aanleiding Toolkit Informatieveiligheid

Transcriptie

1 aanleiding

2

3 aanleiding Toolkit Informatieveiligheid Gemeenten zijn de afgelopen twee jaar voortvarend aan de slag gegaan met informatieveiligheid Is niet alleen het jaar van de oprichting van de Informatiebeveiligingsdienst voor gemeenten (IBD). Ook is eind dat jaar de VNG Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente in de Buitengewone Algemene Ledenvergadering (BALV) van de Vereniging van Nederlandse Gemeenten (VNG) aangenomen met 95% van de stemmen. Resolutie Informatieveiligheid Deze Resolutie is opgesteld door de VNG in nauwe samenwerking met gemeenten, de IBD en de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID). De VNG Resolutie is een concrete stap voorwaarts in het vormgeven van zelfregulering op informatieveiligheidsvlak. Deze Resolutie houdt onder meer in dat iedere gemeente het informatiebeveiligingsbeleid vaststelt aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), die is opgesteld door de IBD. Tevens zullen gemeenten informatieveiligheid, zowel bestuurlijk als ambtelijk borgen en de invulling transparant maken voor burgers, bedrijven en ketenpartners, onder meer via Verantwoordelijkheid gemeentesecretaris In de toelichting op de VNG Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente is bovendien een specifieke verantwoordelijkheid voor de gemeentesecretaris benoemd als het gaat om informatieveiligheid: Sturing op informatieveiligheid is onlosmakelijk verbonden met organisatiesturing. Het bestuur stelt de gemeentelijke organisatie in staat te werken aan informatieveiligheid. Het is van belang dat de verantwoordelijkheid voor informatieveiligheid op de juiste plaats in de organisatie wordt belegd. In de eerste plaats wordt de gemeentesecretaris als ambtelijk verantwoordelijke voor informatieveiligheid benoemd. 1 Het gaat hier om het beleggen van een verantwoordelijkheid die uiteraard concrete invulling behoeft in de praktijk van alle dag. In gesprekken met verschillende gemeentesecretarissen blijken er ook verschillen in rolopvatting op dit vlak. Variërend van sturen op hoofdlijnen met aandacht voor strategische details, tot het andere uiterste, het functioneren als een Chief Information Security Officer (CISO). Deze rolinvulling hangt samen met de omvang van de gemeente en ook met de concrete behoefte om op deze complexe problematiek zelf inhoudelijk greep te willen houden. Eensgezindheid is er dat het bestuur verantwoordelijkheid moet kunnen nemen vanuit de sturing op de planning en controlcyclus. De nadruk ligt daarbij op kaders en verantwoording en dat bestuurders bij incidenten adequaat moeten kunnen optreden. In alle gevallen is aangegeven dat een nadere uitwerking van deze sturingsverantwoordelijkheid in praktische handvatten helpt. Reden voor ons om de Toolkit Informatieveiligheid te ontwikkelen met een Dashboard Informatieveiligheid als kern. 1 Toelichting op de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente,

4 Toolkit Informatieveiligheid: dashboard Informatieveiligheid als kern Met deze Toolkit Informatieveiligheid bieden wij u een eerste handvat om informatieveiligheid snel en krachtig vorm te geven vanuit sturing op hoofdlijnen binnen uw gemeente. Daarnaast biedt deze Toolkit u ook handvatten bij het inhoudelijk doorvragen, toetsen op kritische punten en een basis voor inhoudelijk dialoog met uw bestuurder en uw organisatie. In de Toolkit Informatieveiligheid staat een compacte Dashboard Informatieveiligheid centraal van waaruit naar behoefte verdere verdieping mogelijk is. De onderliggende redenering is de volgende. Het informatieveiligheidsvraagstuk vraagt vooral een nieuwe kijk op de inzet van technologie en de sturing op gedigitaliseerde gemeentelijke bedrijfsprocessen en -dienstverlening. Er moet meer en meer rekenschap worden gegeven van het aantal risico s dat informatieveiligheid met zich mee brengt. Dit vergt een cyclische planning- en control-benadering binnen een gemeentelijke organisatie waarbinnen systematisch aan informatieveiligheid wordt gewerkt. Informatieveiligheid gaat aanzienlijk verder dan het eenmalig door- en uitvoeren van een aantal maatregelen. Het vergt een fundamentele vorm van organisatieleren en ontwikkeling die verankerd is in de planning en control-cyclus van uw organisatie. Compact dashboard Informatieveiligheid Het resultaat is een compact Dashboard Informatieveiligheid, voorzien van enige verdiepingen. Een handzame Toolkit, die vanuit diverse gremia en vanuit uw eigen organisatie verder aangevuld en ingevuld kan worden met handzame tips, stuurmiddelen en praktische collegiale adviezen. Reden om de Toolkit Informatieveiligheid vorm te geven door middel van een losbladig systeem. Informatieveiligheid is immers een levend onderwerp en blijvend in ontwikkeling. Dit vraagt om continue reflectie en daarmee ook om nieuwe handreikingen en inzichten. De Toolkit die nu voor u ligt heeft dan ook niet de pretentie volledig te zijn, maar vormt een eerste aanzet bestaande uit een aantal onderdelen: Het Dashboard Informatieveiligheid Elf dashboardknoppen waarop u kunt sturen om de informatieveiligheidscyclus in uw eigen organisatie vorm te geven. Stappenplan Door middel van verschillende stappen is de informatieveiligheidscyclus nader vorm te geven. Veelgestelde vragen De veelgestelde vragen betreffende definities en actuele thema s rond informatieveiligheid. Leeraanbod Met het leeraanbod van de Taskforce BID werkt u toe naar betekenisgeving en verandering via vijf bewustzijnstadia: werken, erkennen, willen, kunnen en doen. Het leeraanbod helpt u nieuwe kennis op informatieveiligheidsvlak in nieuwe routines te transformeren. Verwijzingen Een overzicht met verwijzingen naar de hulpmiddelen, instrumenten en praktijkverhalen van de VNG, de IBD en de Taskforce BID. Uw bijdrage gevraagd De Toolkit Informatieveiligheid is blijvend in ontwikkeling en zal samen met de VNG, de IBD en vooral ook door middel van uw tips en adviezen actueel worden gehouden. U ontvangt met regelmaat aanvullingen die u kunt toevoegen aan de Toolkit. Uiteraard zijn uw eigen tips, aanvullingen en wensen meer dan welkom. Met dank aan die gemeentesecretarissen die ons van een eerste grondige reflectie, voorafgaand aan de definitieve invulling van de Toolkit Informatieveiligheid hebben voorzien, en mede namens de VNG en de IBD, Henk Wesseling Bestuurlijk hoofd Taskforce BID

