De regels op het gebied van informatiebeveiliging en privacy zijn de laatste jaren flink aangescherpt en met de komst van de AVG kunnen organisaties er eigenlijk niet meer omheen. Toch ziet nog lang niet iedereen het belang van informatiebeveiliging en privacy in. Ondanks desinteresse in deze onderwerpen, is het wel belangrijk dat er door iedere organisatie en door iedere collega aandacht aan wordt besteed. Maar hoe implementeer je de

BIG en/of AVG wanneer collega’s, waaronder bijvoorbeeld je leidinggevende, onverschillig lijken te zijn over informatiebeveiliging en privacy? In deze overzichtsblog ontkracht ik een aantal veelgehoorde aannames aan de hand van enkele eerder geschreven blogs. Dit is deel 1 van 2.

‘100% veilig bestaat niet, als ze het op je gemunt hebben kan je je daar nauwelijks tegen beschermen’

Er bestaat nooit de zekerheid dat een beveiligingsincident of datalek voorkomen kan worden, maar dit betekent niet dat er niet alles aan gedaan moet worden om de kans zo klein mogelijk te maken. Een dergelijk incident of lek kan namelijk leiden tot zowel materiële als immateriële schade voor je organisatie. Denk bijvoorbeeld aan het incident bij de gemeente Rotterdam. Wat kan je als gemeente doen om de kans op een beveiligingsincident zo veel mogelijk te beperken? Lees de blog ‘Lessen uit de gemeente Rotterdam’ voor tips.

‘Het zal allemaal wel meevallen toch? Hoe erg kan het zijn?’

De incidenten op informatiebeveiligingsvlak nemen met de dag toe. De media berichten er bijna wekelijks over. Je zou denken dat het belang van informatiebeveiliging inmiddels duidelijk moet zijn. Toch blijkt het in de praktijk nog steeds een onderbelicht onderwerp te zijn. Dit komt onder andere doordat de impact van een incident onderschat wordt. Toch kan een incident op informatiebeveiligingsvlak zowel reputatie- als financiële schade opleveren. Zoals het geval was bij gemeente Rotterdam en bij gemeente Amersfoort.
Daarnaast kan het grote gevolgen hebben voor de bedrijfsvoering van je gemeenten. Dit was bijvoorbeeld heel duidelijk het geval bij de BEL-gemeenten . Eind maart werd de BEL-combinatie slachtoffer van een ransomware-aanval, nadat een ambtenaar in een phishing-mail trapte. Om de schade zoveel mogelijk te beperken zijn kort na de aanval alle systemen uitgezet. Maar hierdoor zijn de drie gemeenten (Blaricum, Eemnes en Laren) wel een aantal dagen niet digitaal bereikbaar geweest. Kortom; dit laat maar weer zien dat de gevolgen wel degelijk erg kunnen zijn!

‘Ons overkomt niets’

De digitalisering biedt ons mogelijkheden, maar ook bedreigingen. We werken namelijk steeds meer tijd-, plaats- en apparaatonafhankelijk. Maar daardoor liggen datalekken, phishing, hacking, identiteitsfraude en cybercrime nog meer op de loer dan eerst. Het laatste wat je dan ook in deze tijd moet doen, is denken dat jou niks kan overkomen. Dat kan het namelijk wel, al helemaal als je minder zorgvuldig met informatiebeveiliging omgaat. Wees daarom altijd voorbereid op een mogelijk incident. Effectieve communicatie en crisiswoordvoering kunnen hierbij helpen. Meer tips? Lees dan onze blog ‘Grip op informatiebeveiligingsincidenten? Dat kan!’.

‘Met de laatste technische oplossingen zijn we voldoende beveiligd’

Het is mooi wanneer je als organisatie het technische aspect van informatiebeveiliging op orde hebt, maar daarmee ben je er nog lang niet. Het is meer dan een ‘ICT-feestje’. Informatieveiligheid vergt een systematische aanpak; op het vlak van techniek én van de mens. Zo moet je als gemeente de BIG hebben geïmplementeerd, of hier in ieder geval druk mee bezig zijn. Hiernaast moet je dit ook kunnen verantwoorden vanuit ENSIA. In de praktijk blijkt dat er al veel werk is verricht door gemeenten. Echter is er nog genoeg werk te verrichten, voordat we kunnen stellen dat het merendeel van de gemeenten de BIG heeft geïmplementeerd en de basis op orde heeft. Desondanks heeft de IBD al wel een nieuwe stap aangekondigd. Zie hiervoor onze blog ‘De BIG: is jouw gemeente al klaar voor de volgende stap?’. Ik betwijfel of gemeenten daar al aan toe zijn.

‘Voor de jaarlijkse zelfevaluatie doen we al jaren ‘ons ding’ en dat gaat al jaren goed zo’

Het wordt steeds belangrijker dat je als gemeente kan verantwoorden dat je je informatiebeveiliging op orde hebt. Als gemeente ‘je ding doen’ wat betreft zelfevaluaties is dus niet (meer) voldoende. Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, kan hierbij helpen. ENSIA heeft als doel de auditlast te verminderen en het verantwoordingsstelsel voor informatiebeveiliging efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control (P&C)-cyclus. Zoals ik in mijn laatste blog over ENSIA schreef zijn er nog een paar verbeterpunten voordat ENSIA helemaal voldoet aan dat mooie vergezicht. Desalniettemin blijft het een goede voorwaartse stap op het gebied van informatiebeveiliging en de verantwoording hierover.

Vervolg

Deel twee van deze overzichtsblog komt volgende week online.