ENSIA: wanneer gaat er ook getoetst worden op werking?

Op dit moment wordt voor de ENSIA audit voor Suwinet en DigiD alleen opzet en bestaan getoetst. Dit betekent dat de audit zich beperkt tot het toetsen of beleid en procedures aanwezig én actueel zijn (opzet) en of deze procedures en het beleid tenminste één keer aantoonbaar gevolgd worden (bestaan). Sinds de lancering van ENSIA in 2017 zijn er ook plannen om in de ENSIA audit te toetsen op werking. De grote vraag is alleen: per wanneer?

Bij veel gemeenten zie ik ten aanzien van ENSIA-verantwoording op werking drie reacties veel terug: ‘het zal mijn tijd wel duren’, ‘help, dat gaat me nog meer tijd, energie en budget kosten’ óf ‘waar is dat nu voor nodig?’. Om met een antwoord op deze laatste vraag te beginnen. Opzet en bestaan toetsen is natuurlijk een mooi begin. Tegelijk blijft de vraag: weet je nu écht hoe je ervoor staat? Kun je echt zeggen dat je in control bent? Uiteindelijk draait daar de hele ENSIA audit om: voor DigiD en Suwinet op het gebied van informatiebeveiliging als gemeente aantoonbaar in control zijn.

Voorkom struisvogelpolitiek

‘Waar is dat nu voor nodig?’ moet niet omslaan in struisvogelpolitiek, wetende dat de geluiden steeds sterker worden om in de nabije toekomst op werking te gaan toetsen. Voor wie de kop in het zand steekt,  wordt het goed doorstaan van een ENSIA audit waar ook getoetst gaat worden op werking een pittige kluif.

Hoe werking aantonen?

Gelukkig hoor ik ook andere reacties. Gemeenten die vooruitkijken en zich afvragen: hoe kunnen we ons als organisatie nu al voorbereiden op een ENSIA-verantwoording over werking? Dat gaat in de meeste gevallen wel gepaard met de reactie ‘help, dat gaat me nog meer tijd, energie en budget kosten’.  De wens om voor te bereiden roept dus veel vervolgvragen op: Hoe kun je verantwoorden dat het gehele jaar conform beleid en procedures gehandeld wordt? Hoe richt je, je interne beheersing zo in dat je de werking kunt aantonen? Wat komt daarbij kijken?

Nulmeting

Deze gemeenten kan ik geruststellen. Als je namelijk zorgt dat opzet en bestaan van je controlecyclus én de opbouw van het verantwoordingsdossier staan als een huis, dan is de werking relatief eenvoudig te toetsen. Vraag de auditor tijdens de pre-audit één of twee normen op werking te beoordelen. Zie dit als een soort nulmeting waarbij je aan den lijve ervaart wat een toetsing op werking met zich meebrengt.

Handvatten informatiebeveiliging

In zo’n nulmeting worden de belangrijkste bottlenecks zichtbaar. Als je dit weet, weet je ook wat je als gemeente te doen staat. Je kunt een plan maken en hebt als CISO handvatten om binnen de organisatie de informatiebeveiliging te verbeteren. Mijn ervaring is, dat vooral de werking aantonen van het in- en uitdienstproces en het autorisatieproces nog de aandacht nodig heeft. Grip houden op een goede registratie van alle in- en uit dienst en autorisaties is al een kunst op zich, maar om de werking te verantwoorden is een periodieke controle van belang. Hiermee spoor je zelf tijdig op wat er niet goed is gegaan en kun je opvolging geven aan de bevindingen. Hét bewijs dat je ‘in control’ bent.

Wat rest zijn de gemeenten waar het gevoel van ‘het zal mijn tijd wel duren’ overheerst. Tja, ik denk dat bij deze groep het sentiment na het lezen van deze blog wel omslaat…

P.S. Interesse in een kleine GAP-analyse (wat moeten we doen om de werking ook aan te kunnen tonen?) of een ENSIA-audit waarin één of twee normen alvast op werking getoetst worden? Neem dan contact op met mij (g.roorda@bakertilly.nl of 06 52 76 56 18)!