Gemeenten krijgen in sneltreintempo te maken met nieuwe normenkaders rond informatiebeveiliging. Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) wordt Baseline Informatiebeveiliging Overheid (BIO), BIO heeft weer gevolgen voor ENSIA, enzovoort. Noodzakelijk en verplicht, maar ook enorm complex. Zeker als je weet dat in veel gemeenten informatiebeveiliging nog maar net op de kaart staat. In Kerkrade hebben ze de omslag in korte tijd gemaakt.

Door: Quita Hendrison

Illustratief voor de omwenteling in het gemeentelijke informatiebeveiligingsdossier is de term CISO (Chief Information Security Officer). Inmiddels gemeengoed, maar wie had er twee, drie jaar geleden van gehoord? Willy de Jonghe is sinds 2017 CISO in Kerkrade. "In het bedrijfsleven - waar ik vandaan kom - al een ingeburgerde functie, maar in de gemeente was het nieuw; specialisten in informatiebeveiliging waren er niet. En het bewustzijn rond informatiebeveiliging was matig. Dat gold ook voor Kerkrade. Niet dat er niks gebeurde, maar het was allemaal versnipperd over de verschillende vakspecialisten die het 'erbij' deden. Een integrale aanpak was er niet. Met mij als CISO kwam er een versnelling doordat één iemand er de volle aandacht voor heeft."

Dat het taaie en ingewikkelde materie is, merkte Willy de Jonghe al snel na zijn aanstelling: "Ik ben weken tot maanden bezig geweest om me in te werken in de BRP, Suwinet, kortom die hele specifieke informatieomgeving van gemeenten. De BIG heb ik daarbij gehanteerd als mijn handvat om alles te begrijpen en te relateren aan informatiebeveiliging. Ik ben vervolgens de organisatie in gegaan; naar P&O, naar ICT, naar Facilitaire zaken om te praten over BIG en BIO en het eigenaarschap te beleggen waar het hoort. Daarbij merkte ik dat het bewustzijn erg laag was. Daarom heb ik een roadmap gepresenteerd aan management en directie omdat commitment dáár begint. Op die manier krijgt informatiebeveiliging de aandacht die het verdient. We willen uiteindelijk iedere collega bereiken in de organisatie en daar heb je medewerking van het management voor nodig. Het resultaat is dat de organisatie meer inzicht en overzicht heeft over informatieveiligheid die aansluit op de bedrijfsvoering. Verantwoording en eigenaarschap worden duidelijk en overzichtelijker."

De tweede versnelling kwam met ENSIA (Eenduidige Normatiek Single Information Audit). ENSIA helpt gemeenten om in één keer slim en eenduidig verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG en BIO. Willy de Jonghe: "Ik ben de tolk tussen ENSIA en Kerkrade. Wat moeten we doen, hoe moeten we het doen, met welke resources? Want als CISO ben je 'slechts' de adviseur in de ontwikkeling en uitvoering van het informatiebeveiligingsbeleid: de informatie-eigenaren (hoofd P&O, hoofd sociaal domein, enzovoort) moeten het zélf doen. Ik adviseer, begeleid en breng zaken bij elkaar."

Of gemeenten voldoen aan de Baseline moet getoetst worden door een zelfevaluatie. Een externe gecertificeerde auditor voert een audit uit en brengt daar een rapport over uit ter verantwoording aan de overheid.

IJkpunt

Nu 2019 voor driekwart is verstreken maakt Willy de Jonghe een voorlopige balans op. Hij heeft er veel voor moeten praten, sleuren en trekken, maar de resultaten zijn er. "We hebben een informatiebeveiligingsbeleid, we voeren een integrale informatieveiligheidsanalyse uit en we hebben een informatieveiligheidsjaarplan. 100 procent BIG-BIO-proof kan – nog – niet, maar er is structuur en er is bewustzijn. Dat zie ik terug in de laatste audit. Die vergelijk ik met de eerste ENSIA-audit in 2017, de 0-meting. Toen waren niet alle normen in beeld en ze voldeden onvoldoende. En we hadden nog weken nawerk om alles BIG-conform te maken. Nu nemen we de auditor al vroeg in het proces mee, dat is echt een reuzenstap waardoor we veel meer in regie zijn van het proces informatieverwerking en informatiebeveiliging. Met de audit als ijkpunt om naartoe te werken. Concreet zien we dat er goede stappen zijn gezet om informatiebeveiliging te implementeren binnen onze organisatie. Afgestemd op de situatie en behoeften van onze organisatie. De hele organisatie wordt betrokken en meegenomen in dit traject. Op een transparante, gecontroleerde en uitvoerbare manier.

Wat ook cruciaal is, is dat informatiebeveiliging een regulier onderdeel wordt van het werkproces en de gehele bedrijfsvoering. ENSIA is geen aparte activiteit, maar is gekoppeld aan de reguliere gemeentelijke planning-en-control-cyclus. Het ultieme doel is dat we de regie hebben en in control zijn en blijven over onze informatiebeveiliging. Natuurlijk omdat het een verplichting is vanuit de BIO, maar vooral omdat je als gemeente verantwoording wilt kunnen afleggen aan de inwoners en voor hen een betrouwbare partner wilt zijn."

Nut en noodzaak

Klaar is het natuurlijk niet in Kerkrade en waarschijnlijk zal dat nooit zo zijn, want het is een ongoing process. "We werken voortdurend aan die bewustwording bijvoorbeeld. Organisatiebreed, met eigen creatieve vondsten zoals posters, flyers en berichten op intranet en uiteraard met middelen van de Informatiebeveiligingsdienst (IBD) van de VNG. De IBD is voor mij echt het kenniscentrum en een platform om kennis te delen. Want er is technisch en organisatorisch nog veel te doen. Wat mij hierbij zou helpen is een Information Security Management System (ISMS). Dat is een managementsysteem voor informatiebeveiliging, een dashboard dat inzicht en overzicht geeft op alle relevante aspecten. Dus niet alleen ICT, maar ook medewerkers, procedures en bedrijfsrichtlijnen. Daarmee kun je de informatiebeveiliging van de organisatie besturen. Voor nu heb ik zelf een eigen 'systeem' opgezet. We zijn ons aan het oriënteren om een juiste keuze te maken uit de vele van aanbieders op dit gebied. Wat mij betreft een kwestie van nut en noodzaak!"

Gemeentesecretaris Harry Coumans wil tot slot graag het belang van een gepassioneerde aanjager in zo'n complexe ontwikkeling benadrukken. "Dankzij Willy's inzet, expertise, doorzettingsvermogen en vastberadenheid is informatiebeveiliging hier een succes. Willy is een aanjager en bruggenbouwer; de verbindingsofficier in de gehele operatie, waarbij hij de organisatie aanspreekt, overtuigt van nut en noodzaak. Hij heeft in een organisatie met uiteenlopende belangen het draagvlak gecreëerd om informatiebeveiliging op de kaart te zetten."