Telengy-adviseur Roald Schel was het afgelopen half jaar de CISO van de gemeente Heerlen. Roald heeft zich in die periode gericht op het verbeteren van de informatieveiligheid. De ambitie van de gemeente Heerlen is om zo snel mogelijk BIG-compliant te zijn (De BIG gaat op in de Baseline Informatiebeveiliging Overheid (BIO) met 2019 als overgangsjaar). Dit wil zeggen dat de gemeente heeft beschreven hoe de BIG-maatregelen worden toegepast (opzet) maar dat de maatregelen ook aantoonbaar worden toegepast in de praktijk (bestaan).
Nulmeting BIG
Toen Roald aan de slag ging, waren de maatregelen grotendeels in documenten beschreven, maar nog zeker niet allemaal ingebed in de praktijk. Er was op dit moment nog geen beeld van in hoeverre deze maatregelen in de praktijk al toegepast werden en ook werkbaar waren.
Roald vertelt: “In eerste instantie zou de opdracht 3 maanden duren. In een korte periode kun je relatief weinig meters maken met de implementatie van de BIG en zul je je moeten focussen op specifieke te behalen resultaten. Zeker omdat ik vanuit mijn functie als CISO ook andere verantwoordelijkheden heb, zoals het geven van (gevraagde en ongevraagde) ad-hoc adviezen.”
Roald is daarom begonnen met het uitvoeren van een nulmeting (door Roald zelf ontwikkeld) op de BIG-implementatie, omdat deze er niet was. Zo zou de gemeente in de volle breedte in beeld krijgen in hoeverre de BIG-maatregelen al geïmplementeerd waren. Tijdens de nulmeting is niet alleen de stand van zaken in beeld gebracht, maar ook per maatregel aangegeven wat er moet gebeuren om de maatregel (verder) te implementeren en de hiervoor benodigde vervolgacties zijn zoveel mogelijk in gang gezet. Ook is nu in beeld waar de grootste risico’s liggen op maatregelniveau. Hij vult aan: “De uitgevoerde nulmeting maakt daarmee een risicogedreven aanpak mogelijk. Mijn opvolger kan nu voor de verdere implementatie op basis van risico’s prioriteren en ook beter aan het management rapporteren over de mate van de implementatie van de BIG met behulp van een spindiagram.”
Organisatie voor informatieveiligheid en privacy (IV&P)
Roald heeft zich daarnaast gefocust op het samen met collega’s inrichten van een organisatie voor informatieveiligheid en privacy. De organisatie van informatieveiligheid en privacy in Heerlen bestaat uit het Informatieveiligheid en Privacy Team (de CISO, Security Officers, FG en Privacy Officers). Zij werken nauw samen, omdat veel onderwerpen een gezamenlijke aanpak vereisen. De organisatie bestaat ook uit de (in totaal 14) Contactpersonen Informatieveiligheid en Privacy (CIV&P), die zijn benoemd vanuit de afdelingen als eerste aanspreekpunt voor onderwerpen die gerelateerd zijn aan informatieveiligheid en privacy. Zij worden getraind om informatieveiligheid en privacy in de werkprocessen van de afdeling te implementeren en om vragen binnen de afdeling af te kunnen vangen.
Het Informatieveiligheid en Privacy Team is vervolgens adviserend vanuit de tweede lijn. Het team en de contactpersonen komt drie- tot vierwekelijks bijeen om de voortgang van de implementatie van informatieveiligheid en privacy en actuele vraagstukken te bespreken. Roald heeft de rol van voorzitter van het overleg op zich genomen en speelde een grote rol in het voorbereiden van de overleggen en het coördineren van de daaruit voorgekomen actiepunten.
Roald omschrijft het belang van IV&P als volgt: “De organisatie voor IV&P is nodig om het eigenaarschap voor informatieveiligheid en privacy bij de afdelingen te beleggen. Als je dit niet doet, wordt er voor het uitvoeren van maatregelen en de (eind)verantwoordelijkheid voor deze maatregelen gekeken naar de functionarissen voor informatieveiligheid en privacy, waaronder de CISO. Dat leidt tot een onwenselijke en onmogelijke situatie. De functionarissen voor informatieveiligheid en privacy zijn immers adviserend en coördinerend. De organisatie voor IV&P is overigens ook onmisbaar om de onderwerpen informatieveiligheid en privacy centraal (en dus integraal en efficiënt) op te kunnen pakken binnen de organisatie.”
En nu verder…op naar 2019!
Er is inmiddels een CISO geworven die per 1 november het stokje heeft overgenomen van Roald. De door Roald uitgevoerde nulmeting geeft de nieuwe CISO een goed eerste beeld van de stand van zaken. De nulmeting kan daarnaast dienen als startpunt om het nieuwe ISMS-systeem te vullen dat momenteel geïmplementeerd wordt. Dit systeem biedt de gemeente meer handvatten om de BIG-implementatie te organiseren en te monitoren op voortgang.
Een van de uitdagingen voor de nieuwe CISO is dat de gemeente Heerlen momenteel een reorganisatie doormaakt. Daardoor zullen afdelingen en functies gaan wijzigen, wat natuurlijk ook van invloed is op het eigenaarschap van maatregelen voor informatieveiligheid en privacy, evenals op de samenstelling van de CIV&P.
Uitdagingen als deze maken het vakgebied van informatieveiligheid en privacy volgens Roald nooit saai: “Je bent gericht op het continu doorvoeren van verbeteringen. Dat houdt ook in dat je op basis van externe factoren aanpassingen moet doen. Bijvoorbeeld wanneer de kaders veranderen als gevolg van een interne reorganisatie of de introductie van nieuwe wetgeving. Je bent eigenlijk dus nooit klaar!”.
Meer weten?
Voor meer informatie kunt u contact opnemen met Roald Schel, adviseur bij Telengy, via tel. nr. 06 28 42 18 62 of via e-mail: r.schel@telengy.nl.