KPN Security en VNG Realisatie organiseerden op het Overheid 360-event van 9 oktober een roundtable over GGI-Veilig. Het doel: uitwisselen van kennis en ervaringen over dit actuele onderwerp. Dat het topic leeft, is duidelijk, getuige het grote aantal deelnemers aan de discussie. Rob Bouman, Cyber Security Lead GGI-Veilig bij KPN Security, leidde het gesprek.
Namens VNG Realisatie zit Jeroen Schuuring aan tafel. Hij is mede-coördinator van het GGI-Veilig-project. GGI-Veilig, een initiatief van VNG Realisatie, bevat raamovereenkomsten met leveranciers voor de inkoop van secyurityoplossingen en -diensten. Gemeenten kunnen uit die portfolio’s zelf bepalen wat ze nodig hebben.
Basis voor BIO
Volgens Schuuring biedt GGI-Veilig een goede basis om aan de Baseline Informatiebeveiliging Overheid (BIO)-richtlijnen gehoor te geven. De BIO (Baseline Informatiebeveiliging Overheid) biedt overheden een richtsnoer voor de beveiliging van hun IT-omgeving en data-infrastructuur. Wel voegt hij daar direct een waarschuwing aan toe. “Het installeren van oplossingen maakt je nog niet meteen ‘BIO-proof’. Het goed embedden van de maatregelen en processen in je organisatie is net zo belangrijk.”
Bouman vult hem aan: “Vanuit KPN leveren we een soort BIO-gapanalyse. Met die analyse krijg je een beeld van de huidige stand van zaken en de verbeterpunten wat betreft BIO-compliance. Verder werkt de VNG momenteel aan een handreiking waarin ze uitgebreid ingaan op de noodzakelijke technische en bestuurlijke maatregelen. Die handreiking is nu nog in conceptfase, maar komt binnenkort beschikbaar via de VNG-website.”
Whitepaper: 'BIO - naar een doordacht securitybeleid'
Alles weten over Baseline Informatiebeveiliging Overheid (BIO) die overheden vanaf 1 januari 2020 in gebruik moeten nemen?
DownloadCloud
Die handreiking lijkt welkom. Alle aanwezigen zijn zich bewust van GGI-Veilig, maar de details, consequenties en te nemen stappen zijn niet altijd duidelijk. Wat bijvoorbeeld te doen met clouddiensten? “Aan de ene kant moeten we de grip op onze data verstevigen, maar aan de andere kant lijkt de opmars van allerlei public-clouddiensten juist voor het tegenovergestelde te zorgen”, merkt een deelnemer op. “Vloeit de grip op informatie niet weg door cloudgebruik?”
Volgens Schuuring hoeft dat niet zo te zijn. “Het is wel belangrijk dat gemeenten eisen dat de cloudleverancier de juiste loggegevens aanlevert. Zo houd je zicht op wat er precies gebeurt met de data. Ook moet de gemeente de nodige securityeisen stellen. Bouman vult hem aan: “Laat ook vooral een securityleverancier meekijken of je de juiste eisen stelt in aanbestedingen. Op die manier voorkom je onnodige risico’s.”
Schaarse CISO’s
Een andere uitdaging is het beleidsmatige aspect. De raamovereenkomsten vanuit GGI-Veilig bieden houvast bij de inkoop van security, maar het is nog een uitdaging om de oplossingen ook goed in de gemeentelijke organisatie te ‘embedden’. Dat is typisch een taak voor de CISO, maar die is niet gemakkelijk gevonden.
“Veel gemeenten hebben grote moeite om een CISO te vinden en vast te houden”, aldus een deelnemer. Die constatering krijgt bijval: “Deze personen zijn niet alleen schaars, maar bovendien zijn gemeenten gebonden aan strikte budgetten. Ze kunnen niet altijd een marktconform salaris bieden. Met als gevolg dat medewerkers het ‘erbij’ doen. In sommige gevallen is de FG’er en de CISO zelfs dezelfde persoon. Dat kan natuurlijk nooit de bedoeling zijn. Door functies te combineren komt de onafhankelijkheid van de FG onder druk te staan.”
Al snel ontstaat consensus: deze uitdaging vraagt een gezamenlijke oplossing. Een eerste idee wordt al geopperd: een poule met leveranciers met wie de VNG mantelafspraken maakt voor het inhuren van een CISO. Het overwegen waard, merkt Schuuring op. “We moeten meer out-of-the-box gaan denken, dat is zeker.”