Baseline Informatiebeveiliging Overheid: grip op risico’s

Met de Baseline Informatiebeveiliging Overheid (BIO) wordt risicomanagement rondom informatiebeveiliging binnen de overheid verder uitgerold. Alhoewel de onderliggende ISO-standaard al jaren bestaat, zie ik de toepassing daarvan nog maar zeer beperkt binnen overheidsland. In andere sectoren waar ik zelf actief ben geweest, zoals de financiële sector, heeft men al veel meer ervaring opgedaan op dit vlak. Wat mij betreft zijn initiatieven zoals de BIO , maar ook bijvoorbeeld ENSIA, reacties vanuit de overheid om informatiebeveiliging binnen de publieke sector naar een broodnodig, hoger niveau te tillen.

Continu proces

In de basis is het de bedoeling dat u daadwerkelijk het ‘Information Security Management System’, oftewel ISMS, gaat toepassen zoals de ISO dat heeft bedoeld. Het ISMS is een continu proces en geen éénmalige activiteit. Beleid, taken en verantwoordelijkheden, normenkaders en inzicht in risico’s komen in dit systeem bijeen. Daarbij wordt de huidige situatie van uw organisatie centraal gesteld en het ambitieniveau bepaald. Zo helpt het ISMS u om op korte en lange termijn de risico’s juist in te schatten en de informatieveiligheid te verhogen.

Lees meer over de Baseline Informatiebeveiliging Overheid (BIO)

Klaar voor de BIO

De BIO komt eraan, en gaat voorlopig niet meer weg. De bedoeling is om de informatieveiligheid binnen de overheid naar een hoger niveau te tillen. Dat betekent simpelweg meer werk, en goed continu risicomanagement helpt daarbij om structuur aan te brengen. De wereld staat niet stil en organisaties ook niet, dus conform de BIO bent u nooit klaar met informatiebeveiliging. Maar als u het slim aanpakt, bent u wel klaar voor de BIO.

Praktische tips

Er is dus werk aan de winkel. Laten we aannemen dat u reeds een informatiebeveiligingsbeleid hebt, dat een CISO is aangesteld, en dat rollen en verantwoordelijkheden duidelijk zijn. U hebt alle betrokken op de hoogte gebracht van de BIO, de concepten van risicomanagement uitgelegd, en hebt betrokkenheid verkregen (zie voorgaande artikel). Tijd om te beginnen met risicomanagement. Hieronder mijn tips voor u.

Tip 1. Splits risicoanalyses op naar organisatie-, proces- en systeemniveau
Voor het uitvoeren van de risicoanalyses adviseer ik om de baseline te splitsen. De baseline van beveiligingsmaatregelen is namelijk een mix van algemene of organisatorische beveiligingsmaatregelen en systeemspecifieke maatregelen. Ter illustratie, als u de beveiliging van applicaties onderzoekt, wilt u niet iedere keer de vraag beantwoorden of uw organisatie over een CISO beschikt, maar wel hoe sterk de wachtwoordinstellingen zijn.

Maak daarom eerst een splitsing in de baseline en vervolgens in de risicoanalyses:

  • Doe een algemene classificatie van uw organisatie en plak daarop de algemene maatregelen die op organisatieniveau worden verwacht. Dit betreft maatregelen op het gebied van Organisatie, Personeel maar ook algemene voorzieningen zoals werkplekbeveiliging. U kunt deze risicoanalyse één keer uitvoeren;
  • Doe vervolgens een algemene classificatie per bedrijfsproces. Bij een procesinsteek kijkt u naar alle gegevens die in een proces worden verwerkt, en classificeert u het proces. Er zullen zeker maatregelen in de baseline staan die u op procesniveau kunt toepassen. Bovendien geeft dit u een holistische bril op de informatie in een proces en de samenhang tussen systemen;
  • Doe vervolgens een classificatie per systeem in dat proces, en prioriteer op basis van risicoprofiel welke applicatie als eerste de baselinecheck ondergaat.

