Categorie: informatiebeveiliging (blog)

Als gemeente is het van belang dat je een sterke informatieveilige en privacybewuste omgeving hebt. Zowel op het vlak van techniek als op het vlak van de mens. Een informatiebeveiligingsbeleid is alleen doeltreffend wanneer collega’s ook slim en doordacht omgaan met informatiebeveiligingsaspecten en überhaupt weten wat er van hen verwacht wordt. Niet voor niets worden er in de Baseline Informatiebeveiliging Overheid (BIO) eisen benoemd als het gaat om personele beveiliging (hoofdstuk 7). In deze blog lees je hoe je kunt zorgen voor een veilige instroom, doorstroom en uitstroom van medewerkers.

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de Baseline Informatiebeveiliging Overheid (BIO). ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarlijkse onderhoudsbeurt. Maar het is zoveel meer, toch?

Sinds 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Hiermee is één gezamenlijk normenkader voor informatiebeveiliging ontstaan voor alle overheidslagen. De allereerste maatregel uit de BIO, en ook gelijk de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. Maar hoe schrijf je een goed beleid dat niet in de kast belandt, maar waar je vervolgens ook echt iets mee kunt?

Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken omdat werkplekken geïnfecteerd zijn met ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Ben je toch geraakt door ransomware? Dan vind je in deze blog ook een handig stappenplan om de schade zoveel mogelijk te beperken en voor het herstel.

In februari publiceerde de Vereniging van Nederlandse Gemeente (VNG) de Agenda Digitale Veiligheid 2020-2024. De agenda biedt gemeenten een handelingsperspectief dat aansluit bij de bestuurlijke praktijk en bevat 10 actielijnen met als doel het vertrouwen van inwoners en ondernemers in de digitale veiligheid te vergroten én vast te houden. Maar biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Op basis van de BIO dien je als gemeente een Information Security Management System, ofwel ISMS, te implementeren, bij te houden en continu de verbeteren. Een ISMS borgt risicomanagement op basis van de plan-do-check-act-cyclus en helpt zo het onderwerp informatiebeveiliging op de agenda van bestuur en management te krijgen/houden. In deze blog ga ik niet in op het proces zelf, maar wil ik graag de focus leggen op het selecteren van een ISMS-tool (software) om dit proces te ondersteunen.

Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging. Zo kan de rekenkamercommissie besluiten om onderzoek te doen naar de gemeentelijke informatievoorziening en of deze wel voldoende veilig en betrouwbaar is, en informatie van burgers in veilige handen is. Maar welke zaken onderzoeken ze dan zoal en welke aanpak hanteren ze hierbij? Dat en meer lees je in deze blog.

Volgens Ferdinand Grapperhaus, minister van Justitie en Veiligheid, moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren uit het promotieonderzoek van Muel Kaptein, hoogleraar Bedrijfskunde, kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

En slecht voorbeeld helaas slecht volgen… Zoals Ferdinand Grapperhaus, minister van Justitie en Veiligheid, vorig jaar zei: “Als je leidinggevende het niet zo serieus neemt met zijn of haar digitale veiligheid, dan zal je dat als werknemer ook niet snel doen.” Hij riep ertoe op dat iedereen binnen een bedrijf moet beseffen hoe belangrijk het is om digitale beveiliging serieus te nemen en dat iedereen met een voorbeeldfunctie verantwoordelijkheid moet nemen en digitaal leiderschap moet tonen”. Maar wat houdt dat in? En wat is daarvoor nodig? Dat behandelen we in deze tweedelige blogreeks.

Dat nog te bezien valt of je ENSIA al een ‘effectief en efficiënt verantwoordingsstelsel’ mag noemen heb je kunnen lezen in het vorige deel van de reeks over de toekomst voor ENSIA. Nu ga ik het hebben over hoe ENSIA zich in de komende jaren kan ontwikkelen om deze omschrijving wél te verdienen. Dat begint wat mij betreft bij een goed fundament van het ENSIA-verantwoordingsstelsel richting de raad. Daartoe helpen onderstaande drie toekomstscenario’s waarbij ik een combinatie van scenario 1 en 2 op voorhand afraad.