Inloggen Geen profiel? Registreer hier.

I-monitor: ICT-maturiteit bij lokale besturen

Auteur Bericht
Onbekende Gebruiker
#1 — 01/06/2016 09:38
Ik ben consulent informatieveiligheid voor een aantal besturen.

Een tijdje terug kreeg ik de vraag van die besturen wat ze moesten antwoorden op een mail vanuit V-ICT-OR "Informatieveiligheid - inventarisatie" waarin zij de besturen bevragen naar het aan-/afwezig zijn van:

- Een informatieveiligheidscel
- Een informatieveiligheidsplan
- Een informatieveiligheidsconsulent

Met daarbij een link naar een pagina over de software catalogus, als zijnde context waarin deze bevraging plaats vindt.

Als kritische consulent informatieveiligheid vraag ik mij dan af in welke mate dit proportioneel is met de dienstverlening die de bevragende organisatie biedt. Mijn persoonlijke mening hierover is dat V-ICT-OR, en elke andere organisatie, niet kan verwachten dat een bestuur uit de losse pols en zonder nuance aangeeft of zij goed of slecht bezig zijn met informatieveiligheid. Een lijst met besturen die het niet goed doen, is een mooi geschenk voor commerciële organisaties en misschien wel de pers.
Mijn advies aan de besturen is dan ook geweest om niet op de bevraging in te gaan, ook al doen we het prima op het gebied van informatieveiligheid.

Wat blijkt nu, als introductie van de ISO-tool van V-ICT-OR en in de aankomende sessie van CIPAL rond I-Monitor worden de resultaten van de bevraging wel erg 'gekleurd'/biased voorgesteld. Ik wil graag nuanceren dat een bestuur dat niet antwoordt op de bevraging niet de facto 'slecht bezig is met informatieveiligheid' en andersom, een bestuur dat op elke vraag ja kan antwoorden (al dan niet terecht) is niet de facto 'goed bezig met informatieveiligheid'.

Deze aannames worden blijkbaar wel gedaan, deze conclusies worden zonder meer getrokken en gecommuniceerd naar de buitenwereld. De lijst met besturen en hun antwoorden op de bevraging werd plots nog interessanter: besturen die niet antwoorden, worden ook aanzien als hulpbehoevend en de lijst met leads wordt langer.

Een inventarisatie/meting vanuit de overheid vind ik prima. Bij een bevraging met doelen anders dan enkel te meten, vind ik dat besturen het recht hebben niet te antwoorden, zonder daarbij het label 'slecht bezig' opgeplakt te krijgen.
 
x 1
Eddy Van der Stock V-ICT-OR Lid
Posts
57
Organisaties
V-ICT-OR vzw, VlaVirGem en Buyit2
#2 — 06/06/2016 16:08
Beste "J V",

Naar aanleiding van bovenstaande publieke forumpost reageren we graag even omdat door u een aantal zaken - wellicht per vergissing - door elkaar gehaald worden. We raden u dan ook aan onze communicaties ten gronde te lezen.

In de eerste paragraaf heeft u het over de mailing die is verstuurd vanuit V-ICT-OR om inzicht te krijgen in de situatie van informatieveiligheid bij de lokale besturen. Wij verzamelen die informatie in functie van het project ‘samen het interbestuurlijk gegevensverkeer verbeteren’. Dit is een gezamenlijk project van VVSG, Informatie Vlaanderen (Vlaamse overheid) en V-ICT-OR. Dit is dus de context waarin deze bevraging heeft plaats gevonden, meer bepaald in functie van de vooropgestelde indicatoren 4 en 5 die ons door de Vlaamse overheid zijn opgelegd rond informatieveiligheid. Meer info over dit project vindt u hier op deze plaats

De resultaten van deze rondvraag dienen niet om een waarde-oordeel te vellen over besturen of zij al dan niet goed bezig zijn, maar om in functie van de vooropgestelde indicatoren objectief in kaart te brengen welke besturen al dan niet over een informatieveiligheidsconsulent, een informatieveiligheidscel en / of een informatieveiligheidsplan beschikken. Bovendien werd de verwerking van de resultaten vertrouwelijk behandeld en genuanceerd waar nodig (bv. bij die besturen die plannen hebben op vlak van informatieveiligheid, werd dit meegenomen in de resultaten). 

