BIO2 in de praktijk - Het verhaal van BIO2 - aflevering 1

Show Notes

Kees van der Maarel (RE RO, Coördinerend beleidsmedewerker informatieveiligheid bij BZK) vertelt je over de Baseline Informatiebeveiliging Overheid 2 (BIO2), het ontstaan en het belang van de BIO2 en de rol van de bestuurder. Ook legt hij uit binnen welke samenwerkingsverbanden de BIO2 leeft. Vanuit zijn rol bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft hij een duidelijke visie op de BIO2, zowel op het heden als het verleden.  

Transcript

Kees van der Maarel: Die bestuurder moet eindelijk eens aan de slag.

Interviewer: Dit is BIO2 in de praktijk. In deze miniserie duiken we in de gevolgen van de vernieuwde Baseline Informatiebeveiliging Overheid 2. Wat zijn de gevolgen voor betrokkenen en professionals?

Kees van der Maarel: Misschien is dat wel de grootste verandering die we brengen met de BIO2. De bestuurder moet begrijpen dat hij de basis vormt voor goede informatiebeveiliging.

Interviewer: Deze aflevering gaat over de vraag wat de BIO2 is en waarom het nodig is. Te gast, Kees van der Marel, coördinerend beleidsmedewerker bij het ministerie van Binnenlandse Zaken. Kees, jij bent al jarenlang bezig met cyberveiligheid, BIO, BIO2. Jij bent hier gepassioneerd over. Jij wil dat dit beter gaat.

Kees van der Maarel: Ik vind het een gaaf onderwerp. Uiteindelijk komt het erop neer dat we met zijn allen andere en goede dingen gaan doen. Daar wil ik een bijdrage aan leveren.

Interviewer: Ben je in je persoonlijke leven altijd bewust van je eigen wachtwoordmanagement en hoe je je zaakjes regelt, Kees?

Kees van der Maarel: Ja. Daar ben ik me van bewust. Ik heb een wachtwoordmanager. Daar staan ontzettend veel wachtwoorden in. Dat schrijven we ook voor in de BIO2. Je moet voor elke omgeving een eigen wachtwoord hebben. Tegelijkertijd vind ik het lastig. Ik liep toevallig gisteren weg van mijn werkplek. Even snel bij de printer wat halen en ik had het gelijk in de gaten. Mijn collega's wilden een grapje met me uithalen. Ik was gelukkig op tijd terug, maar ik bedacht dat ik me ook aan de regels moet houden.

Interviewer: Je merkt je eigen kwetsbaarheid zo nu en dan?

Kees van der Maarel: Zeker. Ik ben ook maar een mens.

Interviewer: Wat is de kern van de verandering met BIO2 ten opzichte van de huidige situatie?

Kees van der Maarel: Die bestuurder moet eindelijk eens aan de slag. Misschien is dat de grootste verandering die we brengen met de BIO2. Uiteindelijk moet de bestuurder begrijpen dat hij de basis vormt voor goede informatiebeveiliging. De bestuurder hoeft weinig te doen, maar moet wel zorgen dat informatiebeveiliging in place is. Hij moet zorgen dat, in dit geval bij de overheid, de BIO2 in place is. Daar moet hij de organisatie op inrichten. Wat we bewerkstelligen is een kleine en tegelijkertijd een grote verandering. Het betekent dat de organisatie en de bestuurder anders moeten gaan denken over dit onderwerp. We reiken hem met de BIO2 een instrument aan dat prima toepasbaar is. Hij moet er wel op sturen dat die daadwerkelijk wordt geïmplementeerd.

Interviewer: Jij wijst duidelijk op die rol van die bestuurder. Kun je de BIO2 eens schetsen? Wat komt er op die bestuurders, managers en alle medewerkers af?

