of 59054 LinkedIn

Controle op controle

Reageer

Informatiebeveiliging staat steeds meer op de gemeentelijke agenda. Terecht want de afhankelijkheid van ict is fors toegenomen. De bedreigingen nemen ook toe. Het antwoord zou moeten zijn dat we beveiliging steeds meer benaderen vanuit het perspectief van risicomanagement, niet in (nog) meer externe controles.

In de praktijk neemt echter het aantal audits, zelfevaluaties en vragenlijsten over informatiebeveiliging fors toe. Tilburg heeft tien externe en drie zelf opgelegde audits. Informatiebeveiliging verzandt daarmee. De essentie van auditing is controle achteraf door objectieve buitenstaanders. De energie zou beter in het tijdig signaleren, het voorkomen van en het adequaat reageren op incidenten kunnen zitten. De meeste audits zijn niet gericht op toetsing van de werking. Audits zijn gericht op de toets of op papier (opzet) aangetoond is dat de processen administratief juist verlopen (bestaan). Of er ook echt doorlopend in de praktijk naar gehandeld wordt (werking), is lastiger en buiten scope.

Veel audits toetsen de administratieve en niet de technische processen. Risico’s worden echter steeds meer door ict bepaald en begrensd. Daarom is het nemen van technische beveiligingsmaatregelen doorgaans effectiever.

Waarom lukt de risicobenadering niet? Daar is een aantal redenen voor. Ict is lastig te doorgronden en complex. De politieke top wil toch zekerheden inbouwen, want imagoschade moet worden voorkomen. Een externe audit geeft houvast. Het overheidsapparaat toont risicomijdend gedrag. Vluchten in regels en toezicht is een standaardoplossing. Het uitvoeren van risicoanalyses is lastig en vooral het accepteren van risico’s, omdat dit een goed instrumentarium vergt. Het lukt verder niet vanwege verzet vanuit de werkvloer. Gemeenten hebben een complexe architectuur en dynamisch it-infrastructuur. De mensen die dit draaiend moeten houden, zitten niet op extra werk te wachten. Daar komt nog eens bij dat ministeries taken decentraliseren naar gemeenten maar niet op de kwaliteit van de uitvoering vertrouwen. Ministeries verlangen om die reden audits en zelfevaluaties.

Onze conclusie is dat een vorm van externe onafhankelijke toetsing onontkoombaar is. Het is zaak om die zo effectief mogelijk te maken. Gemeenten hebben de Baseline Informatiebeveiliging Gemeenten (BIG) geadopteerd. De Informatiebeveiligingsdienst (IBD) van het Kwaliteitsinstituut Nederlandse Gemeenten (KING) beproeft nu een systeem van single auditing op haalbaarheid. Is dit dan de gewenste oplossing? Het is een lovenswaardig initiatief maar als risico­management geen uitgangspunt is, voorspellen we een teleurstelling. De BIG is zo veelomvattend, dat een beschrijving van de Administratieve Organisatie (AO) noodzakelijk wordt op alle ict-processen. Dat vergt enorme inspanning, niet alleen om het tot stand te brengen, maar ook qua onderhoud. De scope is namelijk veel breder dan de huidige optelsom van audits. Mogelijk dat de markt hierin voorziet, maar hiermee wordt het paard achter de wagen gespannen. De aanpak die de IBD nu ontwikkelt, resulteert voorlopig alleen in nieuwe vragenlijsten en hogere auditlast.

Wat is de oplossing? Op managementniveau risicomanagement centraal stellen en de BIG niet klakkeloos invoeren als een absolute norm zoals gangbaar. Nee, het management bepaalt op basis van een risicoanalyse wat relevant is. In Tilburg hanteren we de baseline daarom als leidraad en niet als norm. Vervolgens selecteer je uit de BIG de relevante beveiligingsmaatregelen. Deze keuzes moeten niet door it worden gemaakt, maar door proceseigenaren. Zorg ook dat je ‘in control’ bent. En zorg ervoor dat de proceseigenaren zeggen wat ze gaan doen, doen wat ze zeggen én  laten zien dat ze gedaan hebben wat ze hebben beloofd. Werk tegelijkertijd aan je verbetercyclus. Wanneer je vaststelt dat een kwetsbaarheid een bedreiging vormt, neem dan maatregelen. Kijk steeds of het beter kan.

Ondanks het wantrouwen vanuit de rijksoverheid en druk van accountants, moeten we blijven inzetten op zelfregulering en visitatie. Het is daarom van belang dat we zorgen dat gemeenten en auditors samen nagaan of alle wezenlijke risico’s adequaat zijn afgedekt.

Rob Bots, security officer gemeente Tilburg
René IJpelaar, IT auditor BKBO

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.