Terugblik op Leercommunity Informatieveiligheid, bijeenkomst 6 maart

De derde bijeenkomst van de Leercommunity Informatieveiligheid vond plaats in de middag van donderdag 6 maart jl. in de Raadzaal van het Raadhuis in Hilversum, een van de deelnemende gemeenten van de Leercommunity. Deze derde bijeenkomst van de leercommunity stond in het teken van risicomanagement, risicoanalyse en kritische processen op informatieveiligheidsvlak.

Risicoanalyse

Steeds vaker is informatie als een van de kritieke ingrediënten voor succesvolle bedrijfsvoering te beschouwen. Het ontberen van informatie, verminking of uitlekken van informatie aan onbevoegden, kan ernstige negatieve effecten hebben op bijna alle zakelijke processen. Met een risicoanalyse wordt aan de hand van een aantal vragenlijsten en een methode bepaald wat het belang is van de processen. Op basis van de resultaten wordt duidelijk of de standaard beveiliging vanuit de Baseline Informatieveiligheid Nederlandse Gemeenten (BIG) voldoende is, of dat een aanvullende beveiliging nodig is. Tijdens deze bijeenkomst werden de verschillende aspecten van een risicoanalyse behandeld.

Theorie

Dagvoorzitter Harro Spanninga, accountmanager bij de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) opende het programma en blikte met de deelnemers terug op de vorige bijeenkomst. Ook ging Spanninga in op vragen naar aanleiding van de opdrachten. Daarna was het woord aan Jule Hintzbergen, Adviseur Informatiebeveiliging van de IBD. In zijn presentatie ging Hintzbergen dieper in op het thema risicomanagement en gaf hij antwoord op vragen als ‘Wat houdt risicomanagement nu precies in?’, ‘Wat is het belang van risicomanagement’ en ‘Wat is de relatie met de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)?’. Een van de tips die Hintzbergen aan de deelnemers meegaf was om altijd uit te gaan van een 0-situatie en voor een vaste methode te kiezen en deze te handhaven. “Kies vervolgens één methodiek en verander die niet. Het gaat immers om een herhaalbare en vergelijkbare afweging zodat er geen verschillende uitkomsten ontstaan”, aldus Hintzbergen.

Procesworkshop

Na alle theoretische toelichtingen was er in het programma ook aandacht voor de praktijk. Peter Keur, senior beleidsmedewerker leren en verankeren bij de Taskforce BID, gaf een korte toelichting op de procesworkshop. Tijdens deze workshop leert men aan de hand van verschillende oefeningen hoe een belangrijk proces bedreigd kan worden en hoe men dit proces kan beschermen. Ook besteedde Keur aandacht aan het sturen op het aanscherpen van processen. Naar aanleiding van de workshop spraken verschillende deelnemers hun behoefte uit aan een algemeen overzicht van belangrijke processen binnen de gemeente en de behoefte aan uniformiteit in de boordeling en aanpak. De deelnemers waren erg enthousiast over de workshop. Volgens een aantal deelnemers zou de workshop ook goed in de eigen organisatie toegepast kunnen worden, zodat je vanuit verschillende invalshoeken de risico’s van processen analyseert en scherp stelt. “Het is bovendien een goede methode voor de bewustwording”, sprak een van de deelnemers.

Gemeente Amsterdam

Ter afsluiting van het programma gaven Andre van der Valk, CISO bij de gemeente Amsterdam en Wim Baars, beveiliger cluster ruimtelijk bij de gemeente Amsterdam, een presentatie over hoe de gemeente Amsterdam de risicoanalyse toepast. De risicoanalyse van Amsterdam is gebaseerd op de Afhankelijkheden & Kwetsbaarheden (A&K) analyse en sluit daarmee ook aan op de BIG. Aan de hand van een verkorte analyse worden afhankelijkheden van de processen van een informatiesysteem vastgesteld. Wanneer daaruit blijkt dat bepaalde processen verhoogd risico lopen, volgt een uitgebreide analyse. Voor de overige risico’s is de BIG afdoende. Uit de zaal was naar aanleiding van de presentatie vooral ook interesse over hoe zij bestuurders, directeuren en management hebben weten te overtuigen. Volgens Van der Valk en Baars begint dit bij het benoemen van de urgentie en moet je van daaruit verder werken.

Volgende bijeenkomst

De volgende bijeenkomst van de Leercommunity staat gepland op donderdag 22 mei a.s. Het thema van deze bijeenkomst is dan ‘Verankering van informatieveiligheid in de organisatie’.

Meer informatie?

Mocht u naar aanleiding van dit bericht nog vragen hebben? Dan beantwoordt de IBD uw vragen graag via info@IBDgemeenten.nl of 070 373 8011.