5 dashboard informatieveiligheid

6

7 dashboard informatieveiligheid Beleid (BIG) Risicoanalyse Informatiebeveiligingsbeleid en -plan Leerstrategie Toolkit Informatieveiligheid Continuïteit Ketens Uitvoering Aansluiten IBD Incidentmanagement Toetsing en verantwoording Evaluatie Om de risico s van informatieveiligheid te beheersen is het nodig een managementsysteem in te richten, waarmee systematisch aan informatieveiligheid wordt gewerkt. De aard van de problematiek rond informatieveiligheid vergt een cyclische aanpak om blijvend in control te zijn, continue rekening houdend met interne en externe ontwikkelingen. In bovenstaand figuur is deze cyclische benadering weergegeven.

8 Deze elf sturingselementen vormen de basis voor een managementdashboard, waarmee u in de praktijk van alledag sturing kunt geven aan de realisatie van een informatieveilige overheid. Eerst wordt voor het overzicht de essentie van deze elf dashboardknoppen kort toegelicht. Daarna volgt een nadere uitwerking per dashboardknop, waarbij de mogelijke stuurvragen en beschikbare hulpmiddelen worden benoemd. dashboardknop 1: beleid (big) Sturen wij aan op de afspraken die benoemd zijn in de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente en in het bijzonder op de implementatie van de BIG? dashboardknop 2: risicoanalyse Kennen we onze risico s op informatieveiligheidsvlak en accepteren we die als gemeente? dashboardknop 3: informatiebeveiligingsbeleid en -plan Hebben we als gemeente de risico s die we wel en niet willen accepteren in het informatiebeveiligingsbeleid benoemd, inclusief de bijbehorende maatregelen uit de BIG, en is dit beleid vastgesteld in het college van Burgemeester en Wethouders (B&W)? dashboardknop 4: uitvoering Rapporteren en bespreken we als gemeente het functioneren van de cyclus van informatieveiligheid op management- en bestuursniveau? dashboardknop 5: continuïteit Is de continuïteit van onze gemeentelijke dienstverlening gewaarborgd in geval van grootschalige uitval of verstoring van ICT? dashboardknop 6: ketens Kennen wij als gemeente onze leveranciers en partners waarmee we samenwerken en toetsen wij die ook op informatieveiligheidsaspecten? dashboardknop 7: aansluiten ibd Zijn we als gemeente officieel aangesloten bij de IBD? dashboardknop 8: incidentmanagement Weet onze organisatie hoe te handelen bij een (ernstig) informatieveiligheidsincident en is er een incidentenmanagementproces ingevoerd? dashboardknop 9: toetsing en verantwoording Toetsen we jaarlijks of onze organisatie in control is op het gebied van informatieveiligheid via peer reviews, audits of self-assessments? En rapporteren en bespreken we als gemeente het functioneren van de cyclus van informatieveiligheid op management- en bestuursniveau? dashboardknop 10: evaluatie Zijn de beleidsuitgangspunten nog valide of zijn er interne of externe ontwikkelingen die leiden tot heroverwegingen van uw gemeentelijke risico-inschattingen? dashboardknop 11: leerstrategie Hebben we een integrale aanpak voor organisatieleren op het gebied van informatieveiligheid en hoe houden we de kennis vast en bouwen we hierop door?

9 praktijkverhalen Wilt u geïnspireerd raken over hoe u informatieveiligheid aan de hand van de verschillende dashboardonderdelen verder vorm kunt geven of kunt optimaliseren? Lees dan de verschillende praktijkverhalen van uw collega-gemeentesecretarissen. U vindt deze achterin de Toolkit. beleid (big) Als gemeentesecretaris pak ik mijn ambtelijke verantwoordelijkheid als het gaat om informatieveiligheid. Daarbij werk ik nauw samen met de CISO van de gemeente Nieuwegein. Piet van Elteren, gemeentesecretaris Nieuwegein risicoanalyse We zouden als overheidspartijen nog meer door dezelfde bril moeten kijken en hetzelfde normenkader moeten hanteren. Toolkit Informatieveiligheid Arjan van Gils, gemeentesecretaris Amsterdam informatiebeveiligingsbeleid en -plan De gemeente heeft haar systemen geclassificeerd. Daardoor hebben we goed inzicht in welke systemen privacygevoelige informatie bevatten en welke groepen medewerkers daarmee werken. Ron Frerix, directeur bedrijfsvoering gemeente Doetinchem uitvoering Na zes uur hacken hebben we kunnen constateren dat de beveiliging goed op orde is. Paulien Pistor, gemeentesecretaris Eindhoven continuïteit Er is ongelooflijk veel energie vrijgekomen bij onze medewerkers. Iedereen wilde helpen om het probleem op te lossen. Myriam Meertens, locogemeentesecretaris Weert

