Ruud Rombout IT consultant security

BIG (Baseline Informatiebeveiliging Gemeenten) implementeren? Zie het als kans!

De BIG wordt door velen gezien als een keurslijf. Het goede nieuws is echter: de BIG-regels laten best vrijheden toe.

Wie digitale dienstverlening zegt, zegt informatiebeveiliging. Om niet iedere gemeente zijn eigen wiel op dit gebied te laten uitvinden, is de Baseline Informatiebeveiliging Nederlandse Gemeentes (BIG) in het leven geroepen. Dit is een set van ruim 300 technische en organisatorische richtlijnen waar de IT security van gemeentes aan moet voldoen. Veel CISO’s bij gemeentes zien de BIG als verplicht nummer, en bovendien als complex en veel werk. Maar het is wel degelijk mogelijk om de BIG aan te grijpen als kans om innovatie te versnellen. Hoe doe je dat? En hoe maak je dat voor je eigen gemeente behapbaar?

Laat privacy en security geen rem zijn
Gemeentes digitaliseren een steeds groter deel van hun dienstverlening. Dat betekent dat ze meer oog moeten hebben voor IT security, een thema dat nu in veel gemeentes nog een ondergeschoven kindje is. Dat leidt er aan de ene kant toe dat ambtenaren omwille van hun eigen gemak securityregels omzeilen. Terwijl aan de andere kant bepaalde diensten niet of vertraagd worden ontwikkeld omdat ze moeite hebben te voldoen aan de privacy- en securityrichtlijnen. CISO’s realiseren zich onvoldoende dat ze bij de introductie van nieuwe digitale producten en diensten tijd kunnen besparen als ze de BIG-regels implementeren. Alle reden dus om er juist nu mee aan de slag te gaan.

Normen bieden veel ruimte
De BIG wordt door velen gezien als een keurslijf. Vergelijkbaar met de Europese Aanbestedingswet. Ik snap dat gevoel, dat ontstaat nu eenmaal als je aan zoveel regels moet voldoen. Het goede nieuws is echter: de BIG-regels laten best vrijheden toe. Er is ruimte om dingen in te regelen op een manier die past bij jouw gemeente en bij de (digitale) diensten die jij aanbiedt. Bovendien heb je veel van de technische maatregelen die de BIG beschrijft al getroffen, alleen is dit niet vanuit de BIG geïnitieerd en dus zijn de maatregelen waarschijnlijk niet vastgelegd in beleid en bijbehorende procedures.

Vertaal de normen in beleid en procedures
Die vertaalslag van normen naar beleid lijkt ingewikkelder dan die is. Het is vooral een kwestie van gestructureerd te werk gaan. Breng in kaart waar jouw gemeente staat op de ruim 100 IT-gerelateerde punten die de BIG beschrijft. Zo ontstaat een gap-analyse die aantoont hoe jouw startsituatie is en waar de ambitie ligt. Op basis daarvan kun je de prioriteiten bepalen en stap voor stap in volwassenheid groeien. De gap-analyse is meteen een hele mooie basis voor je IT-securitybeleid en de daarbij horende procedures. Het is dan een relatief kleine stap om de in de procedures beschreven taken te beleggen en periodieke audits te organiseren.

Vindt niet zelf het implementatiewiel uit
De BIG is ontwikkeld om te voorkomen dat iedere gemeente zijn eigen informatiebeveiligingsnormen gaat bepalen. Maar daarmee voorkom je nog niet dat ze allemaal zelf het wiel uitvinden als het gaat om beleid, procedures en de implementatie daarvan. Zoals hierboven beschreven is het opstellen van een bij jouw gemeente passend informatiebeveiligingsbeleid geen rocket science, maar toch helpt het natuurlijk wel als je ook op dat gebied kunt profiteren van werk dat anderen al eens hebben gedaan. Daarom hebben wij een gestandaardiseerde dienstverlening ontwikkeld die voortbouwt op onze ervaringen met de BIG bij andere gemeentes, maar die tegelijkertijd genoeg vrijheid laat om dingen gemeente specifiek in te richten. Want de behoeften liggen overal anders.

Verhoog je innovatiesnelheid met de BIG
Een behoefte die generiek is, is de wens om verdergaand te digitaliseren. Heeft jouw gemeente ambities op dat vlak? Wil je innoveren zonder nieuwe risico’s te introduceren op het vlak van IT security en privacy? Zie de BIG dan als kans. Wij helpen je er graag bij.

Ruud Rombout, security consultant bij Ictivity