Skip to main content

Het dreigingsbeeld voor gemeenten; niet meer dan handig?

| IB&P | ,

Dit jaar, 2018, is voor het eerst het ‘Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten’ uitgekomen. Een initiatief van de IBD. Dit dreigingsbeeld heeft als doel gemeenten weerbaarder te maken op het gebied van informatiebeveiliging door inzicht te geven in de belangrijkste risico’s. En wat blijkt? Uit het dreigingsbeeld komt onder andere dat de factor ‘mens’ het grootste risico vormt. Verrassend of oud nieuws?

Het Dreigingsbeeld

Het dreigingsbeeld van de IBD is een aanvulling op het Cybersecuritybeeld Nederland (CSBN) van het Nationaal Cyber Security Centrum (NCSC), dat al langer bestaat. Omdat dit over meer dreigingen gaat dan relevant zijn voor gemeenten heeft de IBD hier een gemeentelijke aanvulling op gemaakt. Dit dreigingsbeeld voor gemeenten is bedoeld om gemeenten nog eens goed te laten kijken naar hun beveiligingsbeleid en -plannen en om scherp te krijgen of je als gemeente goed voorbereid bent op nieuwe ontwikkelingen en technologieën, een taak die ligt bij de CISO. Onlangs werd er in een artikel op iBestuur gesproken over dat het dreigingsbeeld ook wel ‘het belangrijkste hulpmiddel van de CISO is’. Hier ben ik het niet helemaal mee eens.

Bedreigingen

In het dreigingsbeeld komt naar voren dat ‘de mens’ het grootste risico is, maar wisten we dit niet al lang? En zo niet, dan kun je wel stellen dat je als CISO de afgelopen jaren hebt liggen slapen.. Daarnaast blijkt dat onbewuste en onbedoelde acties een groter risico zijn dan bewuste en gerichte aanvallen. Tja. Een verkeerd verzonden e-mail, een verloren USB-stick of een gestolen smartphone zorgen al snel voor een informatiebeveiligingsincident of een datalek. Verder worden als grootste bedreigingen genoemd dat gemeenten kwetsbaar zijn, de waan van de dag de agenda bepaalt en dat we niet weten wat we niet weten. Allemaal algemeenheden die onder CISO’s waarschijnlijk al jaren bekend zijn.

Nut en noodzaak

Is het dreigingsbeeld dan volkomen overbodig? Nee, ondanks dat bijna alles al bekend is bij veel CISO’s wil het niet zeggen dat het niet goed is dat er een dreigingsbeeld voor gemeenten wordt opgesteld. Het dreigingsbeeld brengt in kaart wat de kwetsbaarheden zijn, het is makkelijk leesbaar en ook nog eens grafisch aantrekkelijk vormgegeven. Het kan dus prima dienen als hulpmiddel en ‘praatplaat’ in het gesprek met directie en bestuur over deze onderwerpen.

Ik vind alleen de ondertitel ‘het belangrijkste hulpmiddel van de CISO is’ nogal overtrokken. Als CISO moet je namelijk over heel wat meer capaciteiten beschikken wil je informatiebeveiliging binnen de gemeente naar een hoger niveau tillen. De CISO heeft immers een centrale rol in het beheren van alle processen die met informatiebeveiliging te maken hebben en daar komt een hoop bij kijken. Je moet dan ook behoorlijk wat eigenschappen bezitten om deze rol op een juiste wijze uit te voeren, zowel op technisch als op organisatorisch vlak. Welke eigenschappen dit zijn beschreef ik in mijn eerdere blog . Bezit je niet over deze eigenschappen dan zal het dreigingsbeeld je ook niet veel verder brengen. Kortom, met mooie plaatjes en overzichten in het dreigingsbeeld ben je er niet.

Ontwikkelingen 2019

Momenteel wordt er gewerkt aan een 2019-versie op basis van beveiligingsincidenten die in gemeenten hebben plaatsgevonden in het afgelopen jaar. Zou deze versie heel veel anders zijn ten opzichte van 2018? En zou het jaarlijks actualiseren nieuwe informatie opleveren voor de doorsnee CISO bij een gemeente? Of is het oud nieuws en slechts van beperkte meerwaarde? Het zal mij benieuwen.. wat denk jij?

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…