Informatiebeveiliging is gedeelde uitdaging van gemeenten

Informatiebeveiliging is de laatste jaren een begrip geworden in onze samenleving. De overheid, zorginstellingen en bedrijven worden dagelijks geconfronteerd met de vele risico’s. En nog zien we regelmatig in het nieuws dat er weer belangrijke informatie gestolen of gelekt is. Er is dus een noodzaak om serieus met informatiebeveiliging aan de slag te gaan. Dat kost echter veel tijd en geld. Het goede nieuws is dat gemeentes vanuit de centrale overheid voldoende steun krijgen en samenwerken om de informatiebeveiliging op een hoger niveau te krijgen. We staan er dus niet alleen voor. 

We werken steeds meer digitaal. Dat is immers plaats- en tijdonafhankelijk, en er komen steeds meer en betere middelen op de markt waarmee we efficiënter kunnen werken. Dit digitale werken zorgt helaas ook voor meer informatiebeveiligingsrisico’s. Kritische, betrouwbare en vertrouwelijke informatie kan via het internet met één druk op de knop aan de andere kant van de wereld zijn, zowel bij de juiste als bij een kwaadwillende persoon. Die online verbondenheid zorgt ervoor dat veel meer afhankelijkheden zijn ontstaan qua beveiliging. Het gevolg is dat er flinke schade aangericht kan worden bij een slechte beveiliging. Wat zou er bijvoorbeeld gebeuren als iemand de besturing van de stormvloedkering in de Hollandse IJssel kraakt en hiermee gaat spelen?

Informatiebeveiliging is niet alleen maar een IT-verantwoordelijkheid. Er zijn immers nog heel veel processen die nog niet volledig digitaal verlopen. Een belangrijk gegeven bij informatiebeveiliging is bovendien dat beveiligingsproblemen vrijwel altijd veroorzaakt worden door menselijk handelen. Soms door een bewuste actie, maar meestal onbewust en onbedoeld. Het grootste beveiligingsrisico is dus de mens, en dus iedereen die binnen en buiten de gemeente werkt!

Veiligheid en de burger

De burger zelf gaat vaak nog onvoldoende veilig om met de eigen (persoons)gegevens. Hij is zich nauwelijks bewust van de gevaren en de ongemakken die ontstaan als zijn gevoelige gegevens bij verkeerde mensen terecht komen. Het begint vaak al met de wachtwoorden die te veel voor de hand liggen en voor alle online diensten gelijk zijn. Denk ook aan de inbreker 2.0. Die fietst echt niet meer door de straten om te kijken wie er misschien op vakantie is. Deze moderne vakman doet het vooronderzoek gewoon via social media, en daar deelt de gemiddelde burger onbewust allerlei persoonsgevoelige informatie. Maar het grote geld is voor criminelen te verdienen met zaken als identiteitsfraude, phishing en het verspreiden van computervirussen. Ik denk daarom dat we naast het zelf beter omgaan met informatiebeveiliging ook onze burgers en bedrijven daarbij moeten helpen.

Van noodzaak naar nuttig

Hoe kun je als gemeente deze belangrijke beveiligingsuitdaging nu aanpakken? Speciaal voor gemeenten is er de Baseline Informatiebeveiliging voor Gemeenten (BIG) met daarnaast een variant voor het Rijk en Waterschappen. Deze geeft kaders, richting en handreikingen waarmee de overheid de beveiliging kan verbeteren. Ieder bepaalt daarbij zijn eigen tempo, maar uiteindelijk zijn de processen wel op elkaar afgestemd. Specifiek voor de IT-aspecten is er ook nog de Informatie Beveiligings Dienst (IBD) die specifiek voor de overheid pro-actief ondersteuning biedt.
Het werken aan informatieveiligheid heeft daarmee ook een aanvullend voordeel. Het zorgt er ook voor dat de processen en procedures veel beter op orde zijn. En daar heeft iedereen uiteindelijk veel profijt van. De slogans ‘beter voorkomen dan genezen’, en ‘altijd maar brandjes moeten blussen’ passen prima bij dit onderwerp.
Als uiteindelijk iedereen veilig met informatie werkt, dan hoop ik dat er vanuit de wet- en regelgeving een stukje lastenvermindering kan worden doorgevoerd. Hierbij denk ik bijvoorbeeld aan single audit, zelfevaluaties en standaardisatie. Nu moet ik bijvoorbeeld nog voor allerlei verschillende audits steeds opnieuw de verschillende procedures oplepelen en uitleggen. Het zou veel efficiënter zijn om die een keer goed vast te leggen en daarna te hergebruiken.

Zoeken naar de juiste balans

Uiteindelijk moet een goede balans ontstaan tussen beveiliging en gebruikersgemak. Over het algemeen neemt het gebruikersgemak af naarmate de beveiliging sterker wordt. Meer sloten op je voordeur zorgt immers ook voor meer handelingen om zelf binnen te komen. Met informatiebeveiliging moet je iedere keer de afweging durven maken of iets echt noodzakelijk is in een specifiek geval. Informatiebeveiliging is een vorm van risicomanagement, waarbij je van ‘onbewust risico’s lopen’ naar een situatie wilt waarbij je bewust risico’s neemt. Maak hierbij gebruik van de BIG en IBD, dat scheelt tijd en geld. En lukt het uiteindelijk om de juiste balans in beveiliging te vinden dan pluk je daar direct de vruchten van.

Terence van Gestel, Coördinator Informatiebeveiliging (Ciso) Gemeente Haaren

Tweet about this on TwitterShare on LinkedInShare on FacebookEmail this to someoneShare on Google+

Terence van Gestel

alles bekijken
Leave a comment
Alex Deijle • 1 jaar ago

Volgens mij heeft dit alles te maken met organisatie bewustzijn en weten waar networking over gaat. Maak mensen bewust van dreigingen, laat niet alles toe en bepaal je eigen ICT beleid. Persoonlijk denk ik dat je dan de IBD niet nodig hebt. Systeembeheerder van de gemeente, waartoe zijt gij op aard? Dat zou een collega van mij zeggen. Afdelingen zijn niet verantwoordrlijk voor het functioneren van de IT, maar jij. Leuk stuk idd

reply
JOhan Michielsen • 1 jaar ago

Goed dat er in toenemende mate aandacht komt voor de risico's die wij (en daarmee ook de burgers) lopen. De stap '" Maak hierbij gebruik van de BIG en IBD, dat scheelt tijd en geld. " zal echter voor de meeste van onze collega's een brug te ver zijn, gewoonweg omdat zij noch de BIG, noch de IBD kennen. Ik vermoed dat we jou als CISO nodig zullen hebben om de vertaling van die instrumenten naar de dagelijkse praktijk in het werk te kunnen maken Terence. Hoe dan ook: veel succes!

reply
Stella Mol • 1 jaar ago

Goed stuk! Het is erg belangrijk dat gemeentemedewerkers zich bewust zijn van de gevaren van het laten 'rondslingeren' van informatiestukken. Het uitlekken of zoekraken van gevoelige informatie kan grote gevolgen hebben... Noodzaak is dat er binnen teams goede afspraken zijn gemaakt zodat de informatie op de juiste manier in de systemen wordt bewaard en opgeslagen. Dit is immers onze verantwoordelijkheid als overheidsinstelling!

reply

Wees beleefd. Dat stellen wij zeer op prijs.

By Daniele Zedda • 18 February

← PREV POST

By Daniele Zedda • 18 February

NEXT POST → 34
Share on