Transparant verantwoorden over de normenkaders bij het Ministerie van Financiën

Van taak gestuurd naar norm gebaseerd aantoonbaar In Control op Informatieveiligheid. Dat was de wens van het Ministerie van Financiën. Jethro van Dorp is ruim 20 jaar cybersecurity expert en begeleidt in zijn rol als projectmanager de uitrol van het ISMS project binnen het Ministerie van Financiën. Het Ministerie van Financiën is bekend om zijn Miljoenennota, de Belastingdienst en zijn Rijksauditors. Voor o.a. de boekhoudafdeling, het Agentschap, Domein Roerende Zaken en de Audit Dienst Rijk wordt het Key Control Dashboard gebruikt om aan te tonen en te verantwoorden of zij In Control zijn op het gebied van Informatiebeveiliging en Privacy.

Klant

Ministerie van Financiën

Ministerie van Financiën logo

Markt

Overheid, Openbare Veiligheid & Non-profit

Publicatiedatum

8 maart 2021

Ministerie van Financiën logo

Transparant verantwoorden over de normenkaders

Wat was de aanleiding dan wel wens?

Voordat het Key Control Dashboard werd geïnstalleerd, maakte het Ministerie van Financiën gebruik van Kanban borden voor haar ISMS. Verantwoording op het gebied van privacy werd via diverse rapportagevormen gedaan. De werkwijze was vooral taakgericht en ad-hoc. Audits leidden vaak tot inefficient en ad-hoc werk. Een auditor kijkt of er wordt voldaan aan normen en maatregelen, niet zozeer naar taken. Taak gestuurd werken hoort bij een bepaalde mate van volwassenheid, terwijl het Ministerie van Financiën op zoek was naar meer inzicht en een duurzame plan-do-check-act cyclus.

In de voormalige situatie werd het Kanban bord vooral door de afdeling ICT gebruikt. Traditioneel gezien is informatiebeveiliging en het voldoen aan de BIO (Baseline Informatiebeveiling Overheden), ICT gedreven. Terwijl dit vooral ook een businessverantwoordelijkheid zou moeten zijn. Dat geldt tevens voor de verantwoording over de mate waarin voldaan wordt aan de AVG. Door activiteiten en verantwoording bij ICT te houden en niet binnen de organisatie te beleggen, ontbreekt organisatiebreed draagvlak en is de accountability onvoldoende belegd. Het Ministerie van Financiën was toe aan de volgende stap naar volwassenheid. Dit was dan ook de reden voor de selectie van de Key Control Dashboard tooling.

Met het Key Control Dashboard is een decentrale inrichting binnen de diverse onderdelen van het Ministerie van Financiën nu geborgd, waarbij o.a. informatiebeveiligingscoördinatoren uit de primaire processen, leveranciersmanagers op de belangrijkste leveranciers, maar ook assetowners hun rol pakken en zich zelfstandig verantwoorden voor hun set controls uit de BIO. De Data-coördinatoren en de Privacy Officer verantwoorden zich over de ISO 27701 gebaseerde controls. Dankzij het Key Control Dashboard ligt de verantwoording over alle controls voor de kritieke processen, systemen en (privacy gerelateerde) informatie op één gestructureerde en centrale plek vast. De uitvoering van de ISMS / PIMS processen gebeurd door en met de hele organisatie. Met het Key Control Dashboard heeft het Ministerie van Financiën een tool die deze procesvolwassenheidstap ondersteund en het echt centraal sturen op informatieveiligheid en privacy borgt.

Wat was de oplossing?

Wat er nu anders gaat door het gebruik van het Key Control Dashboard, is dat alle betrokkenen binnen het Ministerie van Financiën niet meer vanuit een takenlijst werken, maar dat norm gebaseerd wordt gewerkt met real-time inzicht in de status als gevolg. Dit betekent nog steeds dat er taken uitgevoerd worden, maar die taken dragen bij aan een norm, score en een juiste dossieropbouw. Tijdens de implementatie heeft het Key Control Dashboard team veel tijd gestoken in het leren kennen en het begrijpen van de structuur binnen het Ministerie van Financiën. Wat heeft bijgedragen aan een juiste en effectieve inrichting.

Het Key Control Dashboard werkt met zogenoemde bakjes die vertellen hoe een organisatie georganiseerd is. Gezamenlijk is er gekeken naar de verantwoordelijkheden zoals die binnen het Ministerie van Financiën zijn belegd, en de bakjes zijn hierop aangepast. Het was een actief samenspel waarbij medewerkers de software en de filosofie leerden begrijpen van het Key Control Dashboard en het Key Control Dashboard team leerde hoe het Ministerie van Financiën georganiseerd is en wat de mate van volwassenheid was. Het Key Control Dashboard team stond open om te leren en te analyseren hoe het Ministerie van Financiën een eerste volwassenheidsstap kon maken, zonder direct alles te willen bereiken. Een gefaseerde aanpak zorgde voor een haalbare ambitie en draagvlak binnen de organisatie. Het Key Control Dashboard team heeft hier heel goed in meegedacht.

Hoe is de situatie nu?

De komende periode gaat de organisatie verder met perfectioneren en profesionalisseren. Het is een groeitraject dat een aantal jaren gaat duren om het optimale volwassenheidsniveau op Informatieveiligheid en Privacy te bereiken, maar vooral ook te behouden. Het is daarbij belangrijk dat een ieder binnen het Ministerie van Financiën de haalbaarheid inziet en blijft inzien. De Key Control Dashboard oplossing is pragmatisch, flexibel en het team geeft ruimte aan individuele wensen of meningen, maar altijd met het oog op de organisatiedoelstellingen. Met het Key Control Dashboard heeft het Ministerie van Financiën feitelijk meer een dienst gekocht dan puur een software oplossing. De komende periode gaat de uitrol van nieuwe sets van normen leiden tot nieuwe behoeftes. Het Key Control Dashboard team ontzorgt en doordat we direct kunnen schakelen en vragen en behoeftes kunnen invullen, wordt het draagvlak en gebruikersacceptatie binnen de organisatie verder verhoogd. Aldus Jethro van Dorp projectleider.

Waarom heb je voor Key Control Dashboard gekozen?

In de basis is het Key Control Dashboard een flexibele tool die doet wat het moet doen op effectieve wijze. Het ministerie was niet alleen op zoek naar software dat alles kan, een generieke speeltuin. Er was vooral behoefte aan een platform dat optimaal aansluit op de BIO en AVG en de volwassenheid van de organisatie.