De hele overheid het huis op orde

Beeld: Shutterstock

Rob de Werd, afdelingshoofd Regie & Kaderstelling iOverheid binnen het directoraat-generaal Overheidsorganisatie (DGOO) van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties vertelt waarom er straks één baseline is en wat organisaties en de samenleving daarvan merken. “Het is cruciaal dat de overheid goede dienstverlening levert en daar horen veiligheid en privacy bij. Je huis op orde hebben, daar gaat het om. Eén manier om overheidsbreed te zorgen voor dezelfde kwaliteitstandaard is de Baseline Informatiebeveiliging Overheid (BIO). Die zorgt ervoor dat de beveiliging van informatie(systemen) bij alle bedrijfsonderdelen van de overheid wordt verbeterd. De BIO is daarin ook een volgende stap: van afspraken per sector naar afspraken voor één overheid, want dat zijn we tenslotte. Zo kijken Nederlanders er ook naar: dienstverlening staat voorop, welke organisatie het levert komt daarna. Voordeel is ook dat er minder administratie nodig is, er bestaan straks immers minder verschillen in de normen die er zijn bij de overheid. Dat sluit ook goed aan op internationale regelgeving. Kortom, hiermee is een betekenisvolle stap gezet. De BIO staat overigens niet op zich, maar in samenhang met andere maatregelen rond informatieveiligheid. Zie daarvoor de Kamerbrief ‘Verhogen informatieveiligheid bij de overheid’ van de staatssecretaris Knops.”

De Werd prijst de samenwerking bij de totstandkoming van de nieuwe baseline. “De BIO is een uitkomst van samenwerking tussen alle overheids-lagen en uiteindelijk vastgesteld in de ministerraad. Mooi om te zien dat professionals en professionele gemeenschappen uit alle hoeken van de overheid hebben meegeholpen. Die samenwerking blijft overigens bestaan omdat wat ‘veilig’ voor de overheid betekent steeds wat zal veranderen. De BIO moet worden onderhouden en ook dat doen we samen.”

Verschillen

De Werd schetst een aantal belangrijke verschillen ten opzichte van de oude baselines. “Zo wordt het risicomanagement hanteerbaar en efficiënt gehouden. Er worden drie beveiligingsniveaus voor informatiesystemen onderkend die proportioneel zijn aan de te beschermen belangen, gekoppeld aan relevante dreigingen. Bijvoorbeeld op niveau één is de verantwoordelijke voor een proces volledig zelf aan zet bij het nemen van beslissingen en hij informeert incidenteel de CISO over de stand. Bij niveau twee wordt een nieuw informatiesysteem eerst ter consultatie voorgelegd aan de CISO. En bij niveau drie geldt bij het verwerken van bijzondere informatie een bepaalde toestemming vooraf. Verder is het aantal verplichte overheidsmaatregelen opgeschoond. De Baseline voor het Rijk had er 270, terwijl niveau één van de BIO nu 71 verplichte maatregelen heeft en niveau twee 136. Ook helpt het in de nieuwe situatie dat er specifieke rollen zijn toebedeeld bij de verantwoordelijkheid voor de uitvoering. Dat vergroot de helderheid, zeker nu het overheidsbreed vergelijkbaar is.”

Want niet de overheidslaag bepaalt wat relevant is, maar het risicomanagement: dat bepaalt welke maatregelen nodig zijn. Dus de eigenaar van een informatiesysteem kiest vanuit een risicoafweging welke maatregelen moeten worden genomen om met een risico om te gaan. Bijvoorbeeld risico’s ten aanzien van het gebruik van speciale toegangsrechten of van malware. De verzameling van te nemen maatregelen bevat in ieder geval de bij dat onderdeel horende overheidsmaatregelen. Met andere woorden: door deze uniforme uitwerking kunnen overheden vanuit een basisaanpak zelf aan de slag met hun informatie-veiligheid en de relevantie voor hun eigen systemen bepalen.”

De verschillende overheidslagen zijn per 1 januari 2019 met de invoering begonnen, volgens een door elke overheidslaag zelf opgesteld plan. De verwachting is overigens dat de baseline geen radicaal nieuwe werkelijkheid oplevert. De BIO is gebaseerd op dezelfde ISO-norm (ISO27002) als eerdere baselines. Ondanks dat blijft een goede voorbereiding op de implementatie nodig. “Je begint met een beveiligingstoets om het niveau (één, twee of drie) te bepalen. Daarna kies je per informatiesysteem de relevante maatregelen. Vervolgens kan een 0-meting worden uitgevoerd. Per overheidslaag is met een overzicht het verschil tussen de oude baseline en de BIO inzichtelijk. Het resultaat van de 0-meting is input voor een verbeterplan”, legt De Werd uit.

