Inmiddels is het eerste kwartaal van het overgangsjaar alweer bijna verstreken, waarin overheden overgaan op de gezamenlijke Baseline Informatiebeveiliging Overheid (BIO). Lokale overheden, waaronder veel gemeenten, werken hard aan de informatieveiligheid binnen (en ook buiten) de organisatie. Telengy ziet in het veld dat er nog steeds grote stappen gezet worden, in steeds meer gevallen met directe ondersteuning van onze adviseurs. Tegelijkertijd zien we dat het soms toch nog een uitdaging kan zijn om informatieveiligheid ook hoog op de agenda te houden.
Wat dat betreft is de BIO een uitstekende gelegenheid om informatieveiligheid weer onder de aandacht te brengen van de hele organisatie, van medewerker tot bestuurder. De BIO krijgt veel meer een verplichtend karakter dan de BIG en dat brengt ook meer urgentie met zich mee. Daarbij is het essentieel voortdurend stappen te blijven zetten als organisatie op het gebied van informatiebeveiliging. Tegelijkertijd moet je er soms ook voor waken dat je niet te hard gaat, anders raak je de medewerkers kwijt. Het vinden van een modus waarin je de organisatie goed meekrijgt is van groot belang. Het kan daarbij in sommige gevallen helpen om verandertrajecten op te knippen en meer stapsgewijs te werk te gaan. In een organisatie waar al veel verandert, kan het waardevol zijn om al doende te leren.
Veilig worden door te leren
Het gaat er niet om dat de maatregelen die je implementeert gelijk perfect zijn. Het gaat erom dat je als organisatie bewust keuzes maakt en blijft monitoren of je het gewenste resultaat bereikt met de genomen maatregelen. Bij veel maatregelen zal er een zorgvuldige afweging gemaakt moeten worden tussen de beveiligingsrisico’s en de belangen vanuit de werkprocessen, zoals onder meer efficiëntie en ook gebruikersgemak. Die twee zaken zijn niet noodzakelijk tegenpolen, maar de belangen kunnen wel conflicteren. Als dat gebeurt kan er weerstand ontstaan bij de medewerkers die het werkproces uitvoeren en dat zijn bij uitstek de collega’s die je nodig hebt om informatiebeveiliging echt tot een succes te maken.
Vergeet niet dat je als organisatie altijd de vrijheid hebt om maatregelen opnieuw te evalueren en bij te stellen. Op het moment dat je op een bewuste manier met informatiebeveiliging bezig bent, kan dit je als organisatie helpen om echt te groeien in volwassenheid op dit gebied en echt veiliger te werken. Toch kan het lastig zijn om ineens (grote) veranderingen door te voeren. Ook in de organisatie moet een bepaalde mate van urgentie gevoeld worden om deze veranderingen goed geadopteerd te laten worden.
Aanhaken bij bestaande veranderingen
Momenten waarop er veranderingen plaatsvinden in de informatievoorziening van de organisatie kunnen een uitstekend moment zijn om (grote) veranderingen in de informatiebeveiliging te bewerkstelligen. Kiest een organisatie ervoor om (meer) te gaan flexwerken? Een uitstekend moment om in gesprek te gaan over spel- en gedragsregels rondom het gebruik van ICT-middelen. Stapt de gemeente over op een VDI (Virtual Desktop Infrastructure) met twee-factor authenticatie? Wellicht kan dan bij meer applicaties single sign-on gehanteerd worden.
Als verantwoordelijke voor informatiebeveiliging kan het je enorm helpen om waar mogelijk aan te sluiten bij bestaande veranderingen binnen de organisatie. Het is in die gevallen geen verrassing dat er zaken veranderen en dan is het ook niet zo gek als daar nieuwe afspraken omtrent informatiebeveiliging bij horen.
Meer weten?
Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy, via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.