Paragrafen

Bedrijfsvoering

Informatiebeveiliging

2023 zal in het teken staan van de verdere invoering van de Baseline Informatiebeveiliging Overheid (BIO). Recentelijk heeft de gemeentelijke overheid een wake-up-call gekregen in de vorm van een geslaagde ransomware-aanval, op gemeente Hof van Twente. Dit heeft ertoe geleid dat de informatievoorziening van die gemeente geheel verloren is gegaan. Ook alle back-ups zijn vernietigd. De impact daarvan is natuurlijk enorm. Vrijwel de gehele bedrijfsvoering kwam daardoor tot stilstand. Omdat Hof van Twente heeft besloten geen losgeld te betalen is de weg om weer op een normaal niveau van dienstverlening te komen zeer lang. Uit deze gebeurtenis zijn ook voor Velsen lessen te trekken en daar zal nog in 2022, maar ook in 2023 en verder aan gewerkt moeten worden. De volgende speerpunten moeten extra aandacht te krijgen om de weerbaarheid te verhogen:

  • Patchmanagement: het adequaat up-to-date houden van softwaresystemen, met name als de updates belangrijke beveiligingsproblemen verhelpen.
  • Hardening: het dichtmaken en houden van alle digitale deuren naar het internet die niet strikt noodzakelijk zijn.
  • Security Information and Event Management (SIEM): het geautomatiseerd uitlezen en analyseren van logbestanden waarmee verdacht netwerkverkeer kan worden gedetecteerd om daarvoor waarschuwingen af te kunnen geven.
  • Security Operations Centre (SOC): team van specialisten die de waarschuwingen vanuit het SIEM-systeem analyseren en adviseren over de te ondernemen acties. Back-up: maken van reservekopieën. Deze kopieën moeten voor een deel buiten het netwerk worden gehouden en op een andere locatie bewaard worden om ze niet bloot te stellen aan kwaadaardige acties vanaf internet en/of lokale calamiteiten. Zeer belangrijk is dat getest wordt of de informatievoorziening kan worden hersteld met de gemaakte reservekopieën.
  • Netwerksegmentering: compartimentering van het netwerk waarbij het verkeer tussen de compartimenten beperkt is en aan strikte beveiligingsregels is gebonden.

Risicobewustzijn: het besef bij alle medewerkers, inclusief management en bestuur dat zij een sleutel tot de informatievoorziening hebben en zich daarom bewust zijn van de risico’s die dat met zich mee brengt. Dit moet er toe leiden dat zij altijd zo handelen dat de risico’s beperkt blijven.

Op al deze gebieden, met uitzondering van SIEM/SOC, heeft gemeente Velsen maatregelen genomen, maar het is duidelijk dat hierop nog vele verbeteringen mogelijk en noodzakelijk zijn. Aangezien Velsen het beheer van de ICT-voorziening heeft uitbesteed wordt dit in samenwerking met de opdrachtnemer tot stand gebracht. Aan de opdrachtnemer is ook gevraagd om de SIEM/SOC-netwerkmonitoring uit te werken. Het kost veel geld om Hof van Twente-achtige gebeurtenissen voor te zijn.

Privacy wetgeving

Informatiebeveiliging en privacy spelen een belangrijke rol bij de uitvoering van de gemeentelijke taak. Beide zijn onlosmakelijk met elkaar verbonden. Velsen heeft op dit vlak een maatschappelijke verantwoordelijkheid en hecht veel belang aan het beschermen van de privacy van haar burgers. Een hoge betrouwbaarheid van de informatievoorziening zorgt voor een betrouwbare dienstverlening en maakt efficiënt werken mogelijk.

Na de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) is de samenleving meer en meer gewend geraakt aan deze regelgeving. Er wordt hard aan gewerkt om de privacy-volwassenheid binnen de gemeente naar een hoger niveau te tillen. Blijvende aandacht is nodig om privacy op een natuurlijke manier tot de organisatiecultuur te laten behoren.

Niet alleen privacy ontwikkelingen breiden zich in razendsnel tempo, ook de techniek speelt hierin een rol. De organisatie vraagt steeds vaker naar adviezen over de inzet van een nieuwe technologie en het gebruik van data in de openbare ruimte of publieke dienstverlening. Eerder volstonden vragen als, kan het en mag het. Steeds vaker speelt ook de vraag naar wenselijkheid mee, terwijl het maatschappelijke debat over de noodzaak-middel-doel nog in volle gang is. Diverse gemeenten experimenteren met ethische commissies. De gemeente Velsen is zich ook aan het verkennen op dit terrein en verwacht  hier in 2023 meer invulling aan te geven.

Privacy compliance is een proces. In 2023 wordt ingezet op een duurzaam proces waarin een volledig en actueel verwerkingsregister wordt ingericht. Het in kaart brengen van alle verwerkingen, is in de praktijk ook een belangrijke stap tot privacy-bewustwording in organisaties. Dit bevordert de structurele borging van privacy kennis binnen de organisatie. Als alle verwerkingen bekend zijn, kan beoordeeld worden of de verwerkingen rechtmatig zijn. In 2022 verschoof de focus al meer naar privacy by design, deze lijn wordt voortgezet in 2023. Dit houdt in dat de privacy-vriendelijkheid van producten en diensten het standaard uitgangspunt moet zijn. Denk hierbij onder andere aan aanbestedingen, nieuwe samenwerkingsverbanden en het afnemen van diensten of applicaties. Het aan de voorkant goed borgen van de privacy, is een enorme stap voorwaarts. Tot slot zal in 2023 meer de nadruk worden gelegd op het ontwikkelen van het organisatorische deel van privacymanagement.

Deze pagina is gebouwd op 11/03/2022 11:48:41 met de export van 11/03/2022 11:31:01