Tot besluit wijst hij op de rol van de bestuurder: “Als bestuurder ben en blijf je verantwoordelijk voor de veilige verwerking van informatie binnen je organisatie. Als er al een beveiligingsorganisatie was, er al een information security management systeem was ingericht, en op basis van risicomanagement werd bepaald welke maatregelen (uit die oude baseline) van toepassing waren, dan verandert de komst van de BIO niets aan die rol.”

CIP ondersteunt

Om zo goed mogelijk te ondersteunen bij de invoering, is er – met ruimte voor de behoeftes van de organisaties waar het over gaat – een interbestuurlijk ondersteuningsprogramma opgezet. Het mooie is dat elke overheidslaag capaciteit inzet voor het ondersteuningsprogramma. Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) voert dit programma uit in opdracht van de directie Informatiesamenleving en Overheid (ministerie van Binnenlandse Zaken en Koninkrijksrelaties). CIP-directeur Ad Reuijl: “Het gaat om het aanjagen van de implementatie, maar zeker ook over kennisverbreding. We doen dit op de manier en met de middelen die typerend zijn voor het CIP. Met workshops, materialen, rondetafel-bijeenkomsten, de website, de kracht het netwerk. Inmiddels hebben we ook een speciale website in het leven geroepen: https://bio-overheid.nl/. Daarop staan onder andere links naar overheidssites waar practices zijn te vinden. Met de inter-bestuurlijke ‘Werkgroep-BIO’ vertalen we de verschillende thema’s in de BIO naar nuttige handreikingen die iedereen kan gebruiken bij de invoering. Dan kan het gaan over toegangsbeveiliging, hosting, applicatieontwikkeling, dat soort zaken. Deze uitwerkingen bieden een grote compleetheid en samenhang. En er is uiteraard speciale aandacht voor de bestuurder. De Informatie Beveiligingsdienst (IBD) van VNG heeft daar een aantal principes voor geformuleerd die ik vertaald heb naar vijf ‘opdrachten’ (zie kader) die de kern weergeven van de rol die bestuurders hebben bij Informatieveiligheid.”

Meer weten:
• Kamerbrief over verhogen informatieveiligheid bij de overheid
• Toepassen van de Baseline Informatiebeveiliging Overheid in het digitale verkeer met het Rijk

Rol van bestuurders bij Informatieveiligheid

De bestuurder bevordert een veilige cultuur door:
• een voorbeeldfunctie te vervullen en uit te dragen dat risicomanagement van iedereen is;
• te zorgen voor een cultuur waarin iedereen vrij is om dreigingen waar te nemen en te melden. In eerste instantie bij de verantwoordelijke, maar indien nodig ook bij de bestuurder;
• managers aan te sporen om voorwaarden te scheppen waardoor iedereen binnen de organisatie deelgenoot wordt van het proces van risicomanagement;
• ervoor te zorgen dat fouten besproken kunnen worden zodat er een lerende organisatie ontstaat;
• het goede voorbeeld te geven van hoe je verantwoordelijk omgaat met informatie.

De bestuurder stelt risicomanagement centraal door:
• ervoor te zorgen dat risicomanagement geformaliseerd wordt binnen de hele organisatie en in de ketens, met een duidelijke verdeling van verantwoordelijkheden en heldere besluitvorming;
• te zorgen dat besluiten over de omgang met risico’s expliciet genomen en vastgelegd worden;
• risicomanagement naadloos aan te laten sluiten op de strategische en beleidsmatige doelstellingen van de organisatie: daardoor ontstaat er een duidelijk kader waarbinnen medewerkers kunnen opereren.

De bestuurder ziet informatie-beveiliging als een proces door:
• risicomanagement cyclisch te maken waardoor het mogelijk wordt om te reageren op veranderingen en toekomstgericht sturen;
• risicomanagement op de agenda te zetten: omstandigheden en dus risico’s wijzigen voortdurend waardoor evaluatie geregeld noodzakelijk is.

De bestuurder zorgt voor toereikend budget door:
• voldoende resources beschikbaar te stellen om onderkende risico’s adequaat te behandelen;
• middelen beschikbaar te maken voor maatregelen die nodig zijn wanneer een risico een bedreiging is voor de organisatiedoelstellingen.

De bestuurder controleert en evalueert door:
• opdracht te geven om de werking van risicomanagement binnen de organisatie op effectiviteit en efficiency te (laten) controleren. Naast managementrapportages zijn (externe) controles de manier om te weten of en hoe het uitgedragen beleid in de praktijk werkt;
• goed geïnformeerd risico’s en belangen af te wegen, verantwoordelijkheid te nemen en knopen door te hakken.

Deze bijdrage is te vinden in iBestuur magazine 31

iBestuur Congres

Tijdens het iBestuur Congres op woensdag 3 juli komt de BIO ook terug in de sessie Workshop Baseline Informatiebeveiliging Overheid