De verregaande digitalisering en de technologische ontwikkelingen maken ons leven makkelijker en zijn goed voor de economische ontwikkeling. Tegelijkertijd vormen ze ook een risico. Het beveiligen van informatie is namelijk een steeds ingewikkelder vraagstuk en van groot (maatschappelijk) belang. Het is de verantwoordelijkheid van de gemeente, en met name van haar bestuurders, hier zorg voor te dragen.

Door: Quita Hendrison

Bewustwording is het toverwoord als we het over informatieveiligheid hebben. Liefst beginnend bij de top van de piramide; oftewel bij bestuur en management. En hoewel grote incidenten als de Citrix-crisis een duw in de rug zijn, is het vooral de taak van de CISO om het beveiligingsbewustzijn te verankeren in de top.

Theo Quist is CISO bij de Werkorganisatie Langedijk en Heerhugowaard. Hij herinnert zich nog goed dat bij zijn sollicitatie voor de functie de nadruk niet lag op kennis van ICT maar op het kunnen verbinden: iemand die vertrouwen wekt en mensen bij elkaar kan brengen. "Iemand die bijvoorbeeld de audits op zo'n manier kan uitvoeren dat bevindingen geen kritiek zijn maar verbeterpunten", vult wethouder Jasper Nieuwenhuizen aan. "Om een betrouwbare gemeente te zijn moeten we het slot op de deur goed regelen. Of eigenlijk meerdere sloten: niet alleen op de informatiesystemen, maar ook op houding en gedrag van de mensen binnen en buiten het gemeentehuis. De CISO is daarin een sleutelfiguur en is daarom in onze gemeente een staffunctie, direct onder de directie. Samen met de functionaris gegevensbescherming (FG) heeft hij maandelijks overleg met het bestuur, waarin risicomanagement en monitoren van en anticiperen op dreigingen de gespreksonderwerpen zijn."

Speels

Sinds vorig jaar is dat structurele gesprek ook doorgetrokken naar de raad. Nieuwenhuizen: "Er was van alles aan de hand destijds, denk aan onrust rond leveranciers. Dergelijke zaken grijpen zo diep in in de gemeentelijke organisatie dat de raad, immers toezichthouder en budgetsteller, echt inhoudelijk moet begrijpen waar het om gaat. Dan is het de kunst om dat op een laagdrempelige manier, zonder diep in de techniek te duiken, voor elkaar te krijgen. Datzelfde geldt voor het management. Soms met een 'officieel' gesprek, soms op een speelse manier. Zo hebben we een tijd geleden het hele managementteam een USB-stick gestuurd met een wervende tekst erop van een niet-bestaand bedrijf: 'Wilt u deze informatie tot u nemen?' Een flink deel trapte daarin, terwijl ze hadden moeten weten dat er risico's zitten aan het aansluiten van USB-sticks van een onbekende afzender. Inmiddels zijn we vele stappen verder. Maar het is zaak om in gesprek te blijven, om te verkennen wat we zien gebeuren en wat de risico's zijn voor de bedrijfsvoering. Van de CISO verwacht ik dat hij dat beeld schetst en alternatieven biedt."

Toetsen

De gemeente is zich ervan bewust dat risicobeheersing 24/7 aandacht vereist. Dat is niet zo eenvoudig want informatieveiligheid kent vele kamers. De wethouder: "Wat vraagt de wetgever, welke data stellen we open, welke risico's willen we accepteren, waar ligt de beste balans tussen te lichte en te zware maatregelen? De juiste beveiliging heeft te maken met beschikbaarheid en integriteit, met vertrouwelijkheid, administreren en toetsen." "Alle I-initiatieven worden bij ons bijvoorbeeld intern getoetst", vult Quist aan. "Zodra een afdeling een plan heeft met een I-component, een nieuwe applicatie bijvoorbeeld, leggen we dat voor aan een centraal orgaan dat breed is samengesteld uit adviseurs van verschillende disciplines. Dat garandeert een integraal advies. Dus niet toetsen achteraf, maar de toets als onlosmakelijk onderdeel van het wijzigingsproces."

Burgemeester

Alles begint uiteraard bij het formuleren van het einddoel: een organisatie die in control is als het gaat om beveiligingsvraagstukken rond digitale informatie. "We hebben een stappenprogramma op weg naar dat doel", legt Nieuwenhuizen uit. "Dat einddoel verschuift met de omgeving mee. Als je niet meebeweegt gaat het fout. Maar het kan niet in één keer, zoals aanvankelijk nog wel vanuit de raad gesuggereerd werd. 'Als we nou gewoon budget vrijmaken, moet dat toch kunnen?' Nee, dus. Want het gaat niet alleen om techniek, maar ook om gedrag. Informatieveiligheid is niet een project, maar een proces dat nooit af is. Om dit proces te waarborgen is dat expliciet benoemd in het collegeakkoord, in de begroting en in verschillende programma's die bestuurlijk zijn vastgesteld. Zoals aangegeven is de raad daarin ook meegenomen. Maar de verantwoordelijkheid voor de borging van informatieveiligheid is aan het college. Daarbij is een niet te onderschatten aspect de betrokkenheid van de burgemeester. Wij hebben als gemeente een rol in ons eigen huishouden, maar ook voor de samenleving. Ook de inwoners, ondernemers en samenwerkingspartners moeten het slot op hun deur goed regelen. Ook bij hen proberen we het veiligheidsbewustzijn te versterken. Onze burgemeester, Leontien Kompier, gaat bijvoorbeeld naar de scholen toe met een cybergame om de kinderen te leren wat hacken is. Dat werken aan bewustwording pakken we heel breed op."

Quist besluit: "Maar het begint ermee dat we het eigen huis goed op slot hebben. We kunnen het nog zo mooi vertellen, als wij zelf onze informatieveiligheid niet goed regelen geven we niet het juiste voorbeeld. Wat daarvoor nodig is, is in de eerste plaats een heldere structuur. Dat begint met bewustwording aan de top. Zorg voor één, twee collegeleden die de trekkers kunnen zijn. En praat mee op VNG- en rijksniveau, of je nu een grote of kleine gemeente bent. Zorg dat je aan de juiste tafels zit en zet je deuren open voor nieuwe kennis."