Rapport: sturen op informatieveiligheid
Praktijklessen voor het ministerie van BZK bij het sturen op informatieveiligheid
Op 17 november 2022 is het eindrapport ‘Onderzoek sturen op informatieveiligheid’ gepubliceerd door adviesbureau Berenschot. Het eindrapport bevat de resultaten van het onderzoek dat door hen is begeleid. Wat zijn de belangrijkste conclusies en aanbevelingen? Je leest het in deze blog.
Aanleiding
Het Directoraat-generaal Digitalisering en Overheidsorganisatie van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft door adviesbureau Berenschot de evaluatie van de BIO laten uitvoeren. De resultaten van deze evaluatie heb je kunnen lezen in mijn vorige blog. Aan de hand van deze evalatie, heeft BZK ook een onderzoek laten uitvoeren naar de wijze waarop verschillende sectoren bij grote (semi-)commerciële organisaties sturing wordt gegeven aan informatieveiligheid. Op welke wijze hebben deze organisaties grip op informatieveiligheid en zijn zij ‘in control’? Op basis van de uitkomsten kan de (rijks)overheid de digitale veiligheid en weerbaarheid versterken en BZK haar stelselverantwoordelijkheid verbeteren.
Het onderzoek
De hoofdvraag van het onderzoek luidt als volgt: ‘Welke lessen kan BZK trekken in de wijze waarop bij grote organisaties sturing wordt gegeven aan informatieveiligheid?. De onderzoeksopdracht is onderverdeeld in drie onderwerpen:
- Governance en inrichting: op welke wijze is de centrale coördinatie van informatiebeveiliging ingericht, mede in relatie tot verantwoording, toezicht en auditing? Op welke wijze wordt ‘grip’ verkregen op informatiebeveiliging?
- Risicomanagement: op welke wijze worden strategische tot en met operationele risico’s op het gebied van informatiebeveiliging beheerst, mede in de bredere context van bedrijfsbreed risicomanagement in relatie tot de bedrijfsdoelstellingen?
- Toetsing en verantwoording: welke in- of externe prikkels dragen bij aan daadwerkelijke informatieveiligheid en/of compliance? Hoe worden organisatieonderdelen aan- of, indien nodig, bijgestuurd?
Om deze vragen te beantwoorden zijn interviews afgenomen binnen vijf geanonimiseerde organisaties: twee grote zorgverzekeraars, een internationale beursgenoteerde onderneming, één van de grootste banken van Nederland en een vervoersbedrijf actief in Nederland en enkele omliggende landen.
Bevindingen
De lessen die BZK kan trekken in de wijze waarop bij grote organisaties sturing wordt gegeven aan informatieveiligheid, zijn samengevat langs drie onderwerpen: governance en inrichting, risicomanagement en toetsing en verantwoording.
Governance en inrichting
Op basis van de interviews zijn de uitkomsten van het onderwerp ‘governance en inrichting’ geclusterd rondom drie deelonderwerpen:
Interne governance en inrichting
Eén van de belangrijkste aspecten van een organisatie die goed wordt bestuurd en ‘in control’ is, is het bestuursmodel met een raad van bestuur (RvB) en raad van commissarissen (RvC). Deze verdeling zorgt voor een heldere interne structuur, waardoor er een duidelijke verdeling is in taken, bevoegdheden en verantwoordelijkheden op het gebied van uitvoering (RvB) en toezicht (RvC). Beide raden vinden cybersecurity, als strategisch risico voor de continuïteit van de organisatie, belangrijk en cruciaal voor het voortbestaan van de organisatie. Ze hebben daarin een voorbeeldfunctie en dragen dit ook uit binnen de organisatie. Dit heeft direct efffect op hoe de rest van de organisatie omgaat met security. Ook wordt binnen iedere organisatie expliciet onderscheid gemaakt in de Three Lines of Defense.
Externe governance
Waar de interne governance en inrichting vooral gericht is op het behalen van de strategische doelstellingen van een organisatie, is de externe governance vooral gericht op of de organisatie werkt in overeenstemming met de geldende wet- en regelgeving en het toezicht waar organisaties mee te maken hebben (compliance). Een sterk gereguleerde sector, zoals de financiële sector of de zorgsector, met eisen van, en toezicht door bijvoorbeeld De Nederlandse Bank (DNB) zorgt voor een stevige verankering van risicomanagement (in brede zin) binnen deze organisaties. Hierdoor is eigenaarschap van de risico’s op informatiebeveiligingsvlak, vaak ook beter belegd ‘waar het hoort’. Een dergelijke sterke (toezichts)rol zorgt voor strategische agendering op het hoogste niveau binnen een organisatie en werkt door in de hele organisatie.
Randvoorwaarden
Een ander belangrijk aspect is dat de verschillende organisaties door hun omvang in staat zijn nadrukkelijk taken, bevoegdheden en verantwoordelijkheden te kunnen scheiden. Ze hebben simpelweg de capaciteit (mensen en middelen) om de juiste investeringen te doen en activiteiten te ontplooien om een volwassen en adequate informatiebeveiligings(organisatie) op te zetten. Daarnaast, hebben de organisaties uit dit onderzoek een langere historie op het gebied van compliance. Zo dient de financiële sector zich al lange tijd aan verschillende (internationale) wet- en regelgeving te houden en is er van oudsher in de zorgsector aandacht voor verschillende ‘vormen’ van veiligheid. Door deze historie hebben zij al een sterke risicocultuur. Nieuwe ontwikkelingen op het gebied van informatiebeveiliging en privacy worden daar makkelijker geadopteerd. Een sterke risicocultuur is randvoorwaardelijk en een succesfactor voor ‘centraal sturen en coördineren’ en ‘decentraal’ uitvoeren.
