Verbeter de informatiebeveiliging

Het lijkt zo simpel om 'de BIG' in te voeren. BIG staat voor Baseline Informatiebeveiliging Gemeenten. Dit is een door de Verenging van Nederlandse Gemeente (VNG) opgesteld framework die, via een rijksoverheidsstandaard (BIR), afgeleid is van de standaardnorm voor informatiebeveiliging ISO27001 met de maatregelen uit ISO27002.

Gap tussen beleid en operatie

Uit een eerste inventarisatie blijkt dat de gemeente al veel dingen goed doet. Alleen dit is vaak onbewust, en niet direct te relateren aan beleid of direct aantoonbaar. Het lijkt vooral gedreven te zijn door de goede beheerders die vanuit de intrinsieke wil dingen zo goed mogelijk willen regelen ook informatiebeveiliging op een goed niveau hebben ingericht. Echter, dit is niet voldoende. Het is daarmee namelijk niet inzichtelijk in welke mate voldaan wordt aan de BIG en het gestelde beleid. Er zit dus een gap tussen het gemaakte beleid en de operatie.

Agile aanpak

Vanaf het begin af aan hebben we een 'scrum-achtige' aanpak gekozen. Er is een productowner en ik treed op als scrum-master. We hebben een dagstart (die ene dag dat we met het gehele team bij elkaar zitten) en sprints van 4 weken. Een scrumfacilitator neemt bij de demo en retrospective deel als procesfacilitator en laat duidelijk het team het proces evalueren.

Visie delen

Inhoudelijk stuur ik samen met een collega het team door veel groepsdiscussies te voeren en delen daarbij onze visie. We nemen ze mee in ons denkwereld inclusief 'risico-denken' hoe wij de inrichting van bepaalde maatregelen zien. Ook laten we medewerkers elders vanuit de organisatie vertellen over hun werk en hoe dat informatiebeveiliging of kwaliteitscontrole raakt.

Scope breder dan ICT alleen

En nog even ter volledigheid. Informatiebeveiliging, en daarmee ook de BIG, bestaat natuurlijk uit veel meer dan alleen ICT. Naast de werkzaamheden die we met het team oppakken spreek ik ook met de andere afdelingen; facilitaire zaken HR, Inkoop en de rest van het concern (business).
Het meest belangrijke is het inzicht krijgen in de genomen maatregelen en aanwezige restrisico's. De grootste risico's zijn tenslotte die je niet kent!


Consultant Mark Tissink helpt organisaties om informatiebeveiliging écht op orde te krijgen. Hij heeft als IT-auditor gewerkt bij KPMG en de Rabobank. Als docent is hij betrokken bij de opleiding Management van Informatiebeveiliging en de cursus Introductie informatiebeveiliging

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • Geld verliezen of risico’s beheersen - de three lines of defence

    Het ‘3 lines of defence’-model (3LoD) is een standaard controle model dat veel gebruikt binnen de risicomanagement- en accountancy-wereld, maar vindt steeds meer toepassing binnen bedrijven.

    Lees verder
  • Vertrouwen door controle

    Vertrouwen is goed, controle is beter. Of was het nou andersom: controle is goed, vertrouwen is beter. Of zijn er mogelijk meerdere soorten vertrouwen en meerdere soorten controle?

    Lees verder
  • Oh nee, de auditor komt langs!

    Het zoemt als een mantra door de organisatie...de auditor komt langs, de auditor komt langs. Zorg dat alles op orde is. Laten we die ordner nog even bijwerken, is het datacenter netjes, laten we de rondslingerende papieren nog opruimen, etc.

    Lees verder
  • ​Help de auditor komt langs! (deel 2)

    Een audit wordt van tevoren vaak eng en vaag gevonden. Auditor Mark Tissink vertelt daarom wat je kan verwachten en hoe hij te werk gaat.

    Lees verder
  • Security awareness - Briefjes bij de koffieautomaat?

    Van elke medewerker wordt verwacht dat zij een bepaalde mate van security awareness hebben. Of in goed Nederlands, beveiligingsbewustzijn. Dat deze medewerker bewust is van de acties die zij dagelijks uitvoeren en wat voor een gevolgen dit kan hebben ten aanzien van de informatiebeveiliging.

    Lees verder
  • Nieuwe spelregels voor DigiD-aansluitingen

    Hebben we eindelijk de boel op orde, veranderen ze de norm weer! Met nieuwe normen is het altijd weer uitzoeken wat er hetzelfde is gebleven, wat er veranderd is en wat je als organisatie nu moet gaan aanpassen.

    Lees verder