Categorie: informatiebeveiliging (blog)

Gemeenten beheren en wisselen dagelijks veel informatie uit. Het is hierbij belangrijk dat gegevens niet zomaar voor iedereen inzichtelijk zijn. Een veel gebruikte manier om gegevens goed te beveiligen is encryptie (versleuteling). Encryptie is een serieus onderdeel geworden binnen veel organisaties. Niet voor niets worden er in de Baseline Informatiebeveiliging Overheid (BIO) eisen benoemd als het gaat om encryptie (hoofdstuk 10). Welke eisen zijn dit en wat moet je hier als CISO over weten?

Alhoewel we richting eind eerste kwartaal gaan van het nieuwe jaar, zal menig CISO en FG bezig zijn of gaan met het schrijven van een jaarverslag over het voorgaande jaar, of daarvoor input aanleveren. Maar wat zet je nu wel of niet in een jaarverslag? En wie durft het aan over informatiebeveiliging en/of privacy te verantwoorden in een separaat jaarverslag? De ingrediënten van zo’n jaarverslag staan centraal in deze blog.

Onlangs publiceerde de Vereniging van Nederlandse Gemeenten (VNG) het magazine ‘Grip op informatie’, waarin acht gemeenten een boekje opendoen over hoe zij omgaan met informatie en welke mogelijkheden dat oplevert voor de gemeente in termen van transparantie, democratie, efficiency en kwaliteit van dienstverlening. In deze blog licht ik enkele kernpunten en conclusies uit op het gebied van informatiebeveiliging en privacy die in het magazine op dit vlak naar voren komen.

Om te zorgen dat een ICT-product of -dienst aansluit bij de behoefte, wordt gemeenten aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT, ook wel bekend als GIBIT. Deze uniforme inkoopvoorwaarden helpen gemeenten bij het professionaliseren van de inkoop van ICT-diensten en –producten. Maar worden hiermee ook alle informatiebeveiligingsvraagstukken gedekt?

Onlangs heb ik een break-out sessie mogen organiseren voor gemeenten op een klantdag van een ISMS/GRC softwareleverancier. De sessie ging over hoe je de organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet.

Onlangs heb ik een cursus over ‘The Governance of Information Security – door Kevin Henry’ gevolgd met daarin een interessant onderdeel dat ik graag met jullie wil delen middels deze blog, namelijk het meten van en rapporteren over informatiebeveiliging. Want waarom is het belangrijk om dit te doen en hoe kun je dit dan het beste doen?

In mijn vorige blog heb ik de eisen die de Baseline Informatiebeveiliging Overheid (BIO) stelt als het gaat om toegangsbeveiliging (hoofdstuk 9) toegelicht. Eén van de punten die ik daar heb benoemd is het goed inrichten van autorisaties. Een handig hulpmiddel hierbij is een autorisatiematrix. Maar hoe stel je zo’n autorisatiematrix op? IB&P heeft een tien stappenplan gemaakt om je hierbij te helpen. In deze blog zal ik ingaan op hoe je zo’n autorisatiematrix opstelt én borgt binnen je organisatie.

Sinds 2020 geldt de Baseline Informatiebeveiliging Overheid (BIO) als norm voor alle overheden. Om gemeenten bij de implementatie hiervan te ondersteunen heeft de IBD handige kennisproducten ontwikkeld die je op weg kunnen helpen, zoals een Baselinetoets en handreiking Dataclassificatie. Maar welke producten zijn er nu allemaal precies, waar dienen ze voor en wat is de onderlinge samenhang? In deze blog zet ik er enkele voor je onder elkaar.

Als gemeente wil je voorkomen dat onbevoegden toegang hebben tot informatie, zowel digitaal als fysiek. In mijn vorige blog heb ik de eisen die de BIO stelt rondom personele beveiliging (hoofdstuk 7) toegelicht. In deze blog wil ik graag de focus leggen op de eisen die de BIO stelt als het gaat om toegangsbeveiliging (hoofdstuk 9). Want hoe kun je logische en fysieke toegangsbeveiliging inzetten binnen je organisatie? En wat is eigenlijk het verschil tussen deze twee? In deze blog ga ik hier verder op in en geef ik je concrete handvatten voor het inrichten van toegangsbeveiliging.

Als gemeente is het van belang dat je een sterke informatieveilige en privacybewuste omgeving hebt. Zowel op het vlak van techniek als op het vlak van de mens. Een informatiebeveiligingsbeleid is alleen doeltreffend wanneer collega’s ook slim en doordacht omgaan met informatiebeveiligingsaspecten en überhaupt weten wat er van hen verwacht wordt. Niet voor niets worden er in de Baseline Informatiebeveiliging Overheid (BIO) eisen benoemd als het gaat om personele beveiliging (hoofdstuk 7). In deze blog lees je hoe je kunt zorgen voor een veilige instroom, doorstroom en uitstroom van medewerkers.

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de Baseline Informatiebeveiliging Overheid (BIO). ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarlijkse onderhoudsbeurt. Maar het is zoveel meer, toch?