"Informatiebeveiliging verdient veel meer aandacht"

Interview Strategie en beleid Automatisering
Gepubliceerd op 08 september 2023

Door Yvette Hazebroek

Jeroen Gillissen is Chief Information Security Officer (CISO) bij ZB: de Openbare Bibliotheek in Middelburg en Vlissingen en de POI en Wetenschappelijke Steunfunctie voor Zeeland*. In het licht van het sterk groeiend aantal (cyber)incidenten zoals recentelijk bij Bibliotheek Rotterdam wordt Jeroens vakgebied steeds belangrijker. 

*ZB is de Openbare Bibliotheek in Middelburg en Vlissingen en de Provinciale Ondersteuningsinstelling (POI) en Wetenschappelijke Steunfunctie voor Zeeland. ZB is adviseur, levert diensten en ontwikkelt producten voor onderwijs, bedrijfsleven, bibliotheken, instellingen en particulieren in Zeeland.

**De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Voorheen had iedere overheidslaag zijn eigen baseline, nu is er met gezamenlijke inspanning één BIO voor de gehele overheid.

Wat houdt jouw functie in?

‘Ik ben als CISO verantwoordelijk voor het informatiebeveiligingsbeleid en aanspreekpunt binnen de organisatie over dit onderwerp. Ik adviseer het MT over te nemen beveiligingsmaatregelen en rol dit daarna, samen met mijn ICT-collega’s, uit. Ik breng ook beveiligingsrisico’s in beeld en zorg voor bewustwording bij alle medewerkers. Voor de bibliotheken in Zeeland werk ik als systeembeheerder en zij kunnen mij ook inschakelen als CISO.’

Interview Informatiebeveiliging Jeroen Gillissen
Jeroen Gillissen

Dat is een flink takenpakket! Hoe ben je hier zo in gerold?

‘Dat klopt. ZB neemt informatiebeveiliging en privacy heel serieus. Ik werkte bij ZB al als ICT-medewerker en in 2018, toen de Algemene Verordering Gegevensbescherming (AVG) actief werd, vroegen ze mij om dit op te pakken. Ik vond het een mooie uitdaging. Ik ben cursussen gaan volgen en doe dat nog regelmatig. Overigens werk ik 18 uur als CISO en de overige 18 nog als ICT-medewerker.’

Wat viel jou als eerste op in jouw nieuwe rol?

‘Het is een ontzettend breed vakgebied en je moet als CISO van heel veel dingen wat afweten. Ook bleek al snel dat je goed politiek moet kunnen bedrijven en goed met mensen om moet kunnen gaan. Je moet goed ideeën kunnen uitdragen en uitleggen waarom je iets wil. Het kan zijn dat medewerkers door een initiatief hinder ondervinden in hun werk of dat ze erg moeten wennen aan de nieuwe manier van werken. Dan moet je wel goed duidelijk kunnen maken waarom een bepaalde maatregel noodzakelijk is en ze er eventueel in begeleiden. Maar als CISO heb ik een adviserende taak. Het is aan onze directie of die van bibliotheken of ze erin meegaan.’

Is sinds jouw aanstelling iets wezenlijks veranderd voor jouw collega’s?

‘Ik denk dat collega’s veel bewuster omgaan met persoonsgegevens. Er wordt meer naar ons als ICT-medewerkers gecommuniceerd als er wat aan de hand is, bijvoorbeeld bij phishingmails of een datalek.’

Wat is het verschil tussen een CISO, PO en FG?

‘De CISO bepaalt het informatiebeveiligingsbeleid en zorgt voor de uitvoering en naleving ervan. De Privacy Officer (PO) is verantwoordelijk van het ontwikkelen en samen met verantwoordelijken uitvoering geven aan het privacybeleid. De Functionaris Gegevensbescherming (FG) is de persoon in een organisatie die toezicht houdt op de toepassing en naleving van de AVG en het interne privacybeleid. Daarnaast heeft de FG een breed takenpakket, waaronder het creëren van privacybewustwording in de organisatie en het actief betrokken zijn bij de wijze waarop de organisatie omgaat met gegevens. Het allerbelangrijkste is om goed met elkaar samen te werken en te communiceren. Bij de ZB hebben we geen PO maar wel een FG. We zijn tegelijkertijd aangenomen en hebben samen protocollen en procedures opgesteld. We zorgen voor de naleving ervan en geven workshops om uit te leggen wat de AVG inhoudt en wat informatiebeveiliging daarmee te maken heeft.’

Bibliotheken kunnen jou ook inzetten als CISO. Wat houdt dat werk in?

‘Bewustzijn heeft daarbij een hoge prioriteit, maar ook het zorgen voor beleid, procedures en protocollen. Deze onderwerpen waren lang een ‘ver van ons bed-show’ voor bibliotheken, maar recente gebeurtenissen laten wel inzien dat dat niet terecht is. Bibliotheken zien nu in dat het ook bij hun kan gebeuren, dat toont de situatie in Rotterdam wel aan.’

Wat is bij zo’n incident het belangrijkste voor de bibliotheek om te doen?

