#16 - Toezicht en verantwoording over informatiebeveiliging (met Pieter)
Hey, goed dat je weer luistert naar Keep Talking. Aflevering 16 en tevens de laatste aflevering van seizoen 2. Maar niet getreurd. Na de zomervakantie start ik gewoon seizoen 3. En als slotstuk van dit tweede seizoen leek het me aardig om te podcasten over wat ook het slotstuk in ons vakgebied is, namelijk de verantwoording.
Renco:Dus hoe verantwoord je nou over informatiebeveiliging en hoe steekt dat toezicht in elkaar? En uiteraard het dan om de lokale overheid gaat denk je meteen aan ENCIA. Eenduidige normatiek single information audit geïntroduceerd in 2017. Gelukkig lukte het mij om een zeer kundige gast bereid te vinden hier met mij over in gesprek te gaan. Niemand minder dan Pieter en daar laat ik het bij.
Renco:Pieter is Pieter. Pieter heeft veel kennis van de verantwoording over informatiebeveiliging en van Encia dus veel plezier met aflevering 16 van V-talkins. Op een drukke dinsdag zit ik hier weer de podcast met weer een andere gast. Het is natuurlijk altijd even spannend wie zit er tegenover mij en in dit geval is dat? Welkom in de aflevering.
Renco:Welkom in keep talking. Ik had niet een hele lange reclame campagne nodig om jou zover te krijgen om een keer met mij te podcasten.
Pieter:Nee, ik ik ken jouw podcast en ik vind het wel leuk. Helemaal nieuw voor mij, dus een beetje zenuwachtig. Een beetje zin in.
Renco:Ja, een soort gemengde gevoelens van de ene kant leuk en de andere kant oeh, waar ben ik nou aan beantwoorden?
Pieter:Een beetje wel natuurlijk.
Renco:Dat het het ongemakkelijker wordt helemaal als je dan straks een keer de aflevering ziet binnenrollen in je podcast app waar jij dan zelf inzit. Dan ga je hem aanzetten, ga je jezelf luisteren.
Pieter:Ja, nou we gaan het meemaken.
Renco:Hey, maar Pieter heel leuk dat je in de aflevering bent. Wij hebben van tevoren nagedacht over waar moeten we het dan in vredesnaam over hebben. Dat gaat natuurlijk over informatiebeveiliging.
Pieter:Zeker, kan niet anders.
Renco:Dat kan niet anders. Het is het enige mooie vak waar je zinvol over kan podcasten. Voordat we de inhoud induiken, vertellen over wie je bent?
Pieter:Ik ben werkzaam in de informatiebeveiliging al enige jaren. Ondertussen bedreven in het vak, veel opleidingen gedaan, kennissen en ervaring en ik werk nu voor lokale overheid en daar ben ik bezig met de informatiebeveiliging en dan aan de verantwoordingskant van het verhaal.
Renco:Ja, en bij de lokale overheid hebben we daar hele fraaie afkorting voor toch?
Pieter:Is dat zo?
Renco:Eenduidige normatiek single information audit. Encia. Dus verantwoording over informatiebeveiliging bij de lokale overheid, dan zeg je Encia.
Pieter:Encia, ja
Renco:absoluut. Daar kruisen ook onze wegen wel, want wij zijn allebei wel, ik zou toch wel durven zeggen, bovengemiddeld bekwaam op het terrein van Encia?
Pieter:Nou, jij draait al wat langer mee dan ik, maar ja ondertussen al een aantal jaren. Ik denk Encia vanaf het begin en volgens mij was het 2017 of 2018.
Renco:Ja, 17 volgens mij.
Pieter:Dus ondertussen wel wat werkgevers verder, maar ach, dat mag de pret niet drukken natuurlijk. Dat is leuk en de ene gemeente is de andere natuurlijk ook niet. Dus ja, daar zit ook wel weer verschil in.
Renco:Ja, en kan je iets vertellen over als jij meewerkt aan het proces van verantwoorden over informatiebeveiliging, wat dan jouw taak is? Wat is jouw rol? Wat zijn jouw verantwoordelijkheden daarin?
Pieter:Nou ja, die verschillen wel wat per per opdrachtgever natuurlijk. De huidige daar zit ik met name op het proces, sta ik echt los van de inhoud. Dus met opzet zo gedaan, omdat de collega's die de inhoud doen eigenlijk daar veel beter in zijn dan ik. Wij doen ieder jaar in principe een kick-off en nemen de collega's mee in de veranderingen. Collega's hebben ondertussen ook al wat ervaring, sommige wat meer als de ander.
