ENSIA is misschien nog niet helemaal perfect, maar het is inmiddels wel een goed instrument om de organisatie mee te nemen in het onderwerp informatieveiligheid.
Het nieuwe jaar is gestart en ik kijk in mijn agenda wat ik in januari wil afronden. Ik zie staan: verantwoording ENSIA. In 2017 is ENSIA gestart waarbij de verantwoordingsscyclus een andere en slimmere dynamiek kreeg. Doel is om de verantwoordingslast te verminderen, horizontaal (aan de raad) te verantwoorden, waarbij de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) het leidende normenkader is voor de verantwoording aan de verticale (ministeries) toezichthouders.
Een hele opgave. Als stuurgroeplid van ENSIA maak ik de ontwikkelingen van ENSIA van dichtbij mee. Hierin vertegenwoordig ik de gemeenten samen met de VNG, Rein Zijlstra (wethouder Zeewolde) en Peter Bruin (CISO Leeuwarden). We zitten aan tafel met de verticale toezichthouders om ENSIA samen tot een succes te maken. Als stuurgroeplid ben ik trots op wat in 2017 is bereikt. Van buitenaf zie je het niet direct, maar er is hard gewerkt door de werkgroepen, de IBD-gemeenten, ICTU, NOREA en anderen om ENSIA van de grond te krijgen en te laten starten in 2017. Denk aan:
– Ontdubbelen van vragenlijsten;
– Vragenlijsten voor de BAG en BGT opstellen en laten reviewen;
– Inventariseren informatiebehoeften bij alle stakeholders voor de verantwoording;
– Functionaliteiten ondersteunende tooling opstellen;
– Tooling ontwerpen en testen;
– Ondersteunende producten opstellen voor de ENSIA-coördinatoren;
– Wet- en regelgeving aanpassen;
– Standaard verantwoordingsrapportages opstellen;
– Leeromgeving ENSIA voor de coördinatoren ontwerpen;
– Et cetera.
Daarentegen besef ik mij ook dat het nog niet de meest ideale situatie is. Dat zie ik in mijn agenda van januari terug en aangezien ik voor vier gemeenten werk, draag ik zorg voor vier verantwoordingen samen met de werkorganisatie:
– Vier BAG-rapportages opstellen en laten vaststellen;
– Vier BGT-rapportages opstellen en laten vaststellen;
– Vier collegeverklaringen opstellen;
– Vier keer de bijlagen B en C voor DigiD invullen;
– Vier SUWI-bijlagen voor de collegeverklaringen opstellen;
– Verbeterplan 2018 opstellen en ambtelijk afstemmen;
– IT-auditor uitnodigen voor uitvoeren audit (leidt tot assurancerapportage)
– Alle noodzakelijke vastgestelde rapportages, collegeverklaringen en assurancerapportages uploaden in ENSIA;
– Raadsrapportage opstellen;
– En daarnaast mijn reguliere (en andere) CISO-werkzaamheden uitvoeren.
Er gaat nogal wat tijd zitten in het opstellen van verantwoordingsdocumentatie om in alle informatiebehoeften te voorzien. De verantwoordingslast ten aanzien van de diversiteit aan rapportages mag van mij dan ook nog een stuk minder. De vier BRP– (wetgeving Basisregistratie Personen) en de vier PNIK-rapportages (vragenlijst Paspoorten en Nederlandse IdentiteitsKaarten) staan volgend jaar januari ook in dit rijtje.
Maar alleen kijkend naar de diversiteit aan verantwoordingsdocumentatie, schetst een negatief beeld van ENSIA. Van al deze rapportages is een template beschikbaar die grotendeels automatisch wordt ingevuld. En belangrijker, ENSIA heeft mij een totaaloverzicht gegeven van informatieveiligheid. Cruciaal om het horizontale verantwoordingsproces (verantwoording college aan de raad) goed te kunnen vormgeven. Dit is waar ENSIA hoofdzakelijk om draait. Ervoor zorgen dat het horizontale verantwoordingsproces leidend wordt, waar voorheen de verticale verantwoording centraal stond. Dat laatste leidde ertoe dat we hoofdzakelijk incident-driven stuurden vanuit de audits. ENSIA draagt bij aan een integrale sturing.
Ook ik moet mijn weg hier nog in vinden. Voor 2018 is het verplicht om over de DigiD en Suwinet horizontaal verantwoording af te leggen aan de raad. Dat gaat mij niet ver genoeg. ENSIA heeft mij een breed beeld gegeven over informatieveiligheid. Door integraal (en dus breed) te verantwoorden via het college aan de raad, kan de gehele lijn in control komen op dit onderwerp. Daarom heb ik ervoor gekozen om niet alle separate vast te stellen documenten richting het college te sturen ter vaststelling. Ik heb gekozen voor een bestuursrapportage dat een totaal en integraal beeld geeft, op bestuurlijk niveau, over wat in 2017 is gerealiseerd en wat in 2018 gerealiseerd gaat worden. Zo heeft het bestuur in enkele pagina’s inzichtelijk waar we staan, waar de risico’s zitten en waar we op gaan sturen. Dat is de essentie van ENSIA. Alle andere rapportages zijn bijlagen die formeel vastgesteld moeten worden, maar waarvan ik het niet nodig acht dat mijn bestuurders deze van voor tot achter lezen. Zij hebben een andere informatiebehoefte en een bestuurlijke rapportage is daar mijn inziens het antwoord op.
Eind januari zijn alle stukken klaar en is het zowel ambtelijk als bestuurlijk afgestemd. Iedereen weet wat van hem of haar wordt verwacht en waar we in 2018 op gaan inzetten. De IT-audit zie ik met vertrouwen tegemoet.
ENSIA is nog niet perfect, maar was voor mij een instrument om tot een integrale bestuurlijke rapportage te komen en de gehele organisatie mee te nemen in het onderwerp informatieveiligheid.
Hoewel de verantwoordingslast qua documentatie minder mag, zou ik de verantwoording graag nog breder willen zien. Het onderwerp privacy mag van mij hieraan toegevoegd worden. Niet omdat ik op meer verantwoording zit te wachten, maar omdat er bestuurlijk behoefte is om niet alleen over informatieveiligheid te verantwoorden, maar ook over privacy. 2018 is een mooi jaar om hier werk van te maken. Wellicht is dit nog te snel voor de cyclus van ENSIA in 2018; maar ik neem het al wel mee in mijn bestuursrapportage 2017.
Wat ik iedereen wil meegeven is: wacht niet tot ENSIA tot in perfectie is uitgekristalliseerd; gebruik het als instrument en pak de ruimte om het zelf in je eigen verantwoordingscyclus slim in te zetten. Maak van ENSIA geen doel op zich.
yourilammerts@debuch.nl is Chief Information Security Officer (CISO) voor de werkorganisatie BUCH (ambtelijke organisatie voor de gemeenten Bergen, Uitgeest, Castricum en Heiloo).
delen
Weer mooi geschreven Youri. Volgend jaar maar eens geen centrale sturing / focus op basisregistraties en DigiD, maar op privacy en het Sociaal Domein??
Goed verhaal. Helpt mij ook weer verder. Ik heb wel mijn twijfels over de door jou (Yoeri) genoemde verplichte horizontale verantwoording aan de raad alleen over DigiD en Suwinet. Volgens mij spreekt de resolutie juist over een verplichte paragraaf / rapportage over de gemeentebrede informatieveiligheid. Of zit ik hier fout ?
Wat heb je dat weer treffend neergezet. Mijn complimenten Youri!