Wat overheidsorganisaties kunnen doen om hun informatiebeveiliging beter op orde te krijgen
Er gaat een hoop fout bij overheidsorganisaties als het gaat om IT en informatiebeveiliging. In 2014 werd een parlementair onderzoek naar IT-projecten bij de overheid gedaan met als conclusie dat de overheid jaarlijks 1 tot 5 miljard euro verspild aan, vaak mislukte, IT-projecten. De commissie stelde onder meer het volgende vast:
- De rijksoverheid heeft haar IT-projecten niet onder controle.
- De politiek beseft het niet, maar IT is overal.
- De verantwoordings- en besluitvormingsstructuur bij IT-projecten is zeer gebrekkig.
- De IT-kennis van de rijksoverheid schiet tekort.
- Het ontbreekt de rijksoverheid aan lerend vermogen op IT-gebied.
Sindsdien is er onvoldoende veranderd. Bijna wekelijks zijn er een of meerdere nieuwsberichten over mislukte IT projecten, datalekken en gebrek aan informatiebeveiliging binnen de overheid. Enkele recente voorbeelden zijn:
- De ransomware-aanval op de IT-infrastructuur van de Gemeente Hof van Twente waarbij kwaadwillenden beheerderstoegang hadden, dankzij het feit dat Welkom2020 als wachtwoord was ingesteld en de basisvormen van informatiebeveiliging ontbraken;
- Gemeente Almere die 13 jaar aan mailboxen kwijtraakte en geen back-ups daarvan hadden;
- Bij de Belastingsamenwerking West-Brabant was het mogelijk om toegang te krijgen tot persoonsgegevens en WOZ-beschikkingen door een nummer in de URL te wijzigen. Dit is zeer amateuristisch, en niet de eerste keer dat dat deze overheidsorganisatie te maken heeft met een gebrek aan informatiebeveiliging.
Er zijn nog tientallen andere openbare voorbeelden. Overheidsorganisaties hebben hun IT zaken niet op orde en schieten tekort op van op het gebied van informatiebeveiliging. Hieronder behandel ik een aantal oorzaken en geef ik tips om het te verhelpen.
Gebrek aan IT-bewustzijn bij topambtenaren en bestuur
“We leven in een digibetocratie” zijn de woorden van Arjan Lubach. Bedoeld als satire met een zeer sterke kern van waarheid. Bestuurders en topambtenaren hebben veel te weinig bewustzijn van IT en digitalisering. Het gebrek aan IT-bewustzijn binnen de overheidsorganisaties zorgt ervoor dat de bestuurders en topambtenaren niet bewust zijn van hoe cruciaal IT is, hoe IT de kerntaken en processen raakt, hoe belangrijk digitalisering is en hoe belangrijk informatiebeveiliging is. Daardoor zijn de bestuurders en topambtenaren niet in staat om de juiste beslissingen op het gebied van IT en digitalisering te nemen.
Oplossing: Investeer in IT-bewustzijn en gedragsverandering binnen de organisatie
Informatiebeveiliging is niet alleen een taak van de IT-afdeling. Investeer in middelen om het bewustzijn van bestuurders en topambtenaren te verhogen op het gebied van IT en informatiebeveiliging, en toetst deze bewustzijn. Ze hoeven echt niet de technische kennis te hebben, maar het is wel belangrijk dat ze het belang van informatiebeveiliging begrijpen en daar naar kunnen acteren.
Informatiebeveiliging draait niet alleen op technologie
Een veel gemaakte fout bij organisaties, waaronder overheidsorganisaties, is denken dat informatiebeveiliging een technisch probleem is en daarom een technische oplossing nodig heeft. Met als gevolg dat een techneut wordt gepromoot naar CISO (Chief Information Security Officer) met de bedoeling om het ‘IT-probleem’ op te lossen, terwijl informatiebeveiliging een organisatiebreed probleem is. Hoewel technologie heel belangrijk is, is het ook belangrijk om aandacht te besteden aan mensen, processen en cultuur. Je kunt de meest geavanceerde beveiligingstechnologie hebben, maar als er niet in de mensen, processen en cultuur worden geïnvesteerd, zal informatiebeveiliging een aanzienlijk minder effect hebben.
