Overheid krijgt Rijks-ciso om slechte ict-beveiliging tegen te gaan

Er komt een algemene Chief Information Security Officer of ciso bij de Rijksoverheid. Minister Ollongren wil op die manier de slechte ict-beveiliging in het landsbestuur verbeteren. Ook wordt het Rijks ICT Dashboard verbeterd.

De beveiliging van ict-systemen binnen de overheid laat flink te wensen over, bleek in mei uit een rapport van de Algemene Rekenkamer. Minister Ollongren van Binnenlandse Zaken wil die situatie snel verbeteren, schrijft ze in een brief aan de Tweede Kamer. Een van de maatregelen is dat er meer prioriteit wordt gegeven aan het herzien van het functieprofiel van Chief Information Officers of cio's binnen de departementen, en het opnieuw bekijken van het kwaliteitskader voor ict-afdelingen binnen de Rijksoverheid.

Ollongren ziet een belangrijke rol weggelegd voor Chief Information Security Officers, of ciso's, die binnen departementen toezien op de beveiliging van de digitale omgeving en verzamelde data. Hun rol verschilt echter nog per afdeling, dus wil Ollongren de functie 'formaliseren'. Daarnaast werken de ciso's nog niet onderling samen. Daarom komt er een nieuwe CISO Rijk, die overzicht houdt op alle ciso's. De CISO Rijk moet 'zorg dragen voor een integrale borging van informatiebeveiliging binnen het rijksbrede ict-beleid', schrijft Ollongren. De persoon werkt ook samen met de Rijks Beveiligingsambtenaar.

Ollongren is ook van plan het Rijks ICT Dashboard uit te breiden. In dat register worden alle ict-projecten binnen de overheid en bij zelfstandige bestuursorganen zoals het cbr of de KvK bijgehouden. In het Dashboard is nu nog geen verantwoordingsinformatie beschikbaar over bepaalde aspecten van ict-projecten. Dat komt er wel bij te staan. Ook worden beheerskosten van ict-projecten in het Dashboard opgenomen als die boven de vijf miljoen euro uit komen, en krijgen cio's eindverantwoordelijkheid over complete ict-projecten, 'inclusief de beheersaspecten'.

Reacties (39)

Splitinfinitive 3 juli 2019 09:55

Maar wordt deze persoon dan ook iemand met affiniteit voor de ict? Of is het dadelijk weer iemand die net weet hoe je een pc aanzet?

Ik snap niet dat de overheid een eigen departement van ict opent met experts met een goed salaris etc en alle projecten in house houd. Hierbij dan ook nog upgrade etc via deze partij

Lijkt mij op de lange duur goedkoper dan alles uit besteden

[Reactie gewijzigd door Splitinfinitive op 23 juli 2024 09:30]

.Gertjan. @Splitinfinitive • 3 juli 2019 10:47

Vaak zie je dat een ciso functie niet perse een IT Engineering achtergrond vereist, maar vaak een business gerelateerde opleiding. Het hebben van een IT opleiding of achtergrond is uiteraard wel een pre, maar niet altijd een eis.

Als ciso adviseer je voornamelijk de management/directie laag en leun je op experts die aan jou rapporteren/verantwoorden. Als ciso ben je vaak ook onafhankelijk binnen het bedrijf en draai je meestal bijvoorbeeld niet mee in het ontwikkelteam, voor echte die-hard techneuten meestal dus niet echt een droom-functie.

Het is belangrijk om je met de juiste mensen te omgeven en duidelijkheid te hebben hoe je bewijs kan krijgen dat men veilig bezig is, de beveiligingsnormen gaan namelijk veel verder dan enkel veilige code en afgeschermde netwerk poorten. Een ISO 27001 schrijft bijvoorbeeld ook voor dat je beveiliging dient te garanderen in bijvoorbeeld inkoopbeleid en HR. De diverse aspecten dienen middels rapportages en kpi bij de ciso terecht te komen, welke die weer gebruikt om de compliance aan te tonen (naar boven en naar buiten) en om samen met de directie/managementlaag het beleid actueel te houden.

