Zorg dat jouw werkplekken voldoen aan de BIO

Sinds januari vorig jaar kennen alle overheidsorganisaties één gezamenlijke basisnorm voor informatieveiligheid: de Baseline Informatiebeveiliging Overheid (BIO), gebaseerd op ISO 27001 en 27002. Deze nieuwe norm vervangt BIG, BIWA, IBI en BIR die respectievelijk golden voor gemeenten, waterschappen, provincies en het Rijk. De BIO moet de informatiesystemen bij alle bestuurslagen en bestuursorganen van de overheid beschermen. Maar hoe hanteer je de BIO als je de transitie wilt maken naar de moderne werkplek? SoftwareOne dook in de regelgeving en koppelde aan elke norm een technische functionaliteit of oplossing.

“Was 2019 nog een overgangsjaar, per 1 januari 2020 is de BIO actief en verplicht”, vertelt Jeroen Engelander, Senior Cloud Solutions Consultant bij SoftwareOne. “Alle overheidsorganisaties of instanties die met de overheid samenwerken zijn verplicht om te voldoen aan de BIO. Een voordeel is dat alle maatregelen voor elk overheidsorgaan nu hetzelfde zijn waardoor er zestig procent minder maatregelen zijn. Toch vraagt het wel wat van organisaties om zich die nieuwe BIO eigen te maken. Want er geldt een pakket aan normen als het gaat om beleid, techniek en medewerkers, aan elke maatregel is een eindverantwoordelijke gekoppeld en er zijn drie beveiligingsniveaus.” Belangrijk is dus dat instanties die met de BIO aan de slag gaan een beveiligingsbeleid hebben en op elke laag van de organisatie het belang en daadkracht heeft om de BIO te omarmen.

BIO en de moderne werkplek

“Tegelijkertijd zien we dat steeds meer overheidsorganisaties stappen willen nemen naar Microsoft 365”, vertelt Madeleine van de Rotten, Team Lead Digital Workplace, bij SoftwareOne. “Daarbij moet die moderne werkplek natuurlijk aan de richtlijnen van de BIO voldoen. Denk bijvoorbeeld aan tweefactor-authenticatie of een verplichte inlogcode. Of aan de eis dat telefoons van medewerkers altijd up-to-date moeten zijn om e-mail te mogen openen op de telefoon. We zijn ons gaan focussen op alle normen welke met technische maatregelen zijn in te regelen. Vervolgens hebben we aan elke norm een functionaliteit of oplossing van Microsoft of een derde partij gekoppeld. Waar Microsoft 365 niet in kan voorzien of waar we aanvullende mogelijkheden zien, hebben we oplossingen van derde partijen ook meegenomen. Zo kunnen we klanten goed adviseren over de technische maatregelen en, als ze dat willen, helpen met de daadwerkelijk implementatie.”

Wij helpen je op weg

Om klanten inzicht te geven in die normen en bijbehorende oplossingen heeft SoftwareOne een whitepaper geschreven (op aanvraag beschikbaar). Jeroen: “We hebben de afgelopen jaren veel gemeentes, waterschappen en andere overheidsorganisaties begeleid in hun transitie naar Microsoft 365. Daardoor hebben we al veel innovatieve trajecten doorlopen.” Madeleine vult aan: “We hebben veel ervaring met beveiligingsvraagstukken en zijn gewend om vernieuwend en pragmatisch te denken. Dat hebben we nu ook gedaan. Daarmee is de whitepaper een handreiking aan klanten waarmee we het pad naar implementatie naar Microsoft 365 voor ze vrijmaken zonder de benodigde beveiliging van informatie uit het oog te verliezen.”

Next steps

“Vanaf december zullen we beginnen met het geven van advies en implementatie van de oplossingen die relevant zijn voor de technische uitvoering van de BIO”, zegt Jeroen. “En natuurlijk blijven we doorontwikkelen. Zo hebben we in het whitepaper vooralsnog niet ingezoomd op mobiele devices, omdat de maatregelen hiervoor nog niet verplicht zijn. Dat zou een mooie volgende stap kunnen zijn.” Madeleine vult aan: “we komen daarom ook graag in contact met organisaties die dit initiatief willen omarmen en samen met ons deze reis willen maken.”