Dit keer vertelt Michael Schoevaart, projectleider informatieveiligheid bij risicopraktijk over de Baseline voor Informatiebeveiliging Waterschappen (BIWA).
Veel van onze Audit & Adviory dienstverlening gaat over het invoeren of controleren van standaarden zoals ISO27001 of afgeleiden daarvan zoals de NEN7510 voor de zorg en voor waterschappen de Baseline Informatiebeveiliging Waterschappen (BIWA).
“Ik kan nog niet helemaal overzien wat de impact zal zijn, maar laten we gewoon beginnen” sprak de manager. De Baseline voor Informatiebeveiliging Waterschappen (BIWA) is de nieuwe informatiebeveiligingsstandaard voor waterschappen. Dit roept veel vragen op. Hoever zijn we al? Waar te beginnen? Hoe krijgen ik mijn mensen mee?
De waterschappen Aa en Maas, De Dommel en Brabantse Delta huurden een expert van ITSX in om de implementatie te begeleiden. In dit artikel vertelt Ivan Mercalina van ITSX, vanuit zijn toegewezen rol als Chief Information Security Officer (CISO) bij de drie waterschappen, hoe dit in zijn werk is gegaan en wat de resultaten tot nu toe zijn.
Strategisch kader
De Nederlandse waterschappen zijn reeds honderden jaren expert in het beheersen van risico’s en calamiteiten als het op water aankomt. De steeds grotere afhankelijkheid van informatiesystemen en informatiestromen brengt extra risico’s met zich mee. Betrouwbare, beschikbare en correcte informatie is nu eenmaal cruciaal voor de primaire processen en bedrijfsvoering van alle waterschappen. De scope van de BIWA omvat de bedrijfsfuncties, ondersteunende middelen en informatie van het waterschap in de meest brede zin van het woord. De BIWA is van toepassing op alle ruimten van een waterschapshuis en aanverwante gebouwen. Alsmede op apparatuur die door waterschapsambtenaren gebruikt worden bij de uitoefening van hun taak op diverse locaties. De Baseline heeft betrekking op alle informatie die verwerkt wordt. Ook als informatiesystemen niet fysiek binnen het waterschap draaien of taken zijn uitbesteed aan derden is deze Baseline van toepassing.
Kwartier maken
Opzetten van een beveiligingsstructuur Als eerste wordt er een CISO aangesteld. De CISO rapporteert aan de directie. Hij bevordert en adviseert gevraagd en ongevraagd over de beveiliging van het waterschap, verzorgt rapportages over de status, controleert of met betrekking tot de beveiliging van het waterschap de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de informatiebeveiliging van het waterschap.
Verantwoord en bewust gedrag van mensen is cruciaal voor een goede informatiebeveiliging
Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies. Deze vertegenwoordigers worden Operational Security Officers (OSO’s) genoemd en vallen onder de CISO. De OSO’s voeren de classificatie uit van data binnen hun afdeling. In samenwerking met de CISO voeren de OSO’s risicoanalyses uit op de data en de processen. Indien het risico hoger uitvalt dan de risk appetite van de waterschap, wordt er een verbeterprogramma gestart. Bij het opzetten van een verbeterprogramma wordt rekening gehouden met de borging van de oplossing. De verbeterprogramma’s worden begeleid door de CISO.
Begeleiden van de BIWA-implementatie
De BIWA-implementatie wordt niet gezien als een project met begin en einde, maar als een continu proces. Voor een correcte implementatie worden onder meer de volgende processen ingeregeld:
• Identificatie en classificatie van alle aanwezige data.
• Risicoanalyse voor het identificeren en beheren van risico’s.
• Verbeterprogramma’s voor het verkleinen van te grote risico’s.
• P&C-cyclus met jaarlijkse evaluatie.
Het is de rol van de CISO om deze processen in te richten volgens erkende standaarden. De OSO’s hebben een training gekregen in de omgang met deze processen en kunnen de uitvoer van de verbeterprogramma’s eventueel delegeren naar anderen. De eerste verbeterprogramma’s op basis van de geïdentificeerde ‘quick wins’ zijn reeds gestart.
Verhogen van de beveiligingsbewustwording onder de medewerkers
Verantwoord en bewust gedrag van mensen is cruciaal voor een goede informatiebeveiliging. Het is de bedoeling dat alle werknemers, ingehuurd personeel en externe gebruikers zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te ondersteunen en het risico van een menselijke fout te verminderen. Om dit te bewerkstelligen wordt een maatwerk bewustwordingscampagne opgezet.
De drie waterschappen zijn in korte tijd al ver gekomen. Dit komt vooral door hun pragmatische inslag, zoals het citaat van de manager aan het begin van dit stuk al aangeeft. De beveiligingsstructuur staat en het beveiligingsbeleid is bijna overal door de directie geaccepteerd. De meeste OSO’s hebben al een training gehad en zijn nu zelf in staat om hun data te classificeren, risico’s te onderkennen en verbeterprogramma’s te starten. Hiermee zijn belangrijke stappen gezet naar het verder optimaliseren van de primaire activiteiten van de waterschappen waarmee de kwaliteit van dienstverlening kan worden geborgd.
eerste waterschap in Nederland hebben de samenwerkende waterschappen Brabantse Delta, Aa en Maas en de Dommel de In 2016 hebben we hard gewerkt aan de tot standhouding van gemeenschappelijk beleid voor informatieveiligheid bij de waterschappen Brabantse Delta, Aa en Maas en de Dommel in aansluiting op de landelijke normen. Achter de schermen is hard gewerkt om systemen en gebouwen te beveiligen. Het meeste daarvan merken we niet. Voorbeelden van zichtbare acties zijn: het op slot gaan van de deuren en aanmelden van bezoekers op het Hof van Bouvigne. Verder hebben we twee professionele (ethische) hackers gevraagd om ons te hacken. Daarbij konden ze in onze systemen inbreken en het waterpeil op afstand besturen. Die kwetsbaarheden zijn hersteld dankzij ICT en onze systemen zijn veilig. Voor nu althans! Om ook in de toekomst veilig te blijven zijn investeringen in organisatie en menskracht hard nodig systemen en gebouw te beveiligen. Het gaat vooral om of wij als medewerkers bewust en zorgvuldig omgaan met informatie. Wist je dat waterschap Brabantse Delta dagelijks gemiddeld 450 cybercrimemails tegenhoudt en zo’n 75 malafide websites blokkeert? En per week gemiddeld vijf collega’s door (onbewust!) op links in spammail te klikken onze digitale bereikbaarheid en informatieveiligheid in gevaar hebben gebracht?
Om ons te helpen zorgvuldig om te gaan met onze informatie zijn tien gouden regels en tips opgesteld.
Meer informatie en de gouden tip tegen ransomware staan in het nieuwsbericht van november ‘Van seks tot valse rekening: zit jouw digitale voordeur op slot?’
Informatieveiligheid: ben alert online