Categorie: informatiebeveiliging (blog)

Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is hiervoor een uitstekend middel. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op informatiebeveiligingsvlak. In deze blog lees je waarom dit belangrijk is en welke onderwerpen je hierin kan opnemen.

Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Denk aan datalekken, phishing, hacking, identiteitsfraude, spionage, cybercrime, et cetera. De gevolgen hiervan kunnen zeer ernstig zijn en de dienstverlening van de gemeente in gevaar brengen. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het jaar daarom een overzicht van een aantal informatiebeveiligingsincidenten van 2022 en wat we hiervan kunnen leren.

10 veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen zorgen ervoor dat cybercriminelen nog altijd weten in te breken bij organisaties en toegang krijgen tot netwerken en data. Hiervoor waarschuwen de Amerikaanse, Britse, Canadese, Nederlandse en Nieuw-Zeelandse overheid in een gezamenlijk advies. Welke tien fouten zijn dit en hoe kan je deze aanpakken?

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers (9.3.1.1). Zo wordt het medewerkers makkelijker gemaakt om met het groeiend aantal wachtwoorden om te gaan. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Als (lokale) overheid moet je op veel beleidsterreinen kennis in huis hebben. Ook op het gebied van informatiebeveiliging. Binnen de gemeente hebben we daarom de (verplichte) ‘CISO’ en/of ‘ISO’. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA en BIA. Maar wat is de onderlinge samenhang en hoe kan je profijt hebben als je een van deze onderdelen al gedaan hebt? Je leest het in deze blog.

Informatiebeveiliging is binnen de BIO ook een verantwoordelijkheid van de proceseigenaar. De proceseigenaar bepaalt welke kwetsbaarheden zich kunnen voordoen binnen het proces dat onder zijn/haar verantwoordelijkheid wordt uitgevoerd en hoe groot het risico is als er een incident plaatsvindt. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in?

Patchmanagement is erg belangrijk voor de beveiliging van de gemeentelijke ICT-omgeving. Als we het hebben over informatiebeveiliging, komen de termen ‘patches’ en ‘patchmanagementproces’ dan ook vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement belangrijk? En hoe richt je zo’n proces dan in? In deze blog lees je hoe je hier zelf mee aan de slag kan.

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Want, door snel en op de juiste manier op de bedreiging te reageren, kan de impact ervan worden geminimaliseerd. Dit proces noemen we ook wel ‘Bedrijfs Continuïteits Management (BCM)’ of Bedrijfscontinuïteit. Maar hoe ga je hier mee aan de slag? 

Wist je dat… bewuste medewerkers sneller risico’s signaleren en daardoor beveiligingsincidenten kunnen worden voorkomen? Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

De Baseline Informatiebeveiliging Overheid (BIO) kent drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Namelijk BBN1, BBN2, BBN3 en voor gemeenten BBN2+. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heeft. Daarvoor heeft de IBD de maatregelenset BBN2+ opgesteld. Maar wanneer gebruik je BBN2+?

Bij een risicoanalyse worden bedreigingen en risico’s benoemd en in kaart gebracht. Vaak is het voor organisaties lastig om vanuit het niets bedreigingen en risico’s op het gebied van informatiebeveiliging te benoemen. Een veel gebruikt model om dit proces te ondersteunen is het zogenaamde MAPGOOD-model. In deze blog leg ik uit hoe dit model werkt.