Van BIR naar BIO: Informatiebeveiliging rijksbreed op orde

De professionals van I-Interim Rijk (IIR) zijn actief in diverse (interne) vak- en expertgroepen. Op die manier wordt nuttige kennis opgedaan, gedeeld en binnen de organisatie geborgd. Een aantal keer per jaar organiseert de expertgroep Security & Privacy themasessies om relevante kennis te delen. Vorige week stond er een bijeenkomst over de Baseline Informatiebeveiliging Overheid (BIO) op de agenda. Wat houdt deze nieuwe baseline precies in? Expertgroeplid Jos Rippe praat ons bij.

BIR2017

Jos: ‘We willen als overheid de stap maken van BIR (Baseline Informatiebeveiliging Rijksdienst, red.) naar BIO. De belangrijkste reden is dat de BIR, waarvan BIR2017 de laatste versie is, zowel door organisaties als door auditors vaak werd gezien en gebruikt als checklist. Met de stap naar de BIO willen we dat er gedacht en gewerkt gaat worden vanuit risicomanagement. Wat je wilt is dat het management binnen een organisatie risicobewust is en stuurt op goed risicobeheer. Het moet dus meer verweven worden met het management. En dan dus niet alleen de kaders afvinken op checklist, maar de baselines daadwerkelijk embedden in de organisatie met reguliere processen en overleggen.’ 

PDCA-cyclus

‘Om de BIO goed te implementeren in de bestaande processen van een organisatie, moet het dus onderdeel zijn van het primaire bedrijfsproces. Dit doe je via een zogenoemde Plan-Do-Check-Act (PDCA) -cyclus. Plannen, uitvoeren, meten waar je staat en vervolgens opnieuw plannen op basis van de meetresultaten. Het management van een organisatie moet zich hiervan bewust zijn en sturen op beschikbaarheid, integriteit en veiligheid van informatie. Zodra een overheidsorganisatie de BIR2017 al conform de PDCA-cyclus heeft ingevoerd, heeft zij daarmee ook de BIO ingevoerd en is daarmee feitelijk  ook al over naar BIO’, vertelt Jos.

Rol CISO

Een rol in de organisatie van Chief Information Security Officer (CISO) kan volgens Jos helpen de organisatie bewust te maken van risico’s en mogelijke maatregelen. ‘Maar het moet niet zo zijn dat de CISO eindverantwoordelijk is, dat is altijd de lijnverantwoordelijke. Wel kan de CISO faciliteren bij risico assessments waarbij je de zwaarte van risico’s gezamenlijk in kaart brengt. Daarna worden passende maatregelen vastgesteld en geïmplementeerd. Dan ben je nog niet klaar, want je moet als organisatie constant monitoren op zaken als inbreuk en/of diefstal van informatie. Dus de kernvragen moeten zijn: waar loop ik risico in de continuïteit van de bedrijfsvoering en welke adequate maatregelen moet ik nemen om de risico’s in te dammen?’

Rol I-Interim Rijk

Jos: ‘We organiseren deze sessies voor onze collega’s van IIR, die veelal op sleutelposities binnen Rijksorganisaties aan I-trajecten werken. We hebben als IIR een belangrijke expertise-rol, en kunnen als kennisdeler helpen deze informatie te laten landen bij onze opdrachtgevers. Zeker op het gebied van informatiebeveiliging speelt er momenteel ontzettend veel, kijk naar alle verhalen in het nieuws over grote hacks. Het is dus zaak om als overheid onze zaken goed op orde te hebben, en daar willen wij als I-Interim Rijk heel graag ons steentje aan bijdragen!’