Blogs
& video

BIO hulp voor CISO’s van overheidsinstellingen

De Baseline informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Dat er één kader is wat geldt voor de gehele overheid is goed nieuws. Het beleid kan daarmee gemaakt worden en overheden zijn op deze manier ook veiliger onderling verbonden. De CISO (Chief Information Security Officer) is hiervoor verantwoordelijk. Maar na het opstellen van beleid begint het werk rondom informatiebeveiliging pas echt. Daar biedt Rubicon graag hulp bij aan. Drie voorbeelden:

Voorbeeld 1: hulp bij toegangsbeleid

Een voorbeeld. Conform BIO H9.1 dient een toegangsbeleid te worden bepaald. Voor wat betreft accounts, wachtwoorden en meervoudige authenticatie is dat bij de meeste overheden voldoende geregeld. Maar in de BIO staat ook dat enkel geauthentiseerde apparatuur verbinding mag maken met een vertrouwde zone. CISO’s zullen dus aantoonbaar moeten maken dat bijvoorbeeld Microsoft 365 te duiden is als een vertrouwde zone. Men voldoet alleen aan de BIO als er van Microsoft en Azure diensten gebruik wordt gemaakt door apparaten die in eigen beheer zijn.

Die uitdaging lossen we op door de inzet van Mobile Device Management, maar we doen meer. We kunnen dit ook verzorgen voor alle externe SaaS diensten en het Rijksweb. Door alle authenticatie centraal te beheren en te loggen kan zo ook worden voldaan aan BIO H12.4; verslaglegging en logging.

Voorbeeld 2: hulp bij het classificeren van informatie

Conform H8.2 van de BIO 1.04 is er eerst een informatieclassificatie beleid bepaald. Op basis van dit beleid wordt bepaald of en hoe vlottende data in de cloud kan en mag worden verwerkt.

Uitgaande van Microsoft 365 met E5 licenties bieden we op het gebied van dataclassificatie onder andere het volgende:

  • Tools voor het vinden van en rapporteren over documenten die specifieke labels zouden moeten krijgen binnen Microsoft 365 of on-premise fileservers.
  • Tools voor automatisch of interactief labelen van informatie (Office en PDF documenten, Teams en Exchange mail data).
  • Tools voor encryptie en descriptie van informatie op basis van context waarbij het sleutelbeheer desgewenst in eigen beheer kan worden genomen.
  • Technische mogelijkheden die het oneigenlijk delen van informatie buiten de organisatie voorkomen (Data Loss Prevention).

Daarnaast bepaalt het Informatieclassificatie beleid ook welke data niet in de cloud verwerkt mag worden, zoals staatsgeheime informatie.

Voorbeeld 3: Hulp bij het monitoren en auditen van het beleid

Het beleid bepaal je als CISO samen met het management, maar natuurlijk kunnen we daar een adviserende rol bij hebben. Bijvoorbeeld door periodieke rapportages over de beveiligingsstatus van de omgeving te delen, actuele bedreigingen op te merken en advies te geven om deze te mitigeren.

BIO hulp nodig?

Informatiebeveiliging en een veilige werkomgeving realiseren vraagt om veel inspanning. Als we daarbij kunnen helpen neem dan vrijblijvend contact met ons op.