Verbeter de informatiebeveiliging – Mijn ervaringen bij een middelgrote gemeente
Sep 22, 2015Het lijkt zo simpel om ‘de BIG’ in te voeren. BIG staat voor Baseline Informatiebeveiliging Gemeenten. Dit is een door de Verenging van Nederlandse Gemeente (VNG) opgesteld framework die, via een rijksoverheidsstandaard (BIR), afgeleid is van de standaardnorm voor informatiebeveiliging ISO27001 met de maatregelen uit ISO27002.
Gap tussen beleid en operatie
Uit een eerste inventarisatie blijkt dat de gemeente al veel dingen goed doet. Alleen dit is vaak onbewust, en niet direct te relateren aan beleid of direct aantoonbaar. Het lijkt vooral gedreven te zijn door de goede beheerders die vanuit de intrinsieke wil dingen zo goed mogelijk willen regelen ook informatiebeveiliging op een goed niveau hebben ingericht. Echter, dit is niet voldoende. Het is daarmee namelijk niet inzichtelijk in welke mate voldaan wordt aan de BIG en het gestelde beleid. Er zit dus een gap tussen het gemaakte beleid en de operatie.
Agile aanpak
Vanaf het begin af aan hebben we een ‘scrum-achtige’ aanpak gekozen. Er is een productowner en ik treed op als scrum-master. We hebben een dagstart (die ene dag dat we met het gehele team bij elkaar zitten) en sprints van 4 weken. Een scrumfacilitator neemt bij de demo en retrospective deel als procesfacilitator en laat duidelijk het team het proces evalueren.
Visie delen
Inhoudelijk stuur ik samen met een collega het team door veel groepsdiscussies te voeren en delen daarbij onze visie. We nemen ze mee in ons denkwereld inclusief ‘risico-denken’ hoe wij de inrichting van bepaalde maatregelen zien. Ook laten we medewerkers elders vanuit de organisatie vertellen over hun werk en hoe dat informatiebeveiliging of kwaliteitscontrole raakt.
Scope breder dan ICT alleen
En nog even ter volledigheid. Informatiebeveiliging, en daarmee ook de BIG, bestaat natuurlijk uit veel meer dan alleen ICT. Naast de werkzaamheden die we met het team oppakken spreek ik ook met de andere afdelingen; facilitaire zaken HR, Inkoop en de rest van het concern (business).
Het meest belangrijke is het inzicht krijgen in de genomen maatregelen en aanwezige restrisico’s. De grootste risico’s zijn tenslotte die je niet kent!
Consultant Mark Tissink helpt organisaties om informatiebeveiliging écht op orde te krijgen. Hij heeft als IT-auditor gewerkt bij KPMG en de Rabobank. Als docent is hij betrokken bij de opleiding Management van Informatiebeveiliging en de cursus Introductie informatiebeveiliging voor gemeenten