ENSIA: twee inzichten na het debuutjaar

Vorig jaar juli hebben alle gemeenten ENSIA (Eenduidige Normatiek Single Information Audit) geïmplementeerd; de nieuwe audit-systematiek om het verantwoordingsproces over informatieveiligheid verder te professionaliseren. Na bijna een jaar ENSIA kunnen we de balans opmaken, ook met oog op de verwachte verdere uitbreiding van ENSIA de komende jaren.

Wat weten na dat eerste jaar?

In het ‘debuutjaar’ van ENSIA zijn vier concrete leerpunten aan het licht gekomen. Die inzichten maken duidelijk welke vervolgstappen nodig zijn om met dit nieuwe instrument op gestructureerde wijze de informatieveiligheid te verbeteren. De eerste twee lessen leest u terug in dit blog. Nu schijn ik het licht op de andere twee.

1. Informatieveiligheid raakt de hele organisatie

In de praktijk ligt de druk vaak bij een kleine taskforce, die de organisatie ‘even’ door die audit heen moet loodsen. Terwijl informatieveiligheid geen technische aangelegenheid is voor alleen de teamleider ICT of concerncontroller. Maar zoals vaker bij gevoelige onderwerpen zijn mensen geneigd verantwoordelijkheden op dit gebied te mijden.

De oplossing is meer mensen bij dit onderwerp te betrekken, met helder omschreven taken en rollen. Daarom is het zaak dit thema breder in de organisatie te beleggen én uit te dragen. Dan werken de mensen daar ook naar en kantelt de mindset, zodat de audit niet als verplichting voelt, maar iedereen het vizier richt op die hogere doelen: persoonsgegevens veiligstellen, reputatieschade voorkomen en kosten verminderen (door processen efficiënter te maken).

2. Nog geen oplossing voor papieren werkelijkheid

Aan beleidsstukken geen gebrek, ook over het onderwerp informatiebeveiliging. Maar het is veel werk om alle bewijsstukken voor de audit te verzamelen. In de praktijk blijkt het een flinke opgave om alle benodigde actuele documentatie paraat te hebben voor zowel het interne als externe toezicht. Duidelijk is dat ENSIA nog niet de oplossing biedt voor die administratieve werkelijkheid.

De ervaring leert dat deze systematiek nu alleen nog toetst op ‘opzet en bestaan’ van informatieveiligheid en niet op de beoogde werking. De oplossing is die documentatie te beleggen in de processen en de lijnorganisatie verantwoordelijk te maken voor het onderhouden van de documentatie. Maak gebruik van de PDCA (Plan-Do-Check-Act)-cyclus en zet eventueel tooling in die kan helpen bij het actueel houden van de documentatie.

Hoe nu verder met ENSIA?

Wat kunt u doen om ENSIA werkelijk in te bedden in de planning- en controlcyclus? Dat antwoord krijgt u in ons nieuwe whitepaper ENSIA: het vliegwiel voor bestuurlijke verankering informatieveiligheid. Hierin beschrijven we hoe u de vier belangrijkste lessen van het afgelopen jaar kunt omzetten naar de vier vervolgstappen om het verantwoordingsproces over informatieveiligheid een positieve impuls te geven.

Download whitepaper ENSIA

---

 

Jeffrey de Bruijn, Senior Adviseur Cyber Security