Vierhonderd nieuwe collega’s! Hoera?

Vierhonderd nieuwe collega’s! Hoera?

De Baseline Informatiebeveiliging Gemeenten vraagt elke gemeente één verantwoordelijke voor informatiebeveiliging aan te stellen. Over welke competenties moet deze Chief Information Security Officer (CISO) beschikken?

André van der Valk en Erik de Vries

Sinds begin 2013 is voor gemeenten de Baseline Informatiebeveiliging Gemeenten (BIG) beschikbaar. Deze set strategische en tactische maatre­gelen werd in eerste instantie gepositioneerd als ‘leidraad’ voor gemeenten, maar het ziet ernaar uit dat de gemeenten binnenkort de stap gaan maken naar een vorm van ‘verplichtende zelfregulering’, als gevolg van de initiatieven van de landelijke Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID) (1) en de nieuwe gemeentelijke Informatiebeveiligingsdienst (IBD) (2).

In dit artikel gaan we in op één bijzonder aspect van de BIG: aan elke gemeente wordt gevraagd één verantwoordelijke voor de informatiebevei­liging aan te stellen, de zogenaamde CISO: de Chief Information Security Officer. Sinds enkele jaren bekleedt een van de auteurs van dit artikel de functie van CISO in Amsterdam. Behalve de G4-gemeenten (Amsterdam, Den Haag, Rotterdam en Utrecht) kennen nog weinig andere gemeenten deze zo’n functie. Gesteld dat alle Nederlandse gemeenten binnenkort een functieprofiel gaan opstellen voor de werving van een CISO, over welke belangrijke competenties moet deze dan beschikken? Op basis van de Amsterdamse ervaringen komen we tot de vier belangrijke competenties. Maar eerst gaan we kort in op het kader waarbin­nen de CISO wordt geïntroduceerd, de Baseline Informatiebeveiliging Gemeenten (BIG).

Lat hoog

De BIG is gebaseerd op de internationale ISO27001-norm (over hoe je de beveiliging van gegevens moet organiseren) en de ISO27002 et cetera (die de ‘best practices’ en de norm bepalen). Uiteraard wordt een en ander aan­gevuld met de consequenties van de Neder­landse algemene en op gemeenten gerichte wet- en regelgeving, zoals de Wet bescherming persoonsgegevens (Wbp), de GBA-audit (gemeentelijke basisadministratie persoonsge­gevens) bij gemeenten en het recent verplichte DIGID-assessment, et cetera. De BIG legt de lat hoog. De norm is streng en gaat er feitelijk van uit dat gemeenten altijd en overal met persoonsgegevens werken. De Wbp wordt mede leidend en er is gekozen voor een niveau dat gelijk ligt aan de vroegere (3) risicoklasse 2 van de Wbp: de veiligheidseisen die je moet stellen als je medische gegevens, informatie over geloof, ras, politieke gezindheid en andere gevoelige persoonsgegevens verwerkt. Als je de gehele technische infrastructuur, inclusief alle informatiesystemen op dat hoge niveau inricht; als je alle fysieke beveiliging overal op een zeer hoog niveau inricht; en als je het gedrag van de medewerkers zo voorschrijft dat alle informatie wordt behandeld als ‘geheim’, dan hoef je je inderdaad nooit meer zorgen te maken of je wel voldoende maatregelen hebt getroffen.

De kracht van de BIG zit met name in de organisatorische aanwijzingen. Gemeenten wordt gevraagd de informatiebeveiliging planmatig aan te pakken en om over de staat van de informatiebeveiliging onder meer te rapporteren aan de gemeenteraden en daarmee aan de burger. De opdracht bestaat uit het uitvoeren van een Gap-analyse, denken vanuit risicoanalyses en met name gestructureerd werken aan de grootste bedreigingen.

Veiligheidsmaatregelen die genomen kunnen worden, maar die (te) duur zijn en (te) weinig effectief zijn, hoeven niet geïmplementeerd te worden via het ‘comply or explain’-beginsel. Het gaat erom dat het gemeentelijke management bewuste keuzes gaat maken rondom de eigen vei­ligheidsmaatregelen, waarbij risico’s afgewogen moeten worden. Gelukkig maar, want het Russische model ‘Alles is geheim, behalve …’ is in gemeenteland allang ‘Alles is openbaar, tenzij …’, getuige bijvoorbeeld de Wet openbaarheid van bestuur (Wob) en de succesvolle open data-ontwikkelingen.