Pieter:Wat betreft proces neem je ze ook wel bij de hand als ze wat nieuwe zijn en wat minder ervaring hebben en op die manier echt geheel op het proces.
Renco:Ja, dus je wordt tijdelijk ingehuurd. In dit geval combineer je het niet met een functie van iso of SISO of DISO of hoe zou ik maar allemaal mogen heten. Je hebt de luxe in zekere zin om je dedicated bezig te houden met dit verantwoordingsproces. Klopt, ja.
Pieter:Inderdaad. Ik
Renco:moet zeggen uit eerdere opdrachten had ik dat ook en ik heb altijd wel gerealiseerd dat het wel echt, dan noem ik het ook zo, een luxe is omdat veel mensen die dat verantwoordingsproces bij de lokale overheid coördineren en dus NCA coördinator zijn, moeten dat vaker combineren met een rol als Chief Information Security Officer. Balast? Die hebben wij niet.
Pieter:Nee, heb ik wel gehad. Oké. Ja, bij de vorige werkgever, daar had ik inderdaad ook de Cisopad op en was ik ENCIA coördinator en dan merk je dat vooral omdat het in het begin van de ENCIA was, veel tijd kost omdat je ook nog moet nadenken over hoe je dat varkentje gaat wassen.
Renco:Ja, je zegt net heel mooi van ik ben van het proces. Ik ga niet over de inhoud, als je ook CISO bent is die scheiding denk ik veel moeilijker aan te brengen. Ja klopt. Dan sta je ook wel soort van aan de lat voor die inhoud.
Pieter:Klopt, ja. Ik kan mij voorstellen dat dat voor sommige SISO's nog steeds zo is. Ik weet dat dat voor sommige SISO's nog steeds zo is, dat je dan met dubbele pet op zit. Aan de ene kant wil je het proces coördineren en wil je een beetje die inhoud daar laten waar die eigenlijk hoort, 1 lijn, maar aan de andere kant, dus als CISO zijnde ook een beetje de duwer bent van dit proces en dus zo nu en dan ook genoodzaakt bent om de inhoud mee in te gaan.
Renco:Ja, want je bent als CISO dan ook adviseur van diezelfde lijn die je eigenlijk ook bevraagt over het resultaat. Waar je dan als je bijvoorbeeld een IT-auditor inhuurt heel duidelijk scheiding hebt tussen of je huurt een auditor in voor toetsing of voor advisering, maar nooit voor beide. Dan kan je in een soort light variant zeggen als ENCIA coördinator werk je aan een toetsingsproces, maar als CISO zit je ook aan de inhoudelijke advisering kant, dus dat is af en toe lastig te combineren. Pieter, doet het al een aantal jaren en dan heb je vast ook wel eens in den landen met andere coördinatoren gesproken. Je hebt vast een netwerk opgebouwd zo door de jaren heen en wat mij, het geldt in zekere zin voor mij ook en wat mij wel opvalt is dat dat dat jaarlijkse verantwoordingsproces over informatiebeveiliging, daar gaan harten niet sneller van kloppen over het algemeen.
Pieter:En dan bedoel je bij collega's of bij de organisaties waar ik werk
Renco:Ik zou zeggen bij allebei. Dus in algemene zin heeft het hele ENCIA verantwoordingsproces roept niet allerlei positieve associaties bij mensen op. Het wordt toch wel in mijn optiek vooral ervaren als een soort hoepel waar je elk jaar weer verplicht doorheen moet en waar een NCIA coördinaten dan een soort met een stok iedereen in beweging Ik overdrijf een beetje natuurlijk nu,
Pieter:maar Ik heb er gewoon nog
Renco:niets op meegemaakt dat mensen denken, ja, natuurlijk dat is gewoon natuurlijk de van plan do check act. Dat had nog nooit iemand horen
Pieter:zeggen. Klopt.
Renco:Hoe is jouw ervaring daarmee?
Pieter:Ja, eigenlijk een beetje hetzelfde. Vooral in het begin leefde het helemaal nog niet. Had men wel de hoop overigens dat het allemaal veel makkelijker ging worden met hoe het was voor Encia. Nou, in mijn beleving is het dat niet helemaal geworden. Maar wat wel heel fijn is, en dat merk ik dat dat ook steeds meer bij de collega's in de gemeentes, lokale overheden gebeurt, is dat men snapt waarom men hierover moet verantwoorden.
