DE ROL VAN BIO IN OVERHEIDSORGANISATIES
In de afgelopen kerstvakantie las ik het boek Het is oorlog maar niemand die het ziet van NRC journalist Huib Modderkolk. Zie hier een goede recensie. Het is een boek over de schaduwkant van het internet, en daarmee eigenlijk verplichte literatuur voor elke zichzelf respecterende CISO. Maar ook de manager of toezichthouder van iedere denkbare organisatie zal absoluut baat bij dit boek hebben. Het heeft mij er vooral bewust van gemaakt van de enorme kwetsbaarheid van overheidsorganisaties.
Informatiesystemen
Juist in deze tijd zijn data en informatiesystemen cruciaal voor het goed functioneren van overheidsorganisaties. Hierdoor wordt het steeds essentiëler om continuïteit van de bedrijfsprocessen heel goed te bewaken. Daarnaast moet de beveiliging passend zijn en uiteraard in lijn met de wet- en regelgeving. Om dit mogelijk te maken is onlangs de BIO ontstaan die hier de criteria voor dicteert. Na het lezen van de BIO en de richtlijnen staat mij dan ook een zeer uitgeschreven en concrete aanpak voor ogen.
De achtergrond van BIO
Er bestond al enorm veel normering maar onlangs is deze juist samengevoegd in de Baseline Informatiebeveiliging Overheid (BIO). In deze BIO zijn twee heel belangrijke keuzes gemaakt, namelijk een sterke focus op governance en een sterke focus op risicomanagement. De ISO27002 is letterlijk overgenomen en bevat een concrete uitwerking van de 114 mogelijke beheersmaatregelen (controls).
Governance
De BIO creëert veel meer duidelijkheid over de governance rondom informatiebeveiliging (die nadrukkelijk bij bestuurders of lijnmanagers ligt). In de handreiking van de VNG “10 bestuurlijke principes voor informatiebeveiliging ” wordt hun rol klip en klaar uitgelegd. Los van de harde principes wordt er concreet gemaakt wat er nu werkelijk juist verwacht wordt.
De bestuurder is verantwoordelijk voor een veilige informatievoorziening. Het is daarom aan de bestuurder om de risicobereidheid te bepalen en daarmee te controleren of de maatregelen binnen de organisatie de risico’s terugbrengen tot een voor de bestuurder acceptabel niveau. Overschrijding van dat niveau vereist expliciete besluitvorming.
Risicosturing
Maar waar nu te beginnen? Risicosturing wordt terecht als basis gebruikt bij het stellen van de juiste prioriteiten. Er dient een continu proces van identificatie en beoordeling van risico’s plaats te vinden. Denk hierbij bijvoorbeeld aan de volgende risico’s:
- privacy schendingen door een datalek
- informatie die niet integer is en/of het in verkeerde handen vallen van deze informatie
- gijzeling van belangrijke data
- economische schade door het uitlekken van vertrouwelijke plannen en documenten
- fysieke schade door storingen in systemen in de openbare ruimte
In de BIO zijn op basis van de risico’s (generieke schades en dreigingen) een drietal standaard basisbeveiligingsniveaus (BBN’s) gedefinieerd met de bijbehorende beveiligingseisen die moeten worden ingevuld. Per informatiesysteem bepaalt het lijnmanagement het BBN.
Restrisico’s
Ná de analyse wordt bepaald wat nodig is qua beheersing en controls en hoe aan de beveiligingsdoelstelling van de control voldaan kan worden. Natuurlijk zijn risico’s nooit helemaal weg te nemen. Van de restrisico’s moet boven alles bepaald worden of ze acceptabel zijn. Dit alle behelst een continu proces waarbij het lijnmanagement ervoor moet zorgen dat steeds de Plan-Do-Check-Act cyclus wordt doorlopen. Ten slotte moet verantwoording worden afgelegd over de risicoafweging en over de effectieve invulling van de controls.
Tot slot
Hoewel er enorm veel aandacht naar de IT uitgaat blijft de mens toch vaak gewoon het grootste gevaar. Bewustwording is daarmee een uitermate belangrijke control. Wellicht dat het verplicht lezen van het boek Het is oorlog maar niemand die het ziet dit bewustzijn tot nog grotere hoogtes kan stuwen.
Daarnaast lijkt het nu belangrijker dan ooit om als risicomanager (vanuit control of vanuit financiën) nadrukkelijk de verbinding met de CISO te zoeken.
