Categorie: informatiebeveiliging (blog)

De succesfactoren voor een goede implementatie van informatiebeveiliging

De komst van de BIO zorgt voor een hoop buzz in overheidsland. In het hele land worden sessies georganiseerd, die druk worden bezocht door CISO’s zoekende naar een manier hoe ze deze baseline kunnen gebruiken om informatiebeveiliging nu eindelijk eens op een goede manier te implementeren. De hamvraag is natuurlijk: gaat dat met de BIO wel makkelijker lukken? En wat zijn nu cruciale succesfactoren om informatiebeveiliging succesvol te implementeren?

Lees verder

SIVA – Structuur & overzicht

Eerder nam ik je in deze blog mee in de wereld van (audit)referentiekaders en SIVA. Vandaag wil ik je verder meenemen in deze methodiek. Vandaag gaat het over de SIVA component Structuur. Later volgen ook Inhoud, Vorm en Analysevolgorde. Structuur helpt je om complexiteit te doorgronden en het onderzoeksobject overzichtelijk te maken. Je maakt kennis met de functionele en compositionele benadering evenals het 3C model. De blog sluit af met een beschrijving van de lagenstructuur in het referentiekader.

Lees verder

Het organiseren van een dataclassificatie sessie

Als gemeente gebruik je binnen je dagelijkse processen veel informatiesystemen waarin data wordt verwerkt. Deze systemen kunnen kwetsbaar zijn voor dreigingen van binnen en van buiten de organisatie. Hierdoor loop je bepaalde risico’s. Het is daarom belangrijk om risicoanalyses uit te voeren op deze systemen. Om de ernst/impact van een risico en de reikwijdte van een maatregel te kunnen bepalen, kun je een dataclassificatie sessie organiseren. Maar hoe doe je dat en welke collega’s moet je hiervoor uitnodigen?

Lees verder

De tien bestuurlijke principes voor informatiebeveiliging

Dit jaar is de intrede van de Baseline Informatiebeveiliging Overheid, ofwel de BIO, die vanaf 2020 van kracht gaat. We schreven er al enkele blogs over in 2018. Veel meer dan bij de BIG helpt de BIO het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging en risicomanagement. Daarnaast zijn er ‘10 bestuurlijke principes voor informatiebeveiliging’ vastgesteld om het bestuur in hun rol te ondersteunen bij de implementatie van de BIO.

Lees verder

Tips om je voor te bereiden op een audit

Eind 2018 waren gemeenten druk bezig met de verantwoording over ENSIA. De zelfevaluatie moest namelijk vóór 31 december zijn ingeleverd. In onze eerdere blog gaven we je al 7 tips om (ook) te slagen voor de Suwinet audit. Die, naast de DigiD audit, onderdeel is van ENSIA. Maar hoe kun je je als gemeente eigenlijk op zo’n audit voorbereiden? En wat kun je doen om het audit proces zo goed mogelijk te laten verlopen? In deze blog geef ik je enkele tips!

Lees verder

Lijnmanagers hebben de CISO hard nodig (i.p.v. andersom)

Zoals al langer bekend komt er een nieuwe baseline aan, de Baseline Informatiebeveiliging Overheid, ofwel de BIO. Een van de meest merkbare verschillen tussen de BIG en BIO is dat risicomanagement veel meer centraal staat. Hierin ligt een grote rol en verantwoordelijkheid voor het lijnmanagement weggelegd. Zij moeten per informatiesysteem de risico’s en dus het basisbeveiligingsniveau bepalen . Hoe ga jij hen hier bij helpen?

Lees verder

Zeven ENSIA tips om (ook) te slagen voor de Suwinet audit

Burgers en bedrijven verwachten een betrouwbare overheid die zorgvuldig met hun informatie omgaat. Gemeenten moeten deze betrouwbaarheid kunnen waarborgen en jaarlijks aantonen dat hun informatieveiligheid op orde is. ENSIA helpt hierbij. Ik heb al veel geschreven over ENSIA (meest recente blog ), maar in praktijk zie je toch snel zaken over het hoofd is mijn eigen ervaring. In deze blog zoom ik uitsluitend in op Suwinet. Hopelijk heb je iets aan mijn tips!

Lees verder

Wat is een Business Impact Analyse, en hoe voer je deze uit?

Het uitvallen van kritische ICT-voorzieningen door externe bedreigingen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Het is daarom slim om potentiële bedreigingen en het effect ervan op de kritische bedrijfsprocessen vroegtijdig in kaart te brengen, om stagnatie van deze processen te voorkomen. Dit proces wordt ‘Business Continuïty Management (BCM)’ genoemd. Onderdeel van BCM vormt het uitvoeren van een Business Impact Analyse (BIA). Maar wat is een BIA en hoe voer je deze uit?

Lees verder

Van BIG naar BIO; wat zijn de verschillen?

Baselines op het gebied van informatiebeveiliging, we hebben er een hoop binnen de overheid. De BIG, BIR, BIWA, IBI en straks vanaf 2019 is daar dan de BIO, ofwel de Baseline Informatiebeveiliging Overheid, die de eerdergenoemde sectorale baselines zal vervangen. Binnen gemeenten hanteren we momenteel de BIG. Wat zijn de merkbare verschillen tussen de BIG en de BIO? En hoe kun je je als CISO voorbereiden op de BIO?

Lees verder

Het dreigingsbeeld voor gemeenten; niet meer dan handig?

Dit jaar, 2018, is voor het eerst het ‘Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten’ uitgekomen. Een initiatief van de IBD. Dit dreigingsbeeld heeft als doel gemeenten weerbaarder te maken op het gebied van informatiebeveiliging door inzicht te geven in de belangrijkste risico’s. En wat blijkt? Uit het dreigingsbeeld komt onder andere dat de factor ‘mens’ het grootste risico vormt. Verrassend of oud nieuws?

Lees verder

Leunen op de horizontale ENSIA verantwoording?

Eerder deze maand startte de nieuwe ENSIA verantwoordingscyclus. De vragenlijsten staan weer open, gebruikers dienen nieuwe rechten te krijgen en de ENSIA coördinator heeft even een piek in z’n werkzaamheden. Tijdens het VNG Realisatie (mini)congres ‘Slim Verantwoorden’ half juni mocht ik discussiëren met andere ENSIA coördinatoren over de volgordelijkheid van verantwoorden. Eerst verticaal of eerst horizontaal? Überhaupt beide?

Lees verder

De rol van een CISO: 5 eigenschappen die je echt nodig hebt!

Chief Information Security Officer. Ofwel CISO, dé spin in het web als het gaat om de beveiliging van informatie. De CISO heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben en daar komt een hoop bij kijken. Je moet dan ook behoorlijk wat eigenschappen bezitten om deze rol op een juiste wijze uit te voeren, zowel op technisch als op organisatorisch vlak. Maar wat zijn dan die eigenschappen?

Lees verder