Pieter:Het helpt wel het onderwerp op elkaar te zetten, het proces. En ik merk wel dat verschil tussen hoe het was in 2018 en hoe het nu is, en daar heeft Encia denk ik ook wel aan bijgedragen, al is het wel zo inderdaad dat men hier niet heel warm voor loopt en dat het vaak lijkt alsof je door een hoepel moet springen.
Renco:Ja, het is toch een soort corvee of zo.
Pieter:Ja, nou dat is wel mooie omschrijving inderdaad van ja, dat moeten we ook nog even doen.
Renco:Ja, iedereen snapt dat de afwas gedaan moet worden. Iedereen snapt ook dat je af en toe aan de beurt bent om het te doen, niemand geniet er echt van als hij aan de beurt is.
Pieter:Nee, nee klopt. Ja, het is iets wat erbij hoort en ja aandacht vereist, maar buiten de reguliere werkzaamheden om. Het is nog geen regulier werk en dat zou het eigenlijk best moeten zijn.
Renco:Die mening delen we, want ik denk we hebben het altijd over een managementsysteem, dat tenminste als je het over iso 27001 hebt, heb je al snel over een managementsysteem. In overheidslanden praten we over de bio wat dan 27002 eigenlijk veel meer is. Dus dat hele managementsysteem is in zijn huidige vorm nogal ondergeschoven kind. Dus dat managementsysteem dat bestaat niet echt als zodanig dus daarom voelt het ook van we moeten weer. Als dat systeem van plan do check act er niet inzit, dan kom je elke keer alleen met die c onder je arm zeg maar bij iemand langs en die zegt joh, daar ben je weer.
Renco:Terwijl die andere stappen die die krijgen ze niet echt mee of hebben ze geen
Pieter:rol in. Nee, nee, dat komt wel steeds meer natuurlijk. Ik denk zo meteen ook met de komst van een NIS 2 dat dat nou beter gaat worden en dat men dat hele managementsysteem als het ware ook echt gaat implementeren, dat het onderdeel wordt van je reguliere proces en dat dan de 'C' ook wel meer op zijn plaats valt als dat dat nu doet. Ja. Dus nou, die beweging die zie ik en nou daar ben ik wel heel gelukkig mee natuurlijk, want ja, dan krijgt het onderwerp ook de aandacht die het verdient eigenlijk en is het effect denk ik ook veel groter.
Pieter:Omdat je dan ook daadwerkelijk, of dan ben je niet meer aan het corvee, maar dan ben je je huis op orde aan het houden.
Renco:Ja, precies. Als ik moet even denken aan het oorspronkelijke ontwerp van ENSIA zeg maar met een horizontale en verticale verantwoordingslijn. Nu wordt het voor de liefhebbers, de verticale verantwoordingslijn is dat de lokale overheden zich verantwoorden naar hun ministeriële toezichthouders noem ik het maar even. Ik hoor ook dat ik het telefoongeluid niet heb uitgedaan, dus dat ga ik even doen. De horizontale verantwoordingslijn gaat erover dat je binnen je eigen organisatie je verantwoord over informatiebeveiliging en in geval van de lokale overheid is dat dan de gemeenteraad.
Renco:Ja. En eigenlijk zien we dat die toezichthouder die zit wel te drukken, die stelt ook eisen dus die verticale verantwoordingslijn die is onder druk van die van die toezichthouder wel aardig uit de verf gekomen en die horizontale verantwoordingslijn, waar je eigenlijk veel meer zelf controle over hebt, is niet echt uit de verf gekomen zoals dat oorspronkelijk in het ontwerp stond. Nee, nee. Want hoeveel gemeenten denk jij, hoeveel procent van de gemeentes in Nederland zou nou dat horizontale verantwoordingsproces tot en met de gemeenteraad helemaal aflopen?
Pieter:Dat is best lastig te zeggen, denk ik.
Renco:Dat denk ik ook. Dat zal een klein deel zijn,
Pieter:schat ik. Ja, ik denk dat dat er niet heel erg veel zijn. In ieder geval nog niet het merendeel.
Renco:Nee, nee, ik denk zeker niet. Nee,
Pieter:en erbij komt, ik denk dat, nou ja, op korte termijn het wel handig zou zijn als je dus door dit soort processen, die verantwoordingsprocessen, de gemeenteraad als toezichthouder ook zodanig positioneert. Dus hun meenemen in het belang, zodat zij ook snappen waar het om gaat als zij als toezichthouder hun taak uitvoeren. En daarbij ook weer sturing kunnen geven aan de organisatie als het gaat om de doelen.
Renco:Waarom zou dat dan nog niet gelukt zijn denk je? Waar zit hem dat in?
