Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Beveiliging vereist betrokkenheid

De beveiliging van informatie staat of valt met de betrokkenheid van de medewerkers, betoogt Ben Elsinga. Een voorbeeld van hoe het moet is volgens hem de aanpak van gemeente Duiven bij de invoering van organisatiebrede informatiebeveiliging.

Informatiebeveiliging is primair een organisatorisch vraagstuk. De meningen over de procentuele verdeling tussen organisatorische en technische maatregelen variëren, maar in alle gevallen ligt het zwaartepunt bij de organisatorische maatregelen. Als de mensen niet willen of kunnen, is (informatie)beveiliging niet sluitend te regelen.
Neem een pasjessysteem. Dat heeft pas effect als de pasjes zichtbaar gedragen worden. Je kunt mensen erop aanspreken als ze hun pasje niet dragen en mensen die geen pasje hebben tijdig onderscheppen. Dat vereist wel een bepaalde instelling die de medewerkers moeten aanleren. Een maatregel met sterke wachtwoorden (minimaal acht tekens, met minimaal één hoofdletter en één cijfer) is pas succesvol als de medewerkers hun wachtwoorden regelmatig wijzigen, niet meer opschrijven en niet aan anderen vertellen. Dat eist controle en een bepaalde instelling die het personeel moet aanleren.

Papieren tijger

Veel organisaties zien informatiebeveiliging als een apart traject wat ze laten uitvoeren door externe deskundigen. Dat leidt meestal tot een doorwrocht resultaat. De maatregelen zijn de juiste en het niveau waarop ze moeten worden uitgevoerd is ook correct. Toch blijft het vaak bij een papieren tijger. Ook als de organisatie de maatregelen wel invoert, blijkt vaak dat de mensen het beschouwen als iets dat niet van hen is en er dienovereenkomstig mee omgaan. Bewustzijn van informatiebeveiliging bij de medewerkers is de sleutel. Als medewerkers maatregelen begrijpen en onderschrijven, zijn die succesvol. Ze onderkennen en aanvaarden dan de technische ondersteuning als aanvullend.
De gemeente Duiven heeft een coördinatieteam informatiebeveiliging geformeerd. De directe aanleiding waren opmerkingen op basis van een GBA-audit (Gemeentelijke Basis Administratie). Daarnaast past het onderwerp informatiebeveiliging bij een speerpunt van Duiven: de kwaliteit van de dienstverlening aan de afnemers, zoals burgers en bedrijven. Informatiebeveiliging is een kwaliteitsaspect bij uitstek. Het geeft onder andere handen en voeten aan de beschikbaarheid en integriteit van de informatie die de gemeente verwerkt en levert.
Om een vliegende start mogelijk te maken heeft het gemeentelijke coördinatieteam externe deskundigheid en ondersteuning ingeschakeld. Al in het oriënterende gesprek was duidelijk dat Duiven betrokkenheid van de organisatie hoog in het vaandel had staan. De inschakeling van externen was niet allereerst gericht op het laten maken van een beveiligingsplan, maar op de procesopzet en -begeleiding, en expertise op het gebied van informatiebeveiliging. De inhoudelijke werkzaamheden zijn dan ook hoofdzakelijk door Duiven zelf uitgevoerd. De werkzaamheden van de externen moesten leiden tot een door het managementteam geaccepteerde basisnorm informatiebeveiliging en tot identificatie en classificatie van de informatiesystemen die in aanmerking komen voor een nadere analyse.

De aftrap

Er is een plan opgezet waarbij de zelfwerkzaamheid van de organisatie het uitgangspunt was. Dit betekent dat de uitvoerende werkzaamheden bij de organisatie zelf liggen. De inzet van externe expertise is vooral gericht op procesbegeleiding, kennisoverdracht (vooral door praktische oefeningen) en terugkoppeling op grond van de bereikte resultaten.
Als basisvorm voor de contacten tussen de externe adviseurs en de organisatie is gekozen voor de workshop. Deze werkvorm geeft ruimte voor zelfwerkzaamheid. Verder zijn niet alleen de coördinatieteamleden, maar medewerkers vanuit de hele organisatie erbij betrokken. Hierdoor creëer je efficiënt en effectief een zo breed mogelijk draagvlak. De betrokkenheid van de organisatie is benadrukt doordat de gemeentesecretaris in de eerste workshop de aftrap heeft verricht.
Het tweede uitgangspunt was om zoveel mogelijk voort te bouwen op standaarden die zich in de praktijk bewezen hebben. Dit is bij Duiven gedaan door voor de basisnorm informatiebeveiliging uit te gaan van de Code voor Informatiebeveiliging (CvIB: BS779, ISO17799-2). Daarnaast is voor de procesopzet gebruik gemaakt van de in overheidsland bekende procesgang bij a&k-analyses (afhankelijkheid en kwetsbaarheid).

