We leven in een tijdperk waarin informatie in grote hoeveelheden beschikbaar is. Nieuwe technologieën maken het ons steeds gemakkelijker om informatie te gebruiken, en te delen. Maar de beveiliging van die informatie, blijkt niet altijd zo sluitend als we zouden wensen.
– column –
Ook Nederlandse gemeenten staan hierbij voor een uitdaging. Gemeenten zijn, net als andere (overheids-)organisaties, uitermate kwetsbaar als het gaat om hun (digitale) dienstverlening. Met name wat betreft het veilig/beveiligd uitvoeren van die dienstverlening. Als het gaat om een fundamentele oplossing op het gebied van informatiebeveiliging, zijn coördinatie en bewustzijn onontbeerlijk. Voor VNG/KING is dat reden geweest om voor gemeenten een eigen Informatiebeveiligingsdienst (IBD) op te zetten.
Concrete doelen
De doelen van de dienst zijn concreet. Aan de ene kant het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn, als het gaat om informatiebeveiliging. Niet alleen bij de ICT-afdeling, maar ook aan de beleidskant. Bewustzijn is cruciaal om zaken van de grond te kunnen krijgen. Ook als het gaat om informatiebeveiliging. Daarnaast is een doel om integrale coördinatie en concrete ondersteuning te leveren op gemeentespecifieke aspecten, in geval van incidenten en crisissituaties op informatiebeveiligingsvlak. Het derde doel is het leveren van gerichte projectmatige ondersteuning op deelgebieden, waarmee informatiebeveiliging in de praktijk van alle dag naar een hoger plan wordt getild. Een van die projecten is het project ICT-Beveiligingsassessment DigiD, in opdracht van het ministerie van BZK en de VNG.
Ondersteuning
Gemeenten zijn zelf verantwoordelijk voor het jaarlijks uitvoeren van een ICT-assessment. Ze dienen dan ook vroegtijdig in actie te komen om de juiste maatregelen te treffen ter voorbereiding op de uitvoering van het assessment. Dat gebeurt in samenwerking met de betrokken leveranciers, en met gerichte ondersteuning vanuit de IBD. Op basis van een impactanalyse (2012) is een ondersteuningsaanpak ontwikkeld, zijn informatiebijeenkomsten gehouden, en is een community opgezet waar gemeenten ervaringen en kennis kunnen delen. Daarnaast biedt een helpdesk eventueel uitkomst.
Tot nu toe is de belangrijkste leerervaring dat snel starten met het assessment helpt. Het ondersteuningsaanbod biedt hier een concrete kapstok voor, in de vorm van een self-assessment. Uiteraard dienen álle gemeenten het assessment af te ronden, want ook hier geldt: de gemeentelijke informatieveiligheidsketting is net zo sterk als de zwakste schakel.
Over de auteur:
Nausikaä Efstratiades is coördinator Informatiebeveiliging bij het Kwaliteitsinstituut Nederlandse Gemeenten (KING)
Geef een reactie