• Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten: ‘de mens’ is het grootste risico.

    18 mei 2018
  • Dreigingsbeeld Informatiebeveiliging

    Voor het eerst is het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten uitgekomen. Dit dreigingsbeeld heeft als doel gemeenten weerbaarder te maken op het gebied van informatiebeveiliging door inzicht te geven in de belangrijkste risico’s. De belangrijkste conclusie: 'de mens' is het grootste risico. Marcel Boekhorst geeft zijn commentaar en laat weten wat Signum Interfocus voor u kan betekenen.

    Het dreigingsbeeld is opgesteld door de Informatiebeveiligingsdienst (IBD), een collectieve voorziening van alle Nederlandse gemeenten en is essentieel voor bestuurders en managers van gemeenten om de juiste prioriteiten te stellen en de strategie te bepalen. Het dreigingsbeeld is opgesteld op basis van gesprekken met gemeenten en een analyse van meldingen en incidenten. Daaruit is een top 5 van belangrijkste (be)dreigingen voor de gemeentelijke informatievoorziening afgeleid.

  • Top 5 (be)dreigingen

    1. Mensen maken fouten.
    Zij klikken bijvoorbeeld op onveilige links, openen besmette bestanden of versturen persoonsgegevens op een onveilige manier.
    2. Gemeenten zijn, net als alle organisaties, kwetsbaar.
    Gemeenten werken met veel (gevoelige) persoonsgegevens, maar zijn zich vaak onvoldoende bewust van de risico’s die daarbij horen. Fouten van personeel, zwakheden in systemen en processen, maar ook een ongeoefend incidentmanagementproces blijken het afgelopen jaar een grote rol te spelen.
    3. Dreigingen liggen ook (vlak) buiten de eigen organisatie.
    Gemeenten functioneren in een netwerk van partners en leveranciers. Heeft de gemeente zicht op de risico’s daar?
    4. De waan van de dag bepaalt de agenda.
    Informatiebeveiliging en privacy krijgen daardoor niet altijd de aandacht die nodig is.
    5. We weten niet wat we niet weten.
    Een overzicht van alle risico’s ontbreekt bij veel gemeenten. Nog lang niet alle gemeenten monitoren bijvoorbeeld het verkeer op hun netwerk.

  • Prioriteiten in 2018 en verder

    Om deze vijf risico’s te kunnen beheersen is een samenhangende combinatie van technische en organisatorische maatregelen noodzakelijk. De IBD adviseert gemeenten voor 2018 de volgende prioriteiten te stellen:

    1. Maak uw medewerkers de eerste verdedigingslinie.
    Zorg bijvoorbeeld voor bewustwording en training; veilige tools en veilige bestandsuitwisseling; screening van personeel; autorisaties en functiescheiding.
    2. Elimineer kwetsbaarheden uit uw organisatie.
    Zorg dat u weet welke systemen uw organisatie gebruikt (assetscan), zorg dat u de kwetsbaarheden van deze systemen kent en laat bijvoorbeeld regelmatig penetratietesten uitvoeren.
    3. Zorg voor een plan B.
    Definieer uw kritieke processen en maak beleid om deze processen te kunnen laten doorgaan, ook in het geval van een incident.
    4. Maak uw CISO belangrijk.
    Geef uw CISO positie, tijd en mandaat en investeer in uw CISO. Benut het momentum van ENSIA.
    5. Organiseer het samen.
    Deel uw kennis met andere gemeenten en onderhoud contacten met CISO’s uit het bedrijfsleven. Maak gebruik van praktijkvoorbeelden en meld eventuele incidenten bij de IBD.

  • Commentaar Marcel Boekhorst:

    Naast de aandacht voor de organisatorische en technische maatregelen die hierbij worden gevraagd, komt de nadruk te liggen op de mens, bijvoorbeeld door te investeren in bewustwording en training van medewerkers. Signum Interfocus heeft ervaring met het creëren van deze bewustwording en biedt daarvoor een training ‘online bewustzijn’ aan.

    Ook wordt nadrukkelijk aanbevolen om functies binnen de organisatie te classificeren en het personeel – zowel intern als extern – te screenen. In een aantal gevallen is hierop de reactie dat men een Verklaring omtrent het Gedrag (VOG) heeft ontvangen......dus zal het wel goed zijn!

    Screenen is echter meer dan het verkrijgen van een VOG, schreef ik eerder in de blog 'Een VOG is onvoldoende'. Men dient zich er namelijk van bewust te zijn dat er bij het afgeven van een VOG door Justis, onderzoek wordt gedaan naar het justitiële verleden van een persoon. Maar wat als deze persoon bij zijn vorige werkgever fraude heeft gepleegd en er is geen melding of aangifte gedaan bij de politie? Op dat moment ontvangt men toch een VOG. Door het uitvoeren van een Pre Employment Screening krijgt men, naast het overleggen van een VOG, inzicht in veel meer (integriteit)risico’s die een kandidaat met zich meebrengt.

    Het screenen van nieuw personeel vergt  kennis en kunde op gebied van de mogelijkheden van onderzoek. Het dient professioneel, kundig en integer te gebeuren. Signum Interfocus is bekend met de dynamiek van een gemeente en heeft ervaring met het screenen van hun personeel.

    Op woensdag 30 mei mag ik een lezing verzorgen op de landelijke CISO & FG Netwerkdag van SEP. Deze dag wordt speciaal georganiseerd voor CISO’s, FG’s en Privacy Officers van gemeenten en andere overheidsinstellingen. Namens Signum Interfocus zal ik een bijdrage leveren over ‘informatiebeveiliging en integriteitsonderzoeken’. Hierbij komt ook het screenen van personeel en leveranciers aan bod. Voor deze dag kunt u zich nog gratis inschrijven.