Auteur: Erna Havinga

Gemeenten zijn steeds afhankelijker van leveranciers, ketenpartners en samenwerkingsverbanden. IT-dienstverleners, softwareleveranciers, cloudproviders, gemeenschappelijke regelingen, maar ook kleine nichepartijen die “even iets bouwen”. Al die partijen vormen samen jouw digitale toeleveringsketen. En precies daar gaat het steeds vaker mis.

Het Nationaal Cyber Security Centrum (NCSC) vat het scherp samen in de boodschap: jouw probleem, jouw risico. Met andere woorden: ook al ligt de oorzaak bij een leverancier, de impact komt gewoon bij jou terecht. Bestuurlijk, juridisch en operationeel.

In deze blog neem ik je mee in wat ketenrisico’s écht betekenen voor gemeenten, waarom het geen ICT-feestje is maar een bestuurlijk vraagstuk, en hoe je hier gestructureerd grip op krijgt zonder te vervallen in vinklijstjes en papieren zekerheden.

Download hier een pdf van deze blog

Ransomware is inmiddels geen abstract risico meer voor gemeenten. Bijna iedereen kent voorbeelden, uit het nieuws of uit de praktijk. Veel gemeenten hebben daarom stappen gezet om hun eigen informatiebeveiliging te verbeteren. Er zijn risicoanalyses uitgevoerd, BIO-maatregelen geïmplementeerd en incidentresponsplannen opgesteld.
En toch zie ik in de praktijk nog steeds een grote kwetsbaarheid terugkomen: leveranciers.
Gemeenten zijn voor hun dienstverlening sterk afhankelijk van externe partijen. Zaaksystemen, DMS’en, cloudomgevingen, hosting, applicatiebeheer. Soms zijn hele primaire processen uitbesteed. Dat maakt leveranciers onmisbaar, maar ook een risico. Zeker als het gaat om ransomware.

Want wat gebeurt er als niet jij, maar je leverancier wordt geraakt?

Download hier een pdf van deze blog

Informatiebeveiliging is een randvoorwaarde om als gemeente betrouwbaar, zorgvuldig en professioneel te kunnen werken. Gemeenten moeten daarom aantoonbaar werken met een ISMS dat voldoet aan de ISO 27001. Maar een ISMS is geen tool die je even aanzet en afvinkt. Het is een continu proces waarin je risico’s beheerst, maatregelen borgt en blijft verbeteren. En in dat proces is één moment echt cruciaal: de management review. In deze blog leg ik uit wat dit inhoudt, waarom het zo belangrijk is en hoe je het als gemeente maximaal benut.

Download hier een pdf van deze blog

Een cyber- of ransomware-aanval of een groot datalek: het is de nachtmerrie van elke gemeente. In een paar minuten kan de hele organisatie stilvallen, met grote gevolgen voor de dienstverlening, reputatie en inwoners. Op zo’n moment moet er snel gehandeld en besloten worden. De Chief Information Security Officer (CISO) speelt daarin een cruciale rol. Maar hoe ziet die rol er in de praktijk uit? Is de CISO vooral degene die meekijkt en adviseert, of iemand die ook actief meebeslist in het calamiteitenteam? Je leest het in deze blog.

Download hier een pdf van deze blog

De Baseline Informatiebeveiliging Overheid (BIO) vormt al jaren de basis voor informatiebeveiliging bij gemeenten. Met de komst van de BIO 2.0 wordt die basis verder verstevigd. Want waar de oude BIO vooral draaide om naleving van regels, legt BIO 2.0 juist de nadruk op risicogestuurd werken en continue verbetering. Een belangrijk onderdeel daarvan is de interne controlecyclus: hoe toets je structureel of je maatregelen ook echt doen wat ze moeten doen? Niet één keer per jaar omdat het moet, maar continu, als onderdeel van je dagelijkse praktijk. In deze blog laat ik zien hoe je die controlecyclus slim en werkbaar inricht.

Download hier een pdf van deze blog

Bij veel gemeenten voelt informatiebeveiligingsbeleid nog als een verplicht nummer. Er moet een document liggen voor de audit en dat is het dan. Het stuk staat ergens op intranet, niemand leest het, en verder verandert er weinig. Zonde! Want een goed informatiebeveiligingsbeleid kan juist richting geven aan de hele organisatie. Een levend document waar je dagelijks wat aan hebt, in plaats van iets wat in de kast belandt. In deze blog nemen we je mee in hoe je beleid werkbaar maakt, waar de valkuilen zitten en hoe je voorkomt dat dit weer zo’n papieren tijger wordt.

Download hier een pdf van deze blog

De Chief Information Security Officer (CISO): een vakmens, meestal met een stevig inhoudelijk profiel, die de organisatie adviseert over informatiebeveiliging. Maar het échte verschil maken? Dat lukt pas als je als CISO serieus wordt genomen als strategisch adviseur van het bestuur. En daar gaat het nog vaak mis. In deze blog lees je waarom die adviserende rol zo belangrijk is, wat er in de praktijk vaak misgaat, en vooral: wat wél werkt.

Download hier een pdf van deze blog

Bij veel gemeenten wordt hard gewerkt aan informatiebeveiliging. Er worden beleidsstukken opgesteld, awarenesscampagnes opgezet en medewerkers volgen jaarlijks een verplichte e-learning. Toch blijkt in de praktijk dat afspraken vaak niet goed worden nageleefd. Dat komt omdat gedrag niet automatisch verandert door kennisoverdracht alleen. Het draait om de dagelijkse keuzes die medewerkers maken. Goede informatiebeveiliging vraagt daarom om gedragsverandering, en uiteindelijk om een cultuurverandering binnen de organisatie. In deze blog lees je hoe je dat aanpakt.

Download hier een pdf van deze blog