Als CISO wil ik één template voor de BIO

Als CISO wil ik één template voor de BIO

Wie nog nooit van de BIO gehoord heeft, hoeft niet verder te lezen. Maar CISO’s die werken binnen het Rijk, een provincie, gemeente of zelfstandig bestuursorgaan (zoals een waterschap) kunnen er niet omheen: de BIO. Vloek of zegen? Microsoft ontwikkelde één template om goed om te gaan met de BIO. Waardoor je met een gerust hart al je systemen naar Microsoft Azure kunt verplaatsen, in een volledige ‘BIO-compliant’ omgeving. In combinatie met Microsoft Defender for Cloud kan men auditen of resources in een Azure omgeving voldoen aan de BIO. Dit maakt je leven als CISO serieus een stuk makkelijker.

Lastig

Van de BIG naar de BIR, BIR2017, IBI en BIWA en dan nu de BIO. Een set beheersmaatregelen bestaande uit 114 controls, die ook nog eens moeten voldoen aan de norm ISO 27002:2013. In de praktijk wordt het bouwen van een eigen template als lastig ervaren. Neem versleutelde data of encryptie, een manier om gegevens te beveiligen door ze onleesbaar te maken zodat onbevoegden de informatie niet kunnen inzien. Tekens worden op een bepaalde manier vervangen waardoor de originele informatie niet meer leesbaar is. Dat kan op wel een miljoen manieren. Iedereen geeft er zijn eigen invulling aan. Binnen de overheid heb je dan ook nog verschillende classificaties. De ene data mag wel versleuteld worden met een encryptie sleutel beheerd door Microsoft, weer andere data alleen met een encryptie sleutel die de klant (CISO) zelf in beheer heeft. Het tot in de puntjes inregelen van alle beheersmaatregelen die de BIO omvat, maakt je werk als CISO bij een overheid erg ingewikkeld. Het maken van een vertaalslag van de BIO naar technologie is niet eenvoudig.

All for one, one for all

Bij Microsoft krijgen we als Public Sector team daarom geregeld de vraag: waarom bestaat er nog geen eenvoudig template om met de BIO te werken? Nu mogen we eindelijk verklappen dat we daar al een poos hard aan werkten. Vanaf nu heb je de beschikking over één template dat kan worden gebruikt als startpunt om BIO-compliant te worden en vooral te blijven. Iedere minieme verandering houden we in de gaten. We passen het template direct aan waar nodig. De template is gebaseerd op BIO Thema-uitwerking Clouddiensten versie 2.1 en kan vanuit GitHub uitgerold worden op een Azure omgeving via managementgroepen of direct via een abonnement. Er is zelfs ruimte om eigen additionele beleidsregels toe te voegen. Veilig? Alles draait om correcte naleving van de regelgeving. Microsoft Defender for Cloud houdt het Azure platform continu in gaten door middel van deze BIO template. Dit geeft de verschillende bestuursorganen de mogelijkheden Microsoft Azure Cloud te gebruiken met beleid dat voortkomt uit BIO Compliance.

Gerust de cloud in

Belangrijk en goed nieuws dus: overheden in Nederland, op allerlei niveaus, kunnen nu dus zonder moeite BIO-compliant worden. In combinatie met het jou wel bekende Enterprise Scale Landing Zone model van Microsoft creëer je in korte tijd een BIO-ready omgeving. Alle applicaties en systemen die je maar hebt, kunnen worden geplaatst. En, niet onbelangrijk, de informatie kan altijd op het juiste niveau worden beveiligd. Van gemeentelijk publiek cloud-project tot mailverkeer onder ministeries. Binnenkort wordt dit model ook nog eens uitgebreid met een BIO-ready module en Landing Zone opzet. Dus waar wacht je op? Ga direct naar Github en bekijk ons template. We zijn er zelf namelijk best trots op. En laat het weten als je ergens tegenaan loopt.

 Bekijk de template hier op Github: Azure/Bio-Compliancy (github.com)

 

Igor Ybema

Driving Technological Advancements in Public Safety and Law Enforcement

1y

Arthur Vuijk interssant

Like
Reply
Frits van Endhoven

Persoonlijke en efficiënte dienstverlening! #DeMenselijkeMaat Telefonisch bereikbaar op +31 (0)6 46 093 722

1y
Like
Reply
Erwin Theunissen

Azure Solution Specialist @ Microsoft | Microsoft Certified, Cloud Computing

1y

Benjamin fantastisch werk

Like
Reply
Philip Hebly

Partner Development - Security Identity & Compliance

1y

To view or add a comment, sign in

Explore topics