De Baseline Informatiebeveiliging Overheid (BIO) kent drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Namelijk BBN1, BBN2, BBN3 en voor gemeenten BBN2+. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heeft. Daarvoor heeft de IBD de maatregelenset BBN2+ opgesteld. Maar wanneer gebruik je BBN2+?
Bij een risicoanalyse worden bedreigingen en risico’s benoemd en in kaart gebracht. Vaak is het voor organisaties lastig om vanuit het niets bedreigingen en risico’s op het gebied van informatiebeveiliging te benoemen. Een veel gebruikt model om dit proces te ondersteunen is het zogenaamde MAPGOOD-model. In deze blog leg ik uit hoe dit model werkt.
Bij veel informatiebeveiligings- en privacyprojecten zie ik dat het in de praktijk soms ontbreekt aan projectmanagementcapaciteiten. En natuurlijk, een privacy of security officer is ook geen projectleider. Maar desondanks krijgen ze wel vaak projectmatig werk op hun bordje. Het is daarom van belang om over een bepaalde set (basis)projectmanagementvaardigheden te beschikken. In deze blog laat ik je zien hoe je projectmatig te werk kunt gaan.
De Baseline Informatiebeveiliging Overheid (BIO) is geheel gestructureerd volgens de NEN-ISO/IEC 27002-standaard uit 2017 en beschrijft de invulling van deze ISO-standaard voor de overheid. Dit jaar staat de introductie van de nieuwe versie van de ISO 27002 gepland. Welke impact heeft dat op de inhoud en samenstelling van de huidige BIO? En wat betekent dit voor gemeenten?
De implementatie van de BIO is niet alleen specifiek de verantwoording van de CISO. Het is een samenspel van diverse specialisten uit verschillende vakgebieden, waaronder ook applicatiebeheer. Applicatiebeheer is (de naam zegt het al) verantwoordelijk voor het beheer van alle applicaties binnen de gemeente. Maar hoe weet je als applicatiebeheerder of je volgens de BIO-kaders werkt?
Elke organisatie is te hacken. Dagelijks sta je als gemeente bloot aan digitale risico’s, waarbij cybercriminelen gaten proberen te ontdekken in de beveiliging. Om de gemeentelijke digitale weerbaarheid te toetsen en vergroten, organiseert gemeente Den Haag in samenwerking met Cybersprint daarom sinds 2017 het jaarlijkse hack-evenement: Hâck The Hague. Met de e-guide ‘Zo hack je een stad’ kan iedere gemeente nu een eigen variant organiseren.
Gewoon omdat het kan hebben we deze week een techblog voor je gereed. Misschien de eerste van een heuse serie, maar dat gaan we zien. DNS staat voor Domain Name Server. In deze blog leggen we uit wat de DNS doet en hoe (en waarom) hackers proberen de DNS te hacken. Ook zonder technische achtergrondkennis te lezen. Althans, daar streven we naar.
Ook al neem je nog zoveel beveiligingsmaatregelen, vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. De gevolgen hiervan kunnen zeer ernstig zijn en de dienstverlening in gevaar brengen. Je kunt daarom maar beter goed voorbereid zijn. Welke stappen moeten er bijvoorbeeld genomen worden wanneer een incident plaatsvindt? En hoe kun je de gevolgen beheersen? Dit en meer leg je vast in een Incident Response Plan. Hoe je dat doet lees je in deze blog.
Risicomanagement en bewustwording, we vinden het allemaal belangrijk. Zeker nu de digitale dreigingen toenemen hoor ik beide termen vaak voorbijkomen: ‘dit vraagt om bewustwording’ en ‘we moeten aan risicomanagement doen’. Mooie woorden die wijs en logisch klinken. Alleen in de praktijk blijft het teveel bij woorden, daden blijven uit. Kortom, waarom die mooie woorden niet ombuigen naar iets concreets?
Het CyberSecurity Framework (CSF) is ontwikkeld door het NIST, ofwel het National Institute of Standards and Technology. Onder Obama werd in 2013 aan het NIST de opdracht gegeven een cybersecurity framework te ontwikkelen. En onlangs door Biden opnieuw. Maar wat kan je er als Nederlandse, lokale overheid mee en hoe verhoudt het zich tot de BIO en de ISO27000 reeks?
Onze maatschappij digitaliseert steeds verder. Zeker sinds corona regelen we nog meer zaken online dan we al deden. Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Het is de bedoeling dat deze nieuwe wet gaat zorgen voor betere bescherming rond digitalisering, maar ook voor betere toegankelijkheid. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?
Als CISO zal je eens per drie of vier jaar een nieuw of geactualiseerd informatiebeveiligingsbeleid schrijven en laten vaststellen door het college. Grote kans dat je daarbij uitgaat van een format van de Informatiebeveiligingsdienst. Waar dat format, wat mij betreft, niet echt in uitblinkt is het koppelen van informatiebeveiliging beleidsuitgangspunten voor een gemeente aan lokale, regionale en/of landelijke beleidsuitgangspunten en uitvoeringsagenda’s. In deze blog doe ik een poging alsnog deze inbedding aan te rijken. Het is een lange blog waaruit je naar hartenlust kunt kopiëren/plakken.