Het dreigingsbeeld voor gemeenten; niet meer dan handig?


Dit jaar, 2018, is voor het eerst het ‘Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten’ uitgekomen. Een initiatief van de IBD. Dit dreigingsbeeld heeft als doel gemeenten weerbaarder te maken op het gebied van informatiebeveiliging door inzicht te geven in de belangrijkste risico’s. En wat blijkt? Uit het dreigingsbeeld komt onder andere dat de factor ‘mens’ het grootste risico vormt. Verrassend of oud nieuws?

Het Dreigingsbeeld

Het dreigingsbeeld van de IBD is een aanvulling op het Cybersecuritybeeld Nederland (CSBN) van het Nationaal Cyber Security Centrum (NCSC), dat al langer bestaat. Omdat dit over meer dreigingen gaat dan relevant zijn voor gemeenten heeft de IBD hier een gemeentelijke aanvulling op gemaakt. Dit dreigingsbeeld voor gemeenten is bedoeld om gemeenten nog eens goed te laten kijken naar hun beveiligingsbeleid en -plannen en om scherp te krijgen of je als gemeente goed voorbereid bent op nieuwe ontwikkelingen en technologieën, een taak die ligt bij de CISO. Onlangs werd er in een artikel op iBestuur gesproken over dat het dreigingsbeeld ook wel ‘het belangrijkste hulpmiddel van de CISO is’. Hier ben ik het niet helemaal mee eens.

Bedreigingen

In het dreigingsbeeld komt naar voren dat ‘de mens’ het grootste risico is, maar wisten we dit niet al lang? En zo niet, dan kun je wel stellen dat je als CISO de afgelopen jaren hebt liggen slapen.. Daarnaast blijkt dat onbewuste en onbedoelde acties een groter risico zijn dan bewuste en gerichte aanvallen. Tja. Een verkeerd verzonden e-mail, een verloren USB-stick of een gestolen smartphone zorgen al snel voor een informatiebeveiligingsincident of een datalek. Verder worden als grootste bedreigingen genoemd dat gemeenten kwetsbaar zijn, de waan van de dag de agenda bepaalt en dat we niet weten wat we niet weten. Allemaal algemeenheden die onder CISO’s waarschijnlijk al jaren bekend zijn.

Nut en noodzaak

Is het dreigingsbeeld dan volkomen overbodig? Nee, ondanks dat bijna alles al bekend is bij veel CISO’s wil het niet zeggen dat het niet goed is dat er een dreigingsbeeld voor gemeenten wordt opgesteld. Het dreigingsbeeld brengt in kaart wat de kwetsbaarheden zijn, het is makkelijk leesbaar en ook nog eens grafisch aantrekkelijk vormgegeven. Het kan dus prima dienen als hulpmiddel en ‘praatplaat’ in het gesprek met directie en bestuur over deze onderwerpen.

Ik vind alleen de ondertitel ‘het belangrijkste hulpmiddel van de CISO is’ nogal overtrokken. Als CISO moet je namelijk over heel wat meer capaciteiten beschikken wil je informatiebeveiliging binnen de gemeente naar een hoger niveau tillen. De CISO heeft immers een centrale rol in het beheren van alle processen die met informatiebeveiliging te maken hebben en daar komt een hoop bij kijken. Je moet dan ook behoorlijk wat eigenschappen bezitten om deze rol op een juiste wijze uit te voeren, zowel op technisch als op organisatorisch vlak. Welke eigenschappen dit zijn beschreef ik in mijn eerdere blog . Bezit je niet over deze eigenschappen dan zal het dreigingsbeeld je ook niet veel verder brengen. Kortom, met mooie plaatjes en overzichten in het dreigingsbeeld ben je er niet.

Ontwikkelingen 2019

Momenteel wordt er gewerkt aan een 2019-versie op basis van beveiligingsincidenten die in gemeenten hebben plaatsgevonden in het afgelopen jaar. Zou deze versie heel veel anders zijn ten opzichte van 2018? En zou het jaarlijks actualiseren nieuwe informatie opleveren voor de doorsnee CISO bij een gemeente? Of is het oud nieuws en slechts van beperkte meerwaarde? Het zal mij benieuwen.. wat denk jij?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in

De rol van de OR bij privacy op de werkvloer

De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?