Met de BIO bezig blijven: hoe lang?
Een oprechte poging te ontleden waarom dat ‘vaart maken’ voor gemeenten zo verrekte lastig is.
Ja, met de Baseline Informatiebeveiliging Overheid (BIO) ben je nog wel even bezig. Net zoals je daarvoor al de nodige jaren bezig kon zijn met haar voorlopers, waaronder de Baseline Informatiebeveiliging Gemeenten. Zo gingen gemeenten van BIG naar BIO. Cynisch bezien kan je jaren blijven stellen dat je bezig bent met de implementatie, mits het normenkader steeds maar wijzigt. Oude wijn in nieuwe zakken is ons niet vreemd. Vandaag echter nauwelijks cynisme, maar een oprechte poging te ontleden waarom dat ‘vaart maken’ voor gemeenten zo verrekte lastig is.
Voorbeeldgedrag
Het is geen willekeur dat ik met dit onderwerp begin. Tot mijn verbazing zijn we er maar mondjesmaat in geslaagd het management dermate te overtuigen dat zij intrinsiek gemotiveerd zijn geraakt om tijd en middelen te steken in informatiebeveiliging. Je kent hun immer relativerende uitspraken vast wel uit je eigen praktijk. Het belang van informatiebeveiliging mag inmiddels duidelijk zijn toch, denk je dan. Gezien de gedwongen winkelnering bij de overheid moet het toch juist daar op orde zijn! Het angst-argument volstaat echter niet. Het voorbeeldgedrag valt dus tegen en dit dienen we onszelf grotendeels aan te rekenen: een onvoldoende voor business alignment, wat mij betreft. En dat schaadt ons vak want goed voorbeeld doet volgen.
Op bestuurlijk niveau loopt het ook niet echt storm. We blijven steken bij tien goedbedoelde principes en een krappe voldoende voor het inrichten van intern (horizontaal) toezicht door de gemeenteraad. Áls de raad al geïnformeerd wordt. En grasduin eens door een aantal rekenkamerrapporten heen en je zal ontdekken dat we het vanuit daar ook niet gaan redden: te algemene en wollige aanbevelingen in termen als PDCA, ISMS en GRC. Maar vooral: nauwelijks follow-up! Op een enkele pijnlijke kwetsbaarheid die uit een pentest rolt na.
Veiligheidscultuur
Managers en bestuurders die voor de troepen uitlopen zijn essentieel voor de sterkte van de veiligheidscultuur binnen een organisatie. Kai Roer onderscheidt in zijn werk in totaal zeven dimensies van een sterke veiligheidscultuur en zonder het ontstaan van een dergelijke cultuur blijven bewustwordingscampagnes grotendeels mislukken of op z’n best alleen op korte termijn werken. En nee, het is naïef zwaar te willen leunen op de integriteit van mensen als escape.
Als CISO ga je deze cultuur niet in je eentje vormgeven. Daar heb je de tijd niet voor en zeer waarschijnlijk ook de kennis niet. En nog belangrijker: die positie heb je gewoonweg niet. Dat is niet erg, maar het is goed je bewust te zijn van je bescheiden invloed op de veiligheidscultuur. Al je goede initiatieven ten spijt. Dat jij enthousiast bent en het belangrijk vindt verwacht iedereen; het is immers je werk zogezegd. Het zijn de managers en bestuurders die voorop moeten omdat hun voorbeeldgedrag nu eenmaal veel meer impact heeft dan het jouwe.
Het CISO schaap
Alle kunnen en een te lage inschaling
Over de CISO gesproken, die moet werkelijk van alles kunnen. En meestal daarbij accepteren dat hij/zij minstens één schaal te laag is ingeschaald en ofwel geen fulltime dienstverband heeft, ofwel de CISO ‘rol’ mag combineren met iets anders. Als CISO moet je goed overweg kunnen met de veelheid aan instrumenten, formats en templates die beschikbaar zijn vanuit het gemeentelijke CERT (IBD). Ook is het prettig als het goed botert met de privacy collega’s als de Functionaris Gegevensbescherming en de Privacy Officer. Helderheid over wie wat doet en mag is wenselijk.
Bedrijfscontinuïteitsbeheer ligt meestal ook op je bord. Bofkont. En had ik al gezegd dat je actuele kennis moet hebben over relevante wet- en regelgeving, normenkaders, frameworks enzo? Vergeet niet het management en het bestuur mee te nemen dat 30 onderwerpen met meer urgentie te bespreken heeft. En de Plan Do Check Act cyclus op te zetten. En incidenten hebben voorrang op alles. You get the picture. Ben jij dat niet-bestaande schaap met de vijf poten?