Pieter:Het is geen, of tenminste ik denk dat het geen top of mind is.
Renco:Maar waarom is het dat niet? Waar schort het hem aan? Wat hebben we dingen niet goed gedaan?
Pieter:Nou, denk dat je ergens moet beginnen. Je kan nooit van de kelder naar de zolder. Het is niet van we gaan van a naar z.
Renco:Ik vind het zo'n prachtige metafoor dit. Ik heb een keer een opdracht in het noorden van het land gedaan. Daar heb ik deze metafoor geleerd. Ik weet dat jij uit het noorden van het land komt. Ik weet niet of het daarmee te maken heeft.
Pieter:Nou misschien. Is
Renco:van de kelder naar de zolder in 1 keer.
Pieter:Dat kan niet. We zijn eigenlijk pas ook sinds 2013 bezig. Echt ingezet op informatiebeveiliging.
Renco:Met de toekomst van de baseline informatiebeveiliging gemeente.
Pieter:Ja, en die resolutie waarbij de mensen hebben gezegd van nou het is belangrijk en hier gaan we mee aan de slag. En dan heel stiekem, als ik dan even kijk naar wat er ook bij andere overheden gebeurt, dan vind ik dat gemeenten er op zich nog best knap voor staan als het gaat om informatiebeveiliging en vooral de verantwoording erover en de manier waarop ze dat informatie security management systematiek als het ware hebben opgezet. Dus daar zijn we eigenlijk best wel
Renco:In het land ten opzichte van andere overheidslagen.
Pieter:Ja, gebeuren natuurlijk ook hele goede dingen, maar ik heb wel de afgelopen tijd gezien van gemeentes zijn er al vanaf 2013 mee bezig en dat zie je. Het is in die zin, we zitten niet meer in de kelder
Renco:om het zo maar te Nee, dat herken ik hoor, dat ben ik wel met je eens. Ik doe dit werk nu ongeveer 10 jaar, dus ik zat ook redelijk aan die voorkant toen de aandacht daar kwam, zat ik ook in dit vak, weliswaar met wat minder ervaring onder de arm dan nu, maar ja, het was echt nog een onderwerp, toch? Ik bedoel, je moest echt hard brullen om aandacht te krijgen terwijl nu is het veel normaler dat het een soort, in een eerdere podcast noemde iemand het wel eens een kwaliteitsaspect eigenlijk. Dus een heel logisch mee te wegen onderwerp bij nieuwe dingen die je gaat doen bijvoorbeeld. Als je nieuwe dingen gaat uitbesteden of je gaat dingen naar de cloud brengen of wat dan ook, is het heel logisch om ook security en privacy daarbij mee te nemen.
Pieter:Security en privacy bij design. In het ontwerp meenemen, erover nadenken en dat zie je steeds meer gebeuren. Ook de aandacht vanuit het college, tenminste in mijn beleving, is er. Die was er vroeger niet. Nou, vorige opdrachtgever die had het daadwerkelijk ook genoemd in een collegeprogramma.
Pieter:Dat is al een tijdje geleden, maar dat zou ik graag vaker zien.
Renco:En dan ook de middelen toch? Ja,
Pieter:nou daar moet je dan nog wel voor aan het werk natuurlijk, maar ja, uiteindelijk wel ja. Als het daar op, het hangt natuurlijk van de samenstelling van het college af, ook van je relatie met het college, je Een beetje van de
Renco:politieke kleur, zeg maar.
Pieter:Zeker, maar ook dus ook van de adviseur, dus CISO en de belangrijkste adviseurs op dit vakgebied. Als die een goede relatie hebben en op kunnen bouwen met het college, dan krijg je dit gewoon eerder op de agenda.
Renco:Want eigenlijk zijn het gewoon mensen die met elkaar samenwerken. Zeker. Als dat beter uit de verf komt, je hebt een goede band met je portefeuillehouder ofwel de verantwoordelijke wethouder, de bestuurder die vaak aan bedrijfsvoering in zijn portefeuille heeft waar dan eigenlijk gegevensbescherming of informatiebeveiliging of privacy dan ook vaak een onderdeel van is. Ja, als als dat je vriend wordt of vriendin wordt, specifiek gezegd, dan helpt dat natuurlijk enorm.
Pieter:Zeker en dan merk je dat zo'n verantwoordingsproces ook veel soepeler verloopt omdat er dan ook commitment is vanuit die laag en dan vindt men het belangrijk en dan heeft men gewoon doelstellingen voor van nou, we gaan dit zo doen.
