CISO bij de gemeente is een relatief nieuw vak
Zo houd je als gemeente de kennis over cybersecurity in eigen handen
door Sjoerd Hartholt beeld Frans Blok/Shutterstock en Leon Post
Kleinere gemeenten stellen steeds vaker een eigen chief information security officer (CISO) aan. Leon Post (34) werd twee jaar geleden voor de functie gevraagd. Nu zit hij niet meer zelf achter de knoppen, maar praat hij de gemeentesecretaris bij over bijvoorbeeld security en wetgeving.
Gemeenten van een bepaalde grootte moeten een eigen CISO hebben, adviseert de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG). De kleinere en middelgrote gemeenten bedachten later zelf om dat ook te doen, zegt Leon Post, CISO bij de gemeente Hardenberg. “De wet verplicht gemeenten niet, maar in de richtlijnen uit 2017 staat wel dat het raadzaam is. Zo houd je als gemeente de kennis over cybersecurity in eigen handen.”
"De privacy van burgers waarborgen is uiteindelijk het doel, informatiebeveiliging is een middel om dat te bereiken."
Beleid maken voor gemeente
Onder de verantwoordelijkheid van Post valt het securitybeleid van de gemeente. Dat houdt in dat hij vooruitkijkt naar de ontwikkelingen en ervoor zorgt dat ambtenaren het huidige beleid goed uitvoeren. “Ik moet ervoor zorgen dat zij weten welke verantwoordelijkheden ze op securitygebied hebben, anders heb ik gefaald. Ze moeten bewust zijn van de risico’s die er op mijn terrein zijn. We werken met pakweg tien securityofficers. Zij zijn mijn antennes in de organisaties.” Post betrekt ze bij het beleid. “Bijvoorbeeld het wachtwoordbeleid, maar ook fysiek toegangsbeleid. Met die kennis bepaal ik mijn strategie.” Gemeenten hebben op IT-gebied volgens Post met meerdere grote uitdagingen te maken. “Je kunt niet alles in één keer halen. Toen ik begon, was het vooral zaak om te voldoen aan de audits. Dat gaat goed. Nu kunnen we zelf bepalen wat we belangrijk vinden. En dan kun je vooruitkijken, naar bijvoorbeeld eisen voor wetgeving, zoals de AVG, de Baseline Informatiebeveiliging Overheid van de VNG en de toegankelijkheidseisen voor mensen met een beperking, waarvoor we alle pdf’jes moeten omzetten.” Gemeenten zijn volgens Post de afgelopen jaren enorm veranderd op securitygebied. “Informatieveiligheid is de afgelopen jaren een veel groter item geworden. Ook privacy is dat. Er gaat geen collegevoorstel meer uit zonder dat er over privacy is nagedacht. De privacy van burgers waarborgen is uiteindelijk het doel, informatiebeveiliging is een middel om dat te bereiken.”
‘Niet gelijk resultaat’
Een vergelijking met het bedrijfsleven is moeilijk te maken. “Bij het bedrijfsleven gaat het gewoon om geld. Als een besluit positief eraan bijdraagt, krijg je het er snel doorheen. Als het risico groot is dat het geld gaat kosten ook wel.” Volgens Post gaat het bij gemeenten nu eenmaal wat trager. “Je bent echt zaadjes aan het planten. Je hebt niet gelijk resultaat van je werk. Nu kan ik er ook wel voldoening uit halen om mensen te overtuigen. Op langere termijn maak je het verschil.” Er wordt vaak gezegd dat gemeenten te veel softwareleveranciers hebben. Hoe houdt een kleine gemeente dat in toom? “Er gelden nu eenmaal aanbestedingsregels. We kunnen niet iemand voortrekken. Het zou wel handig zijn als de portefeuille wat compacter is qua applicaties. Aan de andere kant wil je voorkomen dat je in een vendor lock komt.” Hij vindt het wel ‘verleidelijk’ om alles qua infrastructuur bij één leverancier te houden. “Dat koppelt zo lekker met de producten. Maar voor je het weet kun je er niet meer uit. Dat geldt ook voor écht grote namen als Microsoft, IBM en Citrix. Je moet al bij het sluiten van een contract nadenken over een exitstrategie. Ik stip dat soort dingen aan bij het bestuur.”
CISO’s bij gemeenten: een relatief nieuw vak
Voor het bedrijfsleven zijn chief information security officers al langer een bekend begrip, maar bij de overheid duurde het even voordat die functie zich écht manifesteerde. Sinds in 2017 werd onderzocht hoe informatieveiligheid hoger op de bestuurlijke agenda bij gemeenten kan komen, stellen steeds meer kleine en middelgrote gemeenten zelf een CISO aan. Daarmee gaven zij gehoor aan adviezen van de visitatiecommissie Informatieveiligheid, die stelde dat de positie van een CISO bij gemeenten ‘sterker’ moest worden en dat er meer verbinding nodig was tussen informatieveiligheid en bestuur. Nadat de Informatiebeveiligingsdienst (IBD) van gemeenten enkele adviezen uitbracht en een toolkit voor CISO’s ontwikkelde, gingen veel gemeenten, waaronder Hardenberg, op zoek. Inmiddels hebben diverse CISO’s in hun eerste jaren veel werk verzet.
Toekomst
Voor de toekomst verwacht Post dat er voor gemeenten nog veel meer technische oplossingen bijkomen. “Je moet erg oppassen dat je niet de techniek laat bepalen welke oplossingen we gaan gebruiken. Altijd eerst vaststellen welk ‘probleem’ je wilt oplossen en wat daarbij nodig is.” Gemeenten moeten wat Post betreft ook gaan afwegen wat nog rendeert om zelf te doen. “Je kunt zelf securityoplossingen implementeren, maar ook uitbesteden aan een security operations center. Met Hardenberg doen we nu alles zelf, maar werken we naar zo’n oplossing toe.”