Het afgelopen jaar is bij gemeenten veel aandacht uitgegaan naar het werken volgens de nieuwe landelijke verantwoordingsmethodiek ENSIA (Eenduidige Normatiek Single Information Audit). Met deze methode kunnen gemeenten zich jaarlijks via een zelfevaluatie en een audit verantwoorden aan de gemeenteraad en de inwoners over de status van de informatieveiligheid. Ook wordt de methode gebruikt ter verantwoording aan landelijke toezichthouders. Op 1 mei 2018 is de verantwoordingsfase over 2017 afgerond. Het is nu wachten op de reactie van de toezichthouders en de eventueel uit te voeren verbeterplannen indien een gemeente niet voldoet op bepaalde punten. Hierna begint de verantwoordingscyclus opnieuw.
Gemeenten zijn kwetsbaar op het thema informatieveiligheid
Omdat ENSIA nieuw was, heeft dit met name de gemeentelijke ENSIA-coördinatoren veel tijd gekost. Meestal vervult de Chief Information Security Officer (CISO) de taak van ENSIA-coördinator. Zij zijn daarmee ook verantwoordelijk voor het oppakken van allerlei ad-hoc-vraagstukken over informatieveiligheid binnen de organisatie, het (deels) afhandelen van datalekken en natuurlijk de alomvattende implementatie van de BIG. Door de introductie van ENSIA was minder tijd beschikbaar voor de implementatie van de BIG, waardoor dit bij veel gemeenten is gestagneerd. Des te meer omdat er voor alles wat betreft informatieveiligheid naar de CISO wordt gekeken en eigenlijk alleen de CISO daar tot nu toe ‘last’ van heeft. De rol en het takenpakket van de CISO is nog relatief nieuw en onbekend bij veel bestuurders, directieleden en managers en staat wat verder van hen af. De CISO heeft daarom binnen de organisatie vaak minimale capaciteit toegewezen gekregen. Daarnaast wordt de rol vaak nog door een externe ingevuld die op een gegeven moment weg zal zijn, waardoor alle kennis indien niet goed geborgd mogelijk in één keer weg zal zijn. Dit alles zorgt voor kwetsbaarheid binnen de organisatie.
Het belang van een goede informatiebeveiligingsorganisatie
Het implementeren en vooral ook structureel borgen van informatieveiligheid binnen de organisatie zou dus nooit alleen bij de CISO moeten liggen. Toch neemt de CISO vaak nog trouw elk aapje op zijn schouder, omdat hij er nou eenmaal alleen voor staat en over het algemeen een groot verantwoordelijkheidsgevoel heeft. Het gevolg is dat veel CISO’s momenteel ‘verzuipen’ en hooguit aan ‘ad-hoc en projectmatig implementeren’ toe komen maar nog zeker niet aan een structurele borging.
Om dit te doorbreken moet een cultuuromslag plaatsvinden binnen organisaties. De CISO heeft formeel immers de rol van adviseur en coördinator en is niet verantwoordelijk voor de uitvoering. Afdelingen zijn zelf verantwoordelijk voor de informatieveiligheid op hun eigen afdeling; zij hebben hier zelf ook het meeste zicht op.
Daarom is een soort kwaliteitsmedewerker informatieveiligheid per afdeling nodig: een eerstelijns contactpersoon die, vanuit een nieuwe rol als verlengstuk van de (tweedelijns) CISO, verantwoordelijk is voor het adviseren en afvangen van vragen van collega’s van de eigen afdeling. Daarnaast zou deze kwaliteitsmedewerker verantwoordelijk moeten zijn voor het (in overleg met de CISO) cyclisch opstellen, uitvoeren, evalueren en bijstellen van benodigde maatregelen op het gebied van informatieveiligheid binnen de eigen afdeling (ofwel de implementatie en structurele borging van de BIG). Zie het als een nieuw onderdeel van de structurele kwaliteitszorg om informatieveiligheid in het DNA van de eigen processen, applicaties en gegevensverzamelingen en vooral ook medewerkers te kunnen krijgen. Het voordeel van deze werkwijze is dat je zo in ambassadeurs en kennisopbouw binnen de afdelingen voorziet, wat ook de bewustwording binnen de afdelingen ten goede komt. Bewustwording vormt namelijk nog altijd de sleutel tot een goede informatieveiligheid. Zoals al aangegeven is deze decentrale kennisopbouw ook belangrijk omdat anders alle kennis alleen bij de CISO ligt. Overigens is deze manier van organiseren ook aan te raden voor het structureel borgen van privacy(wetgeving) binnen de organisatie.
Op naar een volgend niveau van volwassenheid op het thema informatieveiligheid
Om deze manier van werken te realiseren zal een informatieveiligheidsorganisatie opgetuigd moeten worden. In mijn ervaring is dit de meest moeizame stap die gemeenten momenteel moeten doorlopen. Het opstellen van documenten met standaarden, procedures en richtlijnen voor informatieveiligheid (‘opzet’) is immers meestal het probleem niet. Het organiseren dat de organisatie binnen de afdelingen ook daadwerkelijk op de vastgestelde manier werkt (‘bestaan’ en ‘werking’) is echter veel lastiger. Dat kan de CISO immers niet alleen.
De CISO zal de directie en het lijnmanagement dan ook bewust moeten maken van het feit dat deze nieuwe werkwijze onvermijdelijk is. Omdat dit organisatiebreed extra formatie kost, staan managers hier meestal niet om te springen, want de formatie op hun afdeling staat vaak al onder druk. Wanneer deze stap echter met succes wordt doorlopen en de informatieveiligheidsorganisatie staat, duidt dit op een hoger volwassenheidsniveau van de organisatie. Het maakt de lijnmanagers ambassadeurs van informatieveiligheid. Zij erkennen op deze wijze het belang van een goede informatieveiligheid binnen de afdeling en hun eigen verantwoordelijkheid en rol daarin. Dat lijnmanagers zich als ambassadeur opstellen en het goede voorbeeld uitdragen is van cruciaal belang. Niet alleen om bewustwording te creëren, maar ook om de houding en het gedrag van medewerkers ten opzichte van informatieveiligheid te veranderen.
Meer weten?
Voor meer informatie kunt u contact opnemen met Roald Schel, adviseur bij Telengy, via tel. nr. 06 28 42 18 62 of via e-mail: r.schel@telengy.nl.