Renco:Je hebt ook een kapstok, dan kan je ook als sowieso eigenlijk alles wat je toch al wilt doen en al meent te moeten doen vanuit de bio, dan heb je ook in je eigen organisatie een haakje waar je dat aan op kan hangen en het ook door anderen ook belangrijk wordt gevonden. Niet alleen maar omdat het ergens in een normenkader staat.
Pieter:Dan kun je daar telkens naar terug refereren van, we vinden dit belangrijk, het is een doelstelling en we zetten er samen de schouders onder. En dan is zo'n verantwoording, wordt in 1 keer een sturingsinstrument, waarbij je kunt sturen op je eigen doelstellingen. En dan is het niet meer we moeten verplicht door die hoepel heen van de toezichthouder.
Renco:Sturen op compliance of zo. Is natuurlijk Ik zeg wel eens van ik val al in slaap bij het idee, weet je wel, dat je puur alleen iets doet omdat het moet van een ander en elk jaar moet je dat dan weer laten zien. Je zou dan moeten nagaan waarom wil die toezichthouder dat dan van mij, wat zou daar achter zitten en dan zou je zou je veel meer uit kunnen halen. Waarom zou je iets alleen maar doen voor een toezichthouder als je het je ook als je het ook kan aanwenden om je eigen agenda binnen je eigen organisatie zeg maar verder gedaan te krijgen of middelen te krijgen of aandacht te krijgen. Dat vind ik nog wel eens lastig als ik dan met collega collega's bij elkaar zit en het gaat over en ik refereerde daar al eerder naar.
Renco:Het heeft niet dan niet echt een heel positief imago. Dan wordt dat toch, zijn al heel wat jaren onderweg want dan ik hoor dat hetzelfde gemopper. Elk jaar weer en dan denk ik dat bijvoorbeeld een functioneel beheerder moppert, die zit wat over zijn oren in het werk en die moet dan voor zijn gevoel extra daar bovenop nog eens een keer allemaal
Pieter:Het is geen regulier werk.
Renco:Nee, wat jij al eerder zei, is geen regulier werk, maar voor een CISO wel. Is het wel regulier werk. Dus als ik dan een CISO nog zo wil mopperen, denk ik ja kom, na al die jaren moet je toch een beetje voorbij de moppen fase zijn.
Pieter:Dat kan je ook gewoon helpen als CISO En daarbij, vooral als je als CISO zijnde, middelen hebt vrij kunnen spelen om dan een dedicated ENSIA coördinator te hebben. Nou joh, wat een feest. Daar zou ik, daar ging ik gelijk slingers ophangen, want daar kun je wat mee. En dan heb je die tijd, dan hoef je er zelf ook niet in te steken. Dus je kan je echt aanrichten op het organiseren en inrichten van informatiebeveiliging met doelstellingen die erbij horen en aan de achterkant de check gebruiken om erop te sturen.
Renco:Ja, eigenlijk die stap die daartussen zit, die do fase, waar je eigenlijk meer in de uitvoering zit, dat dan wat meer los te laten zodat je als CISO ook op dat strategische niveau kunt opereren.
Pieter:Ja, dan wordt het regulier werk hoort het erbij en dan gaat de organisatie informatiebeveiliging toepassen in gewoon de normale processen. Die kant wil je gewoon op. Die kant moeten we ook op en we zien ook steeds meer een beweging die kant op.
Renco:Ik wil het zo nog even met jou hebben over die volgende bio die eraan zit te komen, NIS2 enzo, maar voordat ik dat doe, wat vind je nou het lastigst aan NCA? Je doet het ook al een heel aantal jaren. Waarvan denk je nou elke keer, ja, nu moet dit ook weer?
Pieter:Nou, dat is de bestuurlijke besluitvorming. Het proces.
Renco:Het slotstuk.
Pieter:Ja, ja man, dat is bijna magnum open als je dat zo mag noemen. Dat is gewoon lastig en bij de ene overheid wat moeilijker als bij de andere. Maar ja, daar gaat veel tijd en energie in zitten en je merkt dat dat het proces wel onnodig vertraagt.
Renco:Ja, dat het proces ziet er grofweg als volgt uit. Je voert een zelfevaluatie uit, je voert een IT-audit uit, vult allemaal vragenlijsten in en dat rol je op en dan komt iets uit. Voordat je dat dan indient bij die verticale toezichthouder die we al eerder noemden, dat eerst door het college worden vastgesteld. Eigenlijk hetzelfde als wat een accountant doet. Dus die zegt: ik heb een jaarrekening gezien, ik heb daarnaar gekeken, ik heb daar even wat geprikt her en der.