Kees van der Maarel: Veilig werken en doen komt op ze af. In het verleden deden we dat ook, want de BIO2 is een voortbrengsel vanuit de BIO1. Daarvoor hebben we allerlei andere baselines gehad. In de praktijk zie je dat mensen graag willen, maar ze moeten een keuze maken in de prioriteiten. De baseline brengt nu eenmaal maatregelen met zich mee die niet altijd even fijn zijn. Maar ze zijn wel belangrijk voor het gemeenschappelijke doel dat we als overheid te hebben: de maatschappij sturen en de burgers ondersteunen. Dat betekent dat medewerkers dingen moeten doen die ze niet altijd even leuk vinden, of vergeten. Bijvoorbeeld die screensaver die ik net gaf. Er moet een mentaliteitsverandering komen om daadwerkelijk die veiligheid te realiseren.

Interviewer: Er wordt vanaf nu minder voor jou bepaald wat je moet doen. Je krijgt meer ruimte om zelf te beoordelen wat jouw risico's zijn. Welke risico ben ik bereid om te nemen? Overheidsorganisaties, ministeries en gemeentes moeten veel meer zelf de handschoen oppakken. Is dat de kern?

Kees van der Maarel: Dat is mooi samengevat. Ze moeten het zelf doen. Daar zit, denk ik, de kern van van de uitdaging. Er zijn zoveel dingen om zelf te doen. Gemeentes gaan af op een ravijnjaar en moeten keuzes maken. Ik denk dat het belangrijk is om te realiseren dat voor informatieveiligheid die keuzes gemaakt zijn. De dreigingen die op ons afkomen zijn zo groot. Hier moeten we aandacht aan besteden. Als we dat niet doen, kunnen we de maatschappij niet goed ondersteunen. De burger komt daardoor in de problemen. We moeten daar serieus aan werken. Dat start bij de bestuurder, die moet begrijpen dat hij die organisatie goed inricht en dat hij krijgt wat hij verdient. Dat betekent dat als hij een CISO aanstelt die geen tegengas durft te geven op dit onderwerp, hij geen goede maatregelen krijgt. Dan blijft hij risico's lopen.

Kees van der Maarel: Datzelfde geldt voor de lijnmanager die hij aanstuurt. Ze maken keuzes en de bestuurder moet de lijnmanager en de CISO daarbij helpen. Hij moet zijn medewerkers helpen door ze de ruimte te geven om dit onderwerp serieus te nemen.

Interviewer: Betekent dat dat die bestuurder aan de ene kant niet zoveel hoeft te doen en aan de andere kant dat wat ze moeten doen, beter moeten doen? Betekent dat bijvoorbeeld dat zo'n bestuurder tegen die lijnmanager zegt dat hij, als hij een project start - al dan niet met AI - of met informatie aan de gang gaat van de burgers, in kaart brengt wat de risico's zijn en daar oplossingen voor bedenkt? Dat die bestuurder die CISO wat meer in zijn of haar rol zet van toezichthouder op dat proces? Dat de bestuurder dat beter gaat managen?

Kees van der Maarel: Ja, heel goed. Volgens mij kan ik het niet beter verwoorden. De bestuurder moet beseffen dat hij een cruciale schakel is in het geheel. Als hij het niet doet, dan zal de rest van de organisatie ook zeggen dat het prima is. Zij besteden er ook geen aandacht aan. Hij moet zorgen dat die lijnmanager - dat zal hij in managementafspraken moeten vastleggen - in voldoende mate aandacht geeft aan die informatieveiligheid, met als basis de BIO. De belangrijkste taak - naast het enthousiasmeren - is het voorwaarden scheppen. Hij zal er op terug moeten komen en mensen moeten aanspreken als ze niet hebben gedaan wat er van hen verwacht wordt op dit gebied.

Interviewer: Help jij die bestuurder om daadwerkelijk die rol op te pakken?