10 ketens Door de decentralisaties komt er veel op ons af en worden er straks veel gegevens uitgewisseld, vooral in de keten. Marcel Meijs, gemeentesecretaris Enschede aansluiten ibd De overheid moet het toppunt van betrouwbaarheid zijn. Hans Schild, gemeentesecretaris Goes incidentmanagement We weten allemaal dat een incident kan plaatsvinden. Hiervoor hebben we een scenario en binnen een aantal uur kun je bij een andere gemeente terecht. Maar weten we ook hoe we het incident moeten oplossen? Jan van Ginkel, gemeentesecretaris Schiedam toetsing en verantwoording Delen is het nieuwe hebben. Samen staan we immers sterker en zijn we verantwoordelijker. Henny den Bieman, gemeentesecretaris Houten evaluatie Als gemeente is het onze plicht om tijd en energie te steken in een goed informatiebeveiligingsbeleid en dit beleid ook up-to-date te houden. Andrea Krush, informatiebeveiligingscoördinator Oosterhout leerstrategie Collega s direct aanspreken en confronteren met het gedrag rond informatiebeveiliging werkt prima. Johan Krul, gemeentesecretaris Súdwest-Fryslân

11 dashboardknop 1: beleid (big) Essentie: Toolkit Informatieveiligheid Sturen wij aan op de afspraken die benoemd zijn in de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente en in het bijzonder op de implementatie van de BIG? In de VNG Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente is vastgelegd dat iedere gemeente het informatiebeveiligingsbeleid vaststelt aan de hand van de BIG. De BIG is opgesteld door de IBD als basis normenkader voor gemeenten. De BIG is afgeleid van de Baseline Informatiebeveiliging Rijksdienst (BIR), welke op zijn beurt is afgeleid van de internationaal geaccepteerde beveiligingsstandaarden ISO 27001/ De BIG bestaat uit twee varianten, een Strategische- én een Tactische Baseline. De BIG is bedoeld om alle gemeenten op een vergelijkbare manier te laten werken aan informatiebeveiliging. Met de BIG hebben gemeenten een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Er wordt zo een indruk opgedaan of informatiebeveiliging als zodanig aantoonbaar beheerst wordt tot op een niveau dat van de organisatie verwacht mag worden. Met de totstandkoming van de BIG is een belangrijke stap voorwaarts gezet op het vlak van informatiebeveiliging binnen de gemeentelijke markt. Uiteraard pas met echt succes wanneer elke gemeente de BIG, op basis van een risico-inschatting, ook daadwerkelijk met de bijbehorende maatregelen heeft geïmplementeerd.

12 Betrouwbare partner Een betrouwbare informatievoorziening is essentieel voor het goed functioneren van de processen bij gemeenten. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Als gemeenten hun informatievoorzieningen en ICT inrichten volgens de Strategische Baseline, in opzet, bestaan en werking, dan is dat afdoende garantie dat gemeenten hun eigen informatie en die van andere overheidsinstellingen zowel centraal als decentraal veilig verwerken. Daarbij gaat het om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatieverwerkende systemen. Aan de hand van de BIG kunnen gemeenten aantonen een betrouwbare partner te zijn. Strategische- én Tactische Baseline De Strategische Baseline kan gezien worden als de kapstok waaraan de basiselementen van informatiebeveiliging opgehangen kunnen worden. Hierbij staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente centraal. De Tactische Baseline beschrijft de normen en maatregelen ten behoeve van controle en risicomanagement. Tevens wordt beschreven hoe deze baseline geïmplementeerd kan worden en is aangegeven welke stappen gezet moeten worden. Tenslotte wordt een beschrijving gegeven van de samenhangende set van maatregelen. Om de implementatie van de Strategische - en Tactische Baseline te ondersteunen, zijn door de IBD, deels in samenwerking met de Taskforce BID, producten ontwikkeld op operationeel niveau; de Operationele Baseline. Deze operationele producten van de BIG bestaan onder andere uit een GAP-analyse, richtlijnen voor een goed wachtwoordbeleid en een handreiking dataclassificatie. Deze producten en meer zijn te downloaden op de website van de IBD: stuurvragen Weet u of uw gemeente de BIG al heeft ingevoerd en of er een juiste risicoafweging is gemaakt bij het nemen van maatregelen aan de hand van de BIG? Welke afweging heeft u bijvoorbeeld gemaakt tussen thuiswerken en/ of op locatie werken en de gevoelige informatie in veel gemeentelijke informatiesystemen? Hebben we op basis van de eigen situatie, de risico s die we wel en niet willen accepteren en de bijbehorende maatregelen uit de BIG in het informatiebeveiligingsplan benoemd? Hebben we op basis van deze risicoafweging aangegeven welke maatregelen we met prioriteit invoeren? Is er bewust voor gekozen een aantal maatregelen uit de BIG niet te implementeren? Welke maatregelen zijn dat en hoe is de besluitvorming hierover verlopen? Voor de BIG geldt een pas-toe-of-leg-uit-benadering. hulpmiddelen Strategische variant van de BIG (IBD) Tactische variant van de BIG (IBD) Operationele variant van de BIG (IBD)

13 dashboardknop 2: risicoanalyse Essentie: Toolkit Informatieveiligheid Kennen we onze risico s op informatieveiligheidsvlak en accepteren we die als gemeente? Gemeenten hebben veel processen, waarvan een aantal als kritiek te bestempelen is. Een belangrijke eerste stap is inzicht krijgen in die kritieke processen; om welke processen gaat het en wie is verantwoordelijk voor welk proces bij uw gemeente? Voor u als gemeentesecretaris is er een handige checklist. Heeft u vijf of meer criteria aangevinkt? Dan is dit proces voor uw gemeente als kritiek aan te merken: Verstoring of uitval van het proces heeft impact op het leven van de burger of de bedrijfsvoering van het bedrijf. Verstoring of uitval van het proces zorgt voor vertraging bij het halen van onze ambities. Verstoring of uitval van het proces stokt de dienstverlening van de organisatie. Snelle doorlooptijd van het proces is belangrijk voor burger of bedrijf. Verstoring of uitval van het proces stokt de bedrijfsvoering van meer afdelingen of ketenpartners. Bij verstoring of uitval loopt de eigen organisatie imagoschade op. Verstoring of uitval van het proces brengt een aanzienlijke kostenpost met zich mee. Verstoring of uitval van het proces levert schade op bij andere (samenwerkings-)partijen.

