Het CyberSecurity Framework (CSF) is ontwikkeld door het NIST, ofwel het National Institute of Standards and Technology. Onder Obama werd in 2013 aan het NIST de opdracht gegeven een cybersecurity framework te ontwikkelen. En onlangs door Biden opnieuw. Maar wat kan je er als Nederlandse, lokale overheid mee en hoe verhoudt het zich tot de BIO en de ISO27000 reeks?
Onze maatschappij digitaliseert steeds verder. Zeker sinds corona regelen we nog meer zaken online dan we al deden. Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Het is de bedoeling dat deze nieuwe wet gaat zorgen voor betere bescherming rond digitalisering, maar ook voor betere toegankelijkheid. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?
Als CISO zal je eens per drie of vier jaar een nieuw of geactualiseerd informatiebeveiligingsbeleid schrijven en laten vaststellen door het college. Grote kans dat je daarbij uitgaat van een format van de Informatiebeveiligingsdienst. Waar dat format, wat mij betreft, niet echt in uitblinkt is het koppelen van informatiebeveiliging beleidsuitgangspunten voor een gemeente aan lokale, regionale en/of landelijke beleidsuitgangspunten en uitvoeringsagenda’s. In deze blog doe ik een poging alsnog deze inbedding aan te rijken. Het is een lange blog waaruit je naar hartenlust kunt kopiëren/plakken.
De digitalisering binnen de overheid gaat razendsnel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee als het gaat om de informatiebeveiliging van onze gegevens en de continuïteit van de gemeentelijke dienstverlening. De BIO benoemt een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke basisprocessen dit zijn lees je in deze blog.
Ja, met de Baseline Informatiebeveiliging Overheid (BIO) ben je nog wel even bezig. Net zoals je daarvoor al de nodige jaren bezig kon zijn met haar voorlopers, waaronder de Baseline Informatiebeveiliging Gemeenten. Zo gingen gemeenten van BIG naar BIO. Cynisch bezien kan je jaren blijven stellen dat je bezig bent met de implementatie, mits het normenkader steeds maar wijzigt. Oude wijn in nieuwe zakken is ons niet vreemd. Vandaag echter nauwelijks cynisme, maar een oprechte poging te ontleden waarom dat ‘vaart maken’ voor gemeenten zo verrekte lastig is.
Voor de liefhebber heb ik verwijzingen opgenomen naar 25 blogs die ik door de jaren heen schreef over de genoemde onderwerpen. Hopelijk zie je aanleiding (online) verder te lezen!
Met de komst van de AVG in 2018, is er ook veel aandacht voor de begrippen ‘Privacy by Design’ en ‘Security by Design’. Maar wat wordt hier nu eigenlijk mee bedoeld en waarom is het zo belangrijk? Eerder schreven wij al een blog over Privacy by Design. In deze blog wil ik graag specifiek ingaan op Security by Design.
Veel gemeenten in Nederland maken gebruiken van Office 365 en als onderdeel van de veel afgenomen E3 licentie (de zgn. VNG werkplek) hebben diezelfde gemeenten ook Intune tot hun beschikking voor het beheren van mobiele apparaten. Uiteraard bestaan er andere softwarepakketten, maar in deze blog refereer ik vooral naar Intune cq Endpoint Manager. Wanneer gebruik je nu MDM en wanneer MAM, en hoe zit dat met Windows 10 apparaten?
Gemeenten beheren en wisselen dagelijks veel informatie uit. Het is hierbij belangrijk dat gegevens niet zomaar voor iedereen inzichtelijk zijn. Een veel gebruikte manier om gegevens goed te beveiligen is encryptie (versleuteling). Encryptie is een serieus onderdeel geworden binnen veel organisaties. Niet voor niets worden er in de Baseline Informatiebeveiliging Overheid (BIO) eisen benoemd als het gaat om encryptie (hoofdstuk 10). Welke eisen zijn dit en wat moet je hier als CISO over weten?
Alhoewel we richting eind eerste kwartaal gaan van het nieuwe jaar, zal menig CISO en FG bezig zijn of gaan met het schrijven van een jaarverslag over het voorgaande jaar, of daarvoor input aanleveren. Maar wat zet je nu wel of niet in een jaarverslag? En wie durft het aan over informatiebeveiliging en/of privacy te verantwoorden in een separaat jaarverslag? De ingrediënten van zo’n jaarverslag staan centraal in deze blog.
Onlangs publiceerde de Vereniging van Nederlandse Gemeenten (VNG) het magazine ‘Grip op informatie’, waarin acht gemeenten een boekje opendoen over hoe zij omgaan met informatie en welke mogelijkheden dat oplevert voor de gemeente in termen van transparantie, democratie, efficiency en kwaliteit van dienstverlening. In deze blog licht ik enkele kernpunten en conclusies uit op het gebied van informatiebeveiliging en privacy die in het magazine op dit vlak naar voren komen.
Om te zorgen dat een ICT-product of -dienst aansluit bij de behoefte, wordt gemeenten aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT, ook wel bekend als GIBIT. Deze uniforme inkoopvoorwaarden helpen gemeenten bij het professionaliseren van de inkoop van ICT-diensten en –producten. Maar worden hiermee ook alle informatiebeveiligingsvraagstukken gedekt?
Onlangs heb ik een break-out sessie mogen organiseren voor gemeenten op een klantdag van een ISMS/GRC softwareleverancier. De sessie ging over hoe je de organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet.
