Publieke sector zet ISMS-tool nog niet optimaal in

Steeds meer organisaties in de publieke sector oriënteren zich op de mogelijkheden van ISMS-tooling sinds de introductie van de Baseline Informatiebeveiliging Overheid (BIO). Baker Tilly onderzocht het gebruik van tooling voor Information Security Management System (ISMS) in de sector. Inzet van deze tool bespaart namelijk veel handmatig werk bij de uitvoering van het Information Security Management System én interne beheersing van informatiebeveiliging. Opvallend is dat veel gebruikers moeite hebben om de tool optimaal in te zetten binnen de organisatie.

Groot verschil in gebruik van ISMS-tool

De meeste organisaties in de publieke sector gebruiken al een ISMS-tool óf zijn in een vergevorderd stadium van de selectie van een tool. Het grote verschil zit echter in hoe zij de tooling gebruiken. Een minderheid zet de ISMS-tooling uitsluitend in als content bibliotheek. Daarmee is de tool vooral een opslagplaats voor templates rondom informatiebeveiliging. De meeste organisaties willen echter de complete PDCA-cyclus onderbrengen in de ISMS-tool: van het vastleggen van acties tot en met het monitoren van en rapporteren over die acties. Een groot voordeel van de ISMS-tool op deze manier gebruiken, is dat de tool snel inzicht geeft in de huidige stand van zaken ten aanzien van informatiebeveiliging. Als de tool goed is ingericht kan bovendien actief gemonitord worden op het uitvoeren van acties in relatie tot verantwoordelijkheden. Het goed inrichten blijkt in de praktijk echter tot de nodige uitdagingen te leiden. Met als gevolg dat de ISMS-tool niet altijd doeltreffend ingezet wordt binnen de organisatie.

Uitdagingen bij optimale inzet ISMS-tool

Het efficiënt inrichten van workflows, het wegnemen van weerstand bij eindgebruikers en het meekrijgen van het lijnmanagement wordt als meest uitdagend ervaren. In de praktijk merken wij dat met name deze laatste twee uitdagingen vaak te maken hebben met het gebrek aan ‘feeling’ in de lijn met risicogebaseerd denken. Daardoor weet het lijnmanagement onvoldoende wat er, in het kader van informatiebeveiliging in het algemeen en de BIO in het bijzonder, van hem of haar wordt verwacht. Het lijnmanagement dient echter wel de beslissingen te nemen over risico’s. Een oplossing voor dit probleem is het organiseren van een workshop waarin u lijnmanagers (en andere functionarissen die betrokken zijn bij informatiebeveiliging) meeneemt in het proces van informatiebeveiliging en hen actief laat meedenken over informatiebeveiligingsrisico’s binnen hun eigen domein. Ook het opstellen van een concrete jaarkalender ten aanzien van informatiebeveiliging is een handig hulpmiddel.

Informatiebeveiliging verbeteren

Binnen relatief kleine organisaties kan een ISMS-tool als contentbibliotheek een goed hulpmiddel zijn om beleid en procedures up to date te hebben en te houden. Onnodige belasting van medewerkers op het vlak van kennis en gebruik van een tool wordt hiermee vermeden. ISMS-tooling uitsluitend inzetten voor het up-to-date houden van beleid en procedures betekent echter nog steeds veel handmatig werk met betrekking tot monitoring en rapportage. Bovendien ontbreekt realtime inzicht in de status van uitvoering van maatregelen voor informatiebeveiliging.

Tijd besparen én realtime inzicht

Wij dagen die organisaties uit te onderzoeken hoe zij de PDCA-cyclus van informatiebeveiliging in een ISMS-tool kunnen onderbrengen. Het bespaart tijd, omdat de ISMS-tool geautomatiseerde oplossingen biedt voor monitoring en rapportage. Een tweede voordeel is, dat de ISMS-tool realtime inzicht geeft. U kunt dan snel acteren als de uitvoering van de maatregelen binnen uw organisatie niet naar wens verloopt. Waar moet u beginnen? Breng in kaart wat nodig is om de tool te gebruiken ter ondersteuning van de PDCA-cyclus en welke randvoorwaarden in de organisatie hiervoor nodig zijn. Ga ook na of uw huidige ISMS-tool voorziet in die ondersteuning. Maak vervolgens een overzichtelijk maar behapbaar plan en voer deze gefaseerd uit. Begin bijvoorbeeld met één of twee processen voor de Suwinet of DigiD-controles.

Balans tussen kosten en baten

Heeft uw organisatie (nog) geen ISMS-tool? Breng dan eerst in kaart wat de voor- en nadelen zijn en waarvoor de organisatie de tool wil gebruiken? Denk ook na over welke eisen u stelt aan de ISMS-tool en welk randvoorwaarden er binnen de organisatie aanwezig dienen te zijn. Daarbij benadrukken wij dat een ISMS-tool ‘overdone’ kan zijn voor organisaties met een beperkte omvang en korte lijnen. Dan kan vaak worden volstaan met een ISMS-planning en periodieke controle van documentatie gerelateerd aan informatiebeveiliging en uitgevoerde acties.

Investeer in optimale inzet

De adoptie van ISMS-tooling binnen de publieke sector is nog volop in ontwikkeling. Het is wat ons betreft dan ook geen overbodige luxe. Sterker nog, met de toenemende (externe) verantwoording van informatiebeveiliging kan het gebruik van een ISMS-tool, zeker binnen grotere organisaties, veel werk uit handen nemen. Onderzoek daarom goed of u de volledige mogelijkheden, die een ISMS-tool biedt, benut. Twijfelt u daarover of ervaart u de uitdagingen die we hierboven beschreven? Schroom dan niet om hulp in te schakelen, zodat u wél optimaal gebruikt maakt van de voordelen van ISMS-tooling.

Dit bericht is meer dan zes maanden geleden gepubliceerd. Omdat wet- en regelgeving continu in beweging is, raden wij u aan met uw Baker Tilly adviseur te bespreken of de informatie in dit bericht actueel is en gevolgen heeft (of mogelijkheden biedt) voor uw situatie. Uw adviseur praat u graag bij over de laatste stand van zaken.