Paragrafen

Bedrijfsvoering

Informatiebeveiliging   

Informatiebeveiliging is de verzamelnaam voor processen die ingericht worden om de betrouwbaarheid van organisatieprocessen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging’ heeft betrekking op:

  • beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers;
  • exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn; 
  • integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking.

Beleid organisatie
De organisatie is zelf verantwoordelijk voor het opstellen en uitvoeren en handhaven van het beleid. Hierbij geldt:

  • Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: Algemene verordening gegevensbescherming (Avg), Basisregistratie Personen (BRP), Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (SUWI), Basisregistratie Adressen en Gebouwen (BAG) en de Paspoortuitvoeringsregeling Nederland 2011 (PUN), maar ook de Archiefwet.
  • Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Overheid (BIO).  
  • De organisatie stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis van het ‘pas toe of leg uit’ principe.

De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)¬management, met het college van B&W als eindverantwoordelijke. Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ vormen samen het management systeem van informatiebeveiliging.

Bij informatiebeveiliging zijn 3 pijlers van belang:

  1. Mensen
  1. Processen
  1. Techniek

Techniek is van groot belang, maar wanneer de mensen niet weten hoe zij dienen te handelen loopt de organisatie alsnog grote risico's. Dus hameren we op kennis, houding en gedrag in bewustwordingsprogramma’s om zo de juiste cultuur te krijgen binnen de organisatie. Processen zijn nodig voor het gecontroleerd afhandelen van bijvoorbeeld wijzigingen en beveiligingsincidenten.

Er zijn drie soorten Informatiebeveiligingsmaatregelen:

  1. Preventie, dit zijn maatregelen om te voorkomen dat er dingen fout gaan. Dit zijn bijvoorbeeld implementatie van een spamfilter, een virusscanner, een firewall, maar ook een campagne om medewerkers bewust te maken van hun rol bij informatiebeveiliging.
  2. Detectie. 100% veiligheid bestaat niet; er is altijd een kans dat er iets gebeurt. Daarom zijn er ook maatregelen nodig om een beveiligingsincident te ontdekken. Dit kunnen technische maatregelen zijn, die vreemd gedrag detecteren, maar ook campagnes om medewerkers bewust maken dat zij incidenten moeten melden.
  3. Reactie. Als een incident is gedetecteerd moet er worden gereageerd om te voorkomen dat het groter wordt en te zorgen dat het wordt gestopt, en dat datalekken op tijd en juist worden gemeld. Dit zijn veelal procesmatige maatregelen. Er zal dan ook moeten worden gekeken of nog maatregelen nodig zijn om herhaling te voorkomen.

Actuele ontwikkelingen
Er zijn belangrijke stappen gezet om de informatiebeveiliging te versterken en te verbeteren.

  • Implementatie en uitvoering van een Informatiebeveiliging (IB) verbeterplan, gericht op het versterken van de beveiligingsmaatregelen en procedures.
  • Vaststelling van tactisch beleid voor informatiebeveiliging, dat richtlijnen en richting biedt voor het waarborgen van de vertrouwelijkheid en integriteit van informatie.
  • Opweg naar een succesvolle uitvoering van Security Information and Event Management (SIEM) SOC, waarmee verdacht gedrag en mogelijke beveiligingsincidenten worden gemonitord en geanalyseerd.
  • Toevoeging van 1 Fte Information Security Officer (ISO), wat heeft geleid tot een versterking van de capaciteit en expertise op het gebied van informatiebeveiliging.

Knelpunten en tekortkomingen op het gebied van informatiebeveiliging:
Informatiebeveiliging vraagt om continu monitoren en bijsturen. De gemeente zal blijvend worden geconfronteerd met uitdagingen die onze aandacht vereisen. De huidige uitdagingen hebben betrekking op verschillende aspecten en vragen om actie:

  • Niet volledig voldoen aan gestelde normenkaders, wet- en regelgeving op het gebied van informatiebeveiliging.
  • Onvoldoende duidelijkheid over eigenaarschap en verantwoordelijkheden bij informatiebeveiliging
  • Onvoldoende actueel en adequaat beleid voor de classificatie van data (Governance).
  • Ad-hoc en informele processen voor informatiebeveiliging.
  • Lage bezetting en krappe financiële middelen op het gebied van informatiebeveiliging.

Het niet of onvoldoende oppakken van deze uitdagingen vormt een potentieel risico voor bescherming van gevoelige gegevens.

Focusgebieden 2024: erkennen en integreren van informatiebeveiliging
Met onderstaande maatregelen streven we naar een verbetering van de beveiliging van gegevens en informatiesystemen en naar de naleving van normenkaders en wet- en regelgeving. Het doel is om een solide basis voor informatiebeveiliging te creëren die de gehele gemeente omarmt.

  • Creëren van duidelijke richting, prioriteit en verantwoordelijkheid om een solide basis voor informatiebeveiliging te waarborgen.
  • Implementatie van een Information Security Management System (ISMS) om gestructureerd en systematisch om te gaan met informatiebeveiliging.
  • Het continu bevorderen van een cultuur van informatiebeveiliging en bewustwording onder medewerkers om het belang van beveiliging te benadrukken en juist gedrag te bevorderen.
  • Integreren van informatiebeveiliging binnen de gemeente als een integraal onderdeel van alle processen en activiteiten. Van strategisch tot operationeel niveau.

Naast het aanpakken van de eerder genoemde knelpunten en het implementeren van maatregelen, houden we ook rekening met de nieuwe wetgeving en normenkaders op het gebied van informatiebeveiliging, zoals de NIS2 (Network and Information Security Directive 2) en de BIO 2.0 (Baseline Informatiebeveiliging Overheid). De NIS2 is een wetgeving die onder andere specifieke eisen stelt aan de beveiliging van netwerk- en informatiesystemen.

Deze pagina is gebouwd op 01/10/2024 09:11:12 met de export van 01/10/2024 09:04:21