14 De analysefase bestaat uit twee concrete handelingen: 1. het maken van een GAP-analyse Met een GAP-analyse controleert u of en in welke mate de maatregelen uit de Tactische variant van de BIG zijn geïmplementeerd in uw organisatie. De GAP-analyse bevat alle maatregelen uit de Tactische variant van de BIG met daarbij controlevragen. Het is een methode om een vergelijking te maken tussen een bestaande of huidige situatie en de gewenste situatie, de maatregelen uit de baseline. U maakt hiermee inzichtelijk hoe weerbaar uw organisatie is tegen cyberdreigingen en wat de impact is van de te nemen maatregelen. 2. Het uitvoeren van een risicoanalyse 100% veiligheid bestaat niet. Wel kunt u de meeste risico s beheersen door het treffen van de juiste veiligheidsmaatregelen. Daarmee kunt u de opportunisten of wel de gelegenheidsdief en gelukzoekers tegenhouden. Sommige processen in uw organisatie zijn als kritiek aan te merken, omdat ze essentieel zijn voor de continuïteit van de dienstverlening of voor de bescherming van de privacy van burgers. Met behulp van de uitkomsten uit de GAP-analyse en de risicoanalyse van uw meest kritieke processen, kunt u vervolgens bepalen welke maatregelen uit de BIG prioriteit hebben voor uw gemeentelijke organisatie en waar eventueel aanvullende maatregelen nodig zijn. stuurvragen Hebben we binnen onze gemeente in beeld wat onze kritieke processen zijn? Zijn bij de risicoanalyses van onze gemeente de proceseigenaren betrokken? Welke risico s accepteren we als organisatie en welke niet, rekening houdend met onze kritieke processen? Is het duidelijk welke aspecten bij deze afweging een rol spelen? Vinden deze afwegingen systematisch plaats aan de hand van een afwegingskader? Hebben we de risico s die we niet willen accepteren en de bijbehorende maatregelen uit de BIG in een beleidsplan Informatiebeveiliging benoemd? hulpmiddelen Leeraanbod: Workshop Risicobewustzijn (Taskforce BID) GAP-analyse BIG en impactanalyse BIG (IBD) Baselinetoets (IBD)

15 dashboardknop 3: informatiebeveiligingsbeleid en -plan Essentie: Toolkit Informatieveiligheid Hebben we als gemeente de risico s die we wel en niet willen accepteren in het informatiebeveiligingsbeleid benoemd, inclusief de bijbehorende maatregelen uit de BIG, en is dit plan vastgesteld in het college van Burgemeester en Wethouders (B&W)? Gemeenten hebben de verantwoordelijkheid informatieveiligheid zowel bestuurlijk als ambtelijk op de juiste plaats in de organisatie te beleggen en op deze manier informatieveiligheid te borgen. Binnen gemeenten is het College van B&W integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente. Het lijnmanagement is verantwoordelijk voor de kwaliteit van de bedrijfsvoering, waar informatiebeveiliging een integraal onderdeel van uitmaakt. Dit alles leidt tot duurzame bestuurlijke en organisatorische verankering van de verantwoordelijkheid voor informatieveiligheid. Deze organisatorische verankering wordt vastgelegd in het informatiebeveiligingsbeleid. Na vaststelling van het informatiebeveiligingsbeleid, wordt aan de hand van de resultaten die in de risicoanalyse naar voren zijn gekomen vervolgens een realistische planning gemaakt voor het treffen van de maatregelen, conform de (financiële) uitgangspunten die de gemeente heeft gesteld. Naast een overzicht van de risico s, bij het ontbreken van de maatregelen, is ook een kostenoverzicht van de te nemen maatregelen onderdeel van het informatiebeveiligingsplan.

16 Het gemeentebestuur geeft richting door de gekozen maatregelen te prioriteren voor implementatie. Ook dit wordt meegenomen in het informatiebeveiligingsplan. Afhankelijk van de uitkomsten van de analyse en de prioritering kan het zijn dat sommige maatregelen pas na een aantal jaren geïmplementeerd zijn. Als gemeentesecretaris heeft u uiteraard met uw kennis over de gemeentelijke organisatie een belangrijke toegevoegde waarde bij het opstellen van een realistisch tijdspad. stuurvragen Is er een verantwoordelijk functionaris voor informatieveiligheid en heeft deze functionaris een voldoende onafhankelijke positie waardoor hij gevraagd en ongevraagd advies kan uitbrengen? Zijn de verantwoordelijkheden van bestuur, directie, CISO en lijnmanagers voldoende helder beschreven en worden deze gedragen in de organisatie? Is er een informatiebeveiligingsbeleid dat is vastgesteld in het college van B&W? Is er een vastgesteld informatiebeveiligingsplan waarin de te nemen maatregelen op grond van de risicoanalyse zijn geprioriteerd? hulpmiddelen Voorbeeld informatiebeveiligingsbeleid (IBD) Gemeentelijke voorbeelden (Taskforce BID en IBD) Functieprofiel CISO (IBD)

17 dashboardknop 4: uitvoering Essentie: Toolkit Informatieveiligheid Rapporteren en bespreken we als gemeente het functioneren van de cyclus van informatieveiligheid op management- en bestuursniveau? In de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente is vastgelegd dat gemeenten informatieveiligheid bestuurlijk en organisatorisch borgen in de organisatie middels de reeds bestaande planning- en controlcyclus. In deze stap gaat het om het uitvoeren van het informatiebeveiligingsplan en borging van informatieveiligheid in de planning & controlcyclus. Daarbij dient rekening gehouden te worden met de quick wins en de prioritering vanuit de risicoanalyse uit de eerste stap. Het informatiebeveiligingsplan kent een meerjaren perspectief. Het is dan ook van belang het informatiebeveiligingsbeleid op te nemen in de planning- en controlcyclus. In de jaarplanning van de verschillende betrokken afdelingen, ICT, lijn en staf, wordt aangegeven op welke wijze maatregelen voor informatiebeveiliging worden ingevoerd. In de reguliere managementrapportage wordt gerapporteerd over de voortgang van de implementatie van het informatiebeveiligingsplan.