Bei-aspecten

Er zijn vier workshops gehouden. De eerste en tweede waren gericht op het opstellen van een basisnorm informatiebeveiliging voor de gemeente. Ter voorbereiding hebben het coördinatieteam en de adviseurs een initiële basisnorm opgesteld, met daarin de maatregelen uit de CvIB die voor Duiven van toepassing zijn. In de eerste workshop hebben de deelnemers op categorieniveau de relevantie van de maatregelen getoetst op het belang voor de eigen afdeling. Daarnaast is bekeken welke vragen de organisatie kunnen ondersteunen bij het beoordelen van de individuele maatregelen op hun relevantie. Vervolgens is die beoordeling binnen de afdelingen uitgevoerd onder begeleiding van de workshopdeelnemers.
In de tweede workshop zijn de resultaten daarvan ingedikt tot de twee belangrijkste punten per categorie. Dat legt voor de gemeente de motivatie voor de basisnorm vast. De aldus ontstane basisnorm informatiebeveiliging Duiven is voor vaststelling aangeboden aan het managementteam van de gemeente, dat de norm bekrachtigd heeft.
De derde en vierde workshop zijn gericht op het identificeren van de vitale en nuttige informatiesystemen die in gebruik zijn voor de kritisch-strategische en strategische processen per afdeling, inclusief de nadere classificatie op basis van bei-aspecten (beschikbaarheid, exclusiviteit en integriteit). Als voorbereiding hebben de deelnemers aan de workshop binnen hun eigen afdeling in overleg vastgesteld wat de kritisch-strategische en strategische hoofdtaken zijn. Ook hebben ze aangegeven welke informatiesystemen hun afdeling voor die taken gebruikt.

Vitaal en nuttig

De derde workshop betrof het belang van de informatiesystemen voor de hoofdtaken in termen van vitaal, nuttig en ondersteunend, conform het handboek a&k-analyse van ACIB (Advies en Coördinatiepunt Informatiebeveiliging). De deelnemers hebben dit vervolgens met de eigen afdeling uitgewerkt voor alle systemen.
De resultaten daarvan zijn in de vierde workshop als input gebruikt. Bij de informatiesystemen die de afdelingen niet, slechts één keer of verschillend hadden geclassificeerd is gekeken naar de consequenties daarvan. Verder hebben de deelnemers inzicht verworven in de nadere classificatie van de vitale en nuttige systemen op bei-aspecten conform de ACIB-werkwijze.
In aansluiting op de workshop zijn alle vitale en nuttige systemen op afdelingsniveau nader geanalyseerd op basis van die aspecten. Dat geeft volledig inzicht in de systemen die in aanmerking komen voor nader onderzoek. Dat onderzoek moet uitwijzen voor welke systemen aanvullende maatregelen naast de basisnorm noodzakelijk zijn.

Sleutels

Alle workshops omvatten een praktisch gedeelte om het voor de deelnemers begrijpelijk te houden en de praktische toepasbaarheid inzichtelijk te maken. Dat is een van de sleutels tot succes in een informatiebeveiligingprogramma. De andere sleutel is zelfwerkzaamheid. Alle inhoudelijke activiteiten zijn door de organisatie zelf uitgevoerd. De workshopdeelnemers konden hun collega's begeleiden bij de uitvoering. De externe adviseurs hebben zich beperkt tot de procesbegeleiding en het geven van handvatten voor de uitvoering.
De gemeente Duiven beschikt nu over een basisnorm informatiebeveiliging. De organisatie heeft die norm geaccordeerd en geaccepteerd. De norm beschrijft de maatregelen die organisatiebreed moeten worden ingevoerd om een basisniveau van informatiebeveiliging te garanderen.
Op afdelingsniveau is vastgesteld wat de kritisch-strategische en strategische taken zijn. Voor al deze taken is aangegeven of de ondersteunende informatiesystemen voor de uitvoering van de taak vitaal, nuttig of ondersteunend zijn. Voor de als vitaal of nuttig onderkende systemen is nader bepaald wat het belang ervan voor de taak is. Hierbij is het belang van ieder informatiesysteem beoordeeld vanuit de bei-perspectieven. Daardoor zijn de systemen geïdentificeerd waarvoor een nader onderzoek moet uitwijzen of en zo ja welke aanvullende maatregelen naast de basisnorm nodig zijn om ze op een voor de organisatie voldoende niveau te beveiligen.