Renco:Even kort door de bocht en die accountant zegt dan nou die jaarrekening wat daar met een redelijke mate van zekerheid wat daar in staat, dat klopt. Eigenlijk doen we hetzelfde op het gebied van informatiebeveiliging. We laten iemand wat opschrijven of we schrijven zelf wat op. We laten er iemand naar kijken die zegt: ik heb dat getoetst en met een redelijke mate van zekerheid zeg ik dat het klopt. Het college tekent daarvoor.
Renco:En die laatste stap, dat is waar jij naar refereert?
Pieter:Ja, daar kijk ik niet naar uit, dat deel van het proces. In die zin, het is altijd hobbelig en het gaat nooit in 1 keer goed. Dus dat heeft ook een reden, omdat er heel veel mensen betrokken zijn die daar wat van moeten vinden natuurlijk. Het vaststellen van die documenten, de advisering richting de portefeuillehouder en dat moet gewoon goed en degelijk gebeuren. Helemaal oké, maar je kan daar ook best wel in struikelen.
Pieter:Teveel mensen daar wat van moeten vinden en elkaar ook soms lastig maken.
Renco:Niet iedereen die betrokken is in het proces kijkt door dezelfde letters naar dezelfde bril naar die stukken, dus dat moet je dan bij elkaar zien te brengen als en zijn coördinator.
Pieter:Ja, en dat vind ik dan wel weer leuk. Dat is gewoon een gesprek aangaan met met de collega's en erover praten om het allemaal weer tot een goed geheel te maken waar iedereen ook achter kan staan. Dus aan de ene kant heb je een proces wat dan wat stroperig verloopt op dat punt, maar aan de andere kant wordt het product wat je er uiteindelijk van krijgt ook sterker. Maar ja, dat staat een beetje op gespannen voet met elkaar.
Renco:En dan lukt dat en dan heb je het ingediend en hoe eindigt nou zo het jaar van een NCA coördinator? Je hebt dan de spullen ingeleverd. Wanneer gaan bij jou de slingers?
Pieter:Nou je zou zeggen dat dat dan eind april is. Dan leveren we alle documentatie in en richting de toezichthouders. Dan zit er een punt op en dan zou je zeggen dan is het klaar.
Renco:Ik voel het maar aankomen.
Pieter:Ja, ja, ja, nee. Pas als ik de brieven van de toezichthouders heb gekregen van nou jullie hebben het fantastisch gedaan, chapeau, dan gaan bij mij de vlag in top.
Renco:Jullie hebben zeker Pieter als NCA coördinator, want dit zien we zelden, het zo mooi binnenkomt.
Pieter:Nou, we doen ons best ervoor, maar ja, weet je, we zijn net mensen. We maken ook wel eens een foutje en ja, dan merk je van wacht even, we zijn wat vergeten. Nou zijn de toezichthouders tegenwoordig zo flexibel en aardig dat we kunnen herstellen. Nou dan krijg je gewoon netjes een brief van hey joh, er klopt iets niet, zou je daar nog naar willen kijken? Ook met een redelijke termijn eraan dat je het gewoon nog gaat herstellen.
Pieter:Nou en dan doe je dat en dan is het klaar en dat is pas het moment dat je gewoon achterover gaat zitten en denkt van nou nu tijd voor een grols.
Renco:Precies, en dan heb je ook even een soort positieve dip in het jaar in die zin van dat NSA werkzaamheden liggen in de zomerperiode grotendeels stil of doe ik je nou tekort?
Pieter:Nou ik vind het dan wel tijd voor een pauze, maar ja die pauze duurt nooit lang of als je het al een pauze kunt noemen misschien een intermezzo. Dat is beter. Ja, laten we het zo noemen. Intermezzo, kijken naar wat er volgend jaar gaat gebeuren, tijd voor evaluatie. Ja, ja.
Pieter:Natuurlijk kijken van nou wat is er goed gegaan, wat is misgegaan. Bijvoorbeeld dat bestuurlijke besluitvormingsproces, weer in gesprek gaan met de collega's van nou hé, hoe we dit nou wat kunnen laten gaan. Dat vind ik altijd wel fijn om te doen en om daarvan te leren en dan een beetje te scharen voor de komende jaren.