18 stuurvragen Is informatieveiligheid onderdeel van onze planning en controlcyclus, nemen we het mee in de kaderstelling richting de afdelingen voor het opstellen van de afdelingsplannen? Hebben alle betrokken afdelingen informatieveiligheid verwerkt in hun afdelingsplannen? Wordt er gerapporteerd over informatieveiligheid in de reguliere managementrapportages? Is bijvoorbeeld bekend in hoeverre van alle kritieke processen risicoanalyses zijn uitgevoerd? Weten we hoeveel beveiligingsincidenten er maandelijks optreden? Is er zicht op het risicobewustzijn in de hele organisatie? Is er specifieke aandacht voor functionarissen die met gevoelige informatie omgaan waaronder systeembeheerders? Wordt daarbij rekening gehouden met extern en tijdelijk personeel? Hebben we zicht op de naleving van basale hygiënefactoren, zoals: Blokkeren van computers, smartphones of tablet bij het verlaten van de werkplek. Gebruik van ongeautoriseerde software. Gebruik van onbekende en/of onbeveiligde netwerken. Het maken van onnodige kopieën van informatiebestanden. De mate waarin medewerkers zorgvuldig met (mobiele) apparatuur en gegevensdragers omgaan. Het gebruik van sterke wachtwoorden die niet makkelijk zijn af te leiden. Hebben we zicht op de voortgang van de belangrijkste maatregelen die uit onze risico s volgen, zoals de invoering van een goed autorisatiebeleid voor informatiesystemen met (bijzondere) persoonsgegevens? hulpmiddelen Leeraanbod: Verankersessie (Taskforce BID) Implementatie BIG (IBD) Operationele producten BIG (IBD)

19 dashboardknop 5: continuïteit Essentie: Toolkit Informatieveiligheid Is de continuïteit van onze gemeentelijke dienstverlening gewaarborgd in geval van grootschalige uitval of verstoring van ICT? Indien een calamiteit leidt tot ernstige uitval, is het van groot belang dat de gemeente beschikt over een continuïteitsplan. De kernactiviteiten van de gemeente dienen zo spoedig mogelijk te worden hervat. Zijn er voor de kritieke processen uitwijkvoorzieningen beschikbaar? Het is van essentieel belang periodiek procedures voor uitwijk en herstel te beproeven. Cruciale informatie voor de uitvoering van het continuïteitsplan is ook op papier beschikbaar. In de gemeente zijn functionarissen benoemd die bij uitval belast zijn met de respons. Op bestuurlijk niveau is dat het college van B&W, op tactisch/ operationeel niveau is dat het managementteam onder leiding van de gemeentesecretaris, en functionarissen met expertise op het gebied van facilitaire zaken, zoals ICT, inclusief telefonie en andere communicatiemiddelen, gebouwbeheer en beveiliging.

20 stuurvragen Zijn er voor de kritieke processen uitwijkvoorzieningen beschikbaar? Testen we periodiek onze uitwijk en ook onze back-up- en recoverystrategie? Weten we zeker dat we ook daadwerkelijk onze systemen kunnen herstellen? Oefenen we periodiek met ons crisisteam onze crisisplannen? hulpmiddelen Back-up en Recovery Gemeente (IBD) Gemeentelijke voorbeelden continuïteitsmanagement (Taskforce BID)

21 dashboardknop 6: ketens Essentie: Toolkit Informatieveiligheid Kennen wij als gemeente onze leveranciers en partners waarmee we samenwerken en toetsen wij die ook op informatieveiligheidsaspecten? Ook wanneer besloten is om vanuit uw gemeente bepaalde diensten uit te besteden, blijft uw gemeente als opdrachtgever altijd verantwoordelijk voor de kwaliteit en veiligheid van uitbestede diensten. De opdrachtgever eist van de externe leveranciers dat zij voldoen aan alle aspecten van de BIG die voor de dienst of het betreffende systeem van belang zijn en betrekking hebben op de geleverde dienst. Afspraken over beschikbaarheid, integriteit en vertrouwelijkheid worden expliciet vastgelegd in de overeenkomsten (contracten, Service Level Overeenkomsten en bewerkersovereenkomsten) met leveranciers. Eenzelfde verantwoordelijkheid geldt voor uw gemeente uiteraard ook wanneer uw gemeente deelneemt aan bepaalde samenwerkingsvormen. Zeker wanneer informatie-uitwisseling onderdeel vormt van de samenwerking. Ook hier geldt dat afspraken over beschikbaarheid, integriteit en vertrouwelijkheid expliciet vastgelegd dienen te worden in de overeenkomsten met de partners. Het is daarbij van belang waarborgen in te bouwen om te controleren of de overeengekomen afspraken daadwerkelijk worden nageleefd.

