Tien jaar in het vak – tien vragen om te stellen
De antwoorden op deze tien vragen geven snel inzicht
Deze maand vier ik mijn tienjarig jubileum in het informatiebeveiligingsvak! Ter gelegenheid hiervan heb ik een speciale blog geschreven met daarin tien belangrijke vragen die iedereen die zich bezighoudt met informatiebeveiliging binnen een organisatie zou moeten stellen. Nou ja, dat vind ik dan hè? Zoals bij iedere blog.
Tien jaar ervaring
Tien jaar geleden, in 2014, begon ik met werken in de informatiebeveiliging. Eerst als zelfstandige onder de weinig tot de verbeelding sprekende naam ‘Informatiebeveiliging Gemeenten’. Dit leidde als snel tot contact met de Informatiebeveiligingsdienst (IBD) voor gemeenten ;-). Later werd dat adviesbureau IB&P dat ik voortzette met mijn toenmalig compagnon. Inmiddels werk ik weer als zelfstandige onder de naam qeep IT safe. In deze tien jaar als informatiebeveiligingsadviseur heb ik veel geleerd. Deze ervaring heb ik vertaald naar tien vragen die vrij snel goed inzicht geven in hoe het organisatorisch geregeld is op het gebied van informatiebeveiliging. De antwoorden zeggen iets over de volwassenheid daarvan (al aarzel ik bij die term). Bij elke vraag geef ik een toelichting en formuleer ik kort en bondig wat volgens mij het ideale (maar niet het enigste) antwoord is. Overigens ben ik ook actief als privacy adviseur, maar daar gaat deze blog niet over.
Vraag 1: Heeft de CISO een duidelijke functie of is het slechts een rol? En aan wie rapporteert de CISO?
Een Chief Information Security Officer (CISO) is cruciaal voor de informatiebeveiliging binnen een organisatie. Het is belangrijk om te weten of de CISO een duidelijke, vastomlijnde functie is binnen de organisatie of een rol die iemand erbij doet. Dit heeft namelijk invloed op de mate van verantwoordelijkheid en focus op informatiebeveiliging. Daarnaast is het belangrijk dat de CISO weet aan wie hij of zij moet rapporteren. De rapportagelijnen, zowel formeel als informeel, geven inzicht in de mate waarin informatiebeveiliging op directie- en bestuursniveau belangrijk wordt gevonden en wie de eindverantwoordelijkheid daarvoor draagt. De CISO moet direct aan het hoogste management kunnen rapporteren voor een onafhankelijke positie en omdat het management immers (ambtelijk) eindverantwoordelijk is voor informatiebeveiliging. In de praktijk zijn veel CISO’s vaak ‘verderop’ in de lijn gepositioneerd, wat de onafhankelijkheid van de CISO kan ondermijnen en de effectiviteit van de functie kan beperken. Een (in)formeel, terugkerend rapportage- of bijpraat moment met de portefeuillehouder illustreert dat het management voldoende vertrouwen heeft in de CISO.
Antwoord: De CISO moet een volwaardige functie zijn, met directe rapportagelijnen naar het (top)management. Idealiter beschikt de CISO ook over een informele lijn naar de portefeuillehouder.
Vraag 2: Heeft de organisatie een strategisch informatiebeveiligingsbeleid? Zijn verantwoordelijkheden hierin goed beschreven?
Het hebben van een strategisch informatiebeveiligingsbeleid is een belangrijke maatregel uit de Baseline Informatiebeveiliging Overheid (BIO). Dit beleid heeft als doel het beschermen van informatie en het verbeteren van de informatiebeveiliging binnen de organisatie. Het beleid beschrijft de doelstellingen en richtlijnen voor het gewenste niveau van informatiebeveiliging, maar ook de verantwoordelijkheden op strategisch, tactisch en operationeel niveau. Het duidelijk omschrijven van deze verantwoordelijkheden voorkomt misverstanden en stimuleert het (verantwoordelijkheids)gevoel eigenaar te zijn van informatiebeveiliging. Dit draagt niet alleen bij aan een betere beveiliging van informatie, maar vergroot ook de weerbaarheid van de organisatie tegen potentiële bedreigingen. Daarnaast maakt een duidelijke verdeling van verantwoordelijkheden het mogelijk om snel en adequaat te reageren op incidenten omdat immers duidelijk(er) is wie waarvoor aan de lat staat. Het strategisch informatiebeveiligingsbeleid fungeert als leidraad voor alle niveaus binnen de organisatie en draagt bij aan continue bewustwording en verbetering van de informatiebeveiliging.
