Op naar een hoger niveau

Informatiebeveiliging is risicomanagement, maar komen we daar wel (voldoende) aan toe? We weten dat afhankelijk van de context, scope en risico’s passende beheersmaatregelen getroffen moeten worden. In de Baseline Informatiebeveiliging Overheid (BIO) komt dan ook het concept van risicomanagement, als ook lijnverantwoordelijkheid, nadrukkelijker naar voren dan in de baselines die momenteel gelden per overheidslaag.

Maar als we het over risico’s hebben, dan is een risico dat we niet (voldoende) aan risicomanagement doen. Als we het Dreigingsbeeld 2018 en 2019/2020 van de Informatiebeveiligingsdienst (IBD) erbij pakken, dan zien we daarin ook welke risico’s daar aan ten grondslag liggen, namelijk:
• De waan van de dag leeft
• Te veel werk voor te weinig mensen

Dit betekent dat in de praktijk de CISO vooral druk is met operationele aangelegenheden, waaronder steeds het blussen van (andermans) brandjes. Kom hier maar eens uit als je als organisatie verder ook te maken hebt met risico’s die het Dreigingsbeeld verder schetst, zoals:
• De complexiteit (van de IT-omgeving) neemt toe
• Aanvallen zijn succesvol door ontbreken basismaatregelen

We weten wel wat we moeten doen, maar we kunnen de cyclus niet doorbreken om het ook zo te doen. De praktijk is namelijk veel weerbarstiger.

Waar beginnen we?

Waar moet je beginnen als je van informatieveiligheid een strategisch thema wil maken en op de agenda van bestuur en management wil krijgen/houden?

Doe wat je eigenlijk niet wil doen

Naar mijn mening is dit in de praktijk alleen mogelijk door eerst meer risico’s en incidenten te accepteren. Accepteer nu even dat bij de inkoop van producten en diensten informatiebeveiliging niet aan de voorkant goed is ingeregeld. Accepteer dat een aantal projecten die nu gaan starten niet gaat voldoen aan de informatiebeveiligingsvereisten. Laat gaan…laat gaan…’Micromanagement’ kun je er nu gewoon niet bij hebben als je een hoger niveau voor ogen hebt.

De CISO zal in eerste instantie komend jaar minder tijd aan de operationele zaken moeten besteden en de waan van de dag laten voor wat het is. Er is namelijk te veel werk te doen. Daarom moet de focus gaan liggen op het opzetten, implementeren en onderhouden van het information security management system op basis van risicomanagement en de pdca-cyclus.

Stappenplan

Met onderstaande stappen hoop ik anderen te ondersteunen in hun gedachten hoe zij informatieveiligheid naar een hoger niveau te tillen.

1 Wil je naar een hoger niveau? Accepteer dan eerst dat je naar een lager niveau gaat
Maak eerst een plan waarin je uitwerkt wat randvoorwaardelijk is om informatieveiligheid structureel naar een hoger niveau te tillen. Werk aan die randvoorwaarden en beschrijf in het plan dat dit betekent dat er voorlopig geen tijd is om specifieke risicoanalyses te doen voor projecten, inkoop, en dergelijke. Dit plan bespreek je met het management. Het accepteren van specifieke risico’s is namelijk een managementaangelegenheid. Het is ook een managementaangelegenheid om een plan te fiatteren om toekomstbestendig te zijn ten aanzien van grotere risico’s.

2 Werk het proces van risicomanagement uit
Pak de ISO 27001 (en als kan ook de ISO 31000) erbij. Lees die eens door en werk uit hoe risicomanagement binnen jouw organisatie vorm moet krijgen.

3 Even geen BIA’s en baselinetoetsen; maar doe één risicoanalyse
Start klein. Het dreigingsbeeld geeft aan dat de basis vaak nog niet op orde is. Het heeft mijn inziens geen zin om allerlei baselinetoetsen uit te voeren, hoewel ik tegelijk de toegevoegde waarde er ook van in zie. Met de baselinetoets toets je namelijk in hoeverre iets aan de baseline voldoet. Maar als de baseline er nog niet ligt, werk dan eerst maar aan die baseline. Doe eens per jaar (of per tweejaar) een risicoanalyse op concernniveau met een aantal medewerkers (van onder meer interne control, facilitair, P&O, functioneel beheer, ICT). Breng in kaart op basis, bijvoorbeeld op basis van MAPGOOD, welke risico’s de organisatie kent en welke basiscontrols geïmplementeerd moeten worden.

4 Bespreek de risico’s met MT
Bespreek de gevonden risico’s met het management en voeg hieraan een advies toe van welke basiscontrols noodzakelijk zijn en welke afdelingen deze behoren te implementeren (lijnverantwoordelijkheid).

5 Adviseer, monitor, rapporteer en coördineer
Op basis van het uitgewerkte risicomanagementproces (conform de ISO 27001) adviseer je bij de implementatie, zie je toe op de implementatie en rapporteer je aan management per kwartaal de voortgang (pdca-cyclus). Als CISO heb je hierin een coördinerende verantwoordelijkheid, waarbij je regie voert op het risicomanagementproces. Dit doe je namens het management, zodat management zicht heeft op de risico’s en bepaalt welke risico’s zij accepteren en welke niet.

6 Even geen ENSIA
Hiermee wordt niet bedoeld om helemaal niks te doen aan ENSIA. Maar als we terug gaan naar de essentie van informatiebeveiliging (zoals ook verwoord in de BIO) dan is informatiebeveiliging risicomanagement en een lijnverantwoordelijkheid. Ik denk dat veel gemeentelijke CISO’s ook ENSIA-coördinator zijn. Wellicht ook security officer Suwi en beveiligingsbeheerder BRP/PNIK. Met wat geluk wordt de CISO ook verantwoordelijk gehouden voor het voldoen aan de DigiD-eisen. Maar de CISO is geen eigenaar van al deze systemen. Die eigenaarschap ligt in de lijn. Coördineer hooguit de uitvraag van de ENSIA-vragen, maar voel je niet verantwoordelijk voor het beveiligingsniveau van deze systemen. Wil je risicomanagement naar een hoger niveau tillen, accepteer dan dat wanneer je loslaat eerst een aantal risico’s gaat ontstaan. Die zijn nodig om zaken weer terug in de lijn te leggen. Op die manier kun je als CISO langzaamaan risicomanagement vormgeven en gaat management meer sturen op risico’s.

Ooit heb ik bijvoorbeeld Logius verwonderd aan de telefoon toen ik hen vroeg om ‘mijn’ organisatie van DigiD af te sluiten. Zo’n vraag hadden ze nog niet eerder gehad. Maar de volgende dag waren we afgesloten. Ineens was het effect overal voelbaar. De raad ging vragen stellen aan de portefeuillehouder omdat de dienstverlening achteruit ging. Communicatie zat op de woordvoering. De front-office moest hun proces aanpassen want inwoners moesten nu aan de balie bijvoorbeeld hun verhuizingen doorgeven (extra administratieve last). Management ging sturen en in vrij korte tijd waren we ineens wel compliant en voldeden we aan eisen die toen golden voor DigiD. Mijn gecontroleerde actie maakte mij geen slechtere CISO; integendeel. Soms moet je optreden, dat is je rol als CISO. Een en ander is sindsdien structureel beter geborgd op operationeel niveau.

Youri Lammerts van Bueren heeft als CISO veel ervaring met informatiebeveiliging binnen de overheid. Dankzij een achtergrond in bedrijfskunde en informatiemanagement kan hij informatieveiligheid begrijpelijk maken voor bestuurders en beleidsmakers.