CISO Toolkit

Er moet meer bestuurlijke aandacht komen voor informatieveiligheid, met een hechtere verbinding tussen bestuurder en de chief information security officer (CISO). De CISO heeft binnen de gemeentelijke organisatie een spilfunctie, om ervoor te kunnen zorgen dat de juiste acties worden genomen ten aanzien van de informatiebeveiliging. Dat concludeert de Visitatiecommissie Informatieveiligheid na het bezoeken van de colleges en CISO’s van 120 gemeenten.

De visitatiecommissie stelt vast dat het in alle gevallen van belang is dat de CISO onafhankelijk is gepositioneerd, een directe rapportagelijn heeft naar de (eindverantwoordelijke) gemeentesecretaris en de (bestuurlijk) portefeuillehouder en daarmee periodiek overleg heeft. Daarnaast dient de CISO verbonden te zijn met de ambtelijke organisatie en het primaire proces. Het is voor een CISO echter niet doenlijk (en ook niet zijn rol) om nauw betrokken te zijn bij de specifieke werkprocessen. De visitatiecommissie ziet een belangrijke rol voor de IBD bij het versterken van de positie en de rol van de CISO.

CISO -Toolkit

De IBD ondersteunt bij het verhogen en op peil houden van de informatiebeveiliging van Nederlandse gemeenten vanuit de kracht van het collectief. De IBD geeft nadrukkelijk aandacht aan het versterken van de positie van de gemeentelijke CISO en heeft hiervoor een CISO-Toolkit ontwikkeld.

De CISO-toolkit bevat een aantal bekende producten van de IBD, aangevuld met een aantal nieuwe producten. Producten/onderdelen gemarkeerd met een * zijn nieuw toegevoegd of het betreft een nieuwe versie van het desbetreffende product.

Downloads op de website van de IBD

Operationele kennisproducten

Producten en diensten op de (besloten) IBD-community

  • De IBD Crisisgame – de bestaande crisisgame heeft een update gehad en bevat naast enkele nieuwe filmpjes ook een nieuwe actie. De crisisgame is beschikbaar voor deelnemers die hiervoor de train-de-trainer cursus hebben gevolgd.
  • Op de IBD-community staat het CISO-register. CISO’s van gemeenten kunnen in hun persoonlijk profiel aangeven dat ze de functie hebben. Nieuwe zoekfunctionaliteit maakt het mogelijk dat CISO’s vindbaar zijn voor andere leden van de IBD-Community.
  • VNG Cybergame – de cybergame laat zien dat een digitaal incident impact kan hebben zowel binnen als buiten het gemeentehuis. Hoe ga je hier als gemeentebestuurder mee om? Hoe communiceer je en hoe zorg je ervoor dat je ‘in control’ blijft? De verwevenheid van de digitale en de fysieke wereld laat zien dat je als gemeentebestuurder een rol hebt te vervullen. Maar hoe ziet die rol er dan uit?

Downloads op de website van de VNG

Direct verstuurde documenten aan ACIB / VCIB van gemeenten

  • De IBD-maandmonitor – de maandmonitor biedt een overzicht van relevante ontwikkelingen op het terrein van informatiebeveiliging in de gemeentelijke context. De IBD geeft in de maandmonitor algemene adviezen in lijn met de baseline informatiebeveiliging.

IBD workshops voor gemeentelijke CISO’s

  • De IBD kan diverse workshops op het gebied van informatiebeveiliging verzorgen, waaronder een workshop Adviesvaardigheden. Tijdens deze workshop wordt u een spiegel voorgehouden, gaan we in discussie met andere CISO’s en gaan we zelf aan het werk. Na de workshop heeft u handvatten om de lijnmanager te mobiliseren en activeren meer met informatieveiligheid te doen. Ook wordt u effectiever in de boodschap overbrengen aan de top. Het eindresultaat is dan ook dat de informatieveiligheid van de gemeente als geheel verbeterd.
  • Een overzicht van alle workshops die de IBD kan verzorgen, vindt u hier.

Samenhang games en oefeningen

De IBD crisisgame

De game behandelt een ransomware aanval in de gemeente Natte Meren. De game draait om een effectieve aanpak van deze aanval door de gemeentelijke organisatie die daarbij op hilarische wijze door een van haar bestuurders wordt bijgestaan. De game gaat in op het belang van de organisatierollen CISO, ICT, Communicatie, Bedrijfsvoering en Crisiscoördinatie. De game is ontworpen voor de ambtelijke organisatie. De game is beschikbaar via de IBD en vraagt de inzet van een tweetal getrainde moderatoren.

