De zeven lessen van de VNG Visitatiecommissie Informatieveiligheid

22 jun De zeven lessen van de VNG Visitatiecommissie Informatieveiligheid

Informatieveiligheid is een belangrijke randvoorwaarde om de digitale gemeente tot een succes te maken. In de Buitengewone Algemene Ledervergadering van de VNG op 29 november 2013 namen gemeenten vrijwel unaniem de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ aan.

Gemeenten erkenden hiermee de urgentie van het informatieveiligheidsvraagstuk en hebben besloten om werk te maken van informatieveiligheid met gelijke kaders en lokaal maatwerk. Vervolgens is door het VNG-bestuur de Visitatiecommissie Informatieveiligheid in het leven geroepen om gemeenten verder te helpen. Na 180 dagen heeft de Visitatiecommissie Informatieveiligheid voor het eerst de balans opgemaakt en haar bevindingen tot nog toe naar zeven algemene lessen voor gemeenten vertaald:

1. Zoek zoveel mogelijk de aansluiting tussen informatieveiligheid en actuele politiek bestuurlijke vraagstukken om de aandacht in de breedte van het college en vast te houden.
   Informatieveiligheid is onderdeel van veruit de meeste vraagstukken waarmee gemeenten geconfronteerd worden. Denk aan de uitdagingen in het sociaal domein en (in de toekomst) de Omgevingswet. De kunst is om informatieveiligheid hierbij op een manier te framen dat de urgentie gevoeld wordt zonder de negatieve consequenties werkelijk te ‘moeten’ ervaren. Informatieveiligheid moet voor iedereen gaan voelen als voorwaarde voor succes. Hierbij kunnen de volgende adviezen helpen:
   1. Maak duidelijk dat informatieveiligheid geen onderwerp is dat alleen bij anderen speelt. Sommige gemeenten communiceren via intranet bijvoorbeeld over phishingsmails of DDOS-aanvallen. Andere gemeenten dragen actief uit informatieveiligheid belangrijk te vinden door structureel ethische hackers (soms ook tegen beloning) uit te dagen om veiligheidslekken te vinden.
   2. Versterk de urgentie van informatieveiligheid door de portefeuillehouder (of gemeentesecretaris) te positioneren als belangrijkste pleitbezorger. Door op dit niveau in de organisatie aandacht te vragen voor het onderwerp, wordt het belang en de urgentie onderstreept. Het ‘verhaal’ van de pleitbezorger is bij voorkeur niet herhalend, maar sluit aan bij de nieuwe ontwikkelingen en toekomstige uitdagingen. Denk aan een aankomende fusie met een buurgemeente, vragen rondom privacy in het sociaal domein of innovatieprogramma’s rondom bijvoorbeeld de slimme stad en de slimme gemeente.
   3. Houdt in de gaten welke (bijna) incidenten voorvallen. Zo kan de urgentie van informatieveiligheid beter aangetoond worden. Bij (bijna) incidenten kan altijd de helpdesk van de IBD gebeld worden. Gemeenten hebben eigenlijk elke dag te maken met pogingen om de informatieveiligheid te verstoren. Sommige gemeenten houden scherp in de gaten welke incidenten op gebied van informatieveiligheid (van klein tot groot) zich voordoen in de organisatie. De meeste gemeenten worden echter pas écht met informatieveiligheid geconfronteerd als het hun reguliere manier van werken verstoort.
2. Ga snel van onderkenning van het belang van informatieveiligheid naar actie.
   Dit kan door jaarlijkse actieplannen vast te stellen op basis van een informatieveiligheidsbeleidsplan en een inventarisatie van de risico’s. De jaarplannen geven ruimte om in te spelen op nieuwe risico’s en ontwikkelingen en maken tegelijkertijd concreet waarmee op korte termijn aan het werk te gaan. Het jaarplan vormt daarmee dé basis van de uitvoering. De Informatiebeveiligingsdienst voor Gemeenten (IBD) ondersteunt gemeenten bij het het implementeren van het gemeenschappelijk normenkader voor informatiebeveiliging (de baseline informatiebeveiliging gemeenten: de BIG) en hiermee de uitvoering en planning van het informatieveiligingsbeleid. Dit doet de IBD onder andere door het beschikbaar stellen van operationele kennisproducten en door het organiseren van regiosessies in het land.
3. Integreer informatieveiligheid in de reguliere sturingscyclus om scherp de uitvoering te kunnen volgen.
