Informatiebeveiliging: hoge prioriteit voor het CBS
Razendsnelle veranderingen
Bert Kroese is plaatsvervangend Directeur-Generaal van het CBS en heeft informatiebeveiliging in zijn portefeuille. Hij schetst hoe de ontwikkelingen in de maatschappij het denken over beveiliging bij het CBS beïnvloeden. ‘Het IT-landschap verandert razendsnel en we zijn verplicht hierin mee te bewegen. Mobiliteit, de maatschappij die altijd online is en mogelijkheden om gegevens in de cloud op te slaan zijn voorbeelden van ontwikkelingen waar ook het CBS op in speelt. Daarnaast is de transitie naar Agile (methode voor projectmanagement, red.) en DevOps (het combineren en stroomlijnen van softwareontwikkeling en het bijkomende beheer, red.) van invloed op de manier waarop wij IT beheren. Om deze ontwikkelingen ten volle te kunnen benutten is een andere manier van denken over beveiliging nodig.’ Het huidige beveiligingsmodel van het CBS is volgens Kroese een zogenaamd kasteelmodel. ‘Je kunt het vergelijken met de brug over de slotgracht. Super veilig, maar het heeft ook zijn beperkingen. Daarom willen we overgaan naar een zogenaamd ‘layered security model’. Vergelijk het met een vliegveld of een haven. Die zijn aan veel kanten open en toch veilig.’
Kasteelmodel
Sinds mei van dit jaar is Rolf Kuijpers Chief Information Security Officer (CISO) bij het CBS en in die functie verantwoordelijk voor de informatiebeveiliging van het statistiekbureau. Eerder werkte hij meer dan 20 jaar in soortgelijke functies, onder andere bij Philips en ABN AMRO. Volgens Kuijpers heeft het CBS zijn IT-beveiliging goed op orde. ‘Het kasteelmodel is op zich een heel goed model zolang je geen grote hoeveelheden data deelt met de buitenwereld en zolang de gedeelde data langs goed gedefinieerde kanalen lopen, zoals email. De wereld verandert echter snel en dat betekent dat er steeds meer data gedeeld worden, bijvoorbeeld door Europese statistiekbureaus. Daarom gaan we op termijn naar een nieuw model toe.’
Externe toets
Het CBS voldoet op het gebied van informatiebeveiliging zowel nationaal als internationaal aan transparante en aantoonbare normen. Het laat zich op verschillende terreinen regelmatig door externe onafhankelijke partijen valideren en certificeren. Wat zijn de meest recente bevindingen van die externe toetsingen? Kroese: ‘Die bevindingen zijn positief. Ons huidige beveiligingsmodel zorgt er voor dat de gegevens die het CBS in beheer heeft aan de hoogste veiligheidseisen voldoen en de auditors zien dat. Maar ook voor informatiebeveiliging geldt dat we stappen moeten blijven zetten op het gebied van continu verbeteren. Daarom gaan we - onder verantwoordelijkheid van de CISO - een zogenaamd Information Security Management System (ISMS) inrichten. Dit is een kwaliteitsmanagementsysteem specifiek voor informatiebeveiliging, waardoor we steeds actuele informatie hebben over de risico’s die besloten liggen in onze organisatie, processen, procedures en technologie.’
‘Het IT-landschap verandert razendsnel en we zijn verplicht hierin mee te bewegen’
Regels en standaarden
Dat het CBS ook internationaal zijn informatiebeveiliging goed op orde heeft, blijkt uit het feit dat het sinds begin van dit jaar voldoet aan het ESS IT Security Framework. Kuijpers: ‘Het CBS is het eerste statistiekbureau van Europa dat daaraan voldoet. Europese statistiekbureaus die hier deel van uit maken, gebruiken allemaal dezelfde regels en standaarden voor de uitwisseling van informatie, data, software en diensten.’ Welke voorzieningen heeft het CBS moeten treffen om aan de criteria van het Framework te voldoen? Kroese: ‘Het ESS IT Security Framework is geënt op de ISO 27000 standaard. Het CBS is sinds een jaar gecertificeerd voor deze standaard en voldoet daardoor aan alle eisen. Dat gaf ons een voorsprong ten opzichte van andere landen.’
Menselijke factor
Bij informatiebeveiliging zijn we geneigd vooral te denken aan IT, maar volgens Kroese is dat een misvatting. ‘De belangrijkste factor bij informatiebeveiliging zijn wij zelf, de menselijke factor. Kennis, houding en gedrag zijn hierbij cruciaal. We moeten daar constant aandacht aan blijven besteden.’ Dat doet het CBS onder meer door een e-learning module informatiebeveiliging voor nieuwe medewerkers. Zo worden zij zich direct bewust van de risico’s en hoe zij die kunnen voorkomen. Ook bij het zittende personeel wordt het onderwerp regelmatig onder de aandacht gebracht. Zo is er een awareness week georganiseerd met workshops, lezingen en acties om collega’s bewust te maken van het eigen gedrag. Kuijpers ziet informatiebeveiliging vooral als een vorm van risicomanagement. ‘Daarbij wordt het risico bepaald door de potentiele gevolgen, de bedreigingen en de kwetsbaarheden. Inderdaad niet alleen in technisch opzicht, maar ook qua processen, organisatie, bewustzijn en gedrag van medewerkers.’