De BIG-normen richten zich weliswaar met name op de beveiliging van bedrijfssystemen en bedrijfsinfrastructuren, maar hebben ook – maar in mindere mate – reikwijdte als het om de beveiliging gaat van websites/webapplicaties en scadasystemen (op afstand bestuurde apparaten, zoals stoplichten, bruggen en sluizen, zwembadsystemen). De BIG richt zich daarbij niet alleen op de technische maatregelen, maar ook op het gedrag van mensen en op de fysieke beveiliging.

Competenties CISO

De ongeveer vierhonderd nieuwe CISO’s in gemeenteland moeten zich met de prettige steun in de rug van de BIG manifesteren in dit zeer brede werkveld, waarbij de ambities hoog zijn. Pas na uitvoering van een nulmeting bij alle gemeenten is bekend op welke terreinen elke gemeente nog een ontwikkelopdracht heeft, maar het vermoeden bestaat dat er een grote uit­daging voor ons ligt. Daarom is het belangrijk dat elke gemeente een CISO aanstelt met het juiste profiel. Wat zijn daarbij de belangrijkste compe­tenties? We onderscheiden er zoals gezegd vier. Het gaat om: samenwerken, flexibiliteit, afstand bewaren en verantwoordelijk gedrag tonen.

Samenwerken

Als we alleen al naar Internet/cybercrime kijken, dan wordt direct duidelijk dat informatiebeveiliging een mondiale uitdaging is. Grote bedreigingen komen steeds meer van buitenaf. Computervirussen, Ddos-attacks, malware, hackers, maar ook vreemde overheden, social media (‘Project X’) en anderszins verongelijkten kunnen hun pijlen via internet richten op gemeenten. Een Ddos-aanval om een website plat te leggen is tegenwoordig gewoon commercieel te koop; elke computer van een gemeente kan door surfen op internet zomaar tegen een besmetting aanlopen.

Geen gemeente kan nog solitair optreden tegen deze bedreigingen van buitenaf. Gemeenten moeten samenwerken met de landelijk waak­diensten (zoals het Nationaal Cyber Security Centrum (NCSC)), de informatiebeveiligings­dienst van de gemeenten (IBD) en voor sommige gemeenten met de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). Gemeenten moeten samenwerken met leveranciers, om bijvoorbeeld securitypatches aan te brengen of hogere eisen aan hardware en software te implementeren. Gemeenten moeten samenwerken in de ketens (koppelvlakken waaraan hogere eisen gesteld moeten worden, afstemming normen en eisen, et cetera). En gemeenten moeten samenwerken met de lokale openbare orde en veiligheidsorganisaties en de veiligheidsregio’s om te voorkomen dat gemeentelijke informatiebronnen tijdelijk niet beschikbaar zijn bij een maatschappelijke calamiteit.

Alleen door samen te werken kan een CISO ervoor zorgen tijdig in een goede informatiepositie te zitten en voldoende expertise aan zich te kunnen binden, als het mis dreigt te gaan. Elke eigen expertise die een CISO meebrengt is mee­genomen, maar niemand kan het gehele werkveld beheersen. De CISO is dus niet in de eerste plaats een expert, maar juist een regisseur.

Flexibiliteit

Informatiebeveiliging houdt zich niet aan kantooruren. Inbrekers en hackers weten dat je het beste ’s nachts of in de weekenden kunt opereren. Eén besmette werkplek kan verwoestende effecten hebben in infrastructuren als er niet tijdig een halt aan wordt toe geroepen. De landelijke waakdiensten sturen 24/7 waarschuwingen rond waarop gereageerd moet worden; securitypatches voor evidente softwarelekken moeten snel worden aangebracht; bij grotere incidenten moet direct geacteerd worden.

Een CISO moet leiding geven, als er zich een (informatie) veiligheidsincident voordoet of dreigt voor te doen. De parallel met de 24/7 gemeentelijke waakzaamheid in geval van maatschappelijke incidenten is hiermee gemaakt. Dat vraagt van de CISO flexibiliteit, zowel als het gaat om tijden waarop hij of zij inzetbaar is als om organisaties (en dus systeemlandschappen) waarin je inzetbaar bent. Dit impliceert ook dat ‘de CISO-rol’ bij meerdere mensen moet kunnen worden belegd, zeker ten tijde van calamiteiten. Gemeenten, met name de kleinere, kunnen overwegen om deze rol met elkaar te delen.