   Het jaarplan informatieveiligheid biedt houvast om gericht de voortgang te monitoren. Diverse gemeenten hebben informatieveiligheid inmiddels geïntegreerd in de reguliere sturingscyclus. Door de voortgang op het vlak van informatieveiligheid in kwartaalrapportages te beschrijven, kan (bij)gestuurd worden door de gremia die hiermee belast zijn in de organisatie. Ook verbeterpunten kunnen op deze manier snel gesignaleerd worden en meegenomen worden in volgende verbeterstappen. Hiermee krijgt het leren binnen de organisatie steviger ondergrond.
4. Leg actief verantwoording af over informatieveiligheid via het jaarverslag en periodieke besprekingen met de Raad.
   Door informatieveiligheid te integreren in de reguliere sturingscyclus kan ook de Raad periodiek goed geïnformeerd worden. Sec informeren wordt door veel gemeenten als onvoldoende ervaren. Het betrekken van de Raad bij de strategische vraagstukken die volgen uit de vorderingen en inspanningen is een manier om op periodieke basis de interactie aan te gaan. Eén van de bezochte gemeenten pakt dit systematisch aan door jaarlijks een nota te schrijven voor de Raad waarin de belangrijkste uitdagingen en beoogde besluiten op het vlak van informatieveiligheid zijn beschreven.
5. Werk op een systematische manier aan het leren en sluit daarbij aan bij het kennisniveau van de organisatie.
   De Visitatiecommissie komt in de praktijk een wisselend niveau van kennis op zowel bestuurlijk als topambtelijk niveau tegen. Vaak is het kennisniveau afhankelijk van persoonlijke interesse en achtergrond. In veel organisaties is het gedrag en de houding, naast de bewustwording van de medewerkers reeds een aandachtspunt. Hier wordt aan gewerkt door (vaak ludieke) bewustzijnsacties en campagnes. Tegelijkertijd constateren gemeenten zelf dat gedrag en houding blijvend om aandacht vragen. Valkuil voor gemeenten is dat als bewustzijnsacties worden herhaald het effect vermindert. Structurele aandacht is dus geen kwestie van een herhaling van stappen. Belangrijker is het systematisch voortbouwen op de kennis die medewerkers opdoen en de gedragsveranderingen die zichtbaar zijn. Dit vraagt om een leerbeleid waarin ook periodiek aandacht is voor het kennis- en bewustzijnsniveau in de organisatie. Door telkens na te denken over passende acties kan het leren vitaal worden gehouden. Dit gesteund door de durf in de organisatie elkaar aan te spreken op informatieonveilig gedrag.
6. Besteed in afspraken met leveranciers expliciet aandacht aan informatieveiligheid.
   De Visitatiecommissie adviseert gemeenten om in de relatie met leveranciers expliciet aandacht uit te laten gaan naar informatieveiligheid. De Visitatiecommissie doet de suggestie om dit te doen door lopende contracten te screenen op informatieveiligheid en alvast in beeld te brengen waar verbeteringen mogelijk zijn. Speciale aandacht wordt daarbij gevraagd voor de technische kant van informatieveiligheid, denk aan afspraken over patching en back-ups. Daarnaast heeft de Visitatiecommissie waargenomen dat in de inkoopprocedures het consulteren van de CISO een werkwijze is die helpt om informatieveiligheid vanaf het begin van de inkoopprocedure onder de aandacht te brengen. Ook na het sluiten van het contract kan de CISO een rol spelen door bijvoorbeeld controles te (laten) uitvoeren op de mate waarin afspraken worden gerealiseerd.
7. Pas de sturingsvorm voor het realiseren van verbeteringen aan op de situatie van de gemeente.
   Voorgaande lessen kunnen gemeenten helpen om het inhoudelijk programma verder aan te scherpen. De gemeenten die de Visitatiecommissie tot nog toe heeft gesproken hebben stuk voor stuk aangegeven het advies te gaan gebruiken bij het verder vormgeven van informatieveiligheid. Hoe vervolgens sturing wordt gegeven op de realisatie van het verscherpte inhoudelijk programma is afhankelijk van de specifieke situatie per gemeente.
   1. Als de governance staat en werkt ligt het meest voor de hand om vanuit de reguliere lijn te sturen op de realisatie van het inhoudelijk programma.
   2. Als inhoudelijk een grote stap moet worden gezet, die tijdelijk extra aandacht vraagt en lastig is vrij te maken in de reguliere sturing, ligt het voor de hand om programmasturing te hanteren.
   3. Als het ontbreekt aan een goed werkend regulier sturingsmechanisme heeft het ook de voorkeur om het inhoudelijk programma (incl. governancevraagstuk) tijdelijk vanuit programmasturing vorm te geven.

Voor het volledige rapport verwijzen wij u naar de website van de VNG.