Tip 2. Organiseer een workshop voor de risicoanalyse
Het uitvoeren van een risicoanalyse kan een tijdrovende exercitie zijn, waarbij de meeste tijd wordt verspild met doorlooptijd die niet effectief wordt benut. Ik adviseer u om afspraken te maken met de proceseigenaar en betrokken medewerkers waarin u in de vorm van een workshop de analyse snel afrond. Dus geen wekenlange exercitie maar bijvoorbeeld in één dag. Waarin u ook samen conclusies trekt en direct samen een risico-actieplan opstelt. Geef bedoelde of onbedoelde vertragingstactieken in het proces geen kans, niemand houdt van langlopende processen.

Tip 3. Stel een risico-actieplan op
In de risicoanalyse classificeert u naar één van de drie niveaus, en voert u een baselinecheck uit ten opzichte van de verplichte beveiligingsmaatregelen voor dat niveau. Stop niet daar, maar introduceer het concept van een risico-actieplan, per proces en/of per systeem. Dit plan bevat kort en bondig de volgende elementen als gevolg van de risicoanalyse:

  • De classificatie;
  • Samenvatting van de baselinecheck, welke maatregelen zijn wel of niet in voldoende mate aanwezig;
  • Het huidige restrisico, welk risico loopt de organisatie op dit moment;
  • De geplande verbeteracties door de proceseigenaar, met tijdslijnen;
  • Het geplande restrisico als dit plan naar behoren wordt uitgevoerd.

De betrokken proceseigenaar tekent dit af voor akkoord en ter bevestiging van het verbeterplan. U heeft nu formeel commitment van de proceseigenaar en iets om te rapporteren én om te bewaken. Het risicomanagement kan beginnen!

Tip 4. Denk na over escalatiepaden
Risicomanagement gaat om inzicht en sturen op risico’s. Soms moeten er keuzes worden gemaakt over budget versus risico bijvoorbeeld. De BIO is heel duidelijk over verantwoordelijkheden. Voor BBN1 mag de proceseigenaar zelfstandig het beveiligingsniveau bepalen. Voor BBN2 moet de proceseigenaar de CISO consulteren. Voor BBN3 moet de secretaris / algemeen directeur worden betrokken.

De CISO begeleidt, adviseert en bewaakt. Daarbij is het wel handig om na te denken over escalatiepaden. Als een proceseigenaar risico’s accepteert waarvan de CISO denkt dat dit niet OK is dan zal de CISO ergens moeten kunnen aankloppen. Of als risico-actieplannen niet worden uitgevoerd. Ik adviseer u om enkele spelregels op dit vlak te formuleren, zodat van te voren duidelijk is hoe het spel wordt gespeeld, en niemand zich aangesproken hoeft te voelen als iemand volgens de regels acteert.

Tip 5. Rapporteer periodiek over risico’s en compliance
Een belangrijk onderdeel in risicomanagement is om periodiek (bv. één keer per kwartaal) te rapporteren over risico’s, afgeronde en openstaande risico-actieplannen, de mate waarin risicoanalyses tijdig zijn uitgevoerd, en overige relevante aangelegenheden. Dit informeert het hoger management over het risicoprofiel van de organisatie alsook over de mate waarin de organisatie voldoet aan gestelde eisen. Korte rapportages zijn goed, lange rapportages niet. Hiermee legt u als CISO ook verantwoording af over uw taak, en dat is wat een professional hoort te doen.

Tip 6. Breng ook uw administratie op orde
Tot slot begrijpt u inmiddels wel dat voor het doen van risicomanagement op dit niveau, u ook goede middelen voor procesondersteuning nodig heeft. Office-pakketten gaan u niet helpen, maar goede ISMS-software (of governance, risk en compliance (GRC)-software) wel. Dergelijke software kan u ook helpen om relevante activiteiten zoals bijvoorbeeld testactiviteiten voor ENSIA of het doen van een risicoanalyse te agenderen voor een proceseigenaar in de organisatie.