Antwoord: Een organisatie zonder informatiebeveiligingsbeleid is eigenlijk niet serieus te nemen. En een informatiebeveiligingsbeleid zonder duidelijk beschreven verantwoordelijkheden, bij voorkeur op verschillende niveaus maar toch zeker op strategisch niveau, is dat ook niet.
Vraag 3: Is er een uitvoeringsplan of -agenda voor informatiebeveiliging? Wie stelt het op en wie keurt het goed? En wordt er ook (ambtelijk) over verantwoord?
Een uitvoeringsplan of -agenda zorgt voor een systematische aanpak en continue verbetering van informatiebeveiliging. Het plan bevat een overzicht van alle projecten en initiatieven die onder informatiebeveiliging vallen en hun onderlinge samenhang. Het is belangrijk om te weten wie dit plan opstelt, goedkeurt en hoe de voortgang wordt gerapporteerd. Meestal wordt het opgesteld door de CISO of een vergelijkbare functie binnen de organisatie, in samenwerking met andere belanghebbenden zoals risicomanagement, IT en andere ondersteunende afdelingen. Het goedkeuren van het plan gebeurt bij voorkeur door het (top)management, die ook de prioriteiten en middelen (niet) toekent. Regelmatige voortgangsrapportages aan het management zijn essentieel om te beoordelen of de organisatie op schema ligt met het uitvoeringsplan en de gestelde doelen. Binnen gemeenten wordt daarnaast ambtelijke verantwoording afgelegd, waarbij teruggekeken wordt op behaalde resultaten. Hierbij wordt gekeken of de doelen zijn bereikt, en zo niet, welke factoren daarbij een rol speelden en hoe deze aangepakt kunnen worden.
Antwoord: Er dient een uitvoeringsplan of iets vergelijkbaars aanwezig zijn, eventueel samengesteld uit plannen van verschillende afdelingen (zoals vaak het geval is bij grotere organisaties). Het plan wordt opgesteld door (C)ISO’s, goedgekeurd door het (top)management en er wordt jaarlijks over verantwoord.
Vraag 4: Wordt de implementatie van (BIO) beveiligingsmaatregelen bepaald door een risicogerichte of compliance gerichte aanpak? Waaruit blijkt dat?
Het is belangrijk om te weten of de BIO beveiligingsmaatregelen gebaseerd zijn op risico’s of regels. Een risicogerichte aanpak richt zich op de grootste risico’s en bedreigingen, terwijl een compliance gerichte aanpak zich meer richt op het voldoen aan wettelijke eisen. Dit laatste heeft dan weer als risico dat het meer gericht is op het ‘afvinken’ van verplichtingen dan op het daadwerkelijk verbeteren van de beveiliging tegen bedreigingen. Dit kan overigens wel samengaan als het waarom van beveiligingsmaatregelen duidelijk wordt toegelicht. Wanneer medewerkers en betrokkenen het belang en de reden achter deze maatregelen begrijpen, ontstaat er een grotere betrokkenheid en wordt een compliancegerichte aanpak minder als een formaliteit ervaren, maar juist als een essentieel onderdeel van het versterken van de organisatie tegen risico’s.
Om de gebruikte aanpak te bepalen kan je kijken naar de frequentie en grondigheid van risicoanalyses, de betrokkenheid van het lijnmanagement, en hoe maatregelen worden gedocumenteerd en geïmplementeerd. Regelmatige en diepgaande risicoanalyses wijzen op een risicogerichte aanpak, terwijl een nadruk op documentatie en audits wijst op een compliance gerichte aanpak. De nieuwe Cyberbeveiligingswet (Cbw) en BIO 2.0 leggen de nadruk op de risicogebaseerde aanpak.
Antwoord: De implementatie van de BIO kan zowel risicogebaseerd als compliancegebaseerd zijn. Het is belangrijk om hierin duidelijk een keuze te maken (of heel goed uit te leggen hoe beide aanpakken bij elkaar komen).
Vraag 5: Gebruikt de organisatie een GRC/ISMS applicatie? Zo ja, welk percentage van de gebruikers behoort niet tot de informatiebeveiligingsorganisatie?