Ben het wel met je eens dat je inderdaad geen volledige nitwit moet zijn betreffende IT, maar het vakgebied is zo breed dat je ook niet expert op alles kan zijn, maar juist een goede spin in het web moet zijn

Mellow Jack @.Gertjan. • 3 juli 2019 12:15

Zelfs op de afdeling die de ISO 27001 rapportages maakt werken niet alleen IT personeel. Het begint vaak met procedures (bijv ITIL) en controles (lijkt meer op accountancy/audit). Natuurlijk heb je de IT experts voor de inhoud maar die gaan niet vrolijk worden van het opzetten van een logical access proces

er is idd een hoop meer binnen de IT en men moet niet onderschatten dat je liever iemand met ITIL affiniteit je proces laat inrichten dan iemand met pure IT affiniteit.

De context leer je vanzelf als je maar nieuwsgierig bent! Ik werk bij een bedrijf wat onderzoek doet naar water (bijv voor dijken en duinen). Heb totaal geen affiniteit met water (wel met datacenters) maar uit nieuwsgierigheid wil ik toch wel graag weten hoe het allemaal in elkaar zit (high level

)

loewie1984 @Mellow Jack • 3 juli 2019 13:15

Zelfs op de afdeling die de ISO 27001 rapportages maakt werken niet alleen IT personeel. Het begint vaak met procedures (bijv ITIL) en controles (lijkt meer op accountancy/audit).

Dat klopt, echter is een technische basis of een security technische basis voor zo'n belangrijk persoon toch een sterke aanbeveling. Als je als CISO niet weet wat MFA of business continuity plan is krijg je het toch zwaar te verduren.

Momenteel ben ik binnen onze organisatie aangesteld om de ISO27001 status te verkrijgen. Dat is geen feestje van een persoon maar van het hele bedrijf. Door externe inzichten is onze organisatie nu volop in beweging om daadwerkelijke processen om te zetten en af te stemmen op/naar beleidsdocumenten die het proces onderschrijven. Elke organisatie classificeert haar risico's weer anders dan anderen.

ISO en CISO kun je van boven naar beneden dicteren door te stellen "zo moet het" of van onder naar boven door te kijken wat er al is en daar je beleid op af te stemmen en te veranderen wat "strikt noodzakelijk is" ingegeven door of wet en regelgeving (AVG/GDPR) of door vereisten vanuit de business zelf (continuiteit, beschikbaarheid, veiligheid).

En aangezien alles uiteindelijk draait om 1 ding: dataprotectie en elk bedrijfsproces heden ten dage zwaar leunt op IT of IT is, kom je niet onder technische kennis/ of een technische achtergrond uit, zelfs niet als CISO in mijn ogen.

Mellow Jack @loewie1984 • 3 juli 2019 13:33

BCP, AVG, GDPR staan los van de techniek en zelfs van MFA hoef je als CISO niet echt te begrijpen hoe het werkt. Wikipedia kennis is voldoende. Laat experts aub zich maar druk maken om de architectuur, identity provider, identity stores en identity & access management platformen.

Dat is wat ik bedoel met nieuwsgierig, natuurlijk is het een vereiste dat je jezelf als CISO verdiepte in termen maar t zou niet je vak moeten zijn om je op detail niveau ergens mee te bemoeien (betekent vaak dat of het een klein bedrijf is of er dingen op hogere niveaus blijven liggen)

Verwijderd @.Gertjan. • 3 juli 2019 13:53

Ach ja, de eeuwenoude discussie: moet de manager verstand hebben van de materie om mensen goed aan te kunnen sturen.. Mijn eigen filosofie is dat je niet mensen kunt aansturen als je geen kennis hebt van de materie maar er zijn goede argumenten als men maar niet over technische onderwerpen praat. Nu kun je er mensen tussen gaan zetten die wel deze technische kennis wel hebben maar dat zijn juist weer de zeldzame parels (die het werk doen).