Afstand bewaren

In hoeverre is een CISO verantwoordelijk voor de informatiebeveiliging? Hier zit wellicht het grootste vraagstuk en dilemma voor elke gemeente. Als je iemand ergens verantwoordelijk voor maakt, dan moet je die persoon ook de middelen geven: mankracht, budget, beslissingsbevoegdheden. Dat is op korte termijn geen begaanbare weg, omdat de informatiebeveiliging ‘overal en nergens’ zit en dit tot te veel interne (machts-)discussies leidt.

Informatiebeveiliging gaat primair over het beveiligen van informatie. De eigenaar van de informatie moet verantwoordelijk zijn voor de te maken keuzes en risicoafwegingen, niet de CISO. De eigenaar moet dan ook zorg dragen voor de middelen die bij die verantwoordelijk­heid passen. Informatiebeveiliging is vooral een kwaliteitsaspect van de gemeentelijke processen, risicoanalyses vormen de basis, het kost geld gelijk aan een verzekeringspremie, maar het is niet de ‘core business’ van een gemeentelijke organisatie (4).

De CISO moet gaan over het gemeentelijke informatiebeveiligingsbeleid, doet de toetsing/handhaving ervan en krijgt alleen doorzettings­macht bij calamiteiten/incidenten. Zijn/haar wellicht krachtigste instrument is ‘de rapportage’ over de staat van de gemeentelijke informatiebeveiliging. Maar dat vraagt voor het objectief kunnen waarderen van issues om enige afstand. De CISO moet daarom onafhankelijk van de uit­voering gepositioneerd worden en niet zelf direct volgestopt worden met uitvoerende prioriteiten en projecten. Een gemeentelijke CISO moet afstand kunnen behouden en niet/nooit hoeven zeggen ‘dan doe ik het wel even zelf’. Tegelijkertijd moet hij eigenaars van informatie indringend kunnen adviseren.

Verantwoordelijk gedrag tonen

Naleving van wet- en regelgeving of (zelfregulerende) richtlijnen hebben in organisaties nogal eens tot gevolg dat de nadruk komt te liggen op verantwoording in plaats van verantwoordelijkheid. Hiermee bedoelen we dat zich een stelsel van procedures ontwikkelt waarmee medewerkers zich (achteraf) kunnen verantwoorden door te zeggen dat men zich aan de procedures heeft gehouden.

Voor informatiebeveiliging schiet dit te kort. In de eerste plaats ontwikkelen zich overal ter wereld steeds weer nieuwe beveiligingsrisico’s, waardoor procedures nooit in alle calamiteiten kunnen voorzien. Veel belangrijker is echter dat informatiebeveiliging een belangrijke component van gedrag en houding kent. Juist deze component vraagt om verantwoordelijk gedrag! Verantwoordingsgedrag in de vorm van ‘ik heb me aan de procedures gehouden en dat deze even niet in de omstandigheden voorzagen kan ik niet helpen’ volstaat niet en werkt zelfs averechts. Verantwoordelijkheid nemen wil voor de CISO niet zeggen dat hij/zij verantwoordelijk moet worden gehouden voor alles wat mis kan gaan op het terrein van informatiebeveiliging (zie de competentie ‘afstand bewaren’). Wel betekent het dat de CISO het voorbeeld geeft voor de rest van de organisatie, zodat iedereen zijn verantwoorde­lijkheid neemt en niet kan wegkomen met louter verantwoording. Als de CISO dat niet doet, dreigt informatiebeveiliging een beklemmend procedurestelsel te worden. Om een voorbeeld te noemen: het rapporteren over incidenten gaat niet over het laten zien wat er allemaal mis is gegaan, maar primair over wat de verantwoorde­lijke eraan gedaan heeft om een volgend incident te voorkomen.

Conclusie

Uit voorgaande competenties doemt het beeld op van een handelende beleidsmaker en dat is een bijzondere combinatie. Enerzijds vraagt het om op afstandelijke wijze kaders te scheppen en anderen te toetsen aan deze kaders. Anderzijds vraagt het om handelend vermogen in acute situaties als veiligheidsproblemen de continuïteit van de bedrijfsvoering en dienstverlening verstoren. Daadkracht en tact zijn dan gewenst en samen­werken met de waakdiensten en andere interne en externe expertises. Ook improvisatievermogen kan geen kwaad. Leer- en reflectievermogen is essentieel.

