VNG ondersteunt gemeenten bij ICT-beveiliging

Gisteren gaven we al aan dat het met de beveiliging van veel overheidsinstellingen nog slecht gesteld is terwijl de overheid de boetes die ze op wil leggen aan bedrijven flink verhoogd. Ik vind nog steeds dat we met een publiek-private samenwerking moeten proberen de beveiliging van de BV Nederland te verhogen en zal zelf mijn steentje bijdragen door het volgende bericht onder jullie aandacht te brengen.

De Vereniging Nederlandse Gemeenten (VNG) gaat actief gemeenten ondersteunen om hun ICT-beveiliging beter op orde te krijgen. In oktober moet daarvoor een permanent bureau worden opgericht (bron).

Nu is het natuurlijk nog helemaal de vraag hoe serieus dit punt wordt opgepakt, maar er lijkt een begin te worden gemaakt en dat is al meer dan we jaren kunnen zeggen. Het is te hopen dat er niet over een nacht ijs wordt gegaan en dat er eerst goed nagedacht wordt over de structuur die we kunnen hanteren.

Dus niet direct met allerlei standaard lijstjes komen maar aangeven hoe gemeenten “in control” kunnen komen en hoe ze beter sturing kunnen geven. Het bestuur moet duidelijk gemaakt worden wat informatiebeveiliging is, hoe het samenhangt met risicomanagement en waar Compliance dan om de hoek kan komen kijken.

Dit initiatief is zowel een kans als een bedreiging. Pakken we het verkeerd aan dan zitten we nog jaren vast aan een imperfecte aanpak met alle gevolgen van dien. Het risico is dat we teveel gaan denken vanuit de beveiligingsmaatregelen zonder dat we de risico’s als uitgangspunt nemen. Als dat het geval wordt dan gaan er miljarden gespendeerd worden aan maatregelen die weinig bijdragen aan de echte informatiebeveiliging.

Misschien ken je het verloop met het zogenaamd voldoen aan SOx (Sarbanes-Oxley). Hierbij zijn ook miljarden verloren gegaan omdat we niet meer nadachten over het “waarom” maar gewoon domweg de maatregelen implementeerden “omdat het moest”. De “lessons learned” van SOx zouden we goed kunnen gebruiken om te onderzoeken waar we de beveiliging structureel beter kunnen regelen.

Ik ben heel benieuwd wat de aanpak zal zijn en welke partijen erbij betrokken zullen worden. Mij mogen ze altijd benaderen want mijn handen jeuken en ik heb nog wel wat interessante strategieën om het structureel beter in te regelen waarbij we niet uitgaan van de maatregelen maar juist van de risico’s. We houden het voor je in de gaten en zullen zien of ze deze kans oppakken of voorbij laten gaan.

Topmanager ziet risico’s van ICT niet

Voor veel van ons eigenlijk een bericht met weinig nieuwswaarde, wij weten dit immers al jaren en vechten al langer tegen deze bierkaai. Maar toch kan het geen kwaad om een dergelijk bericht aan te halen. Al was het alleen maar omdat er nu een aantal instituten achter zitten die misschien wel gelooft worden.

Topmanagers van bedrijven zien geen verband tussen ict-risico’s en bedrijfsrisico’s voor hun onderneming. Dat is de belangrijkste conclusie uit het Governance Report 2012 dat securityleverancier RSA samenstelde in samenwerking met het onderzoeksinstituut CyLab van de Carnegie Mellon Universiteit. Leidinggevenden blijken geen zicht te hebben op de rol van computersystemen en data binnen hun bedrijf. Zij realiseren zich niet hoe ict-risico’s de bedrijfsresultaten kunnen ondermijnen (bron).

Ik kan natuurlijk alleen maar aansluiten bij een dergelijk bericht. Het gaat ook helemaal niet om informatiebeveiliging en al helemaal niet om de IT. Nee, het gaat, zoals al veel vaker is geroepen, om de bedrijfscontinuïteit. Maar op de een of andere manier blijft dat een vies woord voor veel managers.

Persoonlijk vind ik het dan ook niet zo spannend dat men de koppeling tussen IT en bedrijf niet ziet. Nee, wat ik veel interessanter zou vinden is als het ons lukt om de echte redenen daarvan te vinden. Managers (over het algemeen) zijn natuurlijk niet de domste mensen van deze planeet. En als ze er een keer goed over na zouden denken dan zien zij echt de koppeling tussen de verschillende risico’s wel. Vraag is echter of ze dat interesseert. Waarom zouden ze daar wakker van liggen? Hun eigen bonus is veel belangrijker dus daar moet alles voor wijken.

