Omdat informatievoorziening voor gemeenten cruciaal is, hoort de beveiliging daarvan hoog op de agenda te staan van het gemeentelijk bestuur en de gemeenteraad. Vanzelfsprekend? Blijkbaar niet. In IJsselstein verleiden een bestuurder en een raadslid hun collega’s tot meer i-bewustzijn.
Beeld: Barry Hage
Kees Duijvelaar is raadslid voor de VVD in IJsselstein en was tot zijn pensioen in 2017 senior beleidsadviseur informatiesamenleving bij de VNG. Mark Foekema is naast wethouder namens de lokale partij LDIJ ook manager bij IT-bedrijf Atos. “Maar ik wil niet beweren dat de aandacht die IJsselstein heeft voor informatieveiligheid alleen komt door ons tweeën, dat zou te veel eer zijn. Het onderwerp leeft in onze gemeente ook omdat we een goede security officer hebben, Koos Lefeber, die voor meerdere gemeenten werkt. Hij is een belangrijke drijvende kracht”, zegt Foekema.
IJsselstein heeft, net als alle andere gemeenten, het eerste jaar volgens de verantwoordingsmethodiek ENSIA erop zitten: in 2018 legden ze verantwoording af over de stand van de informatieveiligheid in de gemeente in 2017. Dit jaar wordt verantwoording afgelegd over 2018. Samen met Montfoort; ook nu per 1 januari 2019 de in 2014 gestarte ambtelijke fusie met Montfoort werd ontbonden. Het ambtelijk samenwerken leverde de gemeenten in verhouding tot wat het kostte te weinig op. Maar de verantwoording voor ENSIA doen ze nog wel samen. Foekema: “Op het gebied van IT blijven we voorlopig samenwerken. Misschien wel met meer gemeenten, zodat we investeringen en expertise kunnen delen.”
Voor de raad
Een doel van ENSIA is dat de jaarlijkse verantwoording voor informatieveiligheid onderdeel uitmaakt van de gemeentelijke planning- & controlcyclus, net zoals bijvoorbeeld financiën. Duijvelaar: “Uiteindelijk komen we denk ik uit op één geïntegreerde beleidsverantwoordingscyclus, met daarin financiën en informatievoorziening. Dan gaat het niet alleen over informatieveiligheid, maar ook over de kwaliteit en daarmee de betrouwbaarheid van onze informatie.”
De ENSIA-rapportage is voor de gemeenteraad; want die moet toezicht houden op de stand van de informatieveiligheid van de gemeente. Informatieveiligheid staat echter niet vanzelfsprekend in elke gemeente op de raadsagenda. Ook niet in IJsselstein. Foekema vertelt dat de rapportage in de raad ter kennisgeving is aangenomen. “Er is helaas geen echte discussie over gevoerd”, zegt Duijvelaar. “Dat snap ik wel, want zolang het goed gaat, geeft de raad prioriteit aan andere zaken. Zoals de ontvlechting met Montfoort. Maar het onderwerp zou af en toe best wat meer aandacht mogen krijgen.” Hoe, daar hebben beide heren wel ideeën over. Ten eerste zou het onderwerp voor raadsleden toegankelijker gemaakt moeten worden. Niet iedereen heeft immers kennis van IT, laat staan van informatieveiligheid. Dat het rapport in ‘auditorstaal’ is geschreven helpt ook niet. Foekema: “We willen daarom in de voorlichting aan de raad gaan werken met onder meer smileys, om af te komen van die auditorstaal.”
Geen afvinklijstjes
De wethouder denkt erover om de inspanningen die de gemeente al doet om de eigen ambtenaren ‘i-bewust’ te krijgen, ook op raadsleden te richten. Zo werd de gemeente vorig jaar bezocht door een ingehuurde ‘mysteryguest’, die met een vriendelijke glimlach tot bij de werkplekken in het gemeentehuis kon komen. Dit jaar zal de gemeente ethische hackers inhuren om te kijken of die de gemeentelijke systemen kunnen kraken. Foekema: “We hebben onze informatieveiligheid volgens de audits op orde, maar dat zijn afvinklijstjes. Informatieveiligheid gaat over mensen, veilig gedrag moet in het DNA van iedereen komen. Het is misschien een idee om raadsleden daar ook bij te betrekken.” Duijvelaar vult aan: “We zullen dit onderwerp echt aantrekkelijk moeten maken voor de raad. Je verleidt de raad niet met saaie rapporten, maar wel met bijvoorbeeld een spannende uitkomst van een hack.”
Foekema sluit af: “ENSIA was voor ons een aanleiding om heel kritisch te kijken welke toegangen tot systemen we in de gemeente gebruiken. We hadden een aansluiting op Suwinet, maar gebruikten die nauwelijks omdat we op het gebied van werk en inkomen samenwerken in een regionale sociale dienst. We hebben de aansluiting op Suwinet vanuit onze gemeente nu opgeheven. Dat is een manier van kijken naar risico’s en afwegen of je iets wel of niet nodig hebt. Ongeacht de procedures of richtlijnen: dit soort dingen kun je gewoon doen, het gaat er vooral om hoe je er zelf in zit.”
Meer informatie:
Website Baseline Informatieveiligheid Overheid
Website VNG Realisatie over ENSIA
Van BIG naar BIO
De Baseline Informatieveiligheid Gemeenten (BIG) wordt in 2020 vervangen door de Baseline Informatieveiligheid Overheid (BIO). Waar de BIG kort gezegd uitgaat van management op maatregelen, gaat het in de BIO meer over risicobewustzijn. Wethouder Mark Foekema: “Dat vind ik een goede ontwikkeling, want je moet verder kijken dan checklists. Nadenken over welke risico’s je loopt, bespreken wat je acceptabel vindt en wat niet en daarop maatregelen treffen, dat past beter bij hoe bestuurders denken en werken.” Raadslid Kees Duijvelaar: “We kijken in de gemeente steeds meer naar outcome in plaats van output. Dus niet primair of we de procedures op orde hebben, maar of we de gewenste resultaten hebben behaald. Als je dat vertaalt naar informatieveiligheid, dan kijken we of de privacy van onze inwoners goed is beschermd en of de informatie die we gebruiken betrouwbaar is. Daar sluit de ontwikkeling naar de BIO goed bij aan.”