• Spring naar de hoofdnavigatie
  • Door naar de hoofd inhoud
  • Spring naar de eerste sidebar
  • Spring naar de voettekst
  • Contact
  • Nieuwsbrief

Gemeente.nu

Nieuws voor gemeenten

  • Bedrijfsvoering
    • Aanbestedingen
    • Belastingen
    • Big data
    • Burgerzaken
    • Communicatie
    • Digitalisering
    • Financiën
    • Ondernemersbeleid
    • Organisatie
    • Privacy
    • Vergunningen
  • Sociaal
    • Bijstand
    • Decentralisatie
    • Integratie
    • Jeugdzorg
    • Onderwijs
    • Ouderen
    • Schuldhulp
    • Sport
    • Werk
    • Wmo
  • Veiligheid
    • Boa
    • Cybersecurity
    • Evenementen
    • Handhaving
    • Ondermijning
    • Openbare orde
  • Ruimte & Milieu
    • Afval
    • Bodem
    • Bouw
    • Duurzaamheid
    • Energie
    • Infrastructuur
    • Leefomgeving
    • Omgevingswet
    • Smart city
  • Loopbaan
    • Cao
    • Integriteit
    • Leiderschap
    • Mobiliteit
    • Ontwikkeling
    • Pensioen
  • Bestuur
    • College
    • Gemeenteraad
    • NIEUW Raadsledennieuws
    • Participatie
    • Samenwerking
  • Partners
    • Wagner
    • Centric
    • Loyalis
    • OSR juridische opleidingen
    • Segment
    • Sdu VIND Handhaving
    • Sdu VIND Inkoop en Aanbesteding
  • Whitepapers

Informatiebeveiliging verdient sleutelrol

13 juni 2014 door Redactie Gemeente.nu

Organisaties zijn in toenemende mate afhankelijk van de informatievoorziening, ook binnen de overheid. Zonder informatie liggen processen stil en is bedrijfsvoering niet mogelijk.

Als de informatie waarmee wordt gewerkt onjuist is, niet beschikbaar is of op straat komt te liggen, kan dit grote gevolgen hebben voor de organisatie. Gerard Stroeve, manager Security & Continuity Services bij Centric, geeft dagelijks advies aan organisaties over de bescherming van informatie. Gerard: “Informatiebeveiliging is niet langer een sluitpost, maar vervult een sleutelrol binnen de bedrijfsvoering.”

Toenemende risico’s

“Ik zie dat de risico’s ten aanzien van informatievoorziening toenemen als gevolg van de ontwikkelingen van deze tijd. Denk daarbij aan trends als social media, mobiel werken, BYOD, cloud computing en big data. Niet zelden wordt de uitdaging om informatie goed te beschermen op ad-hoc-basis aangepakt en is de aandacht nagenoeg uitsluitend gericht op de digitale informatievoorziening. Er worden als het ware pleisters geplakt die op enig moment weer loslaten. In de praktijk resulteert deze aanpak in een beperkte aanpak van de issues en bovendien in een willekeurig uitgavenpatroon.”

In control zijn

“Met het toenemen van de afhankelijkheid van informatie neemt het belang van een betrouwbare informatievoorziening toe. Om daadwerkelijk ‘in control’ te zijn, is het raadzaam continu en op een gestructureerde wijze integrale aandacht te geven aan de bescherming van informatie. Informatie moet op een weloverwogen, passende wijze beschermd worden, afgestemd op de aanwezige risico’s. Daarbij wordt idealiter procesmatig een antwoord gevonden op de volgende vragen:

• Welke informatie moet er beschermd worden?
• Welke dreigingen zijn er en wat is de impact van een eventuele verstoring?
• Welke mate van bescherming is passend?
• Welke beheersmaatregelen moeten worden genomen?

Door structureel antwoord te zoeken op deze vragen, wordt het beschermen van informatie onderdeel van de bedrijfsvoering en organisatiecultuur. Informatiebeveiliging is niet langer een sluitpost, maar vervult een sleutelrol binnen de diverse processen.”

Visie op informatiebeveiliging
“Vanuit onze jarenlange ervaring met informatiebeveiliging bij uiteenlopende organisaties, hebben wij een heldere visie op de beveiliging van informatie ontwikkeld. Deze visie kenmerkt zich door een aantal uitgangspunten. Voor Centric is informatiebeveiliging breder dan IT en is het een proces en geen project. Daarnaast is informatiebeveiligingsbewustzijn binnen uw organisatie en bij uw medewerkers essentieel. Hierna licht ik deze drie uitgangspunten nader toe.”