Kees van der Maarel: Zeker. We hebben wat producten die daarbij kunnen helpen, maar eentje daarvan is bijzonder. In dit geval is de bestuurder aan zet. Daarin hebben we een product ontwikkeld waar allerlei KPI's, prestatie indicatoren, zijn bedacht, die de manager helpt om het gesprek aan te gaan met zijn lijnmanager of met zijn CISO. Die helpen hem om aan het einde van het jaar terug te keren en vragen hoe het gegaan is. Hoe kunnen we leren van de ervaring, zodat we dat volgend jaar beter gaan doen? Ik denk dat dat een mooi product is wat zo gebruikt kan worden en zorgt voor een gezamenlijke taal. Het gaat er uiteindelijk om dat we met zijn allen informatiebeveiliging en cyber security minded zijn en gezamenlijk voor die taak staan.

Interviewer: Dat betekent dat je achteraf moet kunnen uitleggen wat je waarom hebt gedaan, het verifieerbaar is en daadwerkelijk aantoonbaar gaat werken.

Kees van der Maarel: Opzet. Bestaande werking. Je hebt het goed begrepen. Daar zit een uitdaging in. Die werking is wel een ding. Als we voorlopig bij het bestaan kunnen stoppen en als we dat op orde hebben, dan maken we daarna de volgende slag. Het is het maken van keuzes, want we hebben beperkte middelen. Het aardige is dat de BIO daar een handreiking toe biedt. Met de overheidsmaatregelen hebben we al een kern te pakken. No regret, aan de slag. Op basis van risicomanagement kan die bestuurder duidelijke keuzes de organisatie in sturen. Wij gaan op deze manier met informatie om. We zijn risicozoekend of risicomijdend. Dat geef ik als bestuurder mee. Als je die risicoanalyses doet en keuzes maakt, dan is dat het heilige uitgangspunt.

Interviewer: Dat aan kunnen tonen betekent bijvoorbeeld ethisch hackers inschakelen, oefeningen doen? Op die manieren aantonen dat het werkt.

Kees van der Maarel: Juist. Je kunt een aantal dingen doen. Elke bestuurder heeft zijn eigen ordedienst die zal vertellen hoe de vlag erbij hangt. Het is veel handiger om de feitelijke veiligheid te toetsen en ethisch hackers en pentesters in te huren, zodat je weet dat men van buiten niet naar binnen kan komen en mijn eigen omgeving verwarren. Het is een mengeling. Als bestuurder heb je het formele, denk ik, nodig. Die auditor kan dat bieden, die kan een een oordeel geven over hoe het ervoor staat. In de praktijk wil je zekerheid hebben dat er niet bij je ingebroken kan worden. Of als er ingebroken is, hoe je daarop kan reageren op een goede manier, om snel te herstellen.

Interviewer: Ik lees in de BIO2 die ik heb doorgelezen over de Plan-Do-Check-Act cyclus. Bedoel je dat?

Kees van der Maarel: Jazeker. Dat is een krachtig middel, wat met name in de ISO 27.001 en 2 naar voren komt. Dat is voor een manager ontzettend belangrijk, omdat hij uiteindelijk iets wil bewerkstelligen. Dat bewerkstelligen zal hij in het beleid vormgeven. Uiteindelijk moet dat beleid uitgevoerd worden. Hij moet sturen op de realisatie van dat beleid. Door die Plan-Do-Check-Act cyclus toe te passen, kom je erachter dat dingen niet werken zoals je gedacht had en kun je bijsturen. Dat bijsturen, die lerende organisatie, dat is wat de Plan-Do-Check-Act cyclus behelst. Dat je kunt groeien. Fouten maken is prima, want daar leren we met zijn allen van, maar je moet ze wel herstellen zodat je dat de volgende keer niet weer doet.

Interviewer: Wat is de positie van die BIO2? Hoe verhoudt zich dit tot wetgeving of de Europese eisen die worden gesteld?