“De grootste misvatting die ik zie, wordt vaak gehouden door de CISO zelf. Ze geloven vaak dat technologie het antwoord is, aangezien ze een zeer technische achtergrond hebben. Ten tweede geloven ze dat het hun rol is om het bedrijf veilig te stellen en dat mensen geacht worden te doen wat ze zeggen. De opkomende CISO moet veel meer zakelijke kennis hebben en de waarde van informatiebeveiliging begrijpen in relatie tot de vermogen van het bedrijf om zijn mensen en processen af te stemmen op de technologie.”
S. Zalewski, CISO van Levi Strauss
Oplossing: Een CISO hoort meer te zijn dan een techneut
Een CISO kan meer waarde toevoegen aan een organisatie als hij of zij de effecten van informatiebeveiliging begrijpt. Een CISO dient communicatief sterk te zijn, goed te zijn in stakeholdermanagement en gedragsverandering te kunnen realiseren om de organisatie mee te krijgen in de veranderingen. Een CISO dient proactief te zijn en bedreven te zijn in informatiebeveiliging, IT, bedrijfsstrategie en het vermogen te hebben om mensen te leiden en aan zich te binden. Investeer in deze skills voor je CISO, zodat hij of zij in staat is om de bestuurders te overtuigen en de organisatie mee te krijgen in plaats van vast te zitten op de IT-afdeling.
Een HR-beleid die talent niet aantrekt
Vanaf 1 januari 2019 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht en sindsdien zijn overheidsorganisaties druk bezig met het werven van personeel op het gebied van informatiebeveiliging, vooral het werven van een CISO. BIO is één gezamenlijke baseline voor alle overheidsorganisaties gebaseerd op het internationaal geldende informatiebeveiliging normenkader NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002 en met als uitgangspunt risicomanagement.
Overheidsorganisaties hebben een HR-beleid waarbij ze zeer sterk de voorkeur hebben voor wie je kent in plaats van wat je kent. Ervaring bij overheidsorganisaties is vaak een must en interne promotie krijgt de voorkeur. Dit zorgt ervoor dat getalenteerde mensen die geen ervaring bij overheidsorganisaties hebben worden overgeslagen bij werving en selectie. De talentenpool waar overheidsorganisaties uit kunnen kiezen is hierdoor veel te klein. Gecombineerd met een gebrek aan consequenties voor mislukte IT-projecten zorgt dit ervoor dat sommige incompetente mensen die al een positie binnen de overheid hebben verworven dankzij hun netwerk van de ene overheidsorganisatie (waar ze een mislukte IT-project hebben geleid) naar de andere kunnen gaan (om weer een IT-project te leiden met potentieel hetzelfde resultaat).
Oplossing: Sta open voor diversiteit
Diversiteit is meer dan alleen huidskleur en geslacht. Sta open voor mensen die niet uit overheidsorganisaties komen. Er is al een krapte op de arbeidsmarkt voor IT-professionals met informatiebeveiliging ervaring. Door open te staan voor mensen uit andere branches kan er worden gekozen uit een groter aanbod. Verschillende onderzoeken hebben aangetoond dat diversiteit van achtergrond en gedachten zorgen voor een bredere ervaringsveld en kennispool, en daardoor en een beter resultaat.
Tip: CISO is een leiderschapsrol
In het bedrijfsleven ben ik het nog niet tegengekomen, maar ik zie bij gemeentes posities van CISO’s die onder de teamlead automatisering of teamlead ICT vallen. Dat doet af aan de rol van een CISO. Een CISO dient in een positie te zijn waar ze invloed kunnen uitoefenen. Ze zijn leiders en adviseurs van de leiderschap. Een CISO die dat niet is, is geen CISO.
Investeer in meer dan technologie
Overheidsorganisaties hebben hun IT-zaken niet op orde en schieten tekort op het gebied van informatiebeveiliging door een gebrek aan IT-bewustzijn, incompetentie en een onhandig HR-beleid. Dit gebrek doet Nederland pijn en gaat ten koste van de inwoners van ons prachtig land die uiteindelijk de rekening moeten betalen voor de gebreken bij overheidsorganisaties. Dit terwijl de oplossingen simpel zijn en voor de hand liggen; investeer in technologie, mensen, processen en cultuur.