Een Information Security Management System (ISMS)-applicatie ondersteunt specifiek de Plan-Do-Check-Act (PDCA)-cyclus en die cyclus is verplicht onder de aanstaande Cbw. Een Governance, Risk and Compliance (GRC)-applicatie ondersteunt processen op het strategische niveau, waarbij de nadruk ligt op het beheersen van risico’s op diverse terreinen; niet alleen op informatiebeveiliging. Zowel GRC- als ISMS-applicaties ondersteunen organisaties bij het systematisch beheren van (o.a) hun informatiebeveiliging, door het vaststellen, implementeren, onderhouden en continu verbeteren van beveiligingsmaatregelen. Je moet als organisatie namelijk voortdurend verbeteren en deze verbeterstappen ook kunnen aantonen. Het gebruik buiten de informatiebeveiligingsorganisatie – dus in de lijnorganisatie – toont aan hoe breed informatiebeveiliging is ingebed.
Antwoord: Het gebruik van een GRC-applicatie kan evengoed wel of niet nodig zijn, afhankelijk van de organisatiegrootte. Een grote organisatie zonder GRC/ISMS-applicatie is minder goed bestuurbaar op het gebied van informatiebeveiliging, maar slaagt alleen echt bij de gratie van voldoende gebruikers uit de lijnorganisatie.
Vraag 6: Is er een meerjarige bewustwordingscampagne voor informatiebeveiliging? Wie coördineert deze? En is deelname aan een e-learning verplicht?
Bewustwording is essentieel voor informatiebeveiliging. Elke medewerker moet zich bewust zijn van de risico’s op het gebied van informatiebeveiliging en weten hoe ze hierop moeten reageren. Het vergroten van bewustwording en kennis over informatiebeveiliging bij medewerkers is ook een van de belangrijke onderdelen binnen zowel de BIO als de Cbw. Bewustwording vereist continue aandacht. Een meerjarige campagne zorgt ervoor dat iedereen op de hoogte blijft. Zorg dat er iemand is aangewezen als coördinator, die verantwoordelijk is voor de campagne en zorgt voor de afstemming met andere disciplines, zoals privacy en informatiebeheer. Om ervoor te zorgen dat alle medewerkers de benodigde kennis en vaardigheden opdoen, is het aan te raden om deelname aan e-learning(modules) verplicht te stellen. Medewerkers met voldoende kennis en vaardigheden op het gebied van cyberveiligheid zijn namelijk cruciaal voor de digitale weerbaarheid van de organisatie.
Antwoord: Een bewustwordingscampagne met een horizon van ten minste drie jaar is een must. E-learning moet een onderdeel van de campagne zijn en verplichte deelname is vanzelfsprekend een pré, omdat dit ook iets zegt over de betrokkenheid en het commitment vanuit het (top)management.
Vraag 7: Is informatiebeveiliging een standaard onderdeel in projecten en inkooptrajecten? En wie is verantwoordelijk voor oplevering?
Informatiebeveiliging moet standaard worden meegenomen in projecten en inkooptrajecten. Dit helpt beveiligingsrisico’s vroegtijdig te indentificeren en te adresseren. Dit vereist dat informatiebeveiliging een verplicht en gestandaardiseerd onderdeel is binnen deze processen. Dit betekent dat bij elke project, vanaf de ontwerpfase (architectuur) tot en met de oplevering van een applicatie of dienst, wordt nagedacht over informatiebeveiliging. Dit noemen we ook wel security by design. Bij inkooptrajecten betekent dit dat alle inkoopbeslissingen (ook) worden getoetst aan de gestelde informatiebeveiligingseisen. Ad-hoc inzet van informatiebeveiliging in projecten en het ad-hoc bedenken van informatiebeveiligingseisen is onwenselijk en inefficiënt.
De verantwoordelijkheid voor het borgen van deze eisen kan variëren. Soms ligt de verantwoordelijkheid bij de informatiebeveiligingsorganisatie, die nauw samenwerkt met de inkoopafdeling. In andere gevallen is de inkoopafdeling zelf verantwoordelijk voor het naleven van de gestelde eisen, waarbij zij worden ondersteund door iemand vanuit de security-organisatie. De samenwerking tussen informatiebeveiliging en inkoop is dus essentieel.
Antwoord: Informatiebeveiliging dient te worden geborgd binnen de project- of portfoliostructuur (bijvoorbeeld als onderdeel van de architectuur), en de informatiebeveiligingseisen moeten gestandaardiseerd zijn voor inkoop en aanbesteding.
Vraag 8: Welke rol heeft de CISO bij hoog geclassificeerde informatiebeveiligingsincidenten?
