Risico’s door onderschatting informatieveiligheid

11-01-2019

Veel gemeenten zien het belang van informatieveiligheid voor hun essentiële dienstverlening nog onvoldoende in. Een nieuwe standaard moet daarin vanaf dit jaar verandering brengen.

Alles wat direct en zichtbaar bijdraagt aan de dienstverlening aan inwoners en ondernemers kan rekenen op veel belangstelling vanuit politiek, bestuur en management. Maar informatiebeveiliging heeft niet het imago direct bij te dragen aan dienstverlening. Het wordt gezien als bijzaak, en soms zelfs als drempel of last.

Kwetsbaar voor incidenten
Informatiebeveiliging en privacy komen ‘vaak pas in een laat stadium’ aan de orde. Dit maakt gemeenten kwetsbaar voor cybersecurity-incidenten. De gevolgen daarvan voor de bedrijfsvoering kunnen groot zijn, waarschuwt het rapport. De dienstverlening kan stilvallen, maar ook de bescherming van persoonsgegevens loopt gevaar. Net als processen die kwetsbaar zijn voor beïnvloeding van buitenaf. ‘Bijvoorbeeld verkiezingen, maar ook vergunningsprocessen en processen in het domein van werk en inkomen.’
Aanvallers zijn in de praktijk succesvol, terwijl die eenvoudig tegen te houden waren. ‘Aanvallers hebben vaak niet meer nodig dan een niet bijgewerkt stukje software of een klik op een phishingmail om toegang te krijgen tot systemen. Gemeenten kunnen veel voorkomende incidenten voorkomen met behulp van enkele essentiële basismaatregelen.’ Een probleem daarbij is wel de beschikbaarheid van IT-personeel. Gemeenten kunnen moeilijk opbieden tegen de salarissen die bedrijven hiervoor betalen.

Nieuwe richtlijn
Om de beveiliging toch naar een hoger niveau te brengen, is een nieuwe standaard in het leven geroepen, de Baseline Informatiebeveiliging Overheid (BIO). Ook het Rijk, waterschappen en provincies gaan hierop over. Gemeenten maken een begin in 2019, volgend jaar gelden de normen als officiële richtlijn. De Vereniging van Nederlandse Gemeenten verstuurde hierover deze week een ledenbrief.
Naast een aantal verplichtingen moeten gemeenten ‘voor hen relevante maatregelen’ nemen op basis van de richtlijn. Niet in de laatste plaats moet informatieveiligheid een prominente bestuurskwestie worden. De BIO positioneert de bestuurder en het management sterker dan voorheen in de rol waarin hij of zij risico-gebaseerd stuurt op het gebied van informatieveiligheid. Zij zullen hierover op het advies van de betrokken chief information security officers afspraken moeten maken.

Dit artikel is ook te vinden in het dossier Informatiebeveiliging

bron: Digitale Overheid

Van onze partners

Cursus: datalekken en cybersecurity

U wilt weten hoe u het beste data kan beveiligen, maar een datalek is vaak het gevolg van menselijk handelen en daarmee niet volledig te voorkomen. Weten hoe te reageren bij een datalek is dus minstens net zo belangrijk als een goed beleid. Deze cursus leert u voorkomen én genezen.

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer