Gemeenten maken werk van informatiebeveiliging

Met de in 2013 vastgestelde resolutie ‘informatieveiligheid, randvoorwaarde voor de professionele gemeente’ hebben gemeenten een krachtig signaal afgegeven over het belang van informatieveiligheid en informatiebeveiliging. Alle gemeenten hebben zich hiermee gecommitteerd aan implementatie van de Baseline Informatiebeveiliging Nederlands Gemeenten (BIG). Gemeenten hebben sindsdien grote stappen gezet. In dit artikel geven we u hiervan een kort overzicht.

“Informatieveiligheid is veel meer dan ICT, het gaat in veel gevallen om de mens in de organisatie en de manier waarop deze met risico’s omgaat. Informatiebeveiliging raakt hiermee het complete spectrum van bedrijfsvoering van de gemeente en vraagt daarom om een bestuurlijke visie, focus en draagvlak. Om informatieveiligheid te garanderen zal iedere gemeentelijke organisatie daarom actie moeten ondernemen. Zowel technisch als organisatorisch”. Dit staat in de toelichting op de resolutie en het geeft de essentie weer van de reikwijdte van de afspraken. De afspraken uit de resolutie waren, zo vervolgt de resolutie “een logisch en noodzakelijk vervolg op de stappen die de Nederlandse gemeenten al eerder hebben genomen zoals de oprichting van de Informatiebeveiligingsdienst voor gemeenten (IBD)”. De IBD is in opdracht van de VNG sinds 1 januari 2013 operationeel als onderdeel van KING en heeft als kerntaak gemeenten op het gebied van informatiebeveiliging te ondersteunen door preventie, detectie & coördinatie en kennisdeling. Alle gemeenten zijn als onderdeel van de inrichting van het incidentmanagementproces inmiddels aangesloten bij de IBD of hebben de eerste stappen daartoe gezet.

Toename volwassenheid

Het ministerie van Binnenlandse Zaken & Koninkrijksrelaties constateert een toename in digitale volwassenheid bij gemeenten in 2015. Sinds de resolutie hebben gemeenten werk gemaakt van informatieveiligheid en informatiebeveiliging, zo is in de meeste gemeenten informatieveiligheid een vast onderdeel van de collegeambities en is het verankerd op de gemeentelijke agenda. Alle gemeenten zijn in vervolg hierop bezig met de implementatie van het gemeenschappelijk normenkader van de BIG en hanteren dit als basis voor het gemeenschappelijk veiligheidsbeleid. Gemeenten voeren een gefaseerde en gedifferentieerde implementatie van de BIG door die gebaseerd is op lokale risicoafwegingen en financieringsmogelijkheden.

Kennisdeling

De IBD constateert ook een toenemende volwassenheid op basis van de aard van de vragen van gemeenten. Gemeenten benaderen de IBD steeds vaker voor advies over structurele, geborgde en vaak ook preventieve oplossingen die verder gaan dan de ICT-component, bijvoorbeeld organisatorische maatregelen. Daarnaast vinden gemeenten elkaar in toenemende mate op de IBD community waar op een vertrouwde manier kennis en ervaringen kunnen worden uitgewisseld. Kennisdeling is de sleutel tot succes om de IBD generieke kennisproducten toe te passen op de eigen situatie.

Kwetsbaarheden

Onlangs aan het licht gekomen kwetsbaarheden in versleuteling van websites toonde eens te meer aan dat gemeenten voortvarend gaan met de oplossing wanneer ze bekend zijn met een kwetsbaarheid. Gemeenten tonen zich daarmee bewust van de (continu veranderende) informatieveiligheidsrisico’s en nemen hierop adequate maatregelen.

ENSIA

In het project ENSIA (Eenduidige Normatiek Single Information Audit) werken de ministeries van BZK, SZW en I&M, de VNG, IBD en verschillende gemeenten aan het stroomlijnen van de diverse audits op het gebied van informatiebeveiliging en de aansluiting daarvan op de planning & controlcyclus (P&C). Gemeenten constateerden een grote overlap in vraagstelling bij de verantwoordingen over DigiD, BAG, BRP, PUN en SUWI. Het verwijderen van dubbele vragen en de betere inbedding in de P&C cyclus moet uiteindelijk leiden tot een integraler beeld.

Visitatiecommissie

De visitatiecommissie Informatieveiligheid, onder leiding van burgemeester Frans Backhuijs, bezoekt gemeenten om intercollegiaal de stand van zaken op het gebied van informatiebeveiliging te bespreken. Het beeld van de visitatiecommissie op basis van deze gesprekken is dat er zowel bestuurlijk als ambtelijk commitment is en dat iedere gemeente aan het werk is met informatieveiligheid. Daarbij geldt vanzelfsprekend dat elke gemeente dat doet naar de lokale mogelijkheden in termen van capaciteit en kennis. Gemeenten geven bij de visitatiecommissie aan dat ze grote waarde hechten aan de gezamenlijke aanpak door middel van de dienstverlening van de IBD bij zowel de ondersteuning op de implementatie van de BIG als de kernactiviteiten preventie, detectie en coördinatie bij (mogelijke) veiligheidsincidenten of kwetsbaarheden.

Vervolgstappen

Gemeenten hebben grote stappen gezet in de richting die de ambities uit de resolutie aangeven, maar er is nog veel werk te verzetten. Gemeenten hebben als meest nabije overheidslaag te maken met gevoelige informatie, zoals bijzondere persoonsgegevens die ook nog vaak met andere instanties moet worden gedeeld bij de uitvoering van wettelijke taken. Hiernaast is het de ambitie van de regering dat burgers en bedrijven uiterlijk in 2017 zaken die ze met de overheid doen digitaal afhandelen. Verder constateert het NCSC een toename in digitale dreigingen. De combinatie van deze factoren maakt dat gemeenten moeten doorgaan op de ingeslagen weg en aandacht voor informatiebeveiliging en informatieveiligheid moeten blijven houden en zelfs verscherpen. De IBD staat gemeenten bij in dit proces, onder andere met de 24×7 bereikbare helpdesk door middel van preventie, detectie, coördinatie en kennisdeling.

Meer informatie?

Voor meer informatie kunt u contact opnemen met de IBD via 070 373 8011 of een e-mail sturen naar info@IBDgemeenten.nl.