Digitale veiligheid

Nils Hoole

Alles moet simpeler

Hoe weet je als bestuurder of het goed zit met de digitale veiligheid van je organisatie? Nils Hoole, Privacy & Security Officer voor Centric Public Sector Solutions, geeft een aantal praktische handvatten waar bestuurders in hun organisatie mee aan de slag kunnen.

Het begint met overzicht

Opvallend aan het gesprek met Hoole is dat het bijna niet gaat over technologie. Ja, je moet uiteraard voldoen aan de BIO (Baseline Informatiebeveiliging Overheid), de technische maatregelen voor informatieveiligheid op orde hebben, regelmatig tests laten uitvoeren, je medewerkers bewust maken van het belang van (digitaal) veilig werken, de juiste specialisten in huis hebben en periodiek oefenen om goed te leren omgaan met een cyberincident. Op strategisch niveau spelen echter andere zaken. En dat begint bij de basis, vertelt Hoole: “De gemeentelijke informatievoorziening is vaak nodeloos complex. Je boekt veel winst, overigens niet alleen op het gebied van informatieveiligheid, als je dat eenvoudiger maakt. Om dat te kunnen doen, heb je eerst overzicht nodig. Welke systemen gebruik je, hoe lopen de processen, waar staat je data, wie heeft toegang tot wat? Hoe zien de ketens eruit waarin je werkt?” Een bestuurder moet dat overzicht vragen van zijn organisatie, want daarmee begint het. “Daarbij komt dat wildgroei van applicaties een veiligheidsprobleem is. Als je digitale veiligheid serieus neemt, dan zou je moeten beginnen met die wildgroei tegengaan. Welke informatievoorziening heb je als gemeente echt nodig? Breng dat op orde, regel de veiligheid en faseer de rest uit.” Dat is een basisvoorwaarde voor informatieveiligheid, vertelt Hoole. In die zin is het niet veel anders dan een huis: “Je kunt heel goede sloten op je voordeur zetten, maar als het slaapkamerraampje altijd openstaat, dan komen inbrekers alsnog binnen.”

Risk appetite

Met het overzicht van wat je in huis hebt, aan processen, systemen, applicaties en infrastructuur, kun je in kaart brengen wat de schade is mochten deze niet meer beschikbaar zijn of als de data op straat komt te liggen. “Welke risico’s ben je bereid te nemen? Dit noemen we risk appetite.” Dat risico kan financiële schade zijn, maar ook een geschaad vertrouwen of veel contact aan de gemeentelijke balie als de online dienstverlening niet werkt. Ook hier is overzicht het sleutelwoord, vertelt Hoole. Want als je de risico’s in kaart hebt, dan kun je bewust kiezen waarin je investeert. En wordt dat een goed onderlegde, bestuurlijke afweging. “Je zult nooit 100% veilig zijn, dat bestaat niet. Daarom is het gesprek over de risico’s die je bereid bent te nemen zo belangrijk. Een gesprek dat op de bestuurlijke tafel hoort. Security rapportages kunnen hier enorm bij helpen. Heb je de risico’s in kaart en weet je wat je wel en niet kunt dragen, dan kun je maatregelen nemen. Bijvoorbeeld het maken van afspraken met buurgemeenten die een deel van de dienstverlening kunnen overnemen, mocht je eigen dienstverlening onderuitgaan.”

Nils Hoole Privacy & Security Officer voor Centric Public Solutions

Meer over risk appetite?

Oefenen

Net als cyberdreiging is het overzicht van wat je in huis hebt aan IT niet statisch. Het verandert voortdurend, dus het overzicht zal ook voortdurend bijgewerkt moeten worden. “Zorg er ook voor dat digitale veiligheid wordt opgenomen in de managementrapportages, daar zijn heel handige dashboards voor.” Daarnaast is het van groot belang dat je oefent in het omgaan met een cyberincident. “Dat zou net zo normaal moeten zijn als oefeningen voor incidenten in het fysieke domein.” Er zijn allerlei manieren om dit te doen, binnen het bestuur, met de gehele organisatie of zelfs landelijk, bijvoorbeeld met de Overheidsbrede Cyberoefening die het ministerie van BZK organiseert. Het doel van een oefening is tweeledig: werken aan bewustwording en het eigen crisisplan aanscherpen. “Recente veiligheidsincidenten, zoals die rondom Log4j, maakten duidelijk dat te weinig organisaties een continuïteitsplan hebben. Dat is wel nodig. Ik noem maar iets: we hebben allemaal onze back-ups op orde, maar weten we ook hoe we ze moeten terugzetten? Hebben we een communicatiecrisisplan waarop we kunnen terugvallen? Kennen de leden van het crisisteam elkaar, zijn de rollen helder?”

Eigenaarschap

Tot slot heeft Hoole nog een paar adviezen om digitale veiligheid goed in de organisatie te borgen. “Ten eerste eigenaarschap. Wie doet wat in de organisatie, of belangrijker nog: wie mag wat doen?” Om wildgroei en daarmee digitale risico’s in de organisatie tegen te gaan, is het goed als de rollen en verantwoordelijkheden helder gehanteerd worden. “Wat je idealiter zou willen, is dat de gemeentesecretaris met sectorhoofden praat over wat zij nodig hebben voor hun business.

Met de Chief Information Security Officer (CISO) praat de gemeentesecretaris over security en met de Functionaris Gegevensbescherming (FG) over privacy. En de CISO en FG praten dan met de ICT-afdeling. Organisatorisch is dit vaak nog niet goed ingericht, daar is nog veel winst te behalen.” Ook op het vlak van opleiding en het vinden van de juiste mensen, heeft hij een advies. “Geen of geen goed gecertificeerd personeel is een probleem voor elke organisatie. Maar soms worden in vacatures te hoge eisen gesteld. Natuurlijk zijn bepaalde opleidingen vereist. Maar daarnaast kun je medewerkers een opleidingsplan aanbieden en de tijd geven zich verder te scholen. Overigens niet alleen in informatieveiligheid, maar ook in hoe een gemeente werkt. Kennis van de gemeentelijke context is essentieel voor een CISO, dat wordt nog wel eens vergeten.”

slimme Vragen

  1. Wat is de schade voor uw inwoners wanneer uw dienstverlening niet meer werkt?
  2. Wat kunt u nu al regelen aan externe ondersteuning voor het geval de basisdienstverlening onderuitgaat en u dan snelle oplossingen wilt?
  3. Welke persoon is eigenaar van de digitale beveiliging?
  4. Hoe wordt het niveau van beveiliging gemeten in uw gemeente?
  5. Welke van de talloze applicaties die uw gemeente gebruikt zijn cruciaal voor de bedrijfsvoering en vragen om passende maatregelen?