Zo hielp BDO een gemeente op het gebied van informatiebeveiliging
Zo hielp BDO een gemeente op het gebied van informatiebeveiliging
Veel organisaties kennen BDO als accountancykantoor, maar dat is slechts een onderdeel van onze dienstverlening. Dit beeld bestond ook bij een gemeente waar BDO al jaren de jaarrekening controleerde. De gemeente had verschillende uitdagingen op het gebied van informatiebeveiliging en privacy. Ze besloten het team waar (senior) managers IT Risk Assurance Jarno Smit en Daniëlle Valk onderdeel van uitmaken in te schakelen voor twee interessante opdrachten.
“Vanuit verschillende onderdelen van de organisatie kwamen signalen dat de organisatiestructuur van informatiebeveiliging niet optimaal was ingericht”, legt Daniëlle uit. “Hoewel de privacyaspecten in de basis in orde waren, waren er verbeterpunten. Onze eerste opdracht was om in kaart te brengen hoe de organisatiestructuur op het gebied van informatiebeveiliging en privacy was opgezet.”
De eerste opdracht: een concrete rapportage
“We begonnen met het interviewen van verschillende mensen binnen de gemeente, zoals de Chief Information Security Officer (CISO), de Functionaris voor Gegevensbescherming en de controller. Vervolgens voerden we ook gesprekken met diverse informatiebeveiligingsfunctionarissen en teamleiders”, legt Daniëlle uit.
Jarno voegt hieraan toe: “Het was belangrijk om de input direct binnen de organisatie zelf op te halen om het verbeterpotentieel te identificeren. We wilden niet zomaar een geweldig idee uit een boekje implementeren, maar juist iets creëren dat naadloos aansloot bij de organisatie. Het persoonlijke gesprek aangaan was essentieel."
In de interviews werd gefocust op governance, de praktische uitvoering van taken en verantwoordelijkheden, de optimale bezetting voor het informatiebeveiligings- en privacyteam en de manier waarop dit team rapporteert naar de rest van de organisatie. “De uitkomsten van de interviews hebben we uitgewerkt in een concrete rapportage, waarbij we adviezen gaven zoals het opstellen van een matrix waardoor taken en verantwoordelijkheden eenvoudiger in kaart worden gebracht. Daarnaast hebben we de visie en planvorming op het gebied van informatiebeveiliging en privacy beoordeeld waarin we specifiek hebben gekeken of deze aansloten op de algemene (informatiserings-) visie en strategie van de gemeente.”
De tweede opdracht: een overkoepelend informatiebeveiligingsbeleid
Daniëlle gaat verder met de tweede opdracht: "Op het gebied van governance zien wij vaak overheden worstelen met het opstellen van een overkoepelend informatiebeveiligingsbeleid. Ook bij deze organisatie kwam de vraag naar voren aan welke voorwaarden een goed informatiebeveiligingsbeleid moet voldoen. Dit onderwerp kwam steeds terug in verschillende audits en het huidige beleid bleek sterk verouderd te zijn. “De aanpak die wij bij deze opdrachten hanteren is dat wij er bewust voor kiezen om het beleid zelf te actualiseren en niet gewoon een voorbeeldbeleid te pakken. Het is essentieel dat zo’n belangrijk document door de gehele organisatie wordt gedragen. Hiervoor hebben we functionarissen vanuit verschillende lagen van de organisatie geïnterviewd, van directie tot teamleiders tot functionarissen die dagelijks met informatiebeveiliging bezig zijn.”, blikt Daniëlle terug.
Het BDO-team kon hierdoor hun behoeften meenemen in het nieuwe beleid. Ook namen ze de brede ervaring van BDO bij andere gemeentes mee. “We leverden uiteindelijk een overkoepelend informatiebeveiligingsbeleid op gebaseerd op de situatie van de betreffende gemeente.” Hierbij fungeerde het team als een verlengstuk van de CISO. Ze brachten kennis en expertise in bij vraagstukken, zonder BDO-branding.
Binnen deze opdracht lag de focus op digitaal management en governance, de ICT-voorwaarden en de visie en strategie van de digitale bouwstenen. BDO werkte nauw samen met de gemeente om hen te helpen bij hun digitale transformatie en hen te voorzien van de benodigde expertise en advies.