Informatieveiligheid
Inmiddels krijgt de structuur voor de informatieveiligheid steeds vastere vormen. Per 1 juli 2020 is de voormalige Functioneel Gegevensbeheer (FG) opgeschoven naar de functie Chief Information Security Officer (CISO) en per 1 augustus 2020 is een nieuwe Functioneel Gegevensbeheerder (FG) aangesteld. Daarnaast is de afgelopen tijd hard gewerkt om aan de hand van een inventarisatie in kaart te brengen wat het kader is waarbinnen de informatieveiligheid zich beweegt maar ook welke acties noodzakelijk zijn om de veiligheid zo veel als mogelijk te borgen. De AVG bijvoorbeeld is een algemene wet voor de beveiliging van de persoonsgegevens. Deze wet met algemene strekking is van toepassing op zowel bedrijven als instellingen en niet specifiek voor gemeenten. Aan de hand van 13 hoofddoelen is in beeld gebracht wat precies onder de beveiliging van de persoonsgegevens van de gemeenten valt en welke acties daaruit voortvloeien. Deze acties zijn in een totaalplanning opgenomen voor de beveiliging van de informatie. Ook wordt een actualisatie van zowel het strategische als het tactische informatieveiligheidsbeleid voorbereid. In verband met de overgang van de BIG naar de BIO is de normstelling voor de informatieveiligheid veranderd. Bovendien is op grond van de BIO een meer procesmatige aanpak van de informatieveiligheid vereist. Dit betekent dat de informatieveiligheid in toenemende mate in de lijn belegd en geborgd moet worden.
Daarnaast is het duidelijk dat druk op de beveiliging van de informatie steeds groter wordt. De cyber criminaliteit neemt toe en wordt ook steeds slimmer. Een incident in de maand december 2019 heeft ons geleerd dat een fout op de loer licht. Het leert ons dat de bewustwording in de organisatie over de informatieveiligheid verbeterd moet worden.
Bij het in de lijn brengen en borgen van de informatieveiligheid alsmede het bevorderen van de bewustwording hebben de teams en afdelingen goede en adequate ondersteuning nodig. Dat kunnen de CISO en de FG vanuit hun adviserende en toetsende rol niet alleen doen. Hier is extra capaciteit voor nodig. Deze extra capaciteit moet enerzijds de verbinding maken tussen de CISO/FG en de teams/afdelingen en anderzijds ook in de directe nabijheid de teams/afdelingen ondersteunen en helpen. In deze verbindende rol is de afgelopen tijd door een stagiair deels voorzien.
In de afgelopen 6 maanden heeft zich een aantal datalekken voorgedaan. Afhankelijk van de ernst van het datalek wordt al of niet een melding gemaakt bij de Autoriteit Persoonsgegevens. Hieronder het overzicht van de datalekken over de maanden januari 2020 tot en met juli 2020, het aantal datalekken dat gemeld is bij de AP en een overzicht van de meest voorkomende datalekken.
Datalekken januari - juli | Aantal |
|---|---|
Duo+ | 12 |
Diemen | 3 |
Uithoorn | 1 |
Ouder-Amstel | 0 |
Totaal | 16 |
Gemeld bij AP | Aantal | |
|---|---|---|
Duo+ | Duo+ - Bedrijfsvoering - Team Financiën | 1 |
Duo+ | Duo+ - Burger - Team KCC en Burgerzaken | 1 |
Diemen | Diemen - Publiekszaken - Team Burgerzaken | 1 |
Totaal | 3 |
Meest voorkomende datalekken | Aantal |
|---|---|
Verkeerd geadresseerde post/e-mail | 8 |
Retour brieven | 5 |
Diverse | 3 |
Totaal | 16 |
Daarnaast hebben zich in de eerste zeven maanden van 2020 nog 73 veiligheidsincidenten voorgedaan binnen de 4 organisaties. Dit betreft meldingen van spam, phising mails, verbale bedreigingen en van verloren of gestolen toegangsdruppels en telefoons. Naar aanleiding van een incident wordt altijd met de betreffende teams/afdelingen contact opgenomen om te kijken of en zo ja hoe in de toekomst dit soort incidenten voorkomen kunnen worden. Deze incidenten kunnen ontstaan door persoonlijke fouten of door een fout in een proces (aanpassen van een proces) .