Dagelijks laten we veel digitale sporen na, denk aan het versturen van een e-mail, het bezoeken van een website en het binnengaan van je kantoor met een pasje. Het kan voorkomen dat na een informatiebeveiligingsincident deze digitale sporen onderzocht moeten worden. Dit gebeurt middels een digitaal forensisch onderzoek. Maar wat houdt zo’n onderzoek eigenlijk in? En wat kun je doen om het proces zo goed mogelijk te laten verlopen?
De BIO is per 2020 de opvolger van de BIG. Het jaar 2019 staat voor gemeenten daarom in het teken van de implementatie van de BIO. De overgang van de BIG naar de BIO is voor gemeenten geen sinecure. Een handig instrument dat je hierbij op weg kan helpen, is een GAP-analyse. Maar wat is een GAP-analyse en hoe voer je deze uit? Dat lees je in deze nieuwe blog.
Vandaag gaan we verder waar we de vorige keer gebleven zijn, het tweede hulpmiddel: Inhoud. Als je die blog nog niet gelezen hebt, dan raad ik je aan dat eerst te doen. Het ging over de DFGS invalshoeken om auditelementen te identificeren en te duiden. Vandaag werken we de resterende drie invalshoeken uit. Later volgen nog blogs over de hulpmiddelen Vorm en Analysevolgorde.
Twee weken geleden schreven we een blog over het eerste SIVA hulpmiddel: Structuur. Structuur helpt je bij het overzicht bewaren over het onderzoeksobject door het op te delen in lagen. Vandaag zoomen we verder in op het onderzoeksobject en neem ik je mee in het tweede hulpmiddel: Inhoud. Er is veel te zeggen over de onderwerp dus zijn het twee blogs geworden. Later volgen nog blogs over de hulpmiddelen Vorm en Analysevolgorde.
De komst van de BIO zorgt voor een hoop buzz in overheidsland. In het hele land worden sessies georganiseerd, die druk worden bezocht door CISO’s zoekende naar een manier hoe ze deze baseline kunnen gebruiken om informatiebeveiliging nu eindelijk eens op een goede manier te implementeren. De hamvraag is natuurlijk: gaat dat met de BIO wel makkelijker lukken? En wat zijn nu cruciale succesfactoren om informatiebeveiliging succesvol te implementeren?
Eerder nam ik je in deze blog mee in de wereld van (audit)referentiekaders en SIVA. Vandaag wil ik je verder meenemen in deze methodiek. Vandaag gaat het over de SIVA component Structuur. Later volgen ook Inhoud, Vorm en Analysevolgorde. Structuur helpt je om complexiteit te doorgronden en het onderzoeksobject overzichtelijk te maken. Je maakt kennis met de functionele en compositionele benadering evenals het 3C model. De blog sluit af met een beschrijving van de lagenstructuur in het referentiekader.
Als gemeente gebruik je binnen je dagelijkse processen veel informatiesystemen waarin data wordt verwerkt. Deze systemen kunnen kwetsbaar zijn voor dreigingen van binnen en van buiten de organisatie. Hierdoor loop je bepaalde risico’s. Het is daarom belangrijk om risicoanalyses uit te voeren op deze systemen. Om de ernst/impact van een risico en de reikwijdte van een maatregel te kunnen bepalen, kun je een dataclassificatie sessie organiseren. Maar hoe doe je dat en welke collega’s moet je hiervoor uitnodigen?
Dit jaar is de intrede van de Baseline Informatiebeveiliging Overheid, ofwel de BIO, die vanaf 2020 van kracht gaat. We schreven er al enkele blogs over in 2018. Veel meer dan bij de BIG helpt de BIO het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging en risicomanagement. Daarnaast zijn er ‘10 bestuurlijke principes voor informatiebeveiliging’ vastgesteld om het bestuur in hun rol te ondersteunen bij de implementatie van de BIO.
Eind 2018 waren gemeenten druk bezig met de verantwoording over ENSIA. De zelfevaluatie moest namelijk vóór 31 december zijn ingeleverd. In onze eerdere blog gaven we je al 7 tips om (ook) te slagen voor de Suwinet audit. Die, naast de DigiD audit, onderdeel is van ENSIA. Maar hoe kun je je als gemeente eigenlijk op zo’n audit voorbereiden? En wat kun je doen om het audit proces zo goed mogelijk te laten verlopen? In deze blog geef ik je enkele tips!
Zoals al langer bekend komt er een nieuwe baseline aan, de Baseline Informatiebeveiliging Overheid, ofwel de BIO. Een van de meest merkbare verschillen tussen de BIG en BIO is dat risicomanagement veel meer centraal staat. Hierin ligt een grote rol en verantwoordelijkheid voor het lijnmanagement weggelegd. Zij moeten per informatiesysteem de risico’s en dus het basisbeveiligingsniveau bepalen . Hoe ga jij hen hier bij helpen?
Burgers en bedrijven verwachten een betrouwbare overheid die zorgvuldig met hun informatie omgaat. Gemeenten moeten deze betrouwbaarheid kunnen waarborgen en jaarlijks aantonen dat hun informatieveiligheid op orde is. ENSIA helpt hierbij. Ik heb al veel geschreven over ENSIA (meest recente blog ), maar in praktijk zie je toch snel zaken over het hoofd is mijn eigen ervaring. In deze blog zoom ik uitsluitend in op Suwinet. Hopelijk heb je iets aan mijn tips!
Het uitvallen van kritische ICT-voorzieningen door externe bedreigingen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Het is daarom slim om potentiële bedreigingen en het effect ervan op de kritische bedrijfsprocessen vroegtijdig in kaart te brengen, om stagnatie van deze processen te voorkomen. Dit proces wordt ‘Business Continuïty Management (BCM)’ genoemd. Onderdeel van BCM vormt het uitvoeren van een Business Impact Analyse (BIA). Maar wat is een BIA en hoe voer je deze uit?