Gemeente IT complexer dan die van financiële wereld

Het is niet de vraag of je te maken krijgt met een beveiligingsincident, maar wanneer je als gemeente aan de beurt bent en hoe goed je dan voorbereid bent.

Door de transities in het sociaal domein en het oprukken van digitale dienstverlening bij gemeenten, is goede informatievoorziening voor gemeenten van essentieel belang en is informatiebeveiliging meer dan ooit een van de hoogste prioriteiten. Hoe gaan gemeenten hiermee om? Alphen aan den Rijn, Boskoop en Rijnwoude hebben in 2014 de fusie aangegrepen om de informatisering en automatisering (I&A) te harmoniseren, waarbij het nieuwe werken het uitgangspunt is en informatiebeveiliging een belangrijke randvoorwaarde.

In het gemeentehuis van Alphen aan den Rijn doet alleen de rij balies nog denken aan een klassiek gemeentehuis. Het zijn ook zo’n beetje de enige vaste werkplekken in een organisatie waar verder iedere medewerker gebruik kan maken van flexibele werk- en vergaderfaciliteiten. Een van die medewerkers is Ron Meijer, sinds drie jaar CIO van de Zuid-Hollandse gemeente. Bij zijn start als CIO had Meijer twee uitdagingen: de fusie van Alphen aan den Rijn, Boskoop en Rijnwoude tot stand brengen en de samenvoeging en professionalisering van de drie afzonderlijke I&A-omgevingen. “Gemeenten doen hun werk in een complex applicatielandschap dat mede wordt gevormd door een enorme hoeveelheid domeinspecifieke wet- en regelgeving. Dat maakt de gemeentelijke I&A-omgeving misschien nog wel complexer dan die in de financiële wereld”, zo schetst Meijer.

Informatiebeveiliging als uitgangspunt
Informatie en informatiesystemen zijn voor gemeenten steeds meer van vitaal belang. Zonder betrouwbare informatie zou een gemeente direct haar deuren kunnen sluiten. Dit betekent dat gemeenten er al het mogelijke aan doen om processen en informatiesystemen zodanig in te richten en te beheren dat de betrouwbaarheid volledig gewaarborgd is. Meijer: “Dit is geen eenmalige actie, maar een continu proces dat vraagt om voortdurend monitoren en waar nodig bijsturen. Daarmee is informatiebeveiliging het uitgangspunt geworden.”

In 2014 heeft Alphen aan den Rijn een nulmeting op het informatiebeveiligingsbeleid uitgevoerd. Uit de GAP-analyse bleek al snel dat de gemeente het op hoofdlijnen goed voor elkaar had, maar toch waren er ook belangrijke verbeterpunten. Een van de constateringen was dat organisatorisch winst te behalen was. De operationele rollen waren goed ingevuld, maar op tactisch en strategisch niveau konden de verantwoordelijkheden beter worden belegd. Dat heeft er onder meer toe geleid dat de CISO-rol (Chief Information Security Officer) binnen de gemeente Alphen aan den Rijn een fulltime functie werd onder de vlag van I&A, ook al omdat informatiebeveiliging niet iets is wat ‘je er eventjes bij doet’.

In een brainstorm met de nieuw aangestelde CISO heeft de afdeling I&A de prioriteiten bepaald en voorgelegd aan het bestuur. Het gemeenschappelijk normenkader van de Nederlandse gemeenten, de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), bood daarbij de nodige houvast. Informatiebeveiliging is immers meer dan alleen techniek. Het gaat ook om menselijk handelen en de manier waarop je afspraken met elkaar maakt en naleeft. Daarbij is ook incidentmanagement van groot belang. “Het is niet de vraag of je te maken krijgt met een beveiligingsincident, maar wanneer je als gemeente aan de beurt bent en hoe goed je dan voorbereid bent”,  aldus Meijer.

Op basis van de BIG heeft in 2014 de afdeling I&A binnen de gemeente Alphen aan den Rijn een Informatiebeveiligingsbeleid voor de periode 2014-2018 opgesteld. Daarin is beschreven hoe de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening wordt gewaarborgd. Het algemene beleid is uitgewerkt in aandachtsgebieden, zoals organisatie, beheer, personeel, fysieke beveiliging, communicatie, toegangsbeheer voor systemen, systeemontwikkeling, incidentmanagement, continuïteitsplanning, toezicht en naleving.

Bewustwording

Als gesproken wordt over informatiebeveiliging is de factor mens misschien wel het grootste risico. Meijer zegt daarover: “Het gaat daarbij om simpele dingen: een clean-desk policy, maar ook geen vertrouwelijke documenten bij de printer laten liggen.” Volgens Meijer is het een misverstand te denken dat informatiebeveiliging altijd ten koste gaat van flexibiliteit en gebruiksvriendelijkheid. Hij maakt daarvoor graag de vergelijking met een thuissituatie:

“Thuis doe je bij het weggaan de deur op slot en niemand beweert dat het ‘flexibel en gebruiksvriendelijk’ zou zijn om je deur open te laten staan.” Bij informatiebeveiliging draait het in de basis om bewustwording over de risico’s. Dat vraagt om kennis en vaardigheden bij alle medewerkers. In dat kader heeft Alphen aan den Rijn een trainingsprogramma ingezet (Digibewust) om de eigen organisatie digitaal bewuster en vaardiger te maken op strategisch, tactisch en operationeel niveau.

Kennisdeling en samenwerking

Bij het verder verbeteren van de informatiebeveiliging heeft Alphen aan den Rijn veelvuldig gebruikgemaakt van de IBD (Informatiebeveiligingsdienst voor gemeenten), maar ook gebruikgemaakt van kennis van andere gemeenten. Meijer: “Er is bij gemeenten al ongelooflijk veel kennis en ervaring op verschillende niveaus aanwezig en op allerlei manieren kunnen wij daar gebruik van maken. Ook is er goed contact met collega CIO’s, zowel direct als via samenwerkingsvormen, zoals IMG100000+ en de IBD-community.” In de toekomst hoopt Ron Meijer dat kennisdeling verder gaat in nog meer samenwerking: “Ik ben van mening dat gemeenten alleen in samenwerking met andere gemeenten en het bedrijfsleven kunnen zorgen voor optimale informatieveiligheid.”