Hoe gemeente Edam-Volendam haar informatiebeveiliging heeft aangescherpt

Binnen gemeente Edam-Volendam werken wij al enkele jaren aan een verbetering van onze informatiebeveiliging. Ik begeleid dit proces en hoop eind dit jaar te kunnen voldoen aan de eisen die de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) aan gemeenten heeft gesteld. Mijn recept voor succes? Bewustwording bij de gebruikers, de kracht van herhaling en steun van het management. Tenminste, zo was het tot 1 januari 2016. We zijn toen gefuseerd met de gemeente Zeevang.  Dit heeft helaas gevolgen gehad op de uitvoer van de Resolutie in november 2013.  

 

Wat vooraf ging...

Als gevolg van de Diginotar-hack in 2011 heeft de toen zittende gemeentesecretaris van Edam-Volendam een assessment laten uitvoeren op de afdeling automatisering en IT-beveiliging. Eén van de aanbevelingen die hieruit volgde was de aanstelling van een security manager. En die keuze viel op mij. In 2013 ben ik aangesteld als informatiebeveiligingsfunctionaris bij de gemeente Edam-Volendam. Daarvoor heb ik lange tijd op de afdeling Burgerzaken gewerkt, een afdeling binnen de gemeente die gewend is strikt om te gaan met informatiebeveiliging. Echter, voor vrijwel alle andere afdelingen binnen de gemeente was het onderwerp informatiebeveiliging nog behoorlijk onbekend terrein. Ik moest dus vanuit het niets beginnen. Via via ben ik aan de BIG gekomen. Ik heb hier direct gebruik van gemaakt, een mooie leidraad om mee van start te gaan!

 

In de BIG staan de regels en eisen die gelden voor het toewijzen en managen van verantwoordelijkheden voor informatiebeveiliging en de bijbehorende maatregelen. Dat was volledig nieuw voor de meeste afdelingen hier. Men ging er dus ook niet correct mee om. Om informatiebeveiliging goed te borgen ben ik daarom begonnen met van boven naar beneden te werken: eerst draagkracht creëren bij het management en vervolgens bewustwording creëren binnen de rest van de organisatie, dat leek mij de beste strategie. Daarnaast heb ik een informatiebeveiligingsbeleid en informatiebeveiligingsplan opgesteld. Het plan bestaat uit een nulmeting/GAP-impactanalyse en uit een set basisdocumenten waarmee een juiste borging van de informatiebeveiliging compleet wordt.

 

Blijf denken, werk veilig…!

Tegelijkertijd is er een voorstel voor de bewustwordingscampagne ‘Blijf denken, werk veilig…!’ ingediend. Dit voorstel heb ik laten goedkeuren door het college van B&W, waarna ik de bewustwordingscampagne ben gestart. Ik ben op laag niveau begonnen binnen de organisatie. Allereerst heb ik de medewerkers binnen de gemeente in workshops gevraagd wat ze al wisten over het onderwerp informatieveiligheid? En wat ze zelf aan verbeteringen zouden willen zien? Dat leverde onmiddellijk quick wins op! Zo wilde men bijvoorbeeld beveiligd printen. Dat was al lang mogelijk, echter die mogelijkheid werd niet gebruikt omdat collega’s simpelweg niet wisten dat het bestond. We hebben toen beschrijvingen hiervan op intranet geplaatst, op de speciaal voor Informatiebeveiliging aangemaakte pagina. Nu heeft de aanschaf van nieuwe printers het veilig printen geoptimaliseerd. Ook bleek dat bezoekers bij één van de drie kantoorgebouwen zo door konden lopen. Die toegang hebben we toen beveiligd met extra tagsloten. Hiermee maak je ook duidelijk naar je burgers dat informatiebeveiliging serieus wordt opgepakt binnen de gemeente. Tenslotte hebben we vragen gesteld als: Gebruik je het systeem goed? Sluit je het systeem (goed) af? Mail je veel documenten en zo ja, waarom? Deze ‘waarom-vragen’ zijn belangrijker dan dat de mensen niet correct handelen. Want het werk kan uiteraard veel veiliger bij de meesten, alleen moeten ze wel weten wat ze fout doen en hoe ze dit anders kunnen doen.

 

Ook is er een informatiebeveiligingsbeleid voor de lange termijn ontwikkeld. Daarin zijn onder andere meer rollen en taken en bijbehorende verantwoordelijkheden aan de orde. Zo werd duidelijk hoe het college van B&W wilden dat het beleid eruit zou zien én hoe het er hier écht aan toe gaat. Maar ook hoe je bijvoorbeeld omgaat met externe partijen? En hoe het classificeren van data geregeld moet worden? Om de BIG goed te implementeren, hebben we een GAP-/impactanalyse moeten maken. Hiervoor is een nulmeting gedaan aan de hand van de 334 normen uit de BIG. Daarnaast heb ik een eigen classificatie ingevoerd. Zo heb ik collega’s gevraagd wat zij belangrijke data vinden? Dat wijkt soms af van de impactanalyse, maar bepaalde maatregelenprocedures moet je wel volgen om de classificatie door de werknemers af te kunnen dekken.

 

Processen beheren

Uiteindelijk hebben mijn inspanningen onder andere geresulteerd in implementatie van algemene gedragsregels, die voor iedereen gelden. Zoals, hoe moeten medewerkers met hun e-mailaccount omgaan? Daarnaast zijn alle maatregelen getroffen waarmee we voldoen aan de Resolutie Informatieveiligheid van de VNG.

Vervolgens ben ik op zoek gegaan naar een Information Security Management System (ISMS). Om informatiebeveiliging namelijk goed uit te kunnen rollen én te beheren, is een ISMS noodzakelijk. Je krijgt het totale overzicht anders niet in beeld. Excel-sheets voldoen niet meer, want het wordt steeds complexer. We hebben gekozen voor het ISMS Control Framework van Key2control. Hiermee kunnen we het interne beheerproces op een geïntegreerde, gestructureerde wijze opzetten, monitoren en aansturen. Een groot voordeel van deze tool is dat de BIG-normen er al in staan. Bij andere tools die we hebben bekeken, moesten we dat nog zelf doen. En dat is veel werk! Bovendien kunnen we zelf gemakkelijk zaken aanpassen. Een ander voordeel vind ik dat de tool ook rapportages levert over de mate waarin de gemeente voldoet aan de BIG-normen. Die verspreiden we weer naar de lijnmanagers, zij zijn immers eindverantwoordelijk. 

 

Momenteel deel ik mijn opgedane ervaring in een aantal werkgroepen van het ENSIA-project van het ministerie van Binnenlandse Zaken (BZK). Ook ENSIA zal Informatiebeveiliging in gemeenteland naar een hoger niveau gaan brengen en waar nodig voor samenwerkingsverbanden gaan zorgen. Kortom, als gemeente ontkom je niet meer aan informatiebeveiliging. En bedenk, een kleine gemeente moet hetzelfde doen als een grote gemeente. Laten we daarom als gemeenten samenwerken, zodat niet iedereen het wiel opnieuw hoeft uit te vinden!

 

Tenslotte; sinds september 2015 ben ik ook privacyfunctionaris. Een FG in de zin van de Wbp. De overlap is groot met Informatiebeveiliging. De praktijk heeft al geleerd dat een jurist aanverwante werkzaamheden anders zou doen. Zonder juridische advies kan je deze werkzaamheden dus ook niet goed uitvoeren.