I N F ORMATI E VE I LIGH E I D DE GEMEENTE ALS GOEDE HUISVADER HOE DEN HELDER DE INFORMATIEVEILIGHEID VERHOOGT Hoe geeft een gemeente vorm aan informatieveiligheid? Arjen Bol, chief information security officer (CISO) bij de gemeente Den Helder, vertelt over zijn vaak ‘onzichtbare’ werk. ‘Onder water zijn we continu bezig om de processen en procedures op orde te houden.’ Over risico’s, bewustwording en de broodnodige bestuurlijke verankering. Tekst: Marieke Vos, journalist D e gemeente Den Helder begon in 2006 met het opstellen van haar eerste informatiebeveiligingsplan. In 2014 is dit plan ingrijpend vernieuwd en uitgebreid met beveiligingseisen en -maatregelen, zoals het beheer van informatiebeveiligingsincidenten. Den Helder is net als alle andere gemeenten aangesloten bij de Informatiebeveiligingsdienst (IBD) en heeft haar beleid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Chief information security officer Arjen Bol: ‘We willen als gemeente in 2017 aan deze gestelde richtlijnen voldoen, BIGcompliant zijn. Daartoe stelden we in 2014 een implementatieplan op. We zijn nu bezig om alle ruim driehonderd maatregelen in te voeren, zoals de inrichting van toegangsbeheer en logging & monitoring. We liggen op schema.’ BESTUURLIJKE VERANKERING Bol heeft veel contact met gemeenten in de regio en weet dat ook zij druk bezig zijn met informatieveiligheid. ‘Het kost ons allemaal veel energie om alle beveiligingsmaatregelen goed te documenteren, 10 te actualiseren en consequent uit te voeren.’ Vaak is tijd – lees menskracht en budget – beperkt omdat er nog zo veel andere prioriteiten zijn binnen een gemeente. Bol: ‘De medewerkers van het implementatietraject komen uit de organisatie en als daar andere prioriteiten gelden, zoals het oplossen van een calamiteit, dan gaan die voor. Dat gebeurt overal.’ H PE Bestuurlijke verankering van informatieveiligheid is heel belangrijk en dat is in Den Helder goed geregeld. ‘Het college van burgemeester en wethouders is eindverantwoordelijk voor informatiebeveiliging en een wethouder, Bob Haitsma, heeft dit onderwerp in zijn portefeuille.’ Daarnaast heeft de gemeente een werkgroep informatiebeveiliging met onder meer de teamleider ICT, de adviseur concernstaf, de afdelingsmanager dienstveren de IT-afdeling. Maar dit onderwerp is niet uitsluitend ICT, het is organisatiebreed. Het gaat over beveiliging van informatie binnen de gehele organisatie en bijvoorbeeld ook over gedrag.’ GESLAAGD Naast de implementatie van de BIG houdt de gemeente zich bezig met de auditcyclus, zoals die voor DigiD. ‘We hebben al onze audits onlangs weer gehad en zijn lening en Bol. Zij komen maandelijks bij elkaar. ‘Ik rapporteer aan de portefeuillehouder, de werkgroep en de directie, ook over de implementatie van de BIG’, vertelt Bol. Deze bestuurlijke en organisatorische borging is bepalend voor het welslagen van het informatiebeveiligingsbeleid, stelt hij. ‘Een risico is dat informatiebeveiliging helemaal wordt overgelaten aan de CISO
11 Online Touch Home