Auteur: Erna Havinga

Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is hiervoor een uitstekend middel. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op informatiebeveiligingsvlak. In deze blog lees je waarom dit belangrijk is en welke onderwerpen je hierin kan opnemen.

Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Denk aan datalekken, phishing, hacking, identiteitsfraude, spionage, cybercrime, et cetera. De gevolgen hiervan kunnen zeer ernstig zijn en de dienstverlening van de gemeente in gevaar brengen. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het jaar daarom een overzicht van een aantal informatiebeveiligingsincidenten van 2022 en wat we hiervan kunnen leren.

10 veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen zorgen ervoor dat cybercriminelen nog altijd weten in te breken bij organisaties en toegang krijgen tot netwerken en data. Hiervoor waarschuwen de Amerikaanse, Britse, Canadese, Nederlandse en Nieuw-Zeelandse overheid in een gezamenlijk advies. Welke tien fouten zijn dit en hoe kan je deze aanpakken?

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers (9.3.1.1). Zo wordt het medewerkers makkelijker gemaakt om met het groeiend aantal wachtwoorden om te gaan. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Als (lokale) overheid moet je op veel beleidsterreinen kennis in huis hebben. Ook op het gebied van informatiebeveiliging. Binnen de gemeente hebben we daarom de (verplichte) ‘CISO’ en/of ‘ISO’. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA en BIA. Maar wat is de onderlinge samenhang en hoe kan je profijt hebben als je een van deze onderdelen al gedaan hebt? Je leest het in deze blog.

Informatiebeveiliging is binnen de BIO ook een verantwoordelijkheid van de proceseigenaar. De proceseigenaar bepaalt welke kwetsbaarheden zich kunnen voordoen binnen het proces dat onder zijn/haar verantwoordelijkheid wordt uitgevoerd en hoe groot het risico is als er een incident plaatsvindt. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in?