We zijn alweer aangekomen in 2020, het jaar waarin de Baseline Informatiebeveiliging Overheid (BIO) de voorgaande overheidsbaselines vervangt. Met deze baseline maken we weer een mooie stap vooruit. Een gezamenlijke baseline waarin nog duidelijker het belang van risicomanagement wordt benadrukt en waarin nog duidelijker is aangegeven dat het management informatiebeveiliging moet initiëren en beleggen binnen de organisatie.
De BIO geeft ondersteuning aan organisaties die moeite hebben met het zelfstandig inrichten van informatiebeveiliging. Zo staan in de BIO veel maatregelen die altijd een goed idee zijn. Hoe jouw organisatie er ook uit ziet, maatregelen zoals het patchen van kwetsbaarheden, het maken van backups, goed beheer van digitale identiteiten en bescherming tegen malware zijn namelijk altijd een goed idee. Het kan dus geen kwaad om dit soort maatregelen verplicht te stellen.
Echter, soms levert een verplichte baseline niet het gewenste effect. Bijvoorbeeld bij organisaties die naar eigen zeggen de baseline hebben geïmplementeerd, maar vervolgens bij ons aankloppen voor ondersteuning omdat ze niet weten of ze op het digitale vlak nou veilig zijn of niet. Of bij organisaties die volwassen bezig zijn met risicomanagement en concrete stappen maken in het aanpakken van risico’s, maar vervolgens worden afgerekend op het niet hebben geïmplementeerd van een aantal maatregelen uit de baseline die volgens hen geen serieuze risico’s verminderen.
Waar we naar mijn idee het in de toekomst over moeten hebben, is hoe we met die baseline omgaan. De baseline is een middel, het doel is een veilige omgang met informatie. Als een organisatie dat doel weet te bereiken zonder gebruik te maken van de baseline, is dat dan verkeerd? In het toezicht op informatiebeveiliging zou het naar mijn idee goed zijn om daar rekening mee te houden. Maar ook bij het beoordelen van organisaties die voor informatiebeveiliging zwaar leunen op de BIO. Hebben ze bij een goede implementatie daarvan eigenlijk wel het eigenlijke doel behaald? Namelijk voldoende zicht en grip op de voor hen relevante risico’s?
De ISO 27002-norm, waar de BIO op gebaseerd is, is ooit begonnen en daarna verder door gegroeid als zijnde een best-practice guide. Een document vol met kennis en ervaring in de vorm van optionele maatregelen, waar je op basis van een risicoanalyse zelf een selectie in maakt. Het lijkt me goed om te overwegen of de BIO ook niet meer die kant op moet gaan. Een lijst van overheid-specifieke maatregelen waar je op basis van een risicoanalyse zelf een selectie in maakt. Controleren of de informatiebeveiliging op orde is, is dan dus geen controle meer op de implementatie van maatregelen, maar op de beheersing van risico’s.
Voor NCSC-doelgroeporganisaties die vragen hebben over een risicogebaseerde aanpak van informatiebeveiliging, ook in het nieuwe jaar staat onze deur weer voor jullie open!
Ik wens iedereen een prettig en risico-beheerst 2020.
Auteur: Hugo Leisink
Bron: https://www.ncsc.nl/actueel/weblog/weblog/2019/de-bio-en-hoe-nu-verder