Informatiebeveiliging is breder dan IT

“Een van de belangrijkste pijlers van informatiebeveiliging is naar mijn overtuiging beleid. Het hoogste management moet het beleid formuleren, dragen en uitdragen naar de rest van de organisatie. Niet omdat derden dat eisen, maar vanuit een oprechte, intrinsieke motivatie. Een valkuil is het concentreren van de aandacht op enkel de IT-aspecten van informatiebeveiliging en/of op het vertrouwelijkheidaspect van digitale informatie. Het gaat echter om informatiebeveiliging in de breedste zin van het woord.”

“De kern van goede informatiebeveiliging is om continu te beoordelen welke maatregelen passend zijn en deze, waar nodig, bij te stellen. De basis voor passende informatiebeveiliging wordt daarom gelegd door het inrichten van een proces, het Information Security Management System (ISMS).

Het ISMS vormt binnen de informatiebeveiligingsorganisatie het kwaliteitsproces rond (de inrichting van) informatiebeveiliging. Het proces omvat typisch de stappen Plan, Do, Check en Act (PDCA-cyclus). Vanuit deze fasen kun je de diverse activiteiten om te komen tot passende informatiebeveiliging periodiek en in onderlinge samenhang uitvoeren. Vanuit de diverse fasen kunnen er uiteraard projecten worden geïnitieerd om tot uitvoering van de activiteiten te komen.

Om informatiebeveiliging als proces te laten werken, dient uw organisatie dat proces te ondersteunen. Dit betekent dat functies, rollen, taken en verantwoordelijkheden gekoppeld moeten worden aan personen. Een belangrijke coördinerende functie is die van (informatie)beveiligingsfunctionaris. Het heeft de voorkeur deze rol niet binnen de afdeling IT te beleggen, maar op een algemeen, breder niveau. Een managementforum kan de diverse onderdelen van de organisatie vertegenwoordigen en tijdens periodieke bijeenkomsten het proces evalueren, incidenten bespreken en leerpunten formuleren.”

Informatiebeveiligingsbewustzijn is essentieel

“Informatiebeveiligingsbewustzijn bij het hoogste management én de medewerkers is essentieel. Het fundament voor informatiebeveiliging wordt gevormd door het draagvlak vanuit het (hoogste) management. Om dit draagvlak te creëren is inzicht nodig in de risico’s rond de informatievoorziening en de gevolgen die een bedreiging voor de organisatie kan hebben.

Daarnaast is binnen het stelsel van beheersmaatregelen de factor mens een kwetsbare pijler. Het bewustzijn rondom informatiebeveiliging draagt voor een groot deel bij aan het verstevigen van deze pijler. In de optimale situatie is de aandacht voor het passend omgaan met de informatie als een tweede natuur aanwezig bij elk van uw medewerkers.”

Vorige artikel
Informatiebeveiliging: de tijd dringt
Volgende artikel
App over informatierisico's voor bestuurders

Tags: security Categorie: Cybersecurity

Lees Interacties

GERELATEERD

Hacker komt moeiteloos in systemen Arnhem

De beveiliging van computersystemen die de gemeente Arnhem gebruikt is zo lek als een mandje. Een ingehuurde hacker verkreeg heel gemakkelijk de rechten van een systeembeheerder en kon zo alle privacygevoelige informatie van burgers, ambtenaren en zelfs burgemeester en wethouders bewerken. Volgens de gemeentelijke rekenkamer zijn ‘feitelijk alle kernprocessen in Arnhem toegankelijk en manipuleerbaar’, staat... lees verder

‘Security awareness kan altijd nog een stapje beter’

Binnen overheidsorganisaties is een bewuste omgang met de persoonsgegevens van burgers een vanzelfsprekendheid. “Richtlijnen vanuit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Algemene Verordening Gegevensbescherming (AVG) leggen daar nog eens extra de nadruk op”, stelt Kaj Siekman, Chief Information Security Officer bij de gemeente Utrecht. Hoe zet deze gemeente met circa 4000 medewerkers ‘security... lees verder

Rotterdam zet steviger in op ict-beveiliging

De gemeente Rotterdam gaat structureel het ict-budget verhogen voor een verbetering van de security van het eigen ict-netwerk. Vorig jaar werd duidelijk uit een rapport van de Rekenkamer dat de digitale beveiliging van de Rotterdamse gemeente gemakkelijk te hacken was, meldt Computable. Momenteel heeft Rotterdam jaarlijks een budget van 118 miljoen euro voor ict, waarvan... lees verder

Reacties

  1. P.J. Westerhof zegt

    17 juni 2014 op 00:25

    Informatiebeveiliging vervulde altijd al een sleutelrol, maar fungeert nog steeds als sluitpost. Onderzoeksrapporten over vele jaren getuigen ervan.

