Op donderdagmiddag 31 maart heeft IvO-Partners in het mooie oude stadhuis van Culemborg een werkconferentie over informatieveiligheid georganiseerd met als thema; “de positie van de CISO”.

Voor de meeste gemeenten is de CISO (Chief Information Security Officer) een nieuwe functionaris. Hoe geef je deze nieuwe functie voldoende ‘body’? Wat heb je als CISO nodig om je rol goed te kunnen vervullen? Over welke instrumenten dien je te beschikken? Wat is je positie en mandaat binnen de gemeentelijke organisatie? Dat waren de vragen die centraal stonden tijdens alweer de vierde werkconferentie van Swinth IvO-Partners. Deze keer georganiseerd in samenwerking met de Bedrijfsvoeringsorganisatie West-Betuwe (samenwerkingsverband van de gemeenten Culemborg, Geldermalsen en Tiel).

Sprekers waren:

• Paulien van der Hoeven, projectleider ENSIA van het Ministerie van Binnenlandse Zaken.
• Rein Zijlstra, verantwoordelijk wethouder voor informatieveiligheid van de gemeente Zeewolde
• Chris Deben, interim-CISO bij de gemeente Meerinzicht
• Marc Ligthart van SECWATCH
• Pieter-Bas Wijne, informatiemanager bij de gemeente Neder-Betuwe

Na afloop was er volop gelegenheid voor de aanwezige gemeente ambtenaren, waaronder veel CISO’s, om met de sprekers te debatteren over de positionering van de CISO binnen de gemeentelijke organisaties. Ook was er de mogelijkheid om zich uit te spreken over een aantal stellingen.

Paulien van der Hoeven legde uit waar ENSIA (Eenduidige Normering Single Information Audit) voor staat en wat de belangrijkste doelstellingen zijn. Met het ENSIA project wordt de verantwoording op het gebied van informatieveiligheid geharmoniseerd. Belangrijkste doelstelling is het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid dat in 2017 door alle gemeenten wordt gebruikt.
Daarnaast heeft het project als subdoelstelling om toe te werken naar 1 verantwoordingsregime!
Voor niet-informatieveiligheidsapecten van de BRP, PUN, BAG en BGT (m.a.w. zaken die niet door de BIG vragenlijst worden afgedekt) is het in de toekomst de bedoeling dat de uitvraag op hetzelfde moment plaats als de BIG vragenlijst. Waar mogelijk (in de beperkingen van tijd en capaciteit van dit project) worden ook taal, tooling en afspraken rond het verantwoordingstelsel geharmoniseerd. Met het ENSIA project wordt de implementatie van de BIG versneld, hetgeen een betere borging geeft van informatieveiligheid binnen de gemeentelijke organisatie. Daarnaast biedt ENSIA een verlaging van de auditlast voor gemeenten omdat veel vragen in kader van BRP, PUN, DigiD SuwiNet, BAG en BGT, nog maar een keer gesteld worden door ze te integreren in de BIG vragenlijst.

Rein Zijlstra, wethouder van Zeewolde ging in op de positie van de CISO bezien vanuit het College van B&W. Hij ziet een belangrijke rol voor de CISO om de bestuurder te ontzorgen op het gebied van informatieveiligheid. Tegelijkertijd dient de CISO ook voldoende middelen en een stevige positie binnen de organisatie te krijgen. Rein deed de suggestie om de CISO standaard deel te laten nemen aan het periodieke directieteam overleg binnen de gemeente. Dat doet recht aan het belang van informatieveiligheid binnen de gemeentelijke organisatie.

Chris Deben die voor diverse gemeenten en andere organisaties de functie van CISO heeft waargenomen, schetste de uitdagingen waar een CISO voor staat en hoe te komen tot een praktische aanpak. Enkele van zijn aanbevelingen waren:

• Zorg dat je voldoende kennis van zaken hebt of weet waar je die halen kunt;
• Gevoel voor politiek en interne verhoudingen;
• Creëer draagvlak en commitment;
• Proceseigenaar is en blijft verantwoordelijk. Dus neem niet alle ‘aapjes’ op je schouders;
• Onafhankelijke positie, geef gevraagd en ongevraagd advies;
• Wees ambitieus;
• Focus op houding & gedrag;
• Lange adem, olifant in stukjes eten..!

Marc Ligthart van SECWATCH liet zien hoe je je het beste kunt verdedigen tegen allerlei vormen van ransomware. Sommige technische maatregelen hoeven helemaal niet veel geld te kosten. Het tijdig up-daten van de software maak je al een stuk minder kwetsbaar.

Pieter-Bas Wijne liet zien hoe men in de gemeente Neder-Betuwe het ISMS heeft ingericht en welke afwegingen de doorslag hebben gegeven om te kiezen voor het GRC-tool van CompLions.  

De middag werd afgesloten met een discussie panel waarin de sprekers, aangevuld met een aantal CISO’s van gemeenten, het debat aangingen met de aanwezigen over de rol van de CISO. Er werd onder andere gestemd over  volgende stelling “Na deze middag heb ik er meer vertrouwen in gekregen dat het ENSIA traject de positie van de CISO versterkt en de auditlast voor de gemeente gaat verlagen.” Uitslag 99% van de aanwezigen was het hiermee eens!