Informatieveiligheid of informatiebeveiliging staat niet op zichzelf

Informatieveiligheid staat niet of nauwelijks op de gemeentelijke agenda’s. Informatiebeveiliging wordt gezien als een last. Als er middelen voor zijn, zitten die verstopt in het ICT-budget. Dit blijkt uit onderzoek van de Informatiebeveiligingsdienst (IBD). De IBD ziet het op de agenda krijgen van informatiebeveiliging als topprioriteit voor 2019/2020.

Zwakke schakel

Het onderzoek van de IBD, dat put uit 331 coalitieakkoorden, leert dat ambtenaren het grootste risico vormen voor de informatiebeveiliging. Zij zijn, bewust of onbewust, verantwoordelijk voor de helft van de 429 veiligheidsincidenten uit de periode van oktober 2017 tot juli 2018. Informatiebeveiliging gaat dus voor een belangrijk deel om mensen en de mate waarin zij zich van de bijbehorende risico’s bewust zijn.

BIO

Een nieuwe standaard, de Baseline informatiebeveiliging overheid (BIO), moet de informatiebeveiliging op een hoger niveau brengen. Het betreft een uniforme standaard voor alle overheden. Op 7 januari van dit jaar stuurde de VNG hierover een ledenbrief naar de gemeenten.
Gemeente.nu maakte op 9 januari melding van ‘Risico’s door onderschatting informatieveiligheid’. De BIO moet daarin dus verandering brengen.

Veranderingen

Met de nieuwe standaard krijgen gemeenten meer ruimte voor een eigen invulling van de informatiebeveiliging. Een kleine 200 maatregelen uit de huidige Baseline informatiebeveiliging gemeenten (BIG) zijn niet in de nieuwe standaard opgenomen. Informatiebeveiliging moet meer een zaak van management en bestuur worden. Zij moeten meer op risico’s gaan sturen. Deze doelstelling is overigens niet uniek voor de overheid. Ook in het bedrijfsleven wordt ervoor gepleit om informatiebeveiliging, daar cybersecurity genaamd, in de directiekamers te krijgen en niet alleen op de IT-afdeling.

Training

Ik vraag me af of de nieuwe Baseline echt voor verbetering gaat zorgen. Gaat het helpen als informatiebeveiliging op de agenda staat van management en bestuur? Ik ben er niet zeker van.

De belangrijkste maatregelen uit de BIO lijken mij die uit hoofdstuk 7 over ‘Veilig personeel’. Personeel moet de eigen verantwoordelijkheden begrijpen en geschikt zijn om hiernaar te kunnen handelen. En: alle medewerkers van de organisatie behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing in beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.

Samenwerking

Wat voor informatiebeveiliging geldt, geldt ook voor ons vakgebied informatiebeheer. Mij komen de genoemde maatregelen erg bekend voor. We vinden vergelijkbare teksten terug in de diverse baselines informatiehuishouding en de NEN ISO 15489.

Daarom vind ik dat er veel meer samenwerking moet worden gezocht tussen professionals die zich bezighouden met deze disciplines. De chief information security officers (CISO’s) en de functionarissen gegevensbescherming (FG’s) horen hier ook bij. Behandel de informatiehuishouding, -beveiliging en privacy als één samenhangend onderwerp. Voorkom dat er (minimaal) drie beleidsnota’s door management en bestuur behandeld moeten worden met drie afzonderlijke voorlichtings- en trainingstrajecten.