Beheer

Security
beveiliging

Beveiliging draait om bewustwording

© CC0 - Pixabay
16 april 2015

 

De aanstelling van Remco Rekoert in 2013 als Informatiebeveiligingsfunctionaris bij de gemeente Edam-Volendam is een indirect gevolg van de Diginotar-hack. De gemeentesecretaris van Edam-Volendam liet na die hack in 2011 stilletjes een assessment uitvoeren op de afdeling automatisering en IT-beveiliging. Een van de aanbevelingen die hieruit volgde was de aanstelling van een security manager. De keuze viel op Rekoert. Hij werkte lange tijd bij Burgerzaken, een afdeling binnen de gemeente die gewend is stringent om te gaan met informatiebeveiliging. Voor vrijwel alle andere afdelingen binnen de gemeente was informatiebeveiliging nog behoorlijk onbekend terrein.

 

Rekoert moest vanuit het niets beginnen. Hij maakte daarom gebruik van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) dat is opgesteld door Kwaliteitsinstituut Nederlandse Gemeenten (KING) – zowel van het BIG Strategisch Kader als het BIG Tactisch kader. “Ik vond dat een mooie leidraad om mee te ­starten.”

In het BIG SK staan de regels en eisen die gelden voor het toewijzen en het management van verantwoordelijkheden voor informatiebeveiliging en dergelijke, en de bijbehorende maatregelen. “Het was volledig nieuw voor de meeste afdelingen hier. Men ging er ook niet correct mee om. Om informatiebeveiliging goed te borgen ben ik begonnen van boven naar beneden te werken: eerst draagkracht creëren bij het ­management en vervolgens bewustwording binnen de rest van de organisatie. Die strategie leek mij het beste.” Hiernaast zijn het IB-beleid en het IB-plan gemaakt. Het plan bestaat uit de nulmeting/GAP-impactanalyse en uit een set basisdocumenten waarmee een juiste borging van de informatiebeveiliging compleet wordt. Tegelijkertijd is er een voorstel voor de bewustwordingscampagne ‘Blijf denken, werk veilig…!’ ingediend.

De documenten hiervoor liet Rekoert goedkeuren door B&W, waarna hij een bewustwordingscampagne startte. “Daarmee ben ik op laag niveau begonnen. Ik heb de medewerkers binnen de gemeente in workshops gevraagd wat ze al wisten en wat ze zelf aan verbeteringen zouden willen. Dat leverde onmiddellijk quick wins op. Zo wilde men beveiligd printen. Dat kon al lang, maar die mogelijkheid werd niet gebruikt omdat niemand wist dat het bestond. Beschrijvingen hiervan zijn op intranet gezet, op de voor IB gemaakte informatiepagina.

Ook bleken bezoekers bij een van de drie kantoorgebouwen zo door te kunnen lopen. Die toegang hebben we beveiligd met extra tagsloten. Hiermee maak je ook duidelijk dat informatiebeveiliging serieus wordt opgepakt binnen onze gemeente. We stelden verder ook vragen als: Gebruik je het systeem goed? Sluit je het af? Mail je veel documenten en zo ja, waarom? De waarom-vraag is belangrijker dan dat de mensen niet correct handelen. Want het werk kan veel veiliger bij de meesten, alleen moeten ze het weten.”

 

Lange termijn

Tegelijkertijd ontwikkelde Rekoert informatiebeveiligingsbeleid voor de lange termijn. Daarin kwamen onder meer rollen en taken en bijbehorende verantwoordelijkheden aan de orde. Rekoert: “Zo werd duidelijk hoe B&W wilden dat het beleid eruit zou zien én hoe het er hier echt aan toe gaat. Maar ook hoe je omgaat met externe partijen, en hoe het classificeren van data geregeld moet worden.

Om de BIG TK goed te implementeren, moesten we een GAP-/impactanalyse maken. Daarvoor is een nulmeting gedaan aan de hand van de 334 normen waaruit BIG TK bestaat. Hiernaast heb ik een eigen classificatie ingevoerd. Ik heb collega’s gevraagd wat zij belangrijke data vinden. Dat wijkt soms af van de impactanalyse, maar bepaalde maatregelenprocedures moet je toch wel volgen om de classificatie door de werknemers af te dekken.” Zijn inspanningen resulteerden in – onder meer – 102 gedragsregels, die voor iedereen gelden. “Bijvoorbeeld hoe medewerkers met hun e-mailaccount ­moeten omgaan. Daarnaast zijn er maatregelen getroffen waarmee we voldoen aan de resolutie informatieveiligheid van de VNG.”

Vervolgens ging Rekoert op zoek naar een ­Information Security Management System. “Om informatiebeveiliging goed uit te kunnen rollen en te beheren is een ISMS keihard nodig. Anders krijg je het totale overzicht niet in beeld. Excel-sheets zijn niet meer genoeg, want het wordt steeds complexer.”

Gekozen werd voor het ISMS Control Framework van key2control. “Eerlijk gezegd zijn we er vanochtend mee ­begonnen. Het is veel werk om alles in te vullen, maar dat hoeft maar één keer. Daarna is het een kwestie van bijhouden.”

Een groot voordeel van deze tool is volgens Rekoert dat de BIG-normen er al in staan. “Bij andere tools die we hebben bekeken, moesten we dat nog zelf doen. En dat is veel werk! ISMS Control Framework is overzichtelijk en duidelijk. Bovendien kunnen we zelf veel aanpassen, is ons beloofd. Mijn IT-collega’s vinden de tool op het gebied van beheer ook goed.” Het invullen moet gedisciplineerd worden bijgehouden, vreest Rekoert. “Daarbij ben je ook afhankelijk van andere collega’s.”