Kees van der Maarel: De BIO2 is een onderdeeltje. Het is een tactisch normenkader. Het is goed dat we dat hebben. Het is een prima instrument om informatiebeveiliging te sturen en vorm te geven. Het mooie van het huidige tijdsgewricht is dat er zoveel aandacht is voor het onderwerp dat Europa de NIS2- directive heeft gemaakt en Nederland - heel Europa trouwens - is bezig om dat te vertalen naar lokale wetgeving. Wij maken daar de cyberbeveiligingswet van. Het tweede kwartaal volgend jaar wordt die van kracht. De BIO is een onderdeel binnen die CBW en dat is onderdeel van de zorgplicht. In het verleden hadden we verplichtende zelfregulering. De overheidsorganisaties konden zelf bepalen hoe ze dat invulden, maar die vrijblijvendheid is er vanaf.

Kees van der Maarel: Het was al verplichtend, min of meer vrijblijvend, maar dat wordt nu wetgeving. Dat betekent dat die bestuurder vanuit een ander perspectief echt last krijgt als hij informatiebeveiliging niet implementeert. Er komt iemand toezicht houden. Daar hebben we de RDI en de ILT voor. Dat zijn twee clubs die het toezicht uitoefenen. Ik denk dat dat de missing link is met informatiebeveiliging. Je kunt aan de voorkant ontzettend veel energie stoppen in het helpen, stimuleren en controleren. Op het moment dat er een extern orgaan gaat toetsen of je ook daadwerkelijk voldoet, dan heb je de bestuurder zijn aandacht.

Interviewer: We gaan in de andere afleveringen wat dieper in op de BIO2. Tot slot, nog even over jou persoonlijk. Jij bent aan het afzwaaien. Jij hebt in de jaren van jouw carrière hier veel tijd en energie in gestoken. Je hebt de wereld zien veranderen, de digitale wereld zien veranderen. Nu is daar de BIO2 waar jij een van de geestelijk vaders van bent. Ga jij met een gerust gevoel straks met pensioen?

Kees van der Maarel: Het is leuk dat je deze vraag stelt. Ik kwam toevallig van het weekend met opruimen in de kast een T-shirt tegen. Daar stond op: was jij dat op internet? Dat is al een oud T-shirt, maar het illustreert dat ik de wereld heb zien veranderen, het internet. Ooit was ik een van de weinigen en nu ben ik niet meer te onderscheiden. De wereld is veranderd en ook de toepassing van IT in ons leven. Ben ik gerust ben ik wegga? Nee, er moet nog zoveel gebeuren. Ik denk wel dat ik een klein stukje heb kunnen bijdragen aan het puzzeltje. Om het in ieder geval beter te maken dan dat het was. Dat er iets ligt nu waarvan ik met gerust hart kan zeggen dat erop wordt doorontwikkeld. Ik ben blij dat mijn collega Erik Becker mijn rol gaat overnemen bij BZK. Ik heb veel vertrouwen in zijn aanpak dingen onder woorden te brengen, te verbeteren en samen met de andere overheidslagen dit nog mooier te maken.

Interviewer: Jij trekt met een grote glimlach straks de deur achter je dicht.

Kees van der Maarel: Zo is dat.

Interviewer: Dank je wel, Kees van der Marel. Dank ook voor je al inzet voor de cyberveiligheid van overheids-Nederland de afgelopen jaren. Je zit hier met een grote glimlach tegenover ons. Volgens mij heb je er ontzettend veel plezier in.

Kees van der Maarel: Zeker. Het is een fantastisch werkterrein, maar het is leuk om dat af te sluiten en weer tot andere dingen over te gaan.

Interviewer: Luister ook de andere afleveringen terug in deze miniserie. We gaan dieper in op de BIO2 en wat het betekent voor de bestuurder, de lijnmanagers, de CISO's. We gaan kijken wat het betekent voor de komende tijd. Hoeveel tijd hebben we om dit allemaal te organiseren? Waar kan je naartoe voor hulp? Wat staat je te doen? Kijk voor meer informatie naar BIO-overheid.nl. Dank je wel.