Expertblogs

De BIO en hoe nu verder?

We zijn alweer aangekomen in 2020, het jaar waarin de Baseline Informatiebeveiliging Overheid (BIO) de voorgaande overheidsbaselines vervangt. Met deze baseline maken we weer een mooie stap vooruit. Een gezamenlijke baseline waarin nog duidelijker het belang van risicomanagement wordt benadrukt en waarin nog duidelijker is aangegeven dat het management informatiebeveiliging moet initiëren en beleggen binnen de organisatie.

De BIO geeft ondersteuning aan organisaties die moeite hebben met het zelfstandig inrichten van informatiebeveiliging. Zo staan in de BIO veel maatregelen die altijd een goed idee zijn. Hoe jouw organisatie er ook uit ziet, maatregelen zoals het patchen van kwetsbaarheden, het maken van backups, goed beheer van digitale identiteiten en bescherming tegen malware zijn namelijk altijd een goed idee. Het kan dus geen kwaad om dit soort maatregelen verplicht te stellen.

Echter, soms levert een verplichte baseline niet het gewenste effect. Bijvoorbeeld bij organisaties die naar eigen zeggen de baseline hebben geïmplementeerd, maar vervolgens bij ons aankloppen voor ondersteuning omdat ze niet weten of ze op het digitale vlak nou veilig zijn of niet. Of bij organisaties die volwassen bezig zijn met risicomanagement en concrete stappen maken in het aanpakken van risico’s, maar vervolgens worden afgerekend op het niet hebben geïmplementeerd van een aantal maatregelen uit de baseline die volgens hen geen serieuze risico’s verminderen.

Waar we naar mijn idee het in de toekomst over moeten hebben, is hoe we met die baseline omgaan. De baseline is een middel, het doel is een veilige omgang met informatie. Als een organisatie dat doel weet te bereiken zonder gebruik te maken van de baseline, is dat dan verkeerd? In het toezicht op informatiebeveiliging zou het naar mijn idee goed zijn om daar rekening mee te houden. Maar ook bij het beoordelen van organisaties die voor informatiebeveiliging zwaar leunen op de BIO. Hebben ze bij een goede implementatie daarvan eigenlijk wel het eigenlijke doel behaald? Namelijk voldoende zicht en grip op de voor hen relevante risico’s?

De ISO 27002-norm, waar de BIO op gebaseerd is, is ooit begonnen en daarna verder door gegroeid als zijnde een best-practice guide. Een document vol met kennis en ervaring in de vorm van optionele maatregelen, waar je op basis van een risicoanalyse zelf een selectie in maakt. Het lijkt me goed om te overwegen of de BIO ook niet meer die kant op moet gaan. Een lijst van overheid-specifieke maatregelen waar je op basis van een risicoanalyse zelf een selectie in maakt. Controleren of de informatiebeveiliging op orde is, is dan dus geen controle meer op de implementatie van maatregelen, maar op de beheersing van risico’s.

Voor NCSC-doelgroeporganisaties die vragen hebben over een risicogebaseerde aanpak van informatiebeveiliging, ook in het nieuwe jaar staat onze deur weer voor jullie open!

Ik wens iedereen een prettig en risico-beheerst 2020.

Hugo Leisink

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

  • Het uitbreiden van het aantal overheidsmaatregelen in de BIO lijkt aantrekkelijk, maar daarbij loop je wel het risico dat men het het gaat toepassen als een 'vinkenlijst'.

    Handiger lijkt het om de problematiek van informatieveiligheid thematisch te benaderen. Per aandachtsgebied, b.v. Toegang, nagaan welke risico's van toepassing zijn en welke controls en maatregelen je het beste kunt gebruiken.

    Daarvoor kun je verschillende internationale kaders als bron gebruiken, maar vergeet vooral niet wat we binnen de overheid en het CIP zelf doen! We hebben al een aantal interessante practices voor u samengesteld, die voor dit doel gepubliceerd zijn via de BIO website en die van CIP en IBD voor de Nederlandse gemeenten. We horen en lezen graag in hoeverre deze hulpmiddelen u verder kunnen helpen bij uw werk!