Een ander voordeel vindt hij dat met deze tool verwezen kan worden naar gerelateerde andere informatie. “De overlap en relaties tussen deze documenten worden dan zichtbaar. In lagere documenten hoeft alleen maar naar de BIG te worden verwezen. Dat scheelt veel werk.”

De tool levert ook rapportages over de mate waarin de gemeente voldoet aan de BIG-normen. “Die verspreiden we naar de lijnmanagers. Zij zijn eindverantwoordelijk. De verantwoordelijkheid moet vooraf goed afgesproken zijn. Voor de medewerkers die op de afdelingen werken met applicaties moet duidelijk zijn welke rol zij hebben qua informatiebeveiliging. Van hen wordt verwacht dat zij de documenten uitrollen voor IB. Neem de procedure voor de ­omgang met mobiele apparaten buiten het ­kantoor. Daarvoor is P&O verantwoordelijk en die maakt dus de richtlijnen. Ik kan ze ondersteunen met documenten die ik via KING ­hiervoor heb.” De tool houdt ook bij of de medewerkers op tijd doen wat ze geacht worden te doen. Gebeurt dat niet, dan volgen automatisch mailtjes en wordt uitgezocht waarom ze hun taak nog niet gedaan hebben. “Zo kunnen we naar een oplossing zoeken als dat nodig is. Daarnaast geeft de tool de persoon die het moet uitvoeren informatie over wat hij moet doen.” Rekoert schat dat het nog wel een jaar kost om BIG helemaal in te voeren – met als complicerende factor dat Edam-Volendam per 1 januari volgend jaar fuseert met de gemeente Zeevang. “Het is belangrijk dat informatiebeveiliging op tijd bij die fusie betrokken wordt. Anders kan dat tot vertragingen leiden. Een gemeente ontkomt niet meer aan informatiebeveiliging. En bedenk, een kleine gemeente moet hetzelfde doen als een grote gemeente. Wel kunnen gemeenten vrij eenvoudig samenwerken, daar leent informatiebeveiliging zich goed voor. Voor de fusie doen we al veel samen. Straks is het een kwestie van onze informatiebeveiligingsrichtlijnen door Zeevang laten overnemen. Dat scheelt hen veel werk, maar ze moeten hiertoe het zelf besluiten. Anders moet ­Zeevang zelf straks nog een nulmeting doen bijvoorbeeld. Dat kost veel tijd, geld en ­inspanning voor een kleine gemeente.”

Onafhankelijke positie

Rekoert heeft een onafhankelijke positie binnen de gemeente gekregen, wat van groot belang is in zijn functie. Hij staat buiten de organisatie, onder de directie. “Daardoor ben ik onafhankelijk. Niet alleen naar de medewerkers toe, maar ook naar de directie. Dit is formeel bij P&O geregeld. Wel heb ik een goede ondersteuning vanuit het MT. Ze hebben niet altijd precies door wat informatiebeveiliging behelst, maar ik krijg wel veel vertrouwen. En ook naar hen toe geldt: veel toelichten en herhalen.”

De burgemeester is portefeuillehouder voor informatiebeveiliging. “We hebben minstens elk kwartaal een gesprek hierover. Dat is fijn, want de burgemeester is zo goed op de hoogte en raakt betrokken. En zo draagt heel B&W het beleid.”

De betrokkenheid van B&W is belangrijk, zeker met komende ontwikkelingen. Zo wordt binnenkort de Wet Datalekken van kracht, waaraan hoge boetes zijn verbonden. “Daar gaat wel een zekere dwang vanuit voor de gemeente om informatiebeveiliging goed aan te pakken.”

Zijn onafhankelijke positie is nodig omdat hij zich moet kunnen laten gelden. “Ik moet me er soms tussen wurmen om mijn zegje te doen over informatiebeveiliging. Medewerkers op de afdelingen hebben het zo druk met het uitvoeren van werkzaamheden dat ze zich niet altijd bewust zijn van de beveiliging die daarbij een rol speelt. Ik weet dat het niet altijd leuk is wat ik te melden heb, maar zij zijn verantwoordelijk als het fout gaat. Ze hoeven niet te weten wat informatiebeveiliging precies inhoudt, maar ze moeten wel weten dat het bestaat, welke documenten er zijn en het gevoel hebben dat ze naar mij kunnen komen voor advies of om te toetsen of hun werkwijze strookt met het informatiebeveiligingsbeleid. Of het nu gaat om de aanschaf van een nieuw systeem of een nieuwe verordening of een verbouwing – alles raakt aan informatiebeveiliging. Schakel je informatiebeveiliging te laat in, dan kan dat het proces vertragen of zelfs stoppen. Neem de decentralisatie van de zorg, die dit jaar is ingegaan. Zeker als het om jeugdzorg gaat, heb je te maken met heel gevoelige gegevens. Die moet je bewaken en borgen!

Belangrijk is dat de gebruikers zich bewust worden dat ze veiliger moeten werken. Dat doen mijn collega’s op de IT-afdeling en ik door de boodschap veel te herhalen. We werken met filmpjes, we geven ­presentaties, ik schrijf artikelen in het personeelsblad en op het intranet. Dat is echt nodig. Het is nog een lange weg, maar ik blijf de mensen op de afdelingen bewust maken van het belang van goede ­informatiebeveiliging. Ik blijf me ertussen wurmen. Dat kun je beter één keer te veel doen dan één keer te weinig. Gelukkig wordt het wel steeds meer geaccepteerd.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!