Blog: Controle versus vertrouwen

Soms lijkt er geen eind aan te komen. Daar waar gemeenten vaak al druk genoeg zijn met hun dagelijkse taken komen er ook steeds meer verantwoordingstaken bij. Zo ook op het gebied van Informatiebeveiliging. Naast de implementatie van de BIG, nu ENSIA en ook extra aandacht voor het managen van afspraken met verwerkers vanwege de implementatie van de AVG. In de tussentijd zitten de hackers in de boze buitenwereld ook niet stil. Dus dat heeft ook nog aandacht nodig. Houdt het dan nooit op, zullen sommigen wellicht verzuchten. Hoe gaan we om met de spanning tussen uitvoering van operationele activiteiten in het kader van informatiebeveiliging en het verantwoorden hierover en toezien op gemaakte afspraken? Kees Cools, hoogleraar Corporate Finance aan de Universiteit Groningen, heeft ooit een leuk boek geschreven “Controle is goed, vertrouwen nog beter”. Zou dat niet fijn zijn, als we elkaar gewoon meer gaan vertrouwen en iedereen kan doen waar hij goed in is?

Een grote verzekeraar besloot ooit om schadeclaims van reisverzekeringen af te handelen op basis van vertrouwen. Dit zorgde voor een flinke omzwaai in de manier van werken. Het fysiek inspecteren van de kapotte artikelen voor het afhandelen van de claims was niet meer nodig. Ook scheelde het opslagruimte vol met kapotte ski’s, koffers en andere reisartikelen die ook nog opgestuurd moesten worden.

Kan dat dan niet ook in de wereld van informatiebeveiliging? Misschien, maar tot nu toe is de praktijk hier weerbarstig. Hoe komt dat dan?
Het kan nog steeds beter. Gemeenten zijn druk bezig met de implementatie van de BIG. Binnen ketens is de volwassenheid van verschillende organisaties echter nog niet altijd even hoog, waarbij de keten vaak zo sterk is als de zwakste schakel. Daarnaast ontwikkelen de bedreigingen van buitenaf zich nog zo snel dat menig instantie moeite kan hebben het tempo goed bij te houden. Voorlopig zal de vraag naar controle en verantwoording dus nog alleen maar toenemen.

Is er dan helemaal geen hoop? Wellicht wel, maar misschien niet direct zoals men het zou verwachten. Vertrouwen moet eerst worden verdiend en steunt op een aantal basisprincipes. Te weten:

• Het delen van een gezamenlijk doel of normen en waarden;
• De eigen sterkten en zwakten communiceren en demonstreren. Hierdoor kunnen anderen een inschatting maken van het risico dat zij lopen en daar rekening mee houden;
• Consistent zijn in gedragingen. Onaangename verrassingen zijn de grootste killers van vertrouwen.

Deze basisprincipes komen in het kort neer op transparantie. Dit betekent dus eigenlijk meer rapporteren en communiceren.

Als transparantie zo belangrijk is om vertrouwen te kunnen krijgen waarom zijn we dat dan vaak nog niet? Wellicht is men bang voor de reacties en de bemoeienis die het op kan leveren. Organisaties die meer inzicht geven in hun informatiebeveiliging zijn doorgaans meer volwassen en durven daarom openheid te geven en zien dit als reclame voor hun eigen organisatie. Transparantie kan ook helpen om binnen de organisatie de juiste aandacht te krijgen voor informatiebeveiliging. Door transparant te zijn kan een organisatie ook laten zien dat zij groeit qua volwassenheid van informatiebeveiliging. Met die groei stijgt ook het vertrouwen van belanghebbenden en zal het “gedoe er omheen” afnemen. En dat geeft weer meer ruimte om u te kunnen richten op de kernactiviteiten binnen informatiebeveiliging.

Met ENSIA worden nuttige stappen gezet richting transparantie over informatiebeveiliging. ENSIA kan informatiebeveiligers binnen gemeenten helpen om de juiste aandacht te krijgen of behouden en zo stappen te maken in volwassenheid en vertrouwen binnen de maatschappij.

Conclusie: voor we elkaar kunnen gaan vertrouwen moeten we dat eerst verdienen. Transparantie gaat daar juist bij helpen. Doordat we te weinig rapporteren lijkt het veel werk en gedoe op te leveren. Uiteindelijk wordt door toename in vertrouwen het verstorende effect van het “gedoe er om heen” juist minder en blijft er meer tijd over om u te richten op de kernactiviteiten binnen informatiebeveiliging.

Boudewijn Cremers, Adviseur Informatiebeveiliging IBD