22 Een gemeente opereert in een complex veld van ketens, samen met landelijke-, regionale- en gemeentelijke partners, verschillende leveranciers en uiteraard ook met andere gemeenten. Gemeenten zijn gemiddeld naar schatting betrokken bij 15 tot 30 samenwerkingsverbanden 2. Door de decentralisaties zullen veel taken van gemeenten, in een complex netwerk van aanbieders van zorg en maatschappelijke ondersteuning, door wijkteams worden uitgevoerd. Binnen deze netwerken van ketenpartners en leveranciers ontstaan steeds meer complexe informatiestromen. De eindverantwoordelijkheid voor het functioneren van het netwerk ligt bij de gemeente. Door deze netwerken per domein in kaart te brengen ontstaat het eerste overzicht van het netwerk van ketenpartners en leveranciers waarin de gemeente opereert. Het is van belang inzicht te hebben in de locaties en de momenten waarop gegevensuitwisseling plaatsvindt en hoe de verschillende ketenpartners onderling gegevens uitwisselen en informatieveiligheid hebben geborgd. Deze inzichten vormen de basis voor afspraken tussen ketenpartners en leveranciers over hoe zij met informatieveiligheid omgaan. stuurvragen Hebben we als gemeente per domein zicht op het netwerk van landelijke en regionale partners waarin we opereren? Hebben we zicht op de informatiehuishouding en de informatie-uitwisseling in dit netwerk van actoren? Weten we als gemeente hoe in de praktijk bij deze actoren de informatieveiligheid is geborgd? Maken we (contractuele) afspraken over informatieveiligheid bij het opzetten van landelijke, regionale en gemeentelijke samenwerkingsverbanden en bij de inkoop van diensten? Hebben we zicht op eventuele extra beveiligingsmaatregelen die van ons verlangd worden door onze ketenpartners en zijn die ook geïmplementeerd? hulpmiddelen Leeraanbod: Quick Scan Informatieveiligheid Ketens (Taskforce BID) Leeraanbod: Confrontatie- en Procesworkshops met ketencases (Taskforce BID) Service Level Overeenkomsten (IBD) Bewerkersovereenkomst (IBD) 2 VNG Magazine, 5, 2011

23 dashboardknop 7: aansluiten ibd Essentie: Toolkit Informatieveiligheid Zijn we als gemeente officieel aangesloten bij de IBD? Alle gemeenten kunnen gebruik maken van de producten en de generieke dienstverlening van de IBD. Om de gehele dienstverlening van de IBD af te kunnen nemen en elke gemeente gericht te kunnen helpen, heeft de IBD specifieke informatie nodig van elke gemeente. Hiervoor dient iedere gemeente zich officieel aan te sluiten bij de IBD. Zo n officiële aansluiting betekent enerzijds dat de gemeente een aantal zaken dient in te richten om de IBD-dienstverlening af te kunnen nemen en anderzijds dat de IBD concrete informatie nodig heeft van een gemeente om gericht te kunnen handelen. Aansluiten bij de IBD is niet alleen noodzakelijk voor gemeentespecifieke ondersteuning op informatiebeveiligingsvlak. Het is bovendien onmisbaar om regie te houden binnen de gemeentelijke overheid op (potentiële) incidenten op informatiebeveiligingsvlak.

24 stuurvragen Zijn we als gemeente officieel aangesloten bij de IBD? Is er al een algemeen en een vertrouwd contactpersoon informatieveiligheid benoemd? Is de informatie over onze ICT-huishouding, de ICT-foto al aangeleverd? Is de informatie over onze internetverbindingen (IP-adressen) al aangeleverd? Worden de meldingen van de IBD tijdig verwerkt door ICT-beheer? Installeren we tijdig de belangrijkste patches en updates? Is er een proces ingeregeld om de informatie over onze ICT-huishouding actueel te houden en wijzigingen te melden aan de IBD? hulpmiddelen Stappenplan aansluiten bij de IBD (IBD)

25 dashboardknop 8: incidentmanagement Essentie: Toolkit Informatieveiligheid Weet onze organisatie hoe te handelen bij een (ernstig) informatieveiligheidsincident en is er een incidentenmanagementproces ingevoerd? Een incident- en crisismanagementproces voorziet in de blauwdruk voor het reageren op een incident of crisis. Het proces schrijft voor hoe een georganiseerde en gecoördineerde respons plaats kan vinden. Daarnaast blijkt hieruit ook hoe de concrete rollen en verantwoordelijkheden liggen tijdens een incident of crisis. Het specifieke aan een incident of crisis op informatieveiligheidsvlak is de snelheid waarmee het voorval zich kan ontwikkelen, het is niet gebonden aan een regio of locatie en vaak zijn er veel partijen (in de keten) bij betrokken. Het specifieke van een groot incident of crisis is dat het niet enkel op operationeel niveau kan worden afgehandeld. Het is van groot belang dat uw gemeente scenario s opstelt voor incidenten met een hoge impact. Dergelijke incidenten kunnen de dienstverlening in ernstige mate verstoren. Het is van belang dat uw gemeentelijke organisatie zich hierop voorbereidt en leert op het moment dat een ernstig incident zich daadwerkelijk voordoet.

26 stuurvragen Is het incidentmanagement rond informatieveiligheid in onze organisatie ingericht? Wie is in onze organisatie verantwoordelijk voor het managen van informatieveiligheidsincidenten? Is ook duidelijk wie verantwoordelijk is voor de woordvoering bij een (ernstig) incident? Wordt de weerbaarheid van onze organisatie periodiek getoetst via een oefening waarin het incident- en crisismanagement centraal staat? hulpmiddelen Leeraanbod: Informatieveiligheidsoefening (Taskforce BID) Voorbeeld incidentmanagement en -respons (IBD)

27 dashboardknop 9: toetsing en verantwoording Essentie: Toolkit Informatieveiligheid Toetsen we jaarlijks of onze organisatie in control is op het gebied van informatieveiligheid via peer reviews, audits of self-assessments? En rapporteren en bespreken we als gemeente het functioneren van de cyclus van informatieveiligheid op managementen bestuursniveau? Gemeenten hebben in de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente vastgelegd dat zij zich moeten verantwoorden over de informatieveiligheidscyclus binnen de gemeente en daarbuiten. Dit houdt in dat informatieveiligheid bestuurlijk en organisatorisch geborgd is in de bestaande planning- en controlcyclus van de organisatie. Toetsing vindt jaarlijks plaats via self-assessments, peer reviews of audits. Een in control statement wordt opgenomen in het jaarverslag. Gemeenten hebben de verantwoordelijkheid om transparant en aanspreekbaar te zijn naar burgers, bedrijven en (keten-)partners over informatieveiligheid. Deze transparantie wordt onder meer behaald door gebruik te maken van Deze openbare informatie kan de basis vormen voor jaarlijkse collegiale beoordeling (peer reviews).