De CISO vervult een belangrijke en centrale rol bij het oplossen van hoog geclassificeerde informatiebeveiligingsincidenten. Het is belangrijk dat de CISO exact weet wat zijn of haar verantwoordelijkheden zijn in dergelijke situaties, zodat incidenten snel en effectief kunnen worden aangepakt. Het opnemen van de CISO in de RASCI-matrix (Responsible, Accountable, Support, Consulted, Informed) helpt om duidelijkheid te scheppen over de specifieke verantwoordelijkheden en betrokkenheid. De beste positie van de CISO in deze matrix hangt af van de specifieke situatie en de aard van het proces of de taak. In de meeste gevallen zal de CISO als ‘Consulted’ worden aangeduid. Maar in kleinere gemeenten, waar medewerkers vaak meerdere rollen op zich nemen, kan de positie van de CISO in de RASCI-matrix anders worden ingevuld.
Antwoord: De CISO zou te allen tijde geïnformeerd moeten worden bij hoog geclassificeerde beveiligingsincidenten (Informed in RASCI) en, afhankelijk van de inschatting van de betrokken Security Analist/Officer verplicht geconsulteerd moeten worden voordat er actie wordt ondernomen (Consulted in RASCI).
Vraag 9: Maakt de CISO deel uit van de crisisstructuur bij een cybercrisis?
Ook bij een cybercrisis vervult de CISO een belangrijke rol binnen de crisisstructuur van de organisatie. De CISO moet snel kunnen reageren op incidenten om de schade te beperken. Het is belangrijk dat de rol van de CISO duidelijk is tijdens zo’n crisis. De plaatsing van de CISO in de RASCI-matrix kan helpen om verantwoordelijkheden en bevoegdheden tijdens een crisis te verduidelijken. En daarmee wordt de doeltreffendheid van de crisisbestrijding verhoogd. De beste positie van de CISO in deze matrix op dit onderwerp hangt af van de context van de crisis. In de meeste gevallen zal de CISO ook hier als ‘Consulted’ worden aangeduid. Maar in kleinere gemeenten, waar medewerkers vaak meerdere rollen op zich nemen, kan de positie van de CISO in de RASCI-matrix anders worden ingevuld (bijvoorbeeld Responsible).
Antwoord: De CISO zou verplicht moeten deelnemen aan de crisisstructuur in het geval van een cybercrisis, bij voorkeur binnen een structuur die grotendeels overeenkomt met die bij een crisis in de fysieke wereld. De CISO is lid van het crisisteam, maar neemt idealiter niet de rol van ‘voorzitter’ of een vergelijkbare leidinggevende positie op zich.
Vraag 10: Wordt informatiebeveiliging jaarlijks besproken in de gemeenteraad (buiten het jaarverslag om)? Gebeurt dit openbaar of besloten?
Het (tenminste) jaarlijks bespreken van informatiebeveiliging in de gemeenteraad zorgt voor transparantie en een gevoel van verantwoordelijkheid bij raadsleden. Door informatiebeveiliging minimaal jaarlijks te agenderen, wordt het onderwerp structureel onder de aandacht gebracht van bestuurders, wat bijdraagt aan een betere bewustwording en prioritering van beveiligingsrisico’s en -maatregelen op het hoogste niveau. Met de komst van de Cbw, die bestuurlijke aansprakelijkheid benadrukt, wordt dit nog belangrijker. Het is goed om te weten of deze raadsbesprekingen openbaar zijn of achter gesloten deuren plaatsvinden. Openbare besprekingen vergroten het vertrouwen van burgers, terwijl besloten vergaderingen noodzakelijk kunnen zijn om te voorkomen dat kwetsbare informatie wordt gelekt. Ik doel hier nadrukkelijk niet incidentele raadsbijeenkomsten of -brieven die een reactie zijn op specifieke gebeurtenissen.
Antwoord: Informatiebeveiliging zou tenminste eenmaal per jaar op de agenda van de gemeenteraad moeten staan, eventueel in een vertrouwelijke bijeenkomst. Rapporteren over informatiebeveiliging in het jaarverslag ‘telt niet’ wat mij betreft.
Conclusie
Door deze tien vragen te stellen krijg je een goed beeld van jouw (beveiligings)organisatie, haar informatiebeveiligingsbeleid en de effectiviteit ervan. Zo kun je gerichte verbeteringen doorvoeren en de informatiebeveiliging verbeteren. Het helpt hopelijk om voldoende aandacht te (blijven) besteden aan het managementsysteem waarbinnen alle activiteiten van de CISO (zouden moeten) plaatsvinden. En niet te verzanden in de immer voortdurende waan van de dag. Er is altijd wel iets om op te reageren, maar een substantieel deel van je tijd zou, zo meen ik, moeten opgaan aan de onderwerpen zoals die voorbij zijn gekomen bij deze tien vragen.
En andere mening toegedaan (vast wel)? Laat het me weten!
