Informatieveiligheid: de rol van de bestuurder

do 26 januari 2023 - 11:30
Tablet-kantoor-vergadering
Bestuur
Blog

Eén van de kinderen thuis is een puberjongen van 18, geen kind meer maar zeker nog geen man. U herkent dat misschien wel. Als wij al lang en breed op bed liggen, gaat hij met enige regelmaat door de achterdeur naar buiten om een sigaretje te roken. Als ik dan ’s ochtends beneden kom, is het al meerdere keren voorgekomen dat de achterdeur niet op slot zit. Ik heb hem daar ook al meerdere keren op aangesproken, maar echt beter wordt het niet. Het slot werkt prima, hij is ook vaardig genoeg om de deur op slot te kunnen doen, maar blijkbaar zit het niet voldoende in zijn gedachten om dit systematisch te doen.

Dit voorbeeld is op zich heel aardig te vertalen naar de digitale (overigens ook fysieke) wereld van Informatieveiligheid in instellingen. Ook daar blijft wel eens een digitale deur openstaan en doet zich dan de vraag voor of het slot op de deur goed genoeg is, of er voldoende vaardigheid is om de deur op slot te doen en of dit wel voldoende in de gedachten van de betrokkenen zit.

’s Heeren Loo is een landelijk werkende instelling in de gehandicaptenzorg. Er werken zo’n 17.000 mensen in 1.200 teams en net zo veel gebouwen. Informatieveiligheid is een behoorlijke uitdaging, die overigens in de loop der jaren uitstekend is opgepakt. Technisch, infrastructureel en organisatorisch is de instelling prima op orde en is al jaren NEN 7510 gecertificeerd. Maar er lopen ook 17.000 pubers rond die wel eens de neiging kunnen hebben de achterdeur niet op slot te doen. Dat is het lastigst te grijpen.

In deze blog schets ik u hoe ik als bestuurder van 's Heeren Loo om ga met die risico’s, en met name met de organisatorische en gedragsaspecten. Vooral die laatste zijn het meest spannend en lastig om te grijpen.

Juiste mensen op de juiste plek

Als we naar de organisatorische kant van Informatieveiligheid kijken dan zijn er een paar zaken die in ieder geval genoemd moeten worden:

  • Allereerst dat het belangrijk is de juiste mensen op de juiste plek te hebben. De rol van CISO is ongelofelijk belangrijk als spin in het web en het is essentieel daar ook bestuurlijk regelmatig contact mee te hebben, zowel om te halen als om te brengen. Daarnaast het hebben van een scherpe, kritische en conceptuele mensen in de D&I-lijn, als een CIO en/of een IT-manager.
  • De samenwerking tussen alle betrokkenen in de digitale keten is van groot belang in het zorgen voor en borgen van een goede IV.
  • Een stevige communicatie- en overlegstructuur is ook van belang. Binnen 's Heeren Loo hebben we 6x per jaar een overleg van het Beveiligingsberaad, voorgezeten vanuit de raad van bestuur, en waaraan directeuren van D&I, SSC, HRM en primair proces deelnemen en daarnaast de CISO en de FG. Naast de verplichte nummers als het ISMS, de praktijkdirectiebeoordeling en de risicoanalyse komen ook dilemma’s aan de orde, zoals:

o Moeten we nog wel een cyber-riskverzekering afsluiten?
o Willen we MFA op onze eigen locaties afdwingen?
o Tot hoeven gaan we in onze maatregelen voor cliënten?
o Hoe handelen we in geval van een ransomware-aanval?

  • Tevens plannen we in het Beveiligingsberaad de calamiteitenoefeningen, phishing mails en de contacten met DEKRA en accountant.
  • Belangrijk is bovenal de tone at the top. Binnen ’s Heeren Loo praat de RvB zowel collectief als individueel met de directeuren over Informatieveiligheid.

Meest weerbarstige aspect: gedrag

Het meest weerbarstige rond Informatieveiligheid blijft gedrag. Het is niet voor niets dat de overheid een specifiek programma in het leven heeft geroepen om zorginstellingen daarbij te helpen. Ook is het belangrijk dat medewerkers digivaardig zijn. We weten uit onderzoek dat dat niet vanzelfsprekend is. ’s Heeren Loo heeft het programma Digivaardig in de Zorg ontwikkeld, dat zorgmedewerkers helpt om hun digitale competenties verder te ontwikkelen. Zo zijn in regio’s digicoaches werkzaam, die op locatie kunnen ondersteunen. Dit programma is in 2018 landelijk beschikbaar gesteld en wordt nu breed in de zorg gebruikt.

Informatieveiligheid: herhalen en balanceren

Informatieveiligheid is geen perpetuum mobile, het vraagt continu aandacht, herhalen en nog eens herhalen. Én balanceren. Alles op slot gooien, maakt dat professionals hun werk niet goed kunnen doen. Alles opengooien daarentegen is vragen om problemen. Als bestuurder moet je je bewust zijn van die spanning en daar op een verantwoorde manier mee omgaan. Dat kun je door goede en kritische mensen om je heen te verzamelen, het onderwerp Informatieveiligheid structureel te agenderen en vooral met elkaar in gesprek te blijven. Je bent daarin als bestuurder essentieel en het is ook nog eens leuk.

Vroeger kwamen de boeven vooral via de achterdeur, tegenwoordig via de glasvezelkabel of de wifi. Als onze puber de achterdeur weer eens niet op slot heeft gedaan, realiseer ik me weer hoe hardnekkig en taai dit vraagstuk is en welke zaken in de gedachten zijn en welke niet. Dat is thuis niet anders dan op het werk...