Binnen het vakgebied informatiebeveiliging, en in bescheiden mate binnen het vakgebied privacy, maken we binnen de overheid gebruik van baselines als fundament voor de beveiliging van een organisatie. Simpel gezegd bestaan baselines uit een set aan maatregelen die een basisniveau van beveiliging dient te realiseren. In Nederland hebben we veel sectorale baselines zoals de BIG en de BIR. Waarom bestaan er baselines en wat kan je er precies
De regels op het gebied van informatiebeveiliging en privacy zijn de laatste jaren flink aangescherpt en met de komst van de AVG kunnen organisaties er eigenlijk niet meer omheen. Toch ziet nog lang niet iedereen het belang van informatiebeveiliging en privacy in. Ondanks desinteresse in deze onderwerpen, is het wel belangrijk dat er door iedere organisatie en door iedere collega aandacht aan wordt besteed. Maar hoe implementeer je de BIG
De regels op het gebied van informatiebeveiliging en privacy zijn de laatste jaren flink aangescherpt en met de komst van de AVG kunnen organisaties er eigenlijk niet meer omheen. Toch ziet nog lang niet iedereen het belang van informatiebeveiliging en privacy in. Ondanks desinteresse in deze onderwerpen, is het wel belangrijk dat er door iedere organisatie en door iedere collega aandacht aan wordt besteed. Maar hoe implementeer je de
Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, heeft als doel de auditlast te verminderen en het verantwoordingsstelstel voor informatieveiligheid efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control (P&C)-cyclus. In mijn eerste blog over ENSIA (mei 2015) heb ik aangegeven dat ik ENSIA zie als een (erg) hoopgevende denkrichting. In de daaropvolgende blog (januari 2017), waarin ik schrijf over de stand van zaken, vraag ik me al af of er wel echt sprake is van integrale verantwoording.
Naar aanleiding van het Diginotar-incident, is in 2013 de Baseline Informatiebeveiliging Gemeenten opgesteld, ook wel de BIG genoemd. Met als doel; meer grip op de betrouwbaarheid van de informatievoorziening en borging van de informatieveiligheid binnen gemeenten. Destijds is in de VNG Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ de afspraak gemaakt dat iedere gemeente onderschrijft een informatieveiligheids-
In mijn vorige blog heb ik geschreven over de toename van incidenten op informatieveiligheidsvlak. Vorige week verscheen het rapport ‘In onveilige handen’ van de Rekenkamer Rotterdam. Hierin worden harde conclusies getrokken als het gaat om de informatiebeveiliging bij de gemeente Rotterdam. Reden voor het onderzoek van De Rekenkamer was het datalek bij de gemeente vorig jaar, waarbij de privégegevens van ruim 25.000 Rotterdammers via
De incidenten op informatieveiligheidsvlak nemen met de dag toe, ook bij gemeenten. De media berichten er bijna wekelijks over. Deze week vond er een groot incident plaats bij de gemeenten Blaricum, Eemnes en Laren, ook wel de BEL-gemeenten genoemd. Het incident heeft er zelfs toe geleid dat alle systemen voor meerdere dagen zijn platgelegd. Bedenk wat dit betekent voor je bedrijfsvoering en reputatie als gemeente. We zijn al enkele jaren actief
Het aanstellen van een CISO is een randvoorwaarde bij het vergroten van de informatieveiligheid binnen je gemeente. De CISO is dé spin in het web als het gaat om de beveiliging van informatie en heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben. Maar de rol van CISO gaat verder dan dat. Naast technische vaardigheden moet je ook in het bezit zijn van een portie organisatorische skills. Maar omdat het nog een relatief
Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, heeft als doel om de auditlast te verminderen en het verantwoordingsstelstel voor informatieveiligheid efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control-cyclus. Zoals aangegeven in mijn eerdere blog over ENSIA, naar mijn mening een veelbelovende en uitdagende systematiek om de (forse) verantwoordingslast
Bewustwording. Een cruciaal onderwerp als het gaat om informatieveiligheid. Want je informatiebeveiliging kan technisch wel in orde zijn, wanneer medewerkers hier niet naar handelen liggen incidenten, zoals datalekken, nog steeds op de loer. Uit de vele krantenkoppen hierover, is af te leiden dat medewerkers vaak, al dan niet onbedoeld, een rol spelen bij het veroorzaken hiervan. Uiteindelijk is de informatiebeveiliging zo sterk als de zwakste schakel,
Informatiebeveiliging. Ofwel ‘het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Dit met als doel om de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel,
Anno 2016 beschikken we in ons dagelijks leven over vele digitale toepassingen. Deze bieden ons mogelijkheden waar we voorheen niet eens bekend mee waren. Ook in ons werk. Zo werken we steeds meer tijd-, plaats- en apparaatonafhankelijk. Los van dat deze mogelijkheden een hoop kansen bieden, zorgen ze ook voor een hoop bedreigingen. Denk aan: datalekken, phishing, hacking, identiteitsfraude, spionage, cybercrime, et cetera. Deze gevolgen gaan