Binnen deze functie ben je überhaupt enkel manager over een stel managers. Een rapportage man.. Wanneer we deze man terugzien in een kamerdebat zullen we wel weer van onze stoel vallen van het lachen. Herinnert u zich deze nog: Ton Elias weet niet wat een IP-adres is

De dag is gekomen dat ik een bronvermelding maak naar dumpert.. Ik ga even in een hoekje uithuilen..

Jerie

@.Gertjan. • 4 juli 2019 10:33

maar juist een goede spin in het web moet zijn

Over afgezaagde HR quotes gesproken...

jpsch @Splitinfinitive • 3 juli 2019 10:42

Ben bang dat 't een soort ombudsman wordt die mooie rapporten schrijft met aanbevelingen en geen budget/mandaat heeft tot afdwingen.

CivLord

@jpsch • 4 juli 2019 09:53

Maar vervolgens zijn er wel 60-70 oppositieleden die met dat rapport in de Tweede Kamer gaan lopen zwaaien. Wanneer het dan toevallig om een speerpunt van één van de regeringspartijen gaat, kan het effect hebben. Of wanneer er iets blootgelegd wordt dat niet genegeerd kan worden.

Bsandro @Splitinfinitive • 3 juli 2019 11:47

Ben het volledig eens met je vraagstelling!

Ik kom regelmatig bij bedrijven (big names) waar ik regelmatig gesprekken moet voeren met CISO's. Het is allemaal heel erg leuk dat ze hebben bewezen dat ze uit een boekje kunnen leren, maar enige technische kennis? Ho maar! Nou ja googlen kunnen ze. En we blijven ons maar verbazen als er weer een datalek ergens is.

Wat een wereld

icecreamfarmer @Splitinfinitive • 3 juli 2019 10:03

Dat zou het ook zijn maar dat komt uit een ander potje en staat slechter op de resultaatrekening.

Mathi159 @icecreamfarmer • 3 juli 2019 10:19

En vergeet niet het wijzende vingertje, dat bij in-house dus naar jezelf gaat.

rjberg @Splitinfinitive • 4 juli 2019 05:45

Eens, hoewel een constructie waarbij europees bureau voor ontwikkeling van nieuwe ict en het beheer bij individuele landen/ministeries ligt me beter lijkt. Pooling resources, zogezegd.

MadMarky 3 juli 2019 09:54

Maar wordt deze CISO ook echt iemand met verstand van zaken, of weer een beroepspoliticus die nu even geen stoeltje had en zwaar leunt op de eventuele kennis van zijn ambtenaren?

WhatsappHack

Beveiliging en antivirus

@MadMarky • 3 juli 2019 10:34

Ongetwijfeld dat het Prins wel weer zal worden, mede vanwege z’n hulp bij het door de strot duwen van de sleepwet en liegen dat het geen enkel gevaar opleverde.

Voor wat hoort wat he.

Cio @WhatsappHack • 3 juli 2019 11:34

Ronald Prins.... ach, hij is geen Aleid Wolfsen.

Deze functie zal redelijk direct verantwoording moet afleggen en kan wat minder sturen in de aanbestedingen, dus of Prins daar zelf zin in heeft vraag ik me af.

Wordt iemand die zowel voor Rutte als Ollongren bekend is en een zakelijke achtergrond heeft met iets van accountancy/advies/controlling. Technisch inzicht niet nodig, waterdichte stukken schrijven zodat er geen politieke verantwoording nodig is lijkt me hier het belangrijkste?

Iblies @Cio • 3 juli 2019 13:25

Dus als oplossing wordt er iemand aangesteld, die krijgt de tijd om in te werken, na enkele jaren gaat het weer gruwelijk mis en worst die symbolisch geofferd, waarna onderzoek weer moet uitwijzen dat het niet echt zijn schuld is omdat de functie een tijger is zonder tanden.

Deze oplossing werkt juist contra-productief.
Alle managers en leidinggevende zijn blijkbaar dusdanig incompetent om een fatsoenlijke visie mbt ICT te hebben dat er elke keer een laag boven komt om verantwoordelijkheid uit handen van die leidinggevende en managers weg te halen. Status quo blijft in de organisaties wat veel kwalijker is.

