De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam.

Transcriptie

1 De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam. 1

2 Hoe heeft Rotterdam IB aangepakt en welke lessen zijn daaruit te trekken: valkuilen en beren. 2

3 De nieuwe organisatie: 5 primaire proces clusters en een nieuw te vormen concernstaf bestaande uit Bestuursdienst en Service Organisatie (o.a. ICT). Het streven is: elk cluster zijn eigen functionaris voor IB en privacy. Daarnaast een control afdeling met mogelijk ook een i-control functie. Dit zou bijv. een plek zijn voor een functionaris gegevensbescherming. 3

4 Het sturingsmodel voor de bedrijfsvoering in Rotterdam laat de dubbele rol van directie zien: enerzijds als verantwoordelijke voor het cluster, anderzijds als vertegenwoordiger van het concernbelang. Deze belangen zijn niet altijd hetzelfde. Dit kan voor IB spanning opleveren: functie boven veiligheid. 4

5 Informatiebeveiliging is nadrukkelijk niet iets wat je er even bij doet. BIG propageert (terecht): bestuur is eindverantwoordelijk, maar wordt dat ook doorleeft? Is er bijv. een portefeuillehouder of ambassadeur? IB wordt soms nog gezien als een probleem van de CIO, niet van de clusterdirecteur. Het beeld bestaat nog steeds: IB is een ICT aangelegenheid. De ervaring leert dat in de clusters met een decentrale securityfunctionaris meer issues boven tafel komen. In de clusters waar niet wordt gekeken lijkt er niets aan de hand. Zaken blijven mogelijk onder de radar. Dit is een sluimerend risico. Informatie is overal, IB is daarmee onderdeel van bijna alles: waar trek je de grens? Ga je als CISO ook adviseren over privacy, privézaken, integriteit? IB is een vak en een vakgebied. Baken dit goed af, waar ben je van en vooral ook waar ben je niet van. 5

6 IB heeft de afgelopen jaren een enorme ontwikkeling doorlopen. Een grove tijdlijn in Rotterdam: van advieswerk tot een volwaardige functie! De ontwikkeling verloopt in niveaus van volwassenheid. Veel organisaties zitten tussen 2 en 3. Het streven is 4 omdat deze in belangrijke mate draait om control. 6

7 Ben je CISO in naam of is je functie formeel geregeld, incl. mandaat, middelen, verantwoordelijkheden? In Rotterdam staat IB al jaren op de bestuurlijk agenda, maar in praktijk leeft het nog onvoldoende. Mandaat van een CISO is begrensd: bevoegd tot noodmaatregelen? Lijnmanagement kan overrulen De Rotterdamse praktijk: succes op IB gebied hangt sterk aan een aantal mensen IB kennis en kunde is schaars, dit is een kans om dienstverlener te zijn. 7

8 Lijn management is niet vanzelfsprekend betrokken: organiseer vertegenwoordiging vanuit afdelingen/clusters Maak afspraken over verdeling van rollen, verantwoordelijkheden en taken: in Rotterdam ging dit vrij gemakkelijk Breng de afspraken tot uitdrukking in alles wat je organiseert: zorg voor de juiste stakeholders aan tafel, omgekeerd, nieuwe activiteiten zijn een kans om (nieuwe) stakeholders te betrekken Stakeholders zijn ook andere staffuncties: doe niet alles zelf, mobiliseer expertise in andere vakgebieden 8

9 Een mindmap van de verantwoordelijkheden van de CISO (Rafeeq Rehman). Het netwerk is in potentie enorm, want informatie is overal. Dit is voor de CISO misschien wel de grootste valkuil: je wordt overal bij betrokken. 9

10 Dus laat je niet gek maken, borden in de lucht hou je niet eeuwig vol: CISO is een zware baan Laat je niet verleiden om bijv. privacy adviezen te geven, laat dit over aan een (juridisch) expert IB is een vakgebied met steeds meer specialismen. Je kunt niet alles zelf: schakel externe expertise in als het moet (bijv. security architect) Je kunt met zendingswerk veel voor elkaar krijgen, maar ergens stopt het: bijv. als er geld nodig is voor grote projecten, of er gestuurd moet worden op naleving. Risicomanagement is ook bij uitstek een taak van de business. Een succesvolle aanpak heeft kenmerken van zowel bottom up en top down Je netwerk is een kritische succesfactor: er zijn altijd partners in crime die aan jouw kant staan, zorg voor deze relaties 10

11 BIG is een praktische vertaalslag van de ISO naar de gemeentelijk sector. Rotterdam hanteert al jaren de ISO De BIG is een waardevolle crosscheck gebleken bij de laatste actualisatie: betere vertaling naar lokaal beleid. Vergeet niet de (het management proces), hierop kun je uiteindelijk certificeren. Van 5 losse audits naar 1 audit: verlagen auditlast, vergroten samenhang (bijv. constateringen suwi en de betekenis voor control in ITGC). Het onderbrengen van audits in één opdracht helpt ook om het opdrachtgeverschap op strategisch niveau te krijgen (het gaat ergens over: integrale verantwoording). Kijk waar je staat: Rotterdam doet mee aan de benchmark van het CIO platform: laagdrempelig, ISO 27002, 2013 gebaseerd, vergelijken met peers (ook in andere sectoren) Maak de ontwikkeling (ambitie) zichtbaar in te behalen niveaus van volwassenheid in je roadmap, pas je activiteiten daar op aan. Denken in plateaus schept ook overzicht. NB: wat je doet aan activiteiten moet passen bij het niveau waarop je zit: wees realistisch: een controltoren is mooi als de basis al op orde is. 11

12 In de huidige situatie is de BIG flauw gezegd weer een normenkader er bij. We streven uiteindelijk naar een uniform kader. Voldoen aan normenkaders vergt een goede verantwoordingstructuur: bij wijze van spreken: met een druk op de knop inzicht in alle verwerkingen: wat, waar, wie, wanneer Denk bij risicoanalyse met name aan business impact: wat betekent een dreiging voor de organisatie / het werkproces? Een lijst verbeteracties is snel gemaakt: probeer dit eens uit te werken in een projectmandaat: doelstelling, beoogde effecten, kosten, baten, randvoorwaarden, samenhang, afhankelijkheden. Probeer ook de prioriteit te bepalen. In praktijk blijkt dit best lastig, maar het helpt je bij de uitwerking van je roadmap en je plannen goed op de directietafel te krijgen. In Rotterdam ging het meerjarenplan pas leven na deze exercitie. Les: doe de dingen die passen bij je ontwikkeling, niet alles kan tegelijk, middelen, capaciteit en ook het absorptievermogen van de organisatie zijn niet onbegrensd. 12

13 Beren zijn gelukkig niet altijd gevaarlijk. 13