Verhogen digitale weerbaarheid

Gemeenten hebben een grote verantwoordelijkheid om hun informatievoorziening te beveiligen en veilig te houden. De Baseline Informatiebeveiliging Overheid (BIO) beschrijft de controls en maatregelen die minimaal benodigd zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie(systemen) te waarborgen. Sinds 2013 werken gemeenten aan de implementatie van de BIG. Dit is echter complex omdat de rollen en taken van gemeenten divers zijn en ook doorlopend wijzigen. In 2019 vindt de overgang van de BIG naar de BIO plaats. Dit zal naar verwachting slechts weinig impact hebben op de complexiteit van de implementatie, gezien de gelijksoortige karakters van de beide normenkaders.

Digitale weerbaarheid

Informatiebeveiliging is een proces van plannen, uitvoeren, controleren en bijstellen (Plan-Do-Check-Act). Gemeenten groeien in volwassenheid van informatiebeveiliging. De focus verschuift van reageren op incidenten naar het herkennen en voorkomen van incidenten. Een digitaal weerbare gemeente kan potentiële incidenten vroegtijdig signaleren en de gevolgen ervan beperken, omdat de juiste maatregelen zijn getroffen. Als de basis door implementatie van de BIO op orde is, verhoogt dit de digitale weerbaarheid van gemeenten.

Waar staan gemeenten met de implementatie van de baseline?

Hoe ver gemeenten zijn bij de implementatie van de BIO en hoe volwassen ze zijn verschilt per organisatie. Wel staat vast dat iedere gemeente doorlopend stappen te zetten heeft bij de implementatie van de BIO en dat ondersteuning bij het verhogen van de digitale weerbaarheid zeer gewenst is.

Ondersteuningspakket Verhogen Digitale Weerbaarheid (VDW)

Gemeenten hebben bij de IBD aangegeven de weerbaarheid verder te willen verhogen. In het Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten 2018 concludeert de IBD  dat nog niet alle gemeenten hier volledig op voorbereid zijn. Om gemeenten te helpen met het verhogen van de digitale weerbaarheid heeft de IBD een ondersteuningspakket ontwikkeld voor de processen en maatregelen uit de BIO die gelden als randvoorwaarde om digitaal weerbaar te zijn.

De ondersteuning van de IBD is een langlopend traject dat vele facetten kent. De IBD biedt ondersteuning op afgebakende gebieden met behulp van specifieke modules. De eerste module uit dit traject is beschikbaar en de overige modules worden in samenwerking met gemeenten en de vakverenigingen ontwikkeld.

VDW-Module 1: Maatregelen en Processen

Het ondersteuningspakket voor module 1 bestaat uit:

VDW-Module 2: Monitoring & Response (Nieuw)

In het traject VDW ondersteunt de IBD gemeenten thematisch bij de groei in volwassenheid van hun informatiebeveiliging. Module 2 van VDW gaat in op het signaleren van afwijkingen en incidenten in de informatievoorziening en hierop acteren, ofwel monitoring en response.

Gemeenten hebben in de afgelopen jaren grote stappen gezet in hun informatiebeveiliging. De volgende logische stap bij de implementatie van de baseline informatiebeveiliging gemeenten / overheid (BIG/BIO) is een sterkere focus op detectie en actieve preventie van incidenten.

Module 2 bestaat uit de volgende onderdelen:

  • Een introductievideo
  • De handreiking randvoorwaarden monitoring en response (handreiking en mindmap)
  • De handreiking starten met monitoring en response (handreiking en mindmap)
  • De handreiking uitbreiden van monitoring en response (handreiking en mindmap)
  • De factsheet juridische aspecten van monitoring en response
  • Een format voor een projectplan monitoring en response

U kunt het ondersteuningspakket VDW module 2 downloaden op de productpagina. Voor vragen en hulp bij de implementatie kunt u natuurlijk altijd contact opnemen met de IBD via info@IBDGemeenten.nl.

VDW Onderzoek

De IBD heeft na oplevering van VDW-Module 1 een onderzoek uitgevoerd om een beeld te krijgen van de behoefte aan vervolgdienstverlening van de IBD op dit vlak. In september 2018, na ontvangst van het ondersteuningspakket, is de (vrijwillig in te vullen) enquête opengezet. De deelnemende gemeenten hebben van tevoren met behulp van de mindmaps hun situaties goed in kaart gebracht en hebben daarna de enquête ingevuld. Er werd tevens de mogelijkheid geboden om een specifieke behoefte aan dienstverlening op de betrokken onderdelen aan te geven bij de IBD.

De IBD heeft met behulp van vragenlijsten en interviews de stand van zaken rondom implementatie van de BIG/BIO bij gemeenten onderzocht en is van plan dit onderzoek jaarlijks te herhalen. De resultaten van dit onderzoek zijn alleen bedoeld om de richting van de dienstverlening van de IBD te bepalen en mogelijk te verbeteren. De uitkomsten van dit onderzoek leiden mogelijk weer tot nieuwe VDW-modules. Het onderzoek heeft betrekking op de uitdagingen die CISO’s van gemeenten ervaren bij de implementatie van (maatregelen en processen uit) de BIO. Wellicht ten overvloede: de IBD heeft en krijgt geen enkele rol in verantwoording over informatiebeveiliging.

VDW-module 3: Awareness

De derde VDW module staat inmiddels ook al in de steigers. Deze module richt zich op awareness binnen de Nederlandse gemeenten. Meer concrete informatie vindt u op deze pagina, zodra deze beschikbaar komt, inclusief de te verwachten tijdlijnen.