Dostar @MadMarky • 3 juli 2019 09:56

"Het wordt security expert Rian van Rijbroek

"
Een grapje maken mag blijkbaar niet.

Verder ontopic dan maar...

Ik hoop inderdaad dat het ook een echte security expert uit de ICT wordt en niet weer een baantje dat gecreëerd wordt om het carrousel maar te laten draaien.
Betreft ICT en overheid mag er nog heel veel verbeteren als ik zo het nieuws lees. Wordt flink met geld gegooid, maar vaak komt uit dat geld weinig tot niets betreft betere systemen e.d.
Vroeger had je nog dat leuke programma "Over De Balk", waar je kon zien hoeveel de overheid met belastinggeld smijt naar projecten. Soms zelfs waar vriendjes e.d. werden aangewezen als aannemer e.d., puur om baantjes voor elkaar te creëren.

Laten we hopen dat dit project ook echt goed uit de verf gaat komen.

[Reactie gewijzigd door Dostar op 23 juli 2024 09:30]

Verwijderd @Dostar • 3 juli 2019 14:06

Je zet anders wel de security tak op van Centric:
'Rian van Rijbroek helpt opzetten securitytak Centric'

Dus de overheid kan daar mooi veel te dure mensen inhuren die niets doen maar verplicht zijn omdat ze de aanbesteding hebben gewonnen

Voor wie nog een keer in zijn broek wil doen van het lachen:
Rian van Rijbroek – Nieuwsuur 29 januari 2018

jpsch @MadMarky • 3 juli 2019 10:43

Timmermans zoekt nog een baantje. Spreekt veel programmeertalen.

Dostar @jpsch • 3 juli 2019 11:07

Ik hoop dat je niet een minnetje krijgt, beetje humor moet kunnen op zijn tijd

Ik heb er wel om kunnen lachen.

jpsch @Dostar • 3 juli 2019 17:23

Sta er een beetje dubbel in. Enerzijds hoop je op iemand met kennis, maar om wat gedaan te krijgen heb je 't politieke spel ook nodig.

jhnddy @jpsch • 3 juli 2019 11:09

Hij zorgt er vast voor dat alle code netjes links wordt uitgelijnd

FreezeXJ @jhnddy • 3 juli 2019 13:33

Neenee, in verband met concessies aan de moderne democratie lijnen we voortaan rechts uit

Dat staat ook beter, of misschien gaan we wel centreren.

Ik vermoed dat deze heel erg belangrijke kop van Jut vooral aan bikeshedding gaat doen, want de inhoud van zoveel systemen bewaken is een monsterklus die vooral inside knowledge vereist, en dat _kan_ gewoon niet binnen een maandje opgebouwd worden.

Koekje 3 juli 2019 10:11

Typisch management denken: 'een dure bestuursgorilla aanemen die het wel op zal lossen'. Ik denk hier vooral vanuit praktisch opzicht. Hoe kan je al deze problemen 'van bovenaf' oplossen echte security begint namelijk bij de gebruiker. Ik zeg: investeer evenredig of meer in educatie en goede tooling.

Cergorach

Beveiliging en antivirus

@Koekje • 3 juli 2019 10:32

Beveiliging begint alleen bij de gebruiker als deze gemotiveerd is hier wat aan te doen, te veel mensen zijn dat niet als werknemer en dat schiet dan ook niet op om dat alleen van de onderkant af te doen. Iemand moet van bovenaf reële regels invoeren en er op toezien dat ze correct worden geïmplementeerd. Natuurlijk zal er ook wat moeten gedaan aan gewaarwording, maar als na al die jaren van IT security zaken in het nieuws, TV/krant/internet dat nog steeds niet is doorgedrongen is wellicht een honkbalknuppel een goede investering om het erin te rammen.. ;-)

Ik zou zelfs willen zeggen dat er bij IT beheerders veel meer aan gedaan moet worden, want voor elke 'goede' beheerder zijn er 10 die nog systemen beveiligen met een wachtwoord al "Welkom1" (of varianten daarop).

Rudie_V 3 juli 2019 10:32

Een ciso is één ding, maar komt er budget om alle verbeteringen in te voeren bij de gehele overheid en wordt dat dan weer een aanbesteding waar naar het goedkoopste wordt gekeken of wordt er ook eens naar bewezen apparatuur gekeken, misschien duurder, maar bewezen dat het werkt.
En geheel in het chinabeleid, wordt chinese apparatuur dan ook uitgesloten?

PjgV 3 juli 2019 11:33

Een aantal jaren geleden, toen de overheid wakker moest worden op dit gebied, is er precies dit voorstel gedaan. Maar nee, er kwam geen overall verantwoordelijke, alle departementen gingen het zelf oplossen. Met als resultaat dat er enkele wel goed bezig zijn, maar velen nog niet. En vooral dat de samenhang ontbreekt. Wat dus ook weer veel geld kost.
Ook dit nieuwe plan kan alleen werken als die uber-CISO ook het juiste mandaat krijgt EN de departementale CISO's aan hem/haar rapporteren en komt er één minister waaraan hij/zij moet rapporteren. Nu is het een feest van afschuiven....
Maar goed we blijven hopen dat het ooit goed komt. :-)

jaenster

3 juli 2019 09:56

Er is niks mis met de beveiliging. Sterker nog. Ik heb sterk het vermoeden dat er "te veel" beveiliging is, waardoor mensen hun werk onmogelijk word gemaakt.

Zo krijgen we verschijnselen dat mensen het "maar" via hun prive mail doen, omdat het makkerlijker is. Mensen bestaan voor groot deel uit water, er zijn net als water; ze stromen in de makkelijkste route.

Basis kennis moet beschikbaar zijn mij de mensen die werken bij het rijk, stuur die mensen op cursus, ipv een hoge piet aan te nemen die de problemen gaan fixen

crazylemon @jaenster • 3 juli 2019 10:16

Maak ze ook verantwoordelijk! Dat mis ik bij veel ambtenaren en overheidsinstellingen. Ze voelen geen "pijn" wanneer ze falen om ons van dienst te zijn.

FreezeXJ @crazylemon • 3 juli 2019 14:15

Ze hebben ook geen pijn, behalve het verlies van hun baan... Heb je ooit gezien hoeveel mensen er verantwoordelijk zijn voor een kleine change? Allemaal vinden ze dat ze hun werk goed hebben gedaan, ondanks dat het totaal faalde. Hoe meer mensen er verantwoordelijk zijn, hoe minder verantwoordelijk iedereen is, volgens mij zelfs in kwadratisch verband; dus 2 verantwoordelijken voelen zich beide maar voor 1/4 verantwoordelijk ten opzichte van 1 verantwoordelijke voor het geheel. Dit proces is tot in het absurde uitgewerkt bij de overheid.

Cergorach

Beveiliging en antivirus

@jaenster • 3 juli 2019 10:26

Basis kennis moet beschikbaar zijn mij de mensen die werken bij het rijk, stuur die mensen op cursus, ipv een hoge piet aan te nemen die de problemen gaan fixen

Das imho deel van 'problemmanagement' van je support, als uit meldingen blijkt dat een medewerker (basis)kennis mist is de oplossing voor het onderliggende probleem om die kennis op te vijzelen, dat kan inderdaad een cursus zijn, maar het kan ook zo zijn dat de persoon niet op de juiste plek zit en een cursus niet gaat werken. En hoewel dat laatste minder vaak voorkomt dan dat mensen denken, komt het wel degelijk wel eens voor.

En dat hoeven echt niet alleen individuen te zijn, dat kunnen hele afdelingen zijn. Vaak zie dat er een nieuw pakket of een nieuwe versie van een pakket is ingevoerd en de begeleiding er niet of niet voldoende is geweest op de werkvloer.

Als die security op orde is kunnen gebruikers tegenwoordig ook geen bestanden doormailen naar prive email adressen zonder dat daar alerts over gaan rinkelen.