    Van: Jaap van der Veen | 27-01-2020, 12:36

  • Hugo, een goed en duidelijk artikel waar ik goed in vinden kan. niet de BIO is het doel maar een informatie-veilige organisatie!

    De enige zorg die ik daarbij heb is dat iedereen en elke organisatie wel een of meer blinde vlekken heeft. Dit kan zowel zijn in het bepalen van je risico's als in het treffen van passende maatregelen. Mijn gedachte is dan ook naast eigen verklaringen je regelmatig te laten toetsen (een spiegel voor te laten houden) door anderen. Dat collegiaal maar ook door een externe partij.

    Van: Martin van Rijn | 09-01-2020, 12:23

  • Goed artikel wat naar mijn mening vertelt over de mate van volwassenheid van een organisatie, op het gebied van beveiliging. Naast de BIO als startpunt past een roadmap voor volwassenheid. Daarmee benoem je hoe je als organisatie wil groeien in je beveiligingsbeleid en waarmee je dat gaat bereiken.

    Van: Fons Knaapen | 08-01-2020, 08:49

  • Hugo, Ik ben het volstrekt met je eens dat de BIO een middel is om te werken aan informatieveiligheid. Maar de vraag is of je volledig kunt vertrouwen op organisaties die zeggen een normenkader te hebben geïmplementeerd. In mijn optiek is het vaak het ‘hoog over uitstrooien van maatregelen’ De echte risico’ s zitten veelal In systemen, processen, bij een leverancier, en nog vaker achter een toetsenbord. Een normenkader is een goede basis. Maar het is vaak graven naar de echte risico’s in organisaties.

    Van: Gerrit van der Heide | 07-01-2020, 19:02

  • Hugo, ik mis de oproep om de ISO27001 te doen en de BIO te beperken tot enkele heel concrete en specifieke zaken die onmisbaar zijn voor vertrouwen in elkaar. Zoals een ISO27001-certificaat maar ook een rapportage over de selectie en volwassenheid van geïmplementeerde maatregelen. Een VVT+ zou je dat kunnen noemen. Dáár kun je vertrouwen op baseren, op de BIO -zoals die nu is en gebruikt wordt- niet. Daar zijn we het eens. André

    Van: André Beerten | 07-01-2020, 11:33

  • Het doel van de verplichte maatregelen is vooral dat je als overheidsorganisaties in de informatieketens op elkaar kunt bouwen. Ze beschrijven het WAT, niet HOE je iets moet regelen. Die verantwoordelijkheid ligt bij de organisaties zelf. Dat geldt overigens ook voor de ISO 27002.

    Van: Jaap van der Veen | 07-01-2020, 10:46

  • Mooie blog, Hugo. In mijn optiek is de BIO vooral een goede stap omdat daarmee overal dezelfde taal wordt gesproken. We werken steeds meer in ketens en dan is het goed om te kunnen vaststellen dat je ketenpartners een vergelijkbare set van maatregelen hebben getroffen, waardoor je zelf ook veiliger bent. Als elke organisatie zelf een maatregelselectie maakt verlies je dat effect.
    Los daarvan heb je twee goede punten: ten eerste of de maatregelselectie van de BIO werkelijk voor de hele overheid een basisset is en of die lat wel op het goede niveau ligt (hoog/laag). Meer openheid in de achterliggende risicoanalyse kan mijns inziens helpen om voor alle organisaties inzichtelijk te maken wat de toegevoegde waarde van een maatregel is. Het risico wat afgedekt wordt zou zich best wel eens niet bij een organisatie maar wel indirect bij een ketenpartner kunnen manifesteren!
    Ten tweede de papieren compliance: wel de vinkjes zetten maar niet veiliger; wel de maatregel op papier hebben getroffen maar niet het risico onder controle. Dat vergt investering in kennis over risicomanagement, in het bepalen van een acceptabele 'risk appetite' en in het uitdragen van de keuzes hierin. Want álle risico's afdekken kan natuurlijk niet, zeker niet met beperkte financiële middelen. Het is een mooi voornemen om hier, met de BIO als vertrekpunt in 2020 stappen in te gaan zetten!

    Van: Patrick Dersjant | 07-01-2020, 10:03