28 stuurvragen Toetsen we periodiek via self-assessments, peer reviews of audits of onze organisatie in control is op het gebied van informatieveiligheid? Nemen we jaarlijks in ons jaarverslag een in control statement op? Zijn we op een verantwoorde wijze transparant naar de raad over informatieveiligheid? Zijn we transparant via hulpmiddelen Information Security Management System (ISMS) (IBD) Informatiebeveiligingsbeleid (IBD) Informatiebeveiligingsplan (IBD)

29 dashboardknop 10: evaluatie Essentie: Toolkit Informatieveiligheid Zijn de beleidsuitgangspunten nog valide of zijn er interne of externe ontwikkelingen die leiden tot heroverwegingen van uw gemeentelijke risico-inschattingen? Op periodieke basis vindt een evaluatie plaats van het informatiebeveiligingsbeleid. De rapportages vanuit interne controles, resultaten van externe audits, self-assessments en peer reviews, die in de voorgaande periode zijn gehouden, worden meegenomen in de evaluatie van het informatiebeveiligingsbeleid. Hiermee kan vervolgens het beleidskader worden bijgesteld. Daarnaast is het van belang om bij grote veranderingen in uw organisatie het informatiebeveiligingsbeleid te evalueren. Bijvoorbeeld op het moment dat een belangrijk nieuw informatiesysteem wordt ingevoerd of wanneer er wezenlijke wijzigingen optreden in de wijze waarop de dienstverlening wordt vormgegeven. Ook de start van een gemeentelijke samenwerking of uitbesteding van delen van de dienstverlening vragen om een evaluatie van het informatiebeveiligingsbeleid. Tot slot is het ook belangrijk externe dreigingen en ontwikkelingen voor mogelijke oplossingen voor informatieveiligheidsrisico s te monitoren. Het is van belang zicht te houden op deze externe ontwikkelingen en de bevindingen mee te nemen in de bijstelling van het informatiebeveiligingsbeleid.

30 stuurvragen Hebben we als gemeente een strategie om blijvend over de (specialistische) kennis en vaardigheden op het gebied van informatieveiligheid te kunnen beschikken? Monitoren we de trends en technologische ontwikkelingen op het gebied van informatieveiligheid? Stellen we onze informatieveiligheidscyclus ook daadwerkelijk bij aan de hand van lessons learned na peer reviews, oefeningen, incidenten/crisissen en/of audits? Is er iemand binnen onze gemeente verantwoordelijk voor het bijstellen van de informatieveiligheidscyclus? hulpmiddelen Leeraanbod: Informatieveiligheidsoefening (Taskforce BID) Leeraanbod: Verankersessie (Taskforce BID) Personeelsbeleid (IBD) Back-up en Recoverybeleid (IBD) Information Security Management System (ISMS) (IBD) Factsheet Aansluiten IBD (IBD)

31 dashboardknop 11: leerstrategie Essentie: Toolkit Informatieveiligheid Hebben we een integrale aanpak voor organisatieleren op het gebied van informatieveiligheid en hoe houden we de kennis vast en bouwen we hierop door? Om te realiseren dat informatieveiligheid business as usual wordt, is een organisatieverandering nodig. Het informatieveiligheidsvraagstuk vraagt vooral een nieuwe kijk op de inzet van technologie en de sturing op gedigitaliseerde bedrijfsprocessen. Er moet meer rekenschap worden gegeven van de risico s die informatieveiligheid met zich mee brengt. Dit vereist een leerstrategie toegespitst op de context van uw organisatie. Er is daartoe een adequate diagnose nodig van waar uw organisatie staat en in hoeverre uw organisatie in staat is om te gaan met de dilemma s van informatisering. Deze diagnose vloeit voort uit een gerichte analyse, als onderdeel van de risicoanalyse, als het gaat om informatieveiligheid. Een analyse met vragen als: Wat doen we binnen onze gemeente aan kennisborging op het vlak van informatieveiligheid? Wat doen we om bewustzijn te stimuleren en op peil te houden? Zijn we als gemeentelijke organisatie in staat te leren van incidenten. Kunnen we als gemeente nieuwe technologische ontwikkelingen ook daadwerkelijk veilig incorporeren in ons organisatiesysteem? Als gemeentesecretaris heeft u een belangrijke verantwoordelijkheid in het vergroten van deze gezamenlijke organisatorische prestatie: het vergroten

32 van het niveau van informatieveiligheid binnen uw organisatie. Deze organisatieverandering vindt plaats wanneer nieuwe kennis getransformeerd wordt in nieuwe routines. Het gaat om: Betekenisgeving binnen organisatie: besef van en inzicht in breedte van informatieveiligheid; besef van en inzicht in belangen bij informatieveiligheid; besef van en inzicht in risico s en sterktes; stimuleren en waarderen van gewenst gedrag. Inbedding in organisatie: nadrukkelijke (voorbeeld)rol van bestuur en topmanagement; vanuit eigen organisatiedoelen en binnen organisatiestructuren veranderen; samenwerken binnen organisatie; wederzijds willen afkijken, ook van andere terreinen. Alleen zo kunnen uw gemeentelijke dilemma s als transparantie versus vertrouwelijkheid en klantvriendelijkheid versus technisch waarborgen op adequate wijze worden opgelost. Vanuit deze diagnose kunt u tevens een toegespitste leerstrategie voor informatieveiligheid in uw organisatie ontwikkelen. Het leeraanbod van de Taskforce BID kunt u gebruiken om invulling te geven aan deze leerstrategie. Meer informatie over het leeraanbod vindt u op de website van de Taskforce BID: stuurvragen Is de aanleiding voor de verhoogde aandacht voor informatieveiligheid voldoende duidelijk? Wat gaat er niet goed en waar merk je dat aan? Wordt de urgentie van het vraagstuk voldoende onderkend door het gemeentelijk management en bestuur? Wat gebeurt er als we niets doen? In welke fase van bewustwording op informatieveiligheid is onze organisatie? Zijn de bestaande uitgangspunten van onze organisatiesturing toereikend om adequaat met informatieveiligheidsrisico s om te gaan? Of moeten we dieper ingrijpen in ons besturingsmodel? Wat moet het effect zijn? Wanneer is het klaar? Wanneer zijn we tevreden? Welke criteria hanteren we daarvoor? Wiens oordeel is doorslaggevend? Welke producten uit het leeraanbod van de Taskforce BID passen het beste bij de vraag en de context van onze organisatie? Krijgt iedere medewerker in de organisatie jaarlijks een basistraining en/of een bewustwordingsoefening op het gebied van informatieveiligheid? hulpmiddelen Implementatie BIG (IBD) Leeraanbod (Taskforce BID) Bewustwordingspresentatie (IBD) ibewustzijn Overheid

