Skip to main content

Het dreigingsbeeld voor gemeenten; niet meer dan handig?

| IB&P | ,

Dit jaar, 2018, is voor het eerst het ‘Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten’ uitgekomen. Een initiatief van de IBD. Dit dreigingsbeeld heeft als doel gemeenten weerbaarder te maken op het gebied van informatiebeveiliging door inzicht te geven in de belangrijkste risico’s. En wat blijkt? Uit het dreigingsbeeld komt onder andere dat de factor ‘mens’ het grootste risico vormt. Verrassend of oud nieuws?

Het Dreigingsbeeld

Het dreigingsbeeld van de IBD is een aanvulling op het Cybersecuritybeeld Nederland (CSBN) van het Nationaal Cyber Security Centrum (NCSC), dat al langer bestaat. Omdat dit over meer dreigingen gaat dan relevant zijn voor gemeenten heeft de IBD hier een gemeentelijke aanvulling op gemaakt. Dit dreigingsbeeld voor gemeenten is bedoeld om gemeenten nog eens goed te laten kijken naar hun beveiligingsbeleid en -plannen en om scherp te krijgen of je als gemeente goed voorbereid bent op nieuwe ontwikkelingen en technologieën, een taak die ligt bij de CISO. Onlangs werd er in een artikel op iBestuur gesproken over dat het dreigingsbeeld ook wel ‘het belangrijkste hulpmiddel van de CISO is’. Hier ben ik het niet helemaal mee eens.

Bedreigingen

In het dreigingsbeeld komt naar voren dat ‘de mens’ het grootste risico is, maar wisten we dit niet al lang? En zo niet, dan kun je wel stellen dat je als CISO de afgelopen jaren hebt liggen slapen.. Daarnaast blijkt dat onbewuste en onbedoelde acties een groter risico zijn dan bewuste en gerichte aanvallen. Tja. Een verkeerd verzonden e-mail, een verloren USB-stick of een gestolen smartphone zorgen al snel voor een informatiebeveiligingsincident of een datalek. Verder worden als grootste bedreigingen genoemd dat gemeenten kwetsbaar zijn, de waan van de dag de agenda bepaalt en dat we niet weten wat we niet weten. Allemaal algemeenheden die onder CISO’s waarschijnlijk al jaren bekend zijn.

Nut en noodzaak

Is het dreigingsbeeld dan volkomen overbodig? Nee, ondanks dat bijna alles al bekend is bij veel CISO’s wil het niet zeggen dat het niet goed is dat er een dreigingsbeeld voor gemeenten wordt opgesteld. Het dreigingsbeeld brengt in kaart wat de kwetsbaarheden zijn, het is makkelijk leesbaar en ook nog eens grafisch aantrekkelijk vormgegeven. Het kan dus prima dienen als hulpmiddel en ‘praatplaat’ in het gesprek met directie en bestuur over deze onderwerpen.

Ik vind alleen de ondertitel ‘het belangrijkste hulpmiddel van de CISO is’ nogal overtrokken. Als CISO moet je namelijk over heel wat meer capaciteiten beschikken wil je informatiebeveiliging binnen de gemeente naar een hoger niveau tillen. De CISO heeft immers een centrale rol in het beheren van alle processen die met informatiebeveiliging te maken hebben en daar komt een hoop bij kijken. Je moet dan ook behoorlijk wat eigenschappen bezitten om deze rol op een juiste wijze uit te voeren, zowel op technisch als op organisatorisch vlak. Welke eigenschappen dit zijn beschreef ik in mijn eerdere blog . Bezit je niet over deze eigenschappen dan zal het dreigingsbeeld je ook niet veel verder brengen. Kortom, met mooie plaatjes en overzichten in het dreigingsbeeld ben je er niet.

Ontwikkelingen 2019

Momenteel wordt er gewerkt aan een 2019-versie op basis van beveiligingsincidenten die in gemeenten hebben plaatsgevonden in het afgelopen jaar. Zou deze versie heel veel anders zijn ten opzichte van 2018? En zou het jaarlijks actualiseren nieuwe informatie opleveren voor de doorsnee CISO bij een gemeente? Of is het oud nieuws en slechts van beperkte meerwaarde? Het zal mij benieuwen.. wat denk jij?

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

In 5 stappen naar een succesvolle GAP-analyse van de BIO

: Een GAP-analyse geeft snel inzicht in hoeverre jouw gemeente voldoet aan de normen van de BIO. Het laat zien wat al goed geregeld is en waar nog verbeteringen nodig zijn. Maar hoe voer je een GAP-analyse effectief uit? In deze blog ontdek je het…

Wat is ethisch hacken en waarom is het belangrijk?

Stel je voor dat je een inbreker bent, maar dan eentje met goede bedoelingen. Je zoekt naar zwakke plekken in een huis om de eigenaar te waarschuwen, zodat hij ze kan repareren. Dat is precies wat ethical hackers doen, maar dan met computers en ne…

Applicatiebeheer en de AVG: wat moet je weten?

Als applicatiebeheerder beheer je alle applicaties waarin persoonsgegevens worden verwerkt binnen de gemeente. Maar hoe zorg je dat deze applicaties voldoen aan de vereisten van de AVG?

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…