Kompas voor het management, slijpsteen voor de geest

In een bijlagen van Binnenlands Bestuur van week 41-2016 zat een bijlage van BDO, waarin uitgebreid werd stilgestaan bij informatiebeveiliging en dat specifiek voor gemeenten, lees de BIG, de DigiD, de CORV, de wet datalekken en de WBP.

“Het grote probleem is bij gemeenten dat er binnen de organisatie veel te weinig is gedaan om awareness (bewustwording, betrokkenheid en sociale controle) te kweken bij de medewerkers. De mensen dus. Awareness-trainingen; veiligheidsprotocollen; screening van medewerkers die met privacygevoelige gegevens omgaan; gedragscodes – het is allemaal nog veel te beperkt aanwezig en dient nu echt prioriteit te krijgen, want over twee jaar kan het fataal zijn.” “50% van de gemeenten heeft een security officer (CISO) benoemd, maar in 50% van die gevallen heeft die persoon geen achtergrond in informatiebeveiliging”.

Als ik bovenstaande vergelijk met hetgeen mijn collega’s en ik bij gemeenten tegenkomen, kan ik bovenstaande alleen maar beamen. Aan de andere kant weet ik ook dat veel gemeenten de veiligheid afdoen met de woorden “we gebruiken nu een tool van leverancier X (meestal een grote en bekende leverancier) en die zorgt er voor dat we nu goed bezig zijn én wel veilig zijn. isms1Beste lezer, vergeet niet dat bijna alle tools een procesgenerator zijn, die u uitsluitend helpen de protocollen en processen op orde te brengen. Tenminste als die tools goed gebruikt worden, anders leveren deze u alleen maar ergernis op én kosten u veel meer geld (voor de inhuur van een consultant van dat bedrijf).

Waar u minstens evengoed op moet letten is het gebruiken van het ISMS (Information Security Management Tool). Het ISMS komt voort uit de ISO 27001 en maakt ook onderdeel uit van de BIG. Indien u werkt volgens en/of met het ISMS zult u zien dat de BIG veel eerder en beter voor u gaat leven. Het gevolg is dat u veel eerder klaar bent met de BIG én deze beter geïmplementeerd heeft. Ook is het zo dat u voor het gehele traject minder personele inspanningen behoeft te doen en uw financiële middelen minder behoeft te gebruiken.

Indien u dat wenst kunnen we uw (beoogde) CISO opleiden zodat u nog eerder klaar bent én volledig in-control bent.