 

KADERS

De CISO in actie (I)

Op zaterdag 1 september 2011 om 01.00 uur ’s nachts zegde minister Donner tijdens een persconferentie het vertrouwen in Diginotar op. Diezelfde zaterdagochtend stond de CISO van de gemeente Amsterdam voor de deur van zijn kantoor, samen met een crisismanager en twintig collega’s. Na zo’n twintig dagen non-stop werken waren alle digi­notarcertificaten in de stad vervangen, waardoor de dienstverlening aan de burger onverstoord kon doorgaan. Mede naar aanleiding van dit incident zijn de G4-CISO’s onderling gaan samenwerken. Zo bestaat er nu een gezamenlijk G4-calamiteitendraaiboek en worden onderling ‘early warnings’ gedeeld.

De CISO in actie (II)

‘Kun jij dispensatie verlenen voor deze afspraak?’ ‘Kun jij regelen dat deze veili­ge voorziening snel wordt geïmplementeerd?’ Zulke vragen worden regelmatig gesteld aan een CISO. Het antwoord luidt: nee, dat doet een CISO niet zomaar. De business is ‘in the lead’ en de eigenaar van de informatie bepaalt welke risico’s hij/zij wil nemen en wat iets mag kosten. Een CISO kan altijd wel om advies gevraagd worden.

Strategische competenties Chief Information Security Officer

Wij zien de eerste zinnen van de per­soneelsadvertenties voor vierhonderd nieuwe collegae al voor ons: ‘Gezocht: handelende beleidsmaker op het ter­rein van informatiebeveiliging die verantwoordelijk gedrag vertoont, maar niet verantwoordelijk is. Hij/zij behoudt afstand tot eindverantwoor­delijken, stelt kaders, toetst gedrag in de organisatie aan deze kaders en bezit doorzettingsvermogen als het noodzakelijk is. Samenwerking zoeken met andere organisaties is een must. De betrouwbaarheid van deze organisaties inschatten ook. De kandidaat is flexibel inzetbaar, ook buiten kantooruren en de telefoon staat altijd aan. De kandidaat kan improviseren en heeft een goed ontwikkeld leer- en reflectievermogen. U maakt geen enkele kans op de prijs voor de populairste medewerker van uw gemeente en een begripvolle partner thuis is warm aanbevolen.’

André van der Valk is sinds 1 januari 2010 de (eerste) Chief Information Security Officer van de gemeente Amsterdam. De functie van CISO maakt – via het CIO-office – deel uit van de staf van de CIO (Chief Information Officer) van de gemeente Amsterdam, een functie die ook sinds 1 januari 2010 bestaat. In de afgelopen dertig jaar had Van der Valk verschillende ICT-functies in zes gemeentelijke organisaties in Amsterdam.

Erik de Vries is lector Innovatie in de Publieke Sector aan de Hogeschool van Arnhem en Nijmegen. Hij is ook hoofddocent Business IT & Management aan de Haagse Hogeschool. Hij coördineert de serie artikelen in Informatie over strategische vaardig­heden van de Informatieprofessional 3.0 en werkt voor dit project samen met NGI en de Academy for Information and Management. E-mail: Erik.deVries@han.nl

[1] De Taskforce BID werd op 13 februari 2013 door minister Plasterk (BZK) voor een periode van twee jaar in het leven geroepen om het onderwerp infor­matiebeveiliging hoog op de agenda te krijgen bij bestuurders en topmanage­ment van alle overheids­lagen.

[2] De IBD is een gezamenlijk initia­tief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING). Het is actief sinds 1 januari 2013. De IBD is er voor alle gemeenten en richt zich op bewustwor­ding en concrete onder­steuning om gemeenten te helpen hun informatiebe­veiliging naar een hoger plan te tillen.

[3] Sinds dit jaar gelden de ‘richtsnoeren verwer­king persoonsgegevens’ als leidraad.

[4] Dit kan anders liggen bij organisaties, waarbij de informatiebeveiliging wel ‘core business’ is geworden. Voorbeelden zijn banken, vliegtuig­maatschappijen, AIVD of ministeries. Het kan ook zo zijn bij gemeenten, maar dat moet zich de komende jaren eerst nog ontwikkelen.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag