Grip op gemeentelijke informatiebeveiliging

/0 Reacties/in /door

informatiebeveiliging_spotlightDe ‘fundamenten’ van elektronische gegevensverwerking worden goed omschreven in het factsheet informatiebeveiliging van de Rijksoverheid: “De bestuurs- en bedrijfsprocessen van de overheid zijn vrijwel onmogelijk te realiseren zonder het toepassen van geautomatiseerde gegevensverwerking.” Die onmogelijkheid schuilt hem niet alleen meer in bijvoorbeeld de opslag van gegevens en procesondersteunende systemen, maar in toenemende mate ook in (bijna) volledig geautomatiseerde processen. Een voorbeeld van een proces dat al door veel gemeentes nagenoeg volledig geautomatiseerd wordt afgehandeld, is het opvragen van een uittreksel uit de gemeentelijke basisadministratie (GBA). Het proces is vaak zelfs heel simpel: je logt in met je DigiD en je geeft aan welk type uittreksel je nodig hebt, of ditzelfde in omgekeerde volgorde. Op de achtergrond worden je actuele en historische gegevens erbij gehaald, geverifieerd en afgedrukt op een officieel A4-documentje. Als er al handwerk aan te pas komt, dan is dat het in de enveloppe doen van de afgedrukte documenten en het incidenteel monitoren van de procesverwerking. Al jouw (persoons)gegevens worden steeds vaker door slimme koppelingen op software- en hardwaregebied aan elkaar gevlochten.

Een grote sprong voorwaarts

De toename van het aantal (privacy-gevoelige) informatie-verwerkende, geautomatiseerde processen en de toenemende mate van integratie tussen al deze processystemen zijn overtuigend bewijs van nut en noodzaak van een goede informatiebeveiliging. Versterkt en aangewakkerd door een toenemend aantal aangetoonde zwakheden in (zowel publieke als private) informatiebeveiliging – denk o.a. aan Diginotar en ING/iDeal – krijgt informatiebeveiliging de laatse jaren in toenemende mate de erkenning die het verdient, in de vorm van een toenemend aantal CISO’s (Chief Information Security Officers) en (de)centrale security officers binnen de gemeentelijke (en andere publieke) organisaties. Deze security officers krijgen te maken met een complex speelveld. Niet alleen kent de gemeentelijke organisatie als dienstverlener een omvangrijk loket, ook is de hoeveelheid privacy-gevoelige informatie welke wordt verwerkt niet gering, is de wet- en regelgeving hieromtrent volcontinu in beweging en groeit het aantal koppelingen en relaties tussen gegevens zienderogen.

Casus: de thuiswerkende medewerker burgerzaken

Stel je voor: je bent medewerker informatiebeveiliging, beleidsmaker informatiebeveiliging of security officer bij een afdeling burgerzaken van gemeente XYZ. Deze gemeente gaat mee in de trend van flexibilisering van werk en heeft besloten om (mede in het kader van toenemende bezuinigingsdruk) het nieuwe werken te gaan stimuleren, om zo het aantal werkplekken te kunnen verminderen. Immers, niet elke burgerzaken-ambtenaar behoeft elke dag aan het loket te zitten voor de afhandeling van zijn of haar taken. Daarom heeft de directie of het afdelingshoofd het voornemen, om al deze medewerkers de mogelijkheid te geven om van huis uit in te loggen – wellicht zelfs gecombineerd met de plicht om een dag per week vanuit huis te gaan werken.

Er gaan wel honderd bellen bij je rinkelen: is de integriteit van persoonsgegevens gewaarborgd als mensen vanuit huis inloggen? Is de verbinding wel voldoende beveiligd? Wat als de computer van een medewerker zelf onvoldoende beveiligd is? En is de privacy van burgers voldoende geborgd als iemand met een laptop in de woonkamer aan het werk is, en er komt visite binnen en de laptop blijft aan, open en in het zicht staan? En wat als deze laptop gestolen wordt? En… en..

Het is belangrijk om te onthouden dat u niet de enige bent die met deze vragen zit. In algemene zin is er namelijk niet alleen sprake van krijgen van grip op de situatie, ook het behouden van grip op dergelijke situaties kost tijd en inspanng. En er is geen eensluidende oplossing: in uitzonderlijke gevallen is de (bewuste) acceptatie van risico’s het enige alternatief. Wel is het mogelijk om middels een gestructureerde aanpak grip op deze situatie te ontwikkelen en middels een kleine inspanning deze grip te behouden. Dick Jense Advies kan u helpen met het krijgen van grip op informatiebeveiliging, onder andere door de volgende zaken:

  • het in beeld brengen van het kader juridisch kader van informatiebeveiliging in relatie tot betreffende processen (oa. Wbp, nieuwe GBA-wetgeving etc.);
  • Het in kaart brengen van informatiebronnen, -stromen en -koppelingen binnen de organisatie;
  • Het in beeld brengen van de risico’s en tegenmaatregelen.

Voor meer informatie over informatiebeveiliging, het verkrijgen van grip op informatiebeveiliging of een goed gesprek over ICT en overheid in algemene zin, neem vooral contact op!

Dick Jense

ICT als vierde coördinatiemechanisme

/0 Reacties/in /door

Laat ik voor de duidelijkheid beginnen met mijn mening te duiden: ik wil de organisatieprincipes van Mintzberg in geen geval tekort doen. Maar de traditionele organisatietyperingen van Mintzberg (Structure in Fives: Designing Effective Organizations – 1983), in het bijzonder de 3 coördinatiemechanismen* die volgens zijn theorie de variabelen vormen voor beschrijving van de werkelijkheid (onderlinge aanpassing, toezicht en standaardisatie), zijn naar mijn mening niet langer toereikend om een eenduidig beeld te geven van een specifiek type organisatie. De inzet van ICT op alle niveaus binnen organisaties maakt dat ik deze mechanismen in uiteenlopende vorm tegenkom binnen een organisatie, waardoor het lijkt alsof de organisatietyperingen iets te strak in hun jasje zijn komen te zitten.

Die ‘willekeurige verschijningsvorm van mechanismen’ verdienen toelichting, niet in de laatste plaats om mijn opmerking over ‘het niet tekort doen van Mintzbergs’ theorieen gestand te doen. Zonder dat we ons er bewust van zijn of het weten, kennen we allemaal wel een of meerdere van de onderstaande praktijkvoorbeelden:

  • De mailbox staat de hele dag roodgloeiend. “Kun je voor mij even…” of “Zou je alsjeblieft…” en “Gaarne zo snel mogelijk reageren”. Van ontkoppelde communicatie is allang geen sprake meer – reageer je niet nog dezelfde dag op een e-mail, dan kun je zelfs boze reacties verwachten.
  • Ons werk wordt afgedwongen door een veelheid aan systemen en het komt ‘als vanzelf’ bij ons binnen. Facturen aanmaken of goedkeuren in het ERP-systeem, klantgegevens invullen in het CRM-systeem etcetera. Notificaties en kattebelletjes om je eraan te herinneren komen in je e-mailbox binnen. Je bent volledig ‘in touch’ en ‘in control’.
  • De mobiel (al of niet van de zaak) staat nooit stil. We ontvangen er – zowel zakelijk als prive – telefoon, e-mail en SMS op. Met de opkomst – voor zover dit niet al een gepasseerd station is – van sociale media i.c.m. het toenemend gebruik van smartphones, wordt deze informatiestroom alleen maar breder. Berichten van en uit onze omgeving komen als een waterval van informatie over ons heen.

En ja, je komt het echt overal tegen. Een ervaringsvoorbeeld. Onlangs zag ik rioolontstoppers in de straat met een kolkzuigwagen het riool leegzuigen. Mijn aandacht werd getrokken door de man in vuile oranje overall, schuin achter de wagen, die een tablet-achtige device in zijn handen had. “Goedemiddag mijnheer, mag ik u vragen wat dat apparaat voor u doet?”, vroeg ik de man – ik kan mijn interesse voor techno-gadgets en nieuwe ontwikkelingen nu eenmaal niet voor me houden. “Goeiemiddag meneah,” reageerde de kolkzuigerbediener in vloeiend Haags, “tuulijk mag dat. Hier kennik zien hoeveel bagger dat we opzuige, op welleke tijd en bij welleke riooluitgang precies dat we zijn.” Ik keek over zijn schouder mee op de tablet. Ik realiseerde me ter plekke en tot mijn eigen verbazing dat de noodzaak om informatie over de combinatie van fecalien en slecht-verteerbare multi-reinigingsdoekjes te verzamelen, nog nooit in me was opgekomen. “En het mooie is,” vervolgde de man zijn verhaal, “de baas ken ’t gelijk in z’n eigen systeempie terugvinden”. Ik voelde mezelf van binnen gloeien. Tot aan dat moment in mijn leven dacht ik dat ik het – in tegenstelling tot mijn ouders – nooit meer zou meemaken dat er technologie en informatie zo dicht bij mij (en misschien wel over mij) in onbekendheid aan me voorbij trekt…

Ik zal hier niet beweren dat de goede man ook een telefoon van de baas op zak heeft of zich erg druk maakt om zijn mailbox (als hij die al heeft), maar hij vormt wel degelijk een cruciale schakel binnen de informatievoorziening. En ook voor deze man bepaalt de technologie ongetwijfeld zijn ‘werk-ritme’: hij zal op gezette tijden bij verschillende riool-putten moeten zijn om onze stoelgang ongebreideld en zonder overlast doorgang te verlenen. Hoe anders zal dit tien jaar geleden zijn gegaan. Ik stel mij een voorman voor, die ’s ochtends met een dampend plastic bekertje vol koffie de mannen zijn instructies geeft. Zou die voorman nog wel werk hebben? Of is het die voorman van toen, die na een of meerdere bijscholingscursussen de rioolontstoppingsdata achter een bureau real-time analyseert? En wat doet nu de man of vrouw die tien jaar geleden de planning voorbereidde?

Enfin, ik merk dat ik moeite heb om de verschillende functies binnen de riool-ontstoppingsdienst gelijkvormig te duiden, zoals Mintzberg dit in 1983 zo helder en eenduidig kon. Niet omdat ik niets kan zeggen over de mate van standaardisatie, de wijze van coördinatie of onderlinge aanpassing binnen deze organisatie, maar meer omdat ik ze, filosoferend over de riool-ontstoppingsdienst en moderne organisaties in het algemeen, op verschillende werkplekken en niveaus in wisselende vorm tegenkom. Het gebruik van ICT is een coördinatie mechanisme op zichzelf geworden binnen mini-organisaties, gerund door het individu. Wat we met elkaar delen is de vaardigheid om onze individuele coördinatiemechanismen op elkaar aan te laten sluiten en ons werk-ritme gelijk te schakelen, op zo’n manier dat we allemaal ons werk zoveel mogelijk zelfstandig kunnen blijven uitvoeren. ICT en informatiemanagement zijn daarin, zo blijkt wel uit dit voorbeeld, een onmisbaar onderdeel van onze dagelijkse praktijk geworden.

* Mintzberg benoemt in totaal 5 mechanismen: onderlinge aanpassing, direct toezicht, standaardisatie van werkprocessen, standaardisatie van vaardigheden en standaardisatie van resultaten. Ik heb de verschillende vormen van standaardisatie in de context van dit betoog samengevoegd tot ‘standaardisatie’.

8-9-2010: Update – toelichting op mijn interpretatie van de coördinatiemechanismen toegevoegd. Met dank aan Robert Kiemel.