‘Aan de ene kant moet je er alles aan doen om een incident te voorkomen. Hierbij helpt bewustzijn bij alle medewerkers. Daarnaast moet je weten hoe weerbaar je bent als het je dan toch overkomt en hoe je de impact ervan zoveel mogelijk beperkt. Zorg bijvoorbeeld voor een goede back-up van systemen en data zodat de dienstverlening zo snel mogelijk hervat kan worden. Als er sprake is van een ransomwarebesmetting, isoleren van netwerk (gedeelte) en pc(s), ook belangrijk om nog forensisch onderzoek te kunnen doen, indien je kennis niet zelf in huis hebt dan externe leverancier inschakelen voor hulp en advies, licht de managers en bestuurders in, zorg voor communicatie naar medewerkers en klanten, blijf dit ook doen tijdens de eventuele hersteltijd. Indien nodig een melding bij Autoriteit Persoonsgegevens en politie doen, spreek af wie wat communiceert. Maar dat moet je allemaal sowieso in de praktijk een keer geoefend hebben en duidelijk op papier hebben staan.’

Wat is bij zo’n incident het voordeel van een CISO in huis hebben?

‘Dat je een aanspreekpunt hebt, iemand die de regie neemt en mensen kan aansturen wat ze moeten doen. Dat houdt in dat een CISO de juiste contacten kan leggen als er herstelwerk moet plaatsvinden, bijvoorbeeld wanneer iets kapot of beschadigd is of er is helemaal geen data beschikbaar. Je kunt je zo goed mogelijk er tegen proberen te beschermen, maar dat het nooit gebeurt durf ik niet te zeggen.’

Niet elke bibliotheekorganisatie is in staat om zelf een CISO aan te stellen. Wat is hierbij jouw tip?

‘Kijk of partnerbibliotheken daar al wat mee hebben gedaan en of je erbij kunt aansluiten. Dat kan vooral financieel aantrekkelijk zijn. Of kijk naar een externe ICT-dienstverlener in de buurt die dat ook aanbiedt (CISO As A Service).’

Wat zijn uitdagingen waar jij in je werk voor komt te staan?

‘De uitdaging is goed in beeld hebben wat je wil verbeteren en dat aan de directie kunnen adviseren zodat ze het aannemen en dat het vervolgens geaccepteerd wordt door de medewerkers. Je moet het allemaal wel goed onderbouwen. Het gevaar schuilt erin dat de bibliotheekbranche cybercriminaliteit niet serieus genoeg neemt. Regelmatig hoor ik nog wel de opmerking: ‘Een bibliotheek is toch niet interessant voor een cybercrimineel? Een bank is interessanter’. Maar we zijn een openbare instelling waar iedereen naar binnen kan en gebruik kan maken van onze ict-faciliteiten, dus het heeft zeker de aandacht nodig. Maar de verantwoordelijkheid voor informatiebeveiliging en privacy ligt uiteindelijk bij de bibliotheken zelf. Wij hebben een adviserende rol.’

Wat moet een bibliotheek ten minste geregeld hebben op het gebied van techniek voor informatiebeveiliging?

‘Je moet in beeld hebben wat belangrijk is voor je informatiebeveiliging en wat je minimaal geregeld moet hebben en wat de risicogebieden zijn. Wat daarbij kan helpen zijn de ISO normen 27001 en 27002 voor informatiebeveiliging, maar ook bijvoorbeeld het normenkader van SURF en de BIO (Baseline Informatiebeveiliging Overheid**).’

‘Al vaker genoemd, maar wat belangrijk is is zorgen voor bewustwording bij de medewerkers. Dit kun je oppakken door te beginnen met een 0-meting, dan weet je het huidige niveau en heb je informatie wat je moet verbeteren. Zorg voor gebruik van sterke wachtwoorden van minimaal 14 karakters. Gebruik multifactor authenticatie, autorisatie op ruimtes in het gebouw, antivirus op werkplekken en servicebalie en beveiliging van het werkstation. Zorg dat je regelmatig updates installeert. Doe af en toe een penetratietest; hoe vatbaar ben je voor een cyberaanval, waar zitten je zwakke plekken, wat moet je verbeteren? Dat kun je een externe partner laten doen. Als daar iets uitkomt, kun je dat gericht verbeteren. Dat moet je regelmatig doen, zodat je ziet wat het effect is van de verbeteringen. Ik zou aanraden dat toch eens per 2 jaar te doen, als dat financieel haalbaar is. Zorg voor netwerksegmentatie: aparte stukjes netwerk creëren zodat als er iets gebeurt het niet of moeilijk kan overslaan naar een ander stuk van het netwerk. Bepaal wat iemand nodig heeft om te kunnen werken en geef hem die alleen díe rechten – dus niet al die extra’tjes in Windows bijvoorbeeld. En zorg voor goede back-ups op meerdere plekken bewaard.’

“De bibliotheek is een openbare instelling en kan dus  aantrekkelijk zijn voor cybercriminelen. Maar je kunt je ertegen beveiligen.”
Jeroen Gillissen

Chief Information Security Officer (CISO)

Wat moeten wij als branche niet uit het oog verliezen?

‘We moeten zo veilig mogelijk met persoons-, klant- en bedrijfsgegevens omgaan en voldoen aan de AVG. Maar het moet voor de medewerkers wel duidelijk en werkbaar blijven (Taalhuis / IDO) en voor de klant klantvriendelijk. We moeten alles in staat stellen om zo veilig mogelijk te werken, maar de manier van werken wel in de gaten houden.’

En wat zie jij als kansen voor de branche?

‘Het zorgen voor een basisnormenkader informatiebeveiliging voor Bibliotheken, zodat we als bibliotheken gezamenlijk naar een basis volwassenheidsniveau toe kunnen werken. Die is er natuurlijk al voor overheidsinstanties en die kun je als basis gebruiken en verder uitwerken specifiek voor de bibliotheek organisatie.’