33 stappenplan

34

35 stappenplan Toolkit Informatieveiligheid Het oppakken en uitvoeren van het informatiebeveiligingsbeleid en -plan en het implementeren van de BIG in het geschetste cyclische proces is een meerjarig traject. De actualiteiten vragen echter versnelling en focus op dit thema. Het toenemend belang van privacyvraagstukken, de dreigingen van cyberrisico s en de komst van de decentralisaties veroorzaken een toenemende kwetsbaarheid van gemeenten voor informatieveiligheidsrisico s. Uitgangspunt voor de realisatie van een informatieveilige overheid vormt de invoering van het geschetste cyclische proces. Het is echter van belang snel te starten en de eerste stappen voor de invoering van deze cyclus uit te voeren. Het begint daarbij met de bestuurlijke en organisatorische aspecten rond informatieveiligheid in uw gemeente. Uitgangspunt voor de realisatie van een informatieveilige overheid vormt de invoering van het geschetste cyclische proces Hieronder vindt u een suggestie voor de te nemen stappen tot een eerste aanzet voor de invoering van een informatieveiligheidscyclus: Stuur er op aan dat informatieveiligheid onderdeel is van de portefeuille van één van de collegeleden. Neem het thema informatieveiligheid mee in het collegeprogramma voor de komende bestuursperiode. Draag zorg voor allocatie van afdoende middelen voor de vormgeving van het informatiebeveiligingsbeleid in uw programmabegroting. Benoem een verantwoordelijke in de organisatie voor informatieveiligheid, stel een CIO of CISO aan.

36 Vervolgens kunt u een start maken met het realiseren van de maatregelen uit de BIG, enkele eerste stappen die u kunt nemen: Laat een risico- en GAP-analyse uitvoeren. Besteed bij de risicoanalyse van uw meest kritieke processen in het bijzonder aandacht aan de processen met veel (bijzondere) persoonsgegevens. Zet in ieder geval in op maatregelen die de privacy beschermen: Draag zorg dat bij de meest kritieke processen onbevoegden geen toegang krijgen tot (privacy)gevoelige gegevens. Zorg voor adequate autorisatiestructuren en waarborg via functiescheiding de toekenning van autorisaties. Zorg voor voldoende controle op oneigenlijk gebruik van de gegevens in de meest kritieke processen door in te zetten op goede logging en toetsing. Zorg voor voldoende bewustwording bij medewerkers die onderdeel vormen van deze kritieke processen. Stel op grond daarvan een informatiebeveiligingsbeleid en -plan op of actualiseer beide en laat deze vervolgens vaststellen in het college van B&W. Sluit zo snel als mogelijk aan bij de IBD en doorloop de nodige stappen. Zorg voor implementatie van de benodigde processen voor incident- en crisismanagement. Zorg ervoor dat uw partners en leveranciers ook op informatieveiligheid sturen. Zorg voor afdoende verantwoording en transparantie op informatieveiligheid door deze te verankeren in de bestaande planning- en controlcyclus.

37 veelgestelde vragen

38

39 veelgestelde vragen We geven hier een aantal antwoorden op veelgestelde vragen over informatieveiligheid. Dit overzicht geeft u zicht op belangrijke actuele thema s. 1. wat is het verschil tussen informatieveiligheid en informatiebeveiliging? Informatiebeveiliging is de verzamelnaam voor de processen die informatiesystemen en de daarin opgeslagen gegevens beschermen tegen al dan niet opzettelijk onheil. Informatiebeveiliging is het middel om de informatieveiligheid te garanderen. Er is dus bewust voor deze term gekozen, om te laten zien dat er meer nodig is dan alleen het nemen van technische beveiligingsmaatregelen. Het vraagt vooral om een bredere oriëntatie om de maatschappelijke en politieke risico s goed te ondervangen. Informatieveiligheid is een belangrijke doelstelling om de kwaliteit en continuïteit van dienstverlening en de privacy van burgers te waarborgen. Toolkit Informatieveiligheid 2. welke drie kwaliteitsaspecten zijn van belang bij informatiebeveiliging? Beschikbaarheid, Exclusiviteit (vertrouwelijkheid) en Integriteit (juistheid, volledigheid) zijn de kwaliteitsaspecten van informatieveiligheid. Afhankelijk van de aard van de informatie zijn er verschillende eisen op deze drie aspecten te stellen. Deze eisen maken duidelijk welke maatregelen ter bescherming nodig zijn. Beschikbaarheid / continuïteit: het zorg dragen voor het op de juiste tijd en plaats beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen voor de gebruikers of gebruikende systemen; Exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn; Integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking. 3. wat zijn de belangrijkste interne en externe dreigingen? De belangrijkste interne dreiging voor uw informatieveiligheid is het gedrag van uw eigen medewerkers, bewust of onbewust. Het gaat dan om onzorgvuldig omgaan met wachtwoorden, onbewust onveilige Cloud-oplossingen gebruiken of het verlies van bijvoorbeeld laptops en USBsticks. In uitzonderlijke gevallen