Only a couple of months before my new book - CLICK HERE to be on the list to receive it first!

More!!
About Contact
Dropdown
About Programs Products Cyber & Leader Blogs Contact

The Money Blog

Lorem ipsum dolor sit amet, metus at rhoncus dapibus, habitasse vitae cubilia odio sed. Mauris pellentesque eget lorem malesuada wisi nec, nullam mus. Mauris vel mauris. Orci fusce ipsum faucibus scelerisque.

Verbeter de informatiebeveiliging – Mijn ervaringen bij een middelgrote gemeente

gemeente informatiebeveiliging nl verbeteren Sep 22, 2015

Het lijkt zo simpel om ‘de BIG’ in te voeren. BIG staat voor Baseline Informatiebeveiliging Gemeenten. Dit is een door de Verenging van Nederlandse Gemeente (VNG) opgesteld framework die, via een rijksoverheidsstandaard (BIR), afgeleid is van de standaardnorm voor informatiebeveiliging ISO27001 met de maatregelen uit ISO27002.

Gap tussen beleid en operatie

Uit een eerste inventarisatie blijkt dat de gemeente al veel dingen goed doet. Alleen dit is vaak onbewust, en niet direct te relateren aan beleid of direct aantoonbaar. Het lijkt vooral gedreven te zijn door de goede beheerders die vanuit de intrinsieke wil dingen zo goed mogelijk willen regelen ook informatiebeveiliging op een goed niveau hebben ingericht. Echter, dit is niet voldoende. Het is daarmee namelijk niet inzichtelijk in welke mate voldaan wordt aan de BIG en het gestelde beleid. Er zit dus een gap tussen het gemaakte beleid en de operatie.

Agile aanpak

Vanaf het begin af aan hebben we een ‘scrum-achtige’ aanpak gekozen. Er is een productowner en ik treed op als scrum-master. We hebben een dagstart (die ene dag dat we met het gehele team bij elkaar zitten) en sprints van 4 weken. Een scrumfacilitator neemt bij de demo en retrospective deel als procesfacilitator en laat duidelijk het team het proces evalueren.

Visie delen

Inhoudelijk stuur ik samen met een collega het team door veel groepsdiscussies te voeren en delen daarbij onze visie. We nemen ze mee in ons denkwereld inclusief ‘risico-denken’ hoe wij de inrichting van bepaalde maatregelen zien. Ook laten we medewerkers elders vanuit de organisatie vertellen over hun werk en hoe dat informatiebeveiliging of kwaliteitscontrole raakt.

Scope breder dan ICT alleen

En nog even ter volledigheid. Informatiebeveiliging, en daarmee ook de BIG, bestaat natuurlijk uit veel meer dan alleen ICT. Naast de werkzaamheden die we met het team oppakken spreek ik ook met de andere afdelingen; facilitaire zaken HR, Inkoop en de rest van het concern (business).
Het meest belangrijke is het inzicht krijgen in de genomen maatregelen en aanwezige restrisico’s. De grootste risico’s zijn tenslotte die je niet kent!

Consultant Mark Tissink helpt organisaties om informatiebeveiliging écht op orde te krijgen. Hij heeft als IT-auditor gewerkt bij KPMG en de Rabobank. Als docent is hij betrokken bij de opleiding Management van Informatiebeveiliging en de cursus Introductie informatiebeveiliging voor gemeenten

Categories

All Categories aansluiting agile audit basics beveiligen bewustzijn controle diepgang digid gemeente governance informatiebeveiliging informatieclassificatie it control medewerkers nl normen patching privacy tips verbeteren vertrouwen waarde
THE PROSPERITY NEWSLETTER

Want Helpful Finance Tips Every Week?

Lorem ipsum dolor sit amet, metus at rhoncus dapibus, habitasse vitae cubilia.