Renco:En als we dan kijken naar die toezichthouders, die willen dat je elk jaar je verantwoord over een set aan maatregelen, beveiligingsmaatregelen en eerder in het gesprek noemde je al even dat onder andere door de komst van de NIS 2, in Nederland wordt dat de cyberbeveiligingswet, komen er extra eisen op ons af eigenlijk, ook op ons als gemeente, onze opdrachtgevers en dat is mede aanleiding geweest om dat normenkader, de bio, te herzien naar een versie 20 en daar staan al wat stukjes van online en daar wordt inderdaad gezegd dat managementsysteem wat in de huidige bio wel ergens genoemd staat, dat gaat een veel centralere rol krijgen. Dus hoe stuur je nou organisatiebreed in een cyclus op informatiebeveiliging en je is dan niet de CISO, nee, de verantwoordelijk management of het bestuur. Hoe stuurt die op informatiebeveiliging? Nou als je dan kijkt naar hoe toezichthouders dus wensen dat overheden zich verantwoorden, denk jij dan dat met de komst van de Bio 20, waar dus dat managementsysteem veel nadrukkelijker in zit, denk je dan ook dat de manier van verantwoording daarmee zal gaan veranderen?
Pieter:Ja, over een langere periode wel, maar ook dat moeten we weer leren. Je kan achterom kijken hoe dat met Ensia is gegaan, met die resolutie informatiebeveiliging in 2013. Ik vind het een hele goede zet en ik denk dat dat het proces gaat helpen en ons vakgebied volwassener gaat maken.
Renco:Maar hoe zou het er dan concreet kunnen uitzien? Dat je dan echt zoals een leverancier die laat zich 27001 certificeren krijgt daar een certificaat verklaring van toepasselijkheid en als een gemeente een leverancier contracteert of een aanbesteding uitschrijft, dan worden vaak dat soort stukken ook opgevraagd hé van laat maar zien dat je boel op orde hebt en dat kan je onder meer aantonen door bijvoorbeeld certificering of andere vormen van assurance. Zou dat dan ook andersom zo gaan gelden voor ons? Dus dat een toezichthouder bijvoorbeeld zegt, beste overheidslaag, toon maar aan met een management, een gecertificeerd managementsysteem met een verklaring van toepasselijkheid dat u het proces van informatiebeveiliging ingericht hebt en dat u dus de risico's die daarmee samenhangen op dat vak, dat u die beheerst. Beheerst, ja.
Renco:Denk je dat we die kant opgaan of zouden die toezichthouders liever gewoon hard die maatregelen blijven uitvragen, zoals ze dat nu eigenlijk doen bij gebrek ook aan alternatieven?
Pieter:De voorstelling die je doet, die zin mij wel in die zin. Het zou een op zich voor de hand liggende beweging zijn, maar ik denk niet dat dat op hele korte termijn zo gaat gebeuren.
Renco:Niet binnen nu en 5 jaar?
Pieter:Nee, nee, absoluut niet. Nee, dat gaat Omdat ik denk dat we daar zelf ook niet heel erg gelukkig van worden als dat binnen 5 jaar het geval moet zijn.
Renco:Het is nogal een verandering.
Pieter:Want dat betekent nogal wat. In mijn beleving zou je dan ook veel meer aan de regiekant moet gaan staan. Dus na de inkoop niet alleen dan de zaken uitvragen, maar gedurende de afname van de dienstverlening of de producten ook blijven toetsen. Dan moet die werking en dergelijke ook veel meer afgedekt zijn dan dat het nu is.
Renco:Daar hebben we natuurlijk wel al een soort casus van. We hebben natuurlijk DigiD koppelingen in den lande. Iedereen die een DigiD koppeling heeft, die moet zich verantwoorden aan Logius en Logius heeft nu in gemeenteland op een aantal normen werking toegevoegd. Dus 5 normen als ik het goed zeg, moeten gemeenten niet alleen opzet en bestaan, maar ook werking aantonen. Mensen die dit luisteren zullen hopelijk bekend zijn met die termen opzet en bestaan en werking.
Pieter:Vast wel. De
Renco:korte versie is dat werking gewoon het moeilijkst aan te tonen is, als in daar moet je het meest voor doen om die lat te kunnen halen. Daar is heel lang over gepraat, werking komt eraan, werking komt eraan. Ik heb dat jaren gehoord en het heeft dus ook nog letterlijk jaren geduurd voordat het daadwerkelijk zo ver was en nu dan ook nog eens op een beperkt aantal DIGID normen. Dus als dat een beetje een graadmeter is van het verandertempo voor wat betreft toezicht houden, Dan ben ik met je eens dat 5 jaar. Nee, dat
Pieter:gaan we niet doen.