Naast het voornoemde project ‘samen het interbestuurlijk gegevensverkeer verbeteren’, klopt het dat er parallel nog andere initiatieven lopen, zoals bv. de presentatie van de resultaten van de I-Monitor, waar ook gepeild is naar informatieveiligheid. De verwerking van die resultaten gebeurt door Informatie Vlaanderen en over de communicatie daaromtrent worden afspraken gemaakt tussen de verschillende partners (Informatie Vlaanderen, VVSG en V-ICT-OR). De resultaten die gepresenteerd worden, gebeuren op basis van de informatie die de besturen zelf konden aanleveren in functie van de bevraging van de I-Monitor. Ook in die verwerking van de resultaten wordt geen waarde-oordeel geveld. In de publicatie van de resultaten van de I-Monitor die binnenkort ter beschikking wordt gesteld is in het methodologische luik ruim voldoende aandacht besteed aan de responsgraad en de manier waarop resultaten verwerkt worden. Deze publicatie wordt voor de zomer ter beschikking gesteld. 

We herhalen ook nog eens dat we geen waarde-oordelen vellen en in functie van de voor ons opgelegde indicatoren informatie verzamelen, verwerken en analyseren maar ook om onze dienstverlening naar de lokale besturen te verbeteren. 

U zal als kritische veiligheidsconsulent het ons als kritische ledenorganisatie, niet kwalijk nemen dat wij de besturen - vanuit onze opdracht - hun ogen voor veiligheid willen laten opengaan. Uiteraard dienen besturen niet te antwoorden en zijn besturen die niet antwoorden niet per definitie slecht bezig, dit hebben we ook nooit beweerd. Het is dan ook jammer dat u dit zo weergeeft want deze besturen zijn niet in het minst "leads" voor onze organisatie.

Wij hopen dat u het ons niet kwalijk neemt wanneer we alle besturen en de centrale overheid kritisch helpen kijken - vooral vanuit het bestuur zelf(!) - naar informatieveiligheid. Het zijn immers de verantwoordelijken van de besturen zelf die hierbij hun volle verantwoordelijkheid dienen op te nemen en voor zichzelf dienen na te gaan of ze al of niet goed bezig zijn met informatieveiligheid. Dat dit gebeurt in samenwerking met hun intern informatieveiligheidsteam en de -consulent (als adviseur), is voor ons een must. Het is dan ook betreurenswaardig dat heel wat besturen veiligheid louter als een "check in the box" zien zodra ze een veiligheidsconsulent hebben, die af en toe zijn rondje doet, en daarmee het hoofdstuk informatieveiligheid als "voldaan" beschouwen. 

De tools, de opleidingen van meer dan honderd veiligheidsconsulenten, de kennisdagen, de webinars, enz ... die wij ter beschikking stellen zijn één voor één bestemd om de besturen bewust te maken en hen te helpen om hen op een hoger niveau te brengen binnen het informatieveiligheidsdomein. Wij hopen dat u dit niet erg vindt. Het is een taak, door onze doelgroep opgelegd, die we reeds sinds 2001 in diverse werkgroepen opnemen. Het belang dat wij er aan hebben is dus niet financieel maar het feit dat lokale besturen veiliger zullen omgaan met hun informatie - niets meer, maar ook niks minder.

Dus als u samen met ons een interventie van de overheid prima vindt, dan streven wij als koepelorganisatie van mensen uit de lokale besturen hetzelfde doel na. Alvast bedankt om de aangehaalde nuances te bekijken in functie van uw bovenstaande post.

Mochten er nog onduidelijkheden en/of vragen zijn over de diverse initiatieven en instrumenten die ter beschikking worden gesteld ten dienste van de lokale besturen, kunt u deze steeds richten naar info@v-ict-or.be of mail gerust naar mij ...
 
x 1