laatste jaren is veranderd. De grootste verandering is wat mij betreft het toegenomen belang van digitale dienstverlening. Van ‘nice to have’ is die dienstverlening op alle terreinen een ‘must have’ geworden, met bijpassende enorm hoge kwaliteitseisen. Maar naast de ontwikkelingen op het vakgebied ben ik ook zelf veranderd door nieuwe ervaringen als CIO bij de Tweede Kamer en sinds 2019 bij de Rechtspraak. Vandaar deze update. Aan mijn tips van zes jaar geleden voeg ik graag zeven nieuwe adviezen toe.
- Tip 1: Zorg voor een beleidskader voor cloudgebruik
- Tip 2: Geef meer prioriteit aan security
- Tip 3: Neem agile werken serieus
- Tip 4: Data als waardevolle nieuwe invalshoek
- Tip 5: Ethiek is onderdeel van je werk
- Tip 6: Vorm een tegenmacht tegenover techbedrijven
- Tip 7: Investeer in mensen en de werkomgeving
Een digitale brandweer. Ooit was er zoiets. Het heette de Waarschuwingsdienst. Ik heb er nog mailtjes van (uit 2007, mind you) in mijn archief.
Vorig jaar pleitte bij de CISO-Rijk voor het opnieuw inrichten van zo’n dienst. Want met Cyberveiligheid is het net zoals met de dijken. Bij een lek in het dijklichaam dat de buren beheren, krijg je zelf ook natte voeten.