Renco:Dat wordt een lang verhaal.
Pieter:Nee, ik denk niet dat we dat als doel moeten hebben. Wat ik wel mooi vind is dat we langzaam maar zeker meer richting die werking gaan. Dan hoef je niet 1 keer per jaar door de hoepel te springen, maar je doet het gedurende het jaar. Zorg je ervoor dat je het gewoon op orde hebt. En dan hoef je ook helemaal nooit te vrezen voor een afwijking of iets dergelijks, want dan heb je het proces is dan op orde en dan beheers je het en ik denk dat dat uiteindelijk het doel is wat je na zou moeten streven.
Pieter:En dat is beheersing van risico's en informatiebeveiliging.
Renco:Dan maak je de cirkel wat mij betreft ook weer rond naar hoe krijg je nou dat het bestuur mede. Dat is als je wegblijft bij alleen maar die compliance. We moeten voldoen aan wet of regelgeving. Als je een college programma hebt waar dit ergens benoemd staat, dan kan je ook zeggen hé, maar wacht eens even, we doen dit niet alleen maar Natuurlijk hebben we een soort ondergrens die we moeten kunnen waarmaken met elkaar, maar we doen dit ook omdat we dit belangrijk vinden. Van onszelf doen we dit ook al.
Renco:Zeker. En risico's lopen we en die moeten we in beeld hebben en die moeten we beheersen en dat doen we door maatregelen te nemen. Als je langs die as het gesprek kan voeren, dan is die compliance een soort bijvangst, die dek je er ook mee af.
Pieter:Maar dan is het intrinsieke motivatie om die risico's te willen beheersen en je kwaliteit van je dienstverlening daardoor beter te maken. Dus dan ben je je dienstverlening en je product aan het verrijken. Ik heb wel eens het voorbeeld van de productiestaat van auto's. 40-vijftig jaar geleden hadden er nog niet eens gordels en zo en nu als jij als klant een auto afneemt en je komt daar bij die dealer, een bos bloemen en een prachtige mooie rode loper wordt uitgerold en je krijgt de sleutels en je doet die deur open en je schrikt, want er zitten geen gordels in. Dan ga je wel even een gesprekje aan met je leverancier van de auto.
Pieter:Zo vanzelfsprekend als dat autogordels in de productiestraat voor een auto zijn, zo zou informatiebeveiliging eigenlijk ook moeten zijn voor de processen die je als organisatie optuigt of de producten die levert.
Renco:Informatiesystemen die je inkoopt.
Pieter:Ja zeker. En niet alleen tijdens de productie, maar gedurende de lifecycle dus ook gewoon bijhoudt.
Renco:Ja, dat is wat je net ook bedoelde met die werking. Dat je gewoon beheerst en niet alleen maar vooral in beweging komt op het moment dat we een audit-hoepel hebben. Dat je gewoon zegt nee, dit hoort gewoon bij mijn werk en ik leg dat ook doorlopend vast.
Pieter:Misschien
Renco:nog een beetje toekomstmuziek, maar ik denk dat we er hoe dan ook heen gaan. De vraag is meer in welk tempo En dat gaan wij in deze podcast niet, gaan wij ons niet
Pieter:Nee, maar ik denk dat die nieuwe ontwikkelingen die we hebben en het veranderende dreiging landschap zeg maar, dat dat wel zorgt voor versnelling in de beweging.
Renco:Ja, ja. Nou en intussen blijven wij en met vele andere in het land de lokale overheden natuurlijk, hoe zou je dat zeggen, campagne voeren. We blijven dit natuurlijk onder de aandacht brengen in de hoop dat het hoge management en het bestuur van ons aanneemt dat ze hier op moeten sturen, steeds meer op moeten sturen. Ik vond het in ieder geval leuk om daar eens over van gedachten te wisselen. Insgelijks vanuit de invalshoek verantwoording cq NCA.
Renco:Heel erg bedankt. Naast een dank je wel aan Pieter ook een dank je wel aan jou als luisteraar. Leuk dat je weer luisterde deze aflevering en misschien wel 1 of meerdere of zelfs alle andere afleveringen van key talking welgeteld 16 van een half uur. Dus ja, er is geen excuus om niet te luisteren. Je zit af en toe in de auto, in het openbaar vervoer, je bent bezig met de afwas.
Renco:Dat combineert allemaal uit uitstekend met KET talking. Dus dat gezegd hebbende hoop ik dat je ook na de zomer weer zult aansluiten bij seizoen 3 van KET talking. Tot dan.
Makers en gasten
