Paragrafen

Paragraaf Bedrijfsvoering

3.5.5 Informatieveiligheid

Informatiebeveiliging   

Informatiebeveiliging is de verzamelnaam voor de processen, die ingericht worden om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging’ heeft betrekking op: 

  • beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers; 
  • exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn; 
  • integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking. 

Beleid gemeente Almelo  
De gemeente is zelf verantwoordelijk voor het opstellen en uitvoeren en handhaven van het beleid dat in 2021 door het college is vastgesteld. Hierbij geldt: 

  • Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: AVG, BRP, SUWI, BAG en PUN, maar ook de archiefwet.  
  • Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Overheid (BIO).  
  • De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis van het ‘pas toe of leg uit’ principe. 

De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)-management, met het College van B&W als eindverantwoordelijke. Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ vormen samen het management systeem van informatiebeveiliging. 

Bij informatiebeveiliging zijn 3 pijlers van belang: 

  1. Mensen 
  1. Processen 
  1. Techniek 

Techniek is van groot belang, maar wanneer de mensen niet weten hoe zij dienen te handelen lopen we alsnog flinke risico’s. Dus hameren we op kennis, houding en gedrag in bewustwordingsprogramma’s om zo de juiste cultuur te krijgen binnen de organisatie. Processen zijn nodig voor het gecontroleerd afhandelen van bijvoorbeeld wijzigingen en beveiligingsincidenten. 

Er zijn drie soorten Informatiebeveiligingsmaatregelen: 

  1. Preventie. Dit zijn maatregelen om te voorkomen dat er dingen fout gaan. Dit zijn bijvoorbeeld implementatie van een spamfilter, een virusscanner, een firewall, maar ook een campagne om medewerkers bewust te maken van hun rol bij informatiebeveiliging. 
  2. Detectie. 100% veiligheid bestaat niet, er is altijd een kans dat er iets gebeurt. Daarom zijn er ook maatregelen nodig om een beveiligingsincident te ontdekken. Dit kunnen technische maatregelen zijn, die vreemd gedrag detecteren, maar ook campagnes om medewerkers bewust maken dat zij incidenten moeten melden. 
  3. Reactie. Als een incident is gedetecteerd moet er worden gereageerd om te voorkomen dat het groter wordt en te zorgen dat het wordt gestopt, en dat datalekken op tijd en juist worden gemeld. Dit zijn veelal procesmatige maatregelen. Er zal dan ook moeten worden gekeken of nog maatregelen nodig zijn om herhaling te voorkomen. 

Door verdergaande samenwerking met ketenpartners spannen wij ons maximaal in om de risico’s met betrekking tot informatieveiligheid te beperken. Door digitalisering van de dienstverlening en continue veranderingen van de dreiging op internet is dit complex en nooit af. Het is dan ook onmogelijk de risico’s voor 100% af te dekken. 

Actuele ontwikkelingen  

Security incidenten
Het afgelopen jaar hebben we veel verschillende soorten security incidenten gezien.
Het meest opvallend waren de 'Verdachte activiteiten'. Dit waren de meest voorkomende meldingen. Dankzij ons nieuwe monitoringssysteem, dat we net voor de zomervakantie hebben geïnstalleerd, kunnen we deze nu veel beter zien en begrijpen.
Dit nieuwe systeem, ook wel bekend onder de naam SIEM/SOC, helpt ons om ongewone en mogelijk gevaarlijke activiteiten snel te herkennen. Het is echt een grote stap voorwaarts in hoe we onze informatie beschermen.

Awareness

In 2023 hebben we me terugwerkende kracht alle nieuwe medewerkers uitgenodigd om een bewustwordingstoets af te nemen. Dit maakt deel uit van ons streven om het bewustzijn over informatiebeveiliging binnen onze gemeente Almelo verder te versterken.

Implementatie nieuwe regelgeving
In het licht van deze sterke groei en dreiging van maatschappelijke ontwrichting is er vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid. De richtlijn zal veel gevolgen en impact hebben op organisaties, aangezien de scope van ondernemingen en organisatie die onder deze richtlijn vallen vele male groter is dan de eerste NIS-richtlijn. Gemeenten zullen ook onder deze richtlijn vallen. De NIS2-richtlijn moet door lidstaten worden omgezet in nationale wetgeving. Het Rijk geeft aan dat de omzetting complex is en adviseert niet te wachten op volledig duidelijkheid. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Dit alles kan door de volgende maatregelen te nemen.

  1. Maak een risicoanalyse en -beoordeling van de fysieke en digitale risico’s die de dienstverlening van uw organisatie kunnen verstoren.
  2. Neem waar mogelijk maatregelen die de organisatie beter beschermen tegen deze risico’s.
  3. Zorg voor procedures die uw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.
Deze pagina is gebouwd op 08/02/2024 11:22:28 met de export van 08/02/2024 11:15:59