De golf aan beveiligingsincidenten maakt duidelijk dat gemeenten nog een flinke stap te maken hebben. Dat hoeft niet ingewikkeld te zijn als de problematiek maar serieus wordt genomen. In ieder geval volgens Brenno de Winter (bron). Kort geleden schreef hij hier een artikel over.
Wie beveiliging serieus neemt geeft ongeveer tien procent van het IT-budget uit aan de bescherming. Met dat getal rekenen veel auditors die controleren of organisaties aan eisen voldoen. Een verplichte standaard is de ISO-27001, omdat deze op de lijst van open standaarden van het Forum Standaardisatie staan. Daarnaast valt moeilijk te ontkomen aan het uitvoeren van goede technische controles.
De drie principes omschrijft hij verder als volgt:
- Up-to-date zijn
- Wees minimalistisch
- Wees alert
Voor een volledige toelichting op wat er bedoeld wordt verwijs ik graag naar het originele artikel dat te vinden is op www.gemeente.nu of door simpel weg hier te klikken.
Inderdaad uitstekende principes. Niets op tegen natuurlijk. Als het de gemeente dan ook nog eens lukt om een integrale beveiligingsbenadering te hanteren, gebaseerd op risico management, dan zijn we nog een stap verder. We moeten immers niet vergeten dat de informatiebeveiliging ondersteunend is aan de bedrijfsvoering van de gemeente…en die kan best een dagje zonder een website.
We moeten er vooral voor waken dat de beveiligingsmaatregelen die we nemen niet alleen maar technisch van aard zijn. Natuurlijk komen we vanzelf bij de techniek, maar een goede set bestaat uit technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.
We hebben er niets aan als we de techniek niet juist beheren met procedures, we willen er ook zeker van zijn dat iemand zich verantwoordelijk voelt voor die nieuwe firewall van ons. En dat mooie doosje met knipperende lampjes bergen we natuurlijk veilig op in onze serverruimte waarop toegangscontrole van toepassing is en waarin we netjes een alarmsysteem hebben aangebracht om fysieke inbraken te kunnen detecteren.
Vullen we de drie principe dus aan met risico management en een integrale benadering dan zijn we lekker op weg. De techniek kunnen we op die manier best onder controle houden. Waar we extra aandacht aan moeten besteden is aan de medewerkers binnen de gemeente. Veelal zien we dat de gevolgen van incidenten zich uitten als een security incident. De oorzaak ligt veelal ergens anders.
Men wil best die systemen goed beheren, men wil best patches en updates doorvoeren, men wil zich best aan de beveiligingsregels houden…maar ja, als er geen budget is of als het management niet begrijpt dat er iets moet gebeuren dan lopen we vast.
We kunnen dat natuurlijk makkelijk het management in de schoenen schuiven, maar dat is niet terecht. Het gaat er om om de beveiligingsmaatregelen (rule based benadering) door te vertalen naar de operationele risico’s (oorzaak en gevolg) die we vervolgens uitleggen in enterprise risks (omzet/budget, kosten en imago). Dit is overigens niet specifiek voor gemeenten maar ook voor alle andere organisaties. Het verschil zit hem er in dat een gemeente minder belang hecht aan de “omzet” en eerder denkt in termen als budget. Waar dan wel weer extra de nadruk op ligt is het imago.
Imago geschaad? Burgemeesterspositie op de tocht. Kunnen we dus geen rationele redenen bedenken om de beveiliging van de gemeente te verbeteren dan kunnen we het altijd nog proberen in te steken vanuit het imago van de burgemeester en wethouders…wie weet krijg je als beveiliger dan de aandacht die je verdient (maar ga daar wel gepast mee om).