Kortzichtig over ISO27001
De BIO zou toch gebaseerd zijn op risicomanagement?
Ten tijde van de BIG is er door veel CISO’s – de ingehuurde incluis – veel te licht gedacht over het managementsysteem voor informatiebeveiliging. Ook wel het Information Security Management System, wat lekkerder bekt als ISMS. ISMS is de Plan Do Check Act cyclus ingevuld voor informatiebeveiliging en is derhalve het proces waarbinnen beveiligingsmaatregelen worden genomen. Daar is heel veel óver gepraat door de jaren heen, maar er zijn maar bar weinig gemeenten die een goed werkend ISMS-proces hebben, hoe bescheiden ook.
Buiten de (lokale) overheid om praten we trouwens gewoon over de ISO27001 norm voor het ISMS met op het gebied van privacy de jongste telg: ISO 27701. En de BIO is in tegenstelling tot de BIG gelukkig wel een één-op-één doorvertaling van de ISO27002, ook wel de implementatierichtlijn genoemd. Er is door menig gemeente veel te snel ISMS-software ingezet in de hoop en verwachting dat daarmee het PDCA proces gaandeweg wel zou gaan lopen. Niets bleek minder waar. Bedenk dus goed wanneer en hoe je ISMS-software inzet. Ander punt van aandacht is het op poten zetten van risicomanagement op het gebied van informatiebeveiliging, samen met het lijnmanagement. Of, wanneer je geluk hebt, risicomanagement in z’n geheel. De BIO lijkt hierbij te hinken op twee gedachten: enerzijds risicomanagement bedrijven met behulp van het ISMS (27001) en anderzijds een basisbeveiligingsniveau afdwingen via de implementatierichtlijn (27002).
Nadruk op ISO27002
Met alléén maatregelen kom je er ook niet
Voor dat laatste hebben we de Rijksoverheid te bedanken die toch wel erg graag wilde dat de overgang van de BIR – waarvan de inkt in 2017 nog nat was – beleidsneutraal zou zijn. En dus hangt het ISO27001 deel er wat ongelukkig bij. Enfin, in de BIG kreeg het praktisch nul aandacht dus dat is alsnog winst. Nu staat wat mij betreft de nut en noodzaak van baselines niet ter discussie, maar het is en blijft lastig om vanuit het managen van maatregelen ‘op te klimmen’ naar het managen van risico’s. Terwijl het wel daar om draait, nietwaar? Anders ga je die managers en bestuurders zeker niet aanspreken en verwordt informatiebeveiliging tot een plichtmatig af te werken vinkenlijst.
Wat dan ook niet helpt is de van oudsher aanwezige nadruk op het naleven van wet- en regelgeving. Ofwel, de nadruk op compliance. Met de komst van de Eenduidige Normatiek Single Information Audit (ENSIA) is de auditlast – gericht op de naleving van normenkaders – enigszins gedaald, maar toch durf ik te stellen dat ENSIA slechts minimaal wordt benut. ENSIA kan zoveel meer zijn dan de (beperkte) C in de PDCA-cyclus. Van mijn eerder in het IB Magazine beschreven toekomstscenario’s voor ENSIA komt vooralsnog weinig terecht.
Dus: bezig blijven
De B in BIO staat niet voor Bezig of Blijven, maar ik denk wel dat de implementatie ervan bij veel gemeenten een lang verhaal wordt (is). Uitgezonderd een enkele (grote) gemeente, hoor ik in gemeenteland niets over een ISO27001 certificering, terwijl de provincies daar al in 2018 toe besloten. Daarmee blijft het, zo vrees ik, teveel (losse) BIO maatregelen (ad-hoc) nemen. Veel Plan en Do, maar nauwelijks via Check en Act terug naar Plan. En daarmee poetsen we die onvoldoende op business alignment niet weg.
Hopelijk heeft dit artikel je een overzicht gegeven in mogelijk oorzaken van het stroperige tempo op de BIO implementatie. En ik hoop dat het je helpt met het goed besteden van je schaarse tijd. Ofwel: blijf inderdaad nog jaren bezig met die BIO, maar dan wél op zo’n manier dat het ieder jaar meetbaar een stukje beter gaat en dat het stuur ieder jaar een beetje meer overgaat naar het management. Bouw aan het (management)systeem!