    Bovenstaande betreft eigenlijk alleen maar het ‘eigen belang’ van de administratieve organisatie, de ‘bedrijfsvoering’.
    De verplichtingen en verantwoordelijkheden vanuit ‘Governance & Compliance’ met betrekking tot de eigen primaire taakstelling zijn aanzienlijk groter. En deze blijven onbenoemd.

    De accountability hiervoor ligt bij het hoogste management.
    Deze accountability kan niet worden gedelegeerd.

    Beantwoorden
  2. N van Es zegt

    16 juni 2014 op 16:05

    Gemeentelijke bestuurders hebben november 2013 ingestemd met de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente?.
    De resolutie is met grote meerderheid aangenomen. De bestuurders onderschrijven hiermee het belang om binnen hun gemeente informatiebeveiligingsbeleid vast te stellen aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten
    * Eigenaarschap:
    Binnen de gemeenten is het College integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente. Informatiebeveiliging gaat niet over ICT alleen, het gaat over informatie in alle verschijningsvormen binnen de organisatie.
    Informatiebeveiliging is een lijnverantwoordelijkheid en onderdeel van de kwaliteitszorg voor organisatie- en bestuursprocessen en de ondersteunende informatiesystemen.
    * Voor wie?
    De strategische Baseline geldt voor gemeenten waartoe gerekend worden de gemeenten met de daaronder vallende diensten, bedrijven en instellingen zoals werkpleinen.
    * Waarop van toepassing
    Het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie.
    ( KINGgemeenten.nl).

    Beantwoorden
  3. R. Koch zegt

    16 juni 2014 op 14:18

    Prima artikel! Het verlagen van risico’s kan alleen gebeuren in een organisatie als er wordt gekeken naar het menselijk gedrag EN de processen EN de techniek. Het al-dan-niet veilige gedrag van medewerkers is een belangrijke factor bij het verlagen van de risico’s. 40% van de security incidenten wordt veroorzaakt door menselijk gedrag. Goede security awareness training zal het bewustzijn van medewerkers verhogen en ze motiveren tot veilig gedrag. Maar ook de processen in een organisatie dienen door een security-loupe bekeken te worden. In hoeverre staat het onderwerp security op de agenda van de organisatie? Is er een goed security- en Privacy beleid? Weten we wel welke informatie we bezitten? Welke bestanden? Waar staan die opgeslagen? Wie hebben toegang? Zijn dat privacy gevoelige gegevens? Hoe lang wordt die informatie bewaard? Als je dat niet precies weet kun je het ook niet beschermen. Inventariseer dat dus, de gevolgen (schade, boete, reputatie) van een datalek kunnen namelijk enorm zijn!

    Beantwoorden

Geef een reactie Reactie annuleren

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Primaire Sidebar

TOPVACATURES

Docent Burgerzaken (gegevens & privacy) – Segment

Teammanager Administratie – Gemeente Den Haag

Assistent rioolbeheerder – Gemeente Gouda

Uw Topvacature op Gemeente.nu

Meer vacatures

LAATSTE ARTIKELEN

Rotterdam loopt voorop met digitale balie

14 januari 2021

Zonnepanelen op bedrijfspanden mogelijk lokaal verplicht

14 januari 2021

‘Financiële situatie gemeenten onhoudbaar’

14 januari 2021

Mogelijk pas in voorjaar duidelijkheid over datum Omgevingswet

14 januari 2021

Nieuwe scan voor impact Brexit

13 januari 2021

Footer

Snel naar

  • Aanbestedingen
  • Big data
  • Financiën
  • Handhaving
  • Integriteit
  • Leefomgeving

Meer Gemeente.nu

  • Nieuwsbrief
  • Facebook
  • Twitter
  • Linkedin
  • Events

Help

  • Adverteren
  • Contact
  • Spelregels

Powered by Sdu

SDU

 

Het laatste nieuws van Gemeente.nu in je mail?

Meld je aan voor de algemene nieuwsbrief of een van de themanieuwsbrieven van Gemeente.nu.

Aanmelden

×