Misschien dat die managers te weinig het gevoel hebben dat ze echt een bijdrage leveren aan de continuïteit van de organisatie. Ze managen wel van alles maar vragen zichzelf ook wel eens af wat hun bijdrage nu bijdraagt aan het collectief. Zo bezien is het dus ook geen beveiligingsrisico dat er geen koppeling wordt gelegd tussen IT-risico en bedrijfsrisico. Nee, eerder is het een organisatorisch of bedrijfskundig risico waar het topmanagement een belangrijke rol in speelt.

Als voor een manager of een afdeling duidelijk is welke bijdrage ze leveren aan de totale organisatie, als voor hen duidelijk is welke informatie zij daarbij nodig hebben en als dan ook nog duidelijk wordt op welke IT-systemen die informatie draait, ja dan zou het ze misschien interesseren. Maar zolang de IT intern is “uitbesteed” aan een andere afdeling en zolang de persoonlijke bonus er niet op aangepast wordt overzien we het geheel niet meer.

Dat kun je een manager (volgens mij) niet kwalijk nemen. Nee, daarvoor moet je risicomanagement en informatiebeveiliging via een top-down benadering goed inregelen. En eerlijk is eerlijk: dat is makkelijker gezegd dan gedaan.

Bedrijven besteden meer aan ICT

Het Nederlandse bedrijfsleven verwacht in het komende jaar meer te investeren in ICT. Vooral de investeringen in software zullen toenemen…Vooral bedrijven met meer dan 500 werknemers verwachten eindelijk weer hogere ICT-budgetten (bron).

Hopelijk zijn dit de eerste signalen en komen we binnenkort weer uit het diepe dal gekropen. Na 2 jaar financiële inkrimping en het stopzetten van ontwikkelingen beginnen bedrijven weer vooruit te kijken. Als deze trend zich doorzet ligt er voor de komende jaren voor iedereen weer genoeg werk, er zullen toch wat achterstanden ingehaald moeten worden om de technologische vooruitgang er in te houden. Ik ben in ieder geval voor.

Als we de vicieuze cirkel kunnen doorbreken en weer kunnen gaan investeren dan gaat het balletje tenminste weer rollen. Dat is voor iedereen beter lijkt me.

Ook neemt de vraag naar externe ICT’ers toe: na de plotselinge daling in februari ziet in mei 16 procent (9% in februari) van de bedrijven het aantal externe ICT’ers weer groeien, terwijl 13 procent (22%) een daling constateerde.

Bij investeringen in ICT moet ook weer externe expertise worden aangetrokken om alles in goede banen te leiden. Hiermee kunnen we hopelijk het lijden van externen weer omzetten in leiden en kan de koopkracht weer toenemen. Mensen gaan weer meer kopen, bedrijven spelen daarop in en moeten weer meer ontwikkelen. De huizen zullen misschien weer eerder van de hand gaan en al die werkers moeten zich ook verplaatsen dus de auto-industrie kan ook een graantje mee pikken.

Nu is de overheid aanzet en moet het nieuwe kabinet de investeringen stimuleren. Ik stel voor om direct de BTW en de loonbelasting te verlagen en de export sterk te stimuleren (hoe meer geld er van buiten binnenkomt hoe harder we kunnen groeien). Ja, ik ben wellicht wat positief maar het doorbreken van de vicieuze cirkel is de eerste stap, nu volharden en voor je het weet kunnen alle bezuinigingsmaatregelen de kast weer in. Nu we toch bij het WK zijn aanbeland kunnen we onze leuzen breder gebruiken dan om alleen “onze” jongens te steunen: Hup Holland Hup (ook met de economie).

Statistieken van de politie zijn onbetrouwbaar

Door een nieuw, omslachtig ict-systeem worden veel processen verbaal nooit ingevoerd. De statistieken zijn daardoor sinds vorig jaar al ”volstrekt onbetrouwbaar” geworden, erkent de politie zelf. Het vorig jaar bij alle korpsen ingevoerde computersysteem Basisvoorziening Handhaving (BVH) is zo omslachtig, dat veel agenten aangiftes, bekeuringen, processen verbaal, observaties en andere handelingen niet meer invoeren (bron).

Dat is een hele vooruitgang voor de politie als je dit leest. Aan de andere kant, als veel agenten de gegevens niet meer invoeren hebben ze meer tijd om op straat te controleren. Zo zouden we dus meer blauw op straat moeten hebben door een nieuw falend ICT-systeem. Nu nog hopen dat ze zich dan ook echt op de criminaliteit richten en niet op ons brave burgers die een paar kilometer te hard rijden (ja, jullie, ikzelf natuurlijk niet, ik hu me keurig aan de regels).

Ben wel heel benieuwd hoe ze aan het eind van het jaar gaan rapporteren over de targets die gesteld zijn, als we nu al weten dat de gegevens onbetrouwbaar zijn hoe kunnen we dan nog nagaan of de targets gehaald worden?