De VNG Cybergame

De game behandelt het effect van ‘fake news’ die via een hack op de gemeentelijke website van (alweer) de gemeente Natte Meren is geplaatst. De game is ontwikkeld om bestuurlijk bewustzijn rond een veilige samenleving te stimuleren. Aanwezigheid van één of meerdere bestuurders en een OOV medewerker is randvoorwaardelijk voor een succesvolle en zinnige uitvoering.  De game bouwt voort op de IBD crisisgame. Een aantal karakters uit de crisisgame maakt weer hun opwachting. De game richt zich op de bewustwording dat een dergelijke aanval niet alleen de eigen informatievoorziening is geraakt, maar ook op het effect daarvan op dienstverlening en op de samenleving. De game richt zich naast de regulier IT organisatie ook op de betrokkenheid van de gemeentelijke OOV functie en de voor hen relevante crisisaanpak. De game is te spelen via VNG connect. Ook deze game vraagt begeleiding van een getrainde moderator, zij zijn beschikbaar via VNG Connect.

Drie cyber-oefenscenario’s

Deze scenario’s zijn ontwikkeld om gebruik makend van de reguliere gemeentelijke crisisorganisatie te oefenen met een cyberincident dat zich afspeelt rond gemanipuleerde data in het domein werk-en inkomen. De scenario’s richten zich op de setting waarin het gemeentelijk crisisteam (burgemeester; gemeentesecretaris, OOV coördinator, Hoofd communicatie én de gemeentelijk CISO) zich door een crisis heen werken op de wijze die in de reguliere OOV crisisaanpak gebruikelijk is. De oefeningen verdiepen de inzichten van de bovenstaande games, maar kunnen ook los daarvan worden ingezet.

De oefening is op drie niveau’s uitgewerkt; uitsluitend binnen de gemeentelijke organisatie; gemeentelijke organisatie aangevuld met vertegenwoordiging van Openbaar Ministerie en Politie en tot slot het scenario waarin ook regionaal moet worden opgeschaald.

De oefeningen zijn voor gemeenten verkrijgbaar bij VNG connect en bestaan uit een instructie voor een gemeentelijke oefencoördinator, enkele ondersteunende video’s, draaiboeken voor een gemeentelijk oefenteam en een handreiking voor evaluatie van de oefening.

De oefeningen vragen om de aanwezigheid van een gemeentelijk procesbegeleider, maar vragen verder geen externe ondersteuning van een getrainde moderator. De oefeningen zijn in lijn met  de speerpunten van de landelijke BZK beleidslijn aanpak informatieveiligheid.

Bestuurlijke mindmaps ‘eigen huis op orde’ en ‘veilig innoveren

De mindmaps eigen huis op orde en veilig innoveren zijn ontworpen om het soms lastige gesprek tussen bestuurder en beveiligingsfunctionaris te ondersteunen. In één oogopslag laten de mindmaps het belang van bestuurlijke betrokkenheid bij preventie en crisisafhandeling zien. Daarnaast geven ze op de hoofdlijn inzicht in de dagelijkse werkelijkheid van een gemeentelijke CISO. De mindmaps zijn ontworpen door gesprekken met bestuurders, CISO’s, het Nederlands Genootschap voor Burgemeesters (NGB) én de Informatiebeveiligingsdienst.

De mindmaps worden gebruikt bij de NGB training cyberburgemeester en zijn toegevoegd aan de toolkit voor CISO’s. Voor alle anderen zijn de mindmaps via de VNG site te downloaden.

Doorontwikkeling CISO-Toolkit

De CISO-Toolkit zal doorlopend samen met gemeenten verder worden uitgebouwd en ontwikkeld.

Risicomanagement door lijnmanagers

Risicomanagement door lijnmanagers

Wie heeft in uw gemeente de aap op zijn schouder, de CISO of de lijnmanager? Wie accepteert de risico’s in het kader van de informatieveiligheid? De handreiking helpt u de lijnmanager beter in de rol als verantwoordelijke en probleemeigenaar te plaatsen.

Download hier de handreiking