Risicomanagement
Op basis van de interviews zijn de uitkomsten van het onderwerp ‘risicomanagement geclusterd rondom twee deelonderwerpen:
Organisatiebreed risicomanagement
De (interne) governance van de onderzochte organisaties is gestructureerd langs de lijnen van organisatiebreed risicomanagement. Organisatiebreed (strategisch) risicomanagement vormt de kern van risicomanagement. Op strategisch niveau worden dreigingen en risico’s in beeld gebracht en bepaald op welke wijze een organisatie daarmee om wenst te gaan. Zo zijn voor (commerciële) organisaties continuïteit, financiële baten en behoud van imago vaak de belangrijkste motieven. Dreigingen of risico’s op deze aspecten moeten dan ook vroegtijdig ontdekt en beheerst worden. Want, incidenten kunnen leiden tot (grote) materiële en immateriële (imago)schade voor deze organisaties. Risicomanagement vormt daarmee de kern van deze organisaties.
Informatiebeveiliging strategisch risico
De organisaties hebben – organisatiebreed – strategisch tot tactisch/operationeel risicomanagement ‘werkend’, waarbij informatiebeveliging vaak wordt gezien als strategisch risico voor de continuïteit van de organisatie. Hoe wordt omgegaan met deze strategische risico’s, wordt vastgelegd in de risicobereidheid van de organisatie. Voor informatiebeveiliging geldt, als één van die risico’, dat organisaties zonder uitzondering risicomijdend zijn. De organisaties dragen dan ook voortdurend uit dat informatiebeveiliging onderdeel is van de strategische afwegingen en keuzes van de organisatie.
Toetsing en verantwoording
Op basis van de interviews zijn de uitkomsten van dit onderwerp geclusterd rondom drie deelonderwerpen:
Controle en toetsing
Om grip te hebben op informatieveiligheid speelt een goed bestuursmodel (met een RvB en RvC) gecombineerd met een goede inrichting van de Three Lines of Defense een belangrijke rol bij de onderzochte organisaties. Dit houdt in dat er een zekere mate van controle en toetsing ‘tussen de drie lijnen’ is. Deze controle en toetsing vindt getrapt plaats. Dit is belangrijk, omdat de focus van elke lijn net anders is. Het geheel zorgt daarmee voor een sterke beheersing van informatiebeveiliging.
Interne verantwoording
Buiten de eventuele verantwoording aan een externe toezichthouder, is verantwoording intern een essentieel onderdeel van het geheel. In een volwassen organisatie is verantwoording een continu proces, gekoppeld aan risicomanagement en periodieke managementrapportages. Het management kent zijn verantwoordelijkheden en is aanspreekbaar op afwijkingen van het beleid en geconstateerde risico’s. Ook worden duidelijke afspraken gemaakt voor verbeteringen en wordt hier daadwerkelijk op gestuurd.
Testen en weerbaarheid
Het is belangrijk om de feitelijke informatieveiligheid te testen. Want, ondanks dat beheersmaatregelen op orde kunnen zijn, geeft het testen inzicht in waar de benodigde digitale weerbaarheid vergroot moet worden. In een snel digitaliserende wereld waarin dreigingen continu veranderen en toenemen, is testen noodzakelijk om zicht te hebben op de mate waarin men weerbaar is tegen die dreigingen.
Aanbevelingen
In de basis geldt dat overheidsorganisaties zelf verantwoordelijk zijn voor het informatieveiligheidsbeleid binnen hun organisatie. Het ministerie van BZK stelt de kaders, ondersteunt waar nodig en heeft een aanjagende rol naar alle overheidslagen via o.a. het Centrum Informatiebeveiliging en Privacybescherming (CIP). Gezien de digitale transitie in Nederland, is het noodzakelijk dat de ambities op informatiebeveiligingsvlak worden waargemaakt. De evaluatie van de BIO biedt, mede door de herziening van de ISO 27002, de gelegenheid om binnen een BIO 2.0 op onderwerpen verbeteringen door te voeren of aanvullingen te doen. In dit kader wordt aanbevolen om:
- De rol van BZK, om juiste en eenduidige kaders te stellen, te versterken. Omdat de verschillende lagen binnen het openbaar bestuur ieder een eigen dualistisch model hebben, maakt sturing vanuit een stelselverantwoordelijkheid (overheidsbreed) lastig. De huidige invloed van de coördinerende – en verticale interbestuurlijke sturingsrol van BZK is beperkt.
- Te zorgen voor voldoende capaciteit en middelen bij BZK om deze uitvoering aan te jagen en te coördineren en de overheidslagen hierbij te (laten) ondersteunen. Blijf vooral de overheidslagen aansporen de ambities in de gestelde kaders te realiseren.
- Te zorgen voor een functionele veiligheids- of risicocultuur. Alleen dan dragen bovengenoemde aspecten bij aan informatiebeveiliging. Een wettelijke verankering van de BIO in de Wet Digitale Overheid (WDO), kan deze cultuur versnellen.
- En, misschien wel een van de belangrijkste: practice what you preach. Geef het goede voorbeeld en draag het gewenste gedrag actief uit. BZK en de rijksoverheid hebben die toonzettende rol en dienen dit gedrag dan ook te laten zien.
Ben je benieuwd naar alle onderzoeksresultaten? Lees dan hier het hele rapport.
