Contact NARIS
Contact
Email to
info@naris.com
Wat betekent de Baseline Informatiebeveiliging Overheid (BIO) nu eigenlijk?

Wat betekent de Baseline Informatiebeveiliging Overheid (BIO) nu eigenlijk?

Terug naar overzicht | | | Reageer op dit bericht

DE ROL VAN BIO IN OVERHEIDSORGANISATIES

Afgelopen kerstvakantie las ik het boek Het is oorlog maar niemand die het ziet van NRC journalist Huib Modderkolk. Zie hier een recensie. Een boek over de schaduwkant van het internet, en daarmee verplichte literatuur voor elke zichzelf respecterende CISO. Maar ook de manager of toezichthouder van iedere denkbare organisatie zal baat bij dit werk hebben. Het heeft mij vooral bewust gemaakt van de enorme kwetsbaarheid van overheidsorganisaties.

BIO Governance en risicomanagement

Informatiesystemen

In deze tijd zijn data en informatiesystemen cruciaal voor het functioneren van overheidsorganisaties. Hierdoor wordt het steeds essentiëler om continuïteit van de bedrijfsprocessen goed te bewaken. Daarnaast moet de beveiliging passend zijn en in lijn met de wet- en regelgeving. Om dit mogelijk te maken is onlangs de BIO ontstaan die hier de criteria voor dicteert. Na het lezen van de BIO en de richtlijnen staat mij dan ook een zeer uitgeschreven en concrete aanpak voor ogen.

De achtergrond van BIO

Er bestond al enorm veel normering maar onlangs is deze samengevoegd in de Baseline Informatiebeveiliging Overheid (BIO). In deze BIO zijn twee belangrijke keuzes gemaakt, namelijk een sterke focus op governance en risicomanagement. De ISO27002 is letterlijk overgenomen en bevat een concrete uitwerking van de 114 mogelijke beheersmaatregelen (controls).

Governance

De BIO creëert meer duidelijkheid over de governance rondom informatiebeveiliging (die nadrukkelijk bij bestuurders of lijnmanagers ligt). In de handreiking van de VNG “10 bestuurlijke principes voor informatiebeveiliging ” wordt hun rol klip en klaar uitgelegd. Los van de harde principes wordt er concreet gemaakt wat er nu werkelijk verwacht wordt.

De bestuurder is verantwoordelijk voor een veilige informatievoorziening. Het is daarom aan de bestuurder om de risicobereidheid te bepalen en daarmee te controleren of de maatregelen binnen de organisatie de risico’s terugbrengen tot een voor de bestuurder acceptabel niveau. Overschrijding van dat niveau vereist expliciete besluitvorming.

Risicosturing

Maar waar te beginnen? Risicosturing wordt terecht als basis gebruikt bij het stellen van de juiste prioriteiten. Er dient een continu proces van identificatie en beoordeling van risico’s plaats te vinden. Denk hierbij bijvoorbeeld aan de volgende risico’s:

  • privacy schendingen door een datalek
  • informatie die niet integer is en/of het in verkeerde handen vallen van deze informatie
  • gijzeling van belangrijke data
  • economische schade door het uitlekken van vertrouwelijke plannen
  • fysieke schade door storingen in systemen in de openbare ruimte

In de BIO zijn op basis van de risico’s (generieke schades en dreigingen) een drietal standaard basisbeveiligingsniveaus (BBN’s) gedefinieerd met bijbehorende beveiligingseisen die moeten worden ingevuld. Per informatiesysteem bepaalt het lijnmanagement het BBN.

Restrisico’s

Ná de analyse wordt bepaald wat nodig is qua beheersing en controls en hoe aan de beveiligingsdoelstelling van de control voldaan kan worden. Natuurlijk zijn risico’s nooit helemaal weg te nemen. Van de restrisico’s moet boven alles bepaald worden of ze acceptabel zijn. Dit alle behelst een continu proces waarbij het lijnmanagement ervoor moet zorgen dat steeds de Plan-Do-Check-Act cyclus wordt doorlopen. Ten slotte moet verantwoording worden afgelegd over de risicoafweging en over de effectieve invulling van de controls.

Tot slot

Hoewel er enorm veel aandacht naar IT uitgaat blijft de mens toch vaak het grootste gevaar. Bewustwording is daarmee een uitermate belangrijke control. Wellicht dat het verplicht lezen van het boek Het is oorlog maar niemand die het ziet dit bewustzijn tot grotere hoogtes kan stuwen.

Daarnaast lijkt het nu belangrijker dan ooit om als risicomanager (vanuit control of financiën) nadrukkelijk de verbinding met de CISO te zoeken.


Robert 't Hart

Wat betekent de Baseline Informatiebeveiliging Overheid (BIO) nu eigenlijk?
Robert ’t Hart is directeur van Naris. Hij is een veel gevraagde spreker op congressen vanwege zijn positieve kijk op het onderwerp risicomanagement. Daarnaast is hij een enthousiaste blogger over de nieuwste ontwikkelingen. Als docent is Robert verbonden aan de Universiteit Twente en Haagse Hogeschool en tevens is hij trainer aan de Naris Risk Academy. Hij is thuis op het gebied van governance en risicomanagement en helpt organisaties bij het daadwerkelijk implementeren daarvan. Risico-cultuur en het creëren van draagvlak behoort tot zijn expertise.

De mogelijkheid om te reageren is bij dit bericht uitgezet