Kernproduct

Minder tastbaar is het bewustzijn van informatiebeveiliging dat is ontstaan in de organisatie. Toch is dit het belangrijkste product. De medewerkers van de gemeente zijn gedurende het hele proces nauw betrokken geweest bij het ontstaan van de andere producten (basisnorm en afhankelijkheidsmatrix). Dit gebeurde niet alleen via de vaste vertegenwoordiging van de afdelingen in de workshop, maar ook door afdelingshoofden en andere collega's tussen de workshops door te betrekken bij het proces om te komen tot onderbouwde afspraken, eisen en wensen.
Door die werkwijze is informatiebeveiliging in de organisatie geen theoretisch concept, maar iets wat de medewerkers begrijpen en kunnen vertalen naar de dagelijkse praktijk. Dat legt een fundament; als nu gesproken wordt over het in- en uitvoeren van maatregelen, is daar draagvlak voor.
De basisnorm stelt de gemeente Duiven in staat om de invoering van een basisniveau informatiebeveiliging pragmatisch en gestructureerd in te vullen. Omdat ook bij de invoering van de basisnorm betrokkenheid van de medewerkers het uitgangspunt is, is gekozen voor een gefaseerde invoer in de loop van twee jaar.

Aandachtsgebieden

Het coördinatieteam heeft voorgesteld om twee aandachtsgebieden uit de basisnorm als eerste aandacht te geven: de organisatie van de informatiebeveiliging en toegangsbeveiliging. Het ligt voor de hand om de organisatie van de informatiebeveiliging in een vroeg stadium vorm te geven. Hiermee bereik je dat de taken structureel in de organisatie worden belegd en de continuïteit wordt gegarandeerd. Het coördinatieteam kan dan zijn taken overdragen. Dit sluit niet uit dat activiteiten in het kader van informatiebeveiliging projectmatig worden aangepakt, maar zo garandeer je dat de dagelijkse operatie wordt geleid en dat de organisatie (project)resultaten goed in beheer kan nemen.
In ieder geval moet je informatiebeveiliging op strategisch, tactisch en operationeel niveau binnen de organisatie inbedden. Om dit te bereiken moet je op het niveau van het managementteam een portefeuillehouder informatiebeveiliging aanstellen. Die is verantwoordelijk voor het opstellen en onderhouden van het beleid. Daarnaast moet je een coördinator informatiebeveiliging benoemen. Die komt bij voorkeur uit de 'bedrijfskant' van de organisatie en is niet gebonden aan een van de organisatorische eenheden die zich bezighouden met de primaire processen. Hij is verantwoordelijk voor het vertalen van het beleid naar het tactische en operationele niveau. Hieronder vallen onder meer de inbedding van maatregelen in de uitvoering van de werkprocessen (waaronder projectmatig werken) en de controle daarop.
Het tweede aandachtsgebied, toegangsbeveiliging, is zeer zichtbaar. Dat maakt het geschikt om als één van de eerste onderwerpen op te pakken. Als je het goed begeleidt, leidt de invoering van toegangsbeveiliging tot bewustwording bij de medewerkers en een bijna ongemerkte verandering van de houding tegenover informatiebeveiliging.

Afhankelijkheidsmatrix

Een product van het gevolgde proces is de afhankelijkheidsmatrix. Die geeft op afdelingsniveau inzicht in de belangrijkste processen (taken) en het belang van de daarvoor gebruikte informatiesystemen. Deze matrix vormt de basis voor de volgende stap: sessies met het afdelingsmanagement om het relatieve belang van de als belangrijk onderkende processen per afdeling te bepalen in het licht van de doelstellingen van de gemeentelijke organisatie als geheel.
Het resultaat hiervan is vaststelling van de kritisch-strategische en strategische processen. Voor de systemen die daarvoor vitaal of nuttig zijn kan je op basis van een kwetsbaarheidanalyse de benodigde aanvullende maatregelen naast de basisnorm vaststellen. Dat legt ook vast tot op welk niveau de maatregelen uit de basisnorm werkzaam moeten zijn.
Je moet ervoor zorgen dat bij de overgang van een projectmatige insteek naar een meer reguliere werkwijze de medewerkers betrokken blijven bij de uitwerking en invoering van maatregelen. Het is zaak om het proces zodanig vorm te geven dat er steeds ruimte is voor een substantiële inbreng vanuit de gebruikersorganisatie. Die inbreng komt van een afhankelijk van het onderwerp wisselende groep gebruikers, waardoor het draagvlak zo breed mogelijk blijft.

 
Ben Elsinga, Lex Pels

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2005-09-09T00:00:00.000Z Ben (e.a.) Elsinga
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.