BIWA: De nieuwe beveiligingsstandaard voor waterschappen

Update 25 – ITSX –Augustus 2015

Dit keer in de ITSX-rubriek vertelt Ivan Mercalina, senior IT security consultant bij ITSX, over de Baseline voor Informatiebeveiliging Waterschappen (BIWA).

“Ik kan nog niet helemaal overzien wat de impact zal zijn, maar laten we gewoon beginnen” sprak de manager. De Baseline voor Informatiebeveiliging Waterschappen (BIWA) is de nieuwe informatiebeveiligingsstandaard voor waterschappen. Dit roept veel vragen op. Hoever zijn we al? Waar te beginnen? Hoe krijgen ik mijn mensen mee?

De waterschappen Aa en Maas, De Dommel en Brabantse Delta huurden een expert van ITSX in om de implementatie te begeleiden. In dit artikel vertelt Ivan Mercalina van ITSX, vanuit zijn toegewezen rol als Chief Information Security Officer (CISO) bij de drie waterschappen, hoe dit in zijn werk is gegaan en wat de resultaten tot nu toe zijn.

Strategisch kader
De Nederlandse waterschappen zijn reeds honderden jaren expert in het beheersen van risico’s en calamiteiten als het op water aankomt. De steeds grotere afhankelijkheid van informatiesystemen en informatiestromen brengt extra risico’s met zich mee. Betrouwbare, beschikbare en correcte informatie is nu eenmaal cruciaal voor de primaire processen en bedrijfsvoering van alle waterschappen. De scope van de BIWA omvat de bedrijfsfuncties, ondersteunende middelen en informatie van het waterschap in de meest brede zin van het woord. De BIWA is van toepassing op alle ruimten van een waterschapshuis en aanverwante gebouwen. Alsmede op apparatuur die door waterschapsambtenaren gebruikt worden bij de uitoefening van hun taak op diverse locaties. De Baseline heeft betrekking op alle informatie die verwerkt wordt. Ook als informatiesystemen niet fysiek binnen het waterschap draaien of taken zijn uitbesteed aan derden is deze Baseline van toepassing.

Kwartier maken
Opzetten van een beveiligingsstructuur Als eerste wordt er een CISO aangesteld. De CISO rapporteert aan de directie. Hij bevordert en adviseert gevraagd en ongevraagd over de beveiliging van het waterschap, verzorgt rapportages over de status, controleert of met betrekking tot de beveiliging van het waterschap de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de informatiebeveiliging van het waterschap.

Verantwoord en bewust gedrag van mensen is cruciaal voor een goede informatiebeveiliging

Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies. Deze vertegenwoordigers worden Operational Security Officers (OSO’s) genoemd en vallen onder de CISO. De OSO’s voeren de classificatie uit van data binnen hun afdeling. In samenwerking met de CISO voeren de OSO’s risicoanalyses uit op de data en de processen. Indien het risico hoger uitvalt dan de risk appetite van de waterschap, wordt er een verbeterprogramma gestart. Bij het opzetten van een verbeterprogramma wordt rekening gehouden met de borging van de oplossing. De verbeterprogramma’s worden begeleid door de CISO.

Begeleiden van de BIWA-implementatie
De BIWA-implementatie wordt niet gezien als een project met begin en einde, maar als een continu proces. Voor een correcte implementatie worden onder meer de volgende processen ingeregeld:
• Identificatie en classificatie van alle aanwezige data.
• Risicoanalyse voor het identificeren en beheren van risico’s.
• Verbeterprogramma’s voor het verkleinen van te grote risico’s.
• P&C-cyclus met jaarlijkse evaluatie.

Het is de rol van de CISO om deze processen in te richten volgens erkende standaarden. De OSO’s hebben een training gekregen in de omgang met deze processen en kunnen de uitvoer van de verbeterprogramma’s eventueel delegeren naar anderen. De eerste verbeterprogramma’s op basis van de geïdentificeerde ‘quick wins’ zijn reeds gestart.

Verhogen van de beveiligingsbewustwording onder de medewerkers
Verantwoord en bewust gedrag van mensen is cruciaal voor een goede informatiebeveiliging. Het is de bedoeling dat alle werknemers, ingehuurd personeel en externe gebruikers zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te ondersteunen en het risico van een menselijke fout te verminderen. Om dit te bewerkstelligen wordt een maatwerk bewustwordingscampagne opgezet.

De drie waterschappen zijn in korte tijd al ver gekomen. Dit komt vooral door hun pragmatische inslag, zoals het citaat van de manager aan het begin van dit stuk al aangeeft. De beveiligingsstructuur staat en het beveiligingsbeleid is bijna overal door de directie geaccepteerd. De meeste OSO’s hebben al een training gehad en zijn nu zelf in staat om hun data te classificeren, risico’s te onderkennen en verbeterprogramma’s te starten. Hiermee zijn belangrijke stappen gezet naar het verder optimaliseren van de primaire activiteiten van de waterschappen waarmee de kwaliteit van dienstverlening kan worden geborgd.

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa