Bedrijfsvoering

Op 1 januari 2020 heeft de Baseline Informatiebeveiliging Overheid (BIO) de Baseline Informatiebeveiliging Gemeenten (BIG) definitief vervangen. De BIO bevat minder beheersmaatregelen, die echter in tegenstelling tot de BIG allemaal en altijd verplicht zijn. In aanvulling op deze verplichte maatregelen dient door de toepassing van risicomanagement vastgesteld te worden of aanvullende maatregelen noodzakelijk zijn. Het gemeentebestuur heeft zichzelf tot doel gesteld te voldoen aan de minimumvereisten van landelijke en Europese wet- en regelgeving en baseert haar aanpak op een risicoafweging. De implementatie van de BIO is in 2019 gestart en zal verder opgepakt en gecontinueerd worden in 2020. Bij aanbestedingen, zoals voor de Hoofdader, wordt reeds gewerkt volgens de risicoaanpak van de BIO.

In 2019 is aangevangen met het actualiseren van het huidige informatiebeveiligingsbeleid, waarbij rekening wordt gehouden met de BIO en de NEN/ISO 27001 en NEN/ISO 27002. Met de nieuwe werkorganisatie wordt het beleidskader in 2020 afgerond.

De dreiging voor de informatieveiligheid van de (lokale) overheid is permanent. Vrijwel alle vitale processen en systemen in Nederland zijn deels of volledig gedigitaliseerd waarbij er nauwelijks terugvalopties of analoge alternatieven zijn. Deze factoren maken de (lokale) overheid kwetsbaar voor digitale aanvallen. Het beeld is dat de dreiging in zowel omvang als complexiteit is toegenomen. In dit kader is weerbaarheid een belangrijk instrument om incidenten te voorkomen en schade te beperken. In 2019 heeft ook onze gemeente ervaren hoe belangrijk het is alert te zijn op actuele dreigingen en de juiste maatregelen te nemen.

Het nemen van de juiste maatregelen begint bij het vroegtijdig meewegen van informatieveiligheid en privacy bij nieuwe of gewijzigde processen. Een voorbeeld hiervan is de aanbesteding van de Hoofdader (stelsel van applicaties waarmee processen worden behandeld gericht op dienstverlening en documentbeheer) waarbij op basis van een risicoanalyse beveiligingsmaatregelen zijn geformuleerd. Ook zijn vanuit de aanjaagrol projecten opgestart om risico’s te verkleinen. Het project ‘Veilig uitwisselen van informatie’, waarvan veilig mailen onderdeel uitmaakt, is een voorbeeld van zo’n project dat in 2019 is geïnitieerd.

Er zijn stappen gezet richting meer compliancy ten aanzien van informatieveiligheid en privacy. In  2019 is een start gemaakt met het uitvoeren van risicoanalyses (zgn. DPIA’s) op nieuwe processen/systemen; 5 in totaal. Dat geeft inzicht en leidt tot maatregelen die de risico’s verkleinen. Ook zijn er flink meer incidenten gemeld dan in 2018 (zie kopje Beveiligingsincidenten/datalekken). De ingezette weg van het creëren van (continue) bewustwording werpt zijn vruchten af: men (h)erkent incidenten sneller als zodanig en meldt ze zonder schroom. We leren ervan en groeien daarmee meer en meer naar een volgende volwassenheidsfase. Het plan was in 2019 de bewustwording binnen de organisatie te vergroten door middel van cyclisch leren. Gelet op de noodzakelijke inspanningen rondom het fusieproces met Heerhugowaard is deze beheersmaatregel doorgeschoven naar 2020, zodat het de aandacht krijgt die het verdient.

Het bereiken van volledige informatieveiligheid, waarbij zich geen incidenten voordoen zonder gevolgen voor de organisatie, is helaas een illusie. De maatregelen op het gebied van informatiebeveiliging bieden vaak alleen bescherming tegen bekende bedreigingen en lopen daardoor achter op de realiteit. Daarnaast is de invloed van menselijk handelen op informatieveiligheid groot. Een alerte signalering van en ingrijpen bij daadwerkelijke incidenten zijn daarom zo mogelijk van nog groter groot belang dan het preventief beveiligen van informatie.

Een belangrijke beheersmaatregel is, naast het opzetten van de beleidscyclus, het bewustmaken van het management en de medewerkers binnen de gemeentelijke organisatie van hun verantwoordelijkheid ten aanzien van informatieveiligheid en privacy en deze te borgen in de werkprocessen. Door deze borging ontstaat een stabiele basis, die een voorwaarde vormt voor de vervolgstappen naar technische en organisatorische voorzieningen en/of aanvullende procedures. In 2019 is in de afdelingsoverleggen, het MT, college en raad aandacht besteed aan informatieveiligheid en privacy en de consequenties voor de organisatie.
Het is daarnaast van belang dat het strategisch beleidskader wordt geactualiseerd en de uitvoering meer wordt vastgelegd en geborgd.

Zie separate collegeverklaring ENSIA.

In 2019 zijn binnen Langedijk 13 unieke beveiligingsincidenten gesignaleerd en geregistreerd. In overleg met de verantwoordelijk manager worden passende maatregelen genomen om van deze incidenten te leren en ze in de toekomst mogelijk te voorkomen. Deze incidenten hadden betrekking op de volgende categorieën:

Als gevolg van de inzet op bewustwording binnen de organisatie zijn in 2019 meer incidenten als zodanig herkend en gemeld. De verwachting is dat door verdere investering in bewustwording het aantal incidenten de komende jaren nog verder zal toenemen zonder dat dit betekent dat het niveau van informatieveiligheid afneemt.