De Baseline Informatiebeveiliging Overheid als lat of als drempel zien?

by
published on

De Baseline Informatiebeveiliging Overheid (BIO) is een beveiligingsnormenkader die vanaf 1 januari 2019 aan alle Nederlandse bestuurslagen is opgelegd. Met de komst van de BIO is er eindelijk één normenkader en dat is om verschillende redenen goed nieuws.

Allereerst scheelt dat tijd, geld en energie, want elke bestuurslaag hoeft niet meer een eigen baseline te ontwikkelen, te beheren en te onderhouden.

Ten tweede zorgt de BIO, op het gebied van informatiebeveiliging, voor uniformiteit tussen alle bestuurslagen. Ook dit scheelt tijd en geld, want er zijn geen discussies meer over bijvoorbeeld welke baseline nu leidend moet zijn.

Ten derde is de BIO verplicht en dat betekent dat de BIO niet als iets vrijblijvend kan worden gezien. Overheidsinstellingen moeten hier echt mee aan de slag. Interessant is hier de vraag wat de consequenties zijn, als een overheidsinstelling de BIO niet heeft geïmplementeerd? Een betere vraag zou zijn, wanneer wordt duidelijk dat een overheidsinstelling de BIO niet heeft geïmplementeerd?

Op dit moment is het niet zo dat er periodiek een BIO audit moet worden uitgevoerd, dus dan moet het wel iets veel ergers zijn: bijvoorbeeld een beveiligingsincident!

Wanneer een overheidsinstelling een beveiligingsincident heeft, dat ook nog eens tot een groot datalek leidt, dan is het extra zuur als vervolgens blijkt dat de betreffende instelling niet eens aan de BIO voldoet. Het voordeel dat overheidsinstellingen nu nog hebben, is hoe kan worden aangetoond dat een overheidsinstelling aan de BIO voldoet?Ook dit is een zeer interessante vraag, een vraag die eigenlijk een geheel eigen artikel verdient om hier een antwoord op te geven. Nee, in dit artikel wil ik twee zienswijzen behandelen van hoe de BIO geïnterpreteerd kan worden. Als lat of als drempel.

De BIO is omvangrijk en mogelijk suggereert dit (onterecht) volledigheid. Met andere woorden, als een overheidsinstelling alle onderwerpen van de BIO geïmplementeerd heeft, dan is die overheidsinstelling klaar met de implementatie van de BIO. Tot zover is die stelling juist, alleen is de veronderstelling dat de BIO volledig is, onjuist.

Dit vraagt om nadere toelichting. De BIO is gefocust op één onderdeel van de CIA-triad of BIV-driehoek, namelijk vertrouwelijkheid. Integriteit en beschikbaarheid komen alleen aan de orde als daarmee de vertrouwelijkheid meer gegarandeerd kan worden.

Een ander belangrijk punt om te weten is dat de BIO op de NEN/ISO 27001 en 27002 gebaseerd is. De NEN/ISO 27001 is een beveiligingsnormenkader waar organisaties zich voor kunnen certificeren. In de loop der tijd, is de 27001-norm uitgebreid. Zo zijn de NEN/ISO 27017 (cloud), 27018 (privacy) en 27019 (industriële systemen) aan de 27001 familie toegevoegd. Deze uitbreiding is noodzakelijk gebleken omdat de wereld veranderd en de 27001 norm relevant moet blijven.

De BIO moet deze uitbreiding nog doormaken. Kortom: de veronderstelling dat de BIO volledig is als het gaat om de uitdagingen die overheidsinstellingen nu hebben, dan is die niet juist. Qua dekking van belangrijke beveiligingsonderwerpen ontbreken er nog belangrijke hoofdstukken.

Als laatste richt de BIO zich vooral op het beschermen (beveiliging) van waardevolle informatie, maar laat vervolgens een kans liggen om de digitale veiligheid in de organisatie in zijn geheel te verbeteren. Ik schrijf hier met een reden veiligheid. Ik maak hier een bruggetje naar de lessen die in de (fysieke) veiligheidskunde geleerd zijn. Willen we de veiligheid op de werkvloer verbeteren, dan is het erg belangrijk om die mensen te betrekken die op de werkvloer aan het werk zijn. Immers daar komen vaak ook de incidenten vandaan. Er zijn informatiebeveiligingskaders die met de menskant rekening houden.

Zo is bij het beveiligingsnormenkader PCI DSS normaal dat nieuwe beveiligingsmaatregelen aan de werkvloer ter toetsing (werkbaarheid) worden aangeboden. COBIT doet iets vergelijkbaars, maar daar wordt vooral gekeken naar de waarde die aan het dienstverleningsproces toegevoegd kan worden. Voor het laatste is het noodzakelijk om maatregelen op de werkvloer te bespreken.

Het bovenstaande in ogenschouw nemend, is mijn advies om de BIO niet als de lat (waar aan moet voldaan moet worden) moet worden gezien. Ik stel voor om de BIO als  drempel te hanteren waar minimaal aan moet worden voldaan. Twee zienswijzen die elk hetzelfde doel proberen te halen. Mijn verwachting is dat de drempelzienswijze uiteindelijk tot betere resultaten zal leiden.

Ik ben mij daarnaast zeer bewust dat er grote consequenties aan mijn drempeladvies kleven. Zo zal nog meer in informatieveiligheid geïnvesteerd moeten worden, dan nu het geval is. Die investering zit hem dan niet alleen in bewustwording vergroten en het trainen van medewerkers. Investeer vooral in het trainen van leidinggevenden in het luisteren naar de medewerkers. Ik verzeker u dat er een wereld voor u open zal gaan:

  1. meer betrokken medewerkers;
  2. minder ziekteverzuim;
  3. minder incidenten;
  4. hogere productie;
  5. betere werksfeer.

Klinkt als te goed om waar te zijn? Vanuit de fysieke veiligheid zijn er voorbeelden dat het bovenstaande tot die neveneffecten hebben geleid.

Als laatste, zie digitale veiligheid als noodzakelijkheid en bron van innovatie. Kortom digitale veiligheid gaat verder dan alleen het beschermen van waardevolle informatie. Benader het als dit is de manier hoe wij met informatie werken: respectvol, verantwoordelijk, integer en vooral kundig.