Auteur: Erna Havinga

Weet jij wie je binnenlaat? Het managen van toegangsbeveiliging.

Als gemeente wil je voorkomen dat onbevoegden toegang hebben tot informatie, zowel digitaal als fysiek. In mijn vorige blog heb ik de eisen die de BIO stelt rondom personele beveiliging (hoofdstuk 7) toegelicht. In deze blog wil ik graag de focus leggen op de eisen die de BIO stelt als het gaat om toegangsbeveiliging (hoofdstuk 9). Want hoe kun je logische en fysieke toegangsbeveiliging inzetten binnen je organisatie? En wat is eigenlijk het verschil tussen deze twee? In deze blog ga ik hier verder op in en geef ik je concrete handvatten voor het inrichten van toegangsbeveiliging.

Lees verder

Je medewerkers ‘beveiligen’; hoe doe je dat?

Als gemeente is het van belang dat je een sterke informatieveilige en privacybewuste omgeving hebt. Zowel op het vlak van techniek als op het vlak van de mens. Een informatiebeveiligingsbeleid is alleen doeltreffend wanneer collega’s ook slim en doordacht omgaan met informatiebeveiligingsaspecten en überhaupt weten wat er van hen verwacht wordt. Niet voor niets worden er in de Baseline Informatiebeveiliging Overheid (BIO) eisen benoemd als het gaat om personele beveiliging (hoofdstuk 7). In deze blog lees je hoe je kunt zorgen voor een veilige instroom, doorstroom en uitstroom van medewerkers.

Lees verder

In vijf stappen een goed informatiebeveiligingsbeleid

Sinds 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Hiermee is één gezamenlijk normenkader voor informatiebeveiliging ontstaan voor alle overheidslagen. De allereerste maatregel uit de BIO, en ook gelijk de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. Maar hoe schrijf je een goed beleid dat niet in de kast belandt, maar waar je vervolgens ook echt iets mee kunt?

Lees verder

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken omdat werkplekken geïnfecteerd zijn met ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Ben je toch geraakt door ransomware? Dan vind je in deze blog ook een handig stappenplan om de schade zoveel mogelijk te beperken en voor het herstel.

Lees verder

Stappenplan voor het kiezen van een ISMS-pakket

Op basis van de BIO dien je als gemeente een Information Security Management System, ofwel ISMS, te implementeren, bij te houden en continu de verbeteren. Een ISMS borgt risicomanagement op basis van de plan-do-check-act-cyclus en helpt zo het onderwerp informatiebeveiliging op de agenda van bestuur en management te krijgen/houden. In deze blog ga ik niet in op het proces zelf, maar wil ik graag de focus leggen op het selecteren van een ISMS-tool (software) om dit proces te ondersteunen.

Lees verder

Het goede nieuws over datalekken!

In 2019 is er een stijging te zien in het aantal datalekmeldingen binnen Europa. Dit en meer blijkt uit onderzoek van DLA Piper onder de Europese privacy toezichthouders. Zo waren er in 2018, sinds de intrede van de AVG op 25 mei,in Europa 247 meldingen per dag. In 2020 waren dit 278 meldingen per dag. Kortom, een stijging van 12,6%. Maar betekent meer meldingen dan ook meer datalekken? En is dat dan goed of slecht nieuws?

Lees verder

Risicomanagement; dichterbij dan je denkt?

Risicomanagement. We lezen en horen er veel over. Afgelopen juni deelde Renco op onze website het bericht dat de Nederlandse vertaling van NEN-ISO 31000 ‘Risicomanagement – Richtlijnen’ was gepubliceerd, waarin de meest relevante facetten van risicomanagement beknopt worden beschreven. Toch zien veel mensen risicomanagement niet direct als relevant, wel vinden ze het vaak spannend en complex. Echter hoeft dit niet het geval te zijn, in deze blog vertel ik je graag waarom.

Lees verder

Legaal hacken binnen je gemeente? Alles over de pentest

Als je iets niet wilt op het vlak van informatiebeveiliging, dan is het wel gehackt worden. Of misschien toch wel… Elke organisatie is te hacken, dus dan kun je dat maar het beste zelf laten doen, toch? Met een zogenaamde penetratietest, ofwel pentest, laat je experts in opdracht van de gemeente digitaal bij je inbreken om zo kwetsbaarheden op te sporen, zodat je die kunt oplossen. Maar hoe gaat zo’n pentest nu eigenlijk in zijn werk? En hoe ver mogen hackers gaan?

Lees verder

Datalek melden bij de AP? Volg dan de volgende stappen!

Sinds 2016 is elke organisatie die persoonsgegevens verwerkt verplicht om een melding te maken bij de Autoriteit Persoonsgegevens (AP) wanneer er zich een datalek heeft voorgedaan. Maar wanneer en hoe moet je een datalek melden bij de AP? En kun je een melding ook weer intrekken? In de praktijk blijken hier nog veel vragen over te zijn. Daarom in deze blog een aantal stappen die je moet doorlopen in het geval van een datalek.

Lees verder

Digitaal forensisch onderzoek; hoe bereid ik me als CISO voor?

Dagelijks laten we veel digitale sporen na, denk aan het versturen van een e-mail, het bezoeken van een website en het binnengaan van je kantoor met een pasje. Het kan voorkomen dat na een informatiebeveiligingsincident deze digitale sporen onderzocht moeten worden. Dit gebeurt middels een digitaal forensisch onderzoek. Maar wat houdt zo’n onderzoek eigenlijk in? En wat kun je doen om het proces zo goed mogelijk te laten verlopen?

Lees verder

De succesfactoren voor een goede implementatie van informatiebeveiliging

De komst van de BIO zorgt voor een hoop buzz in overheidsland. In het hele land worden sessies georganiseerd, die druk worden bezocht door CISO’s zoekende naar een manier hoe ze deze baseline kunnen gebruiken om informatiebeveiliging nu eindelijk eens op een goede manier te implementeren. De hamvraag is natuurlijk: gaat dat met de BIO wel makkelijker lukken? En wat zijn nu cruciale succesfactoren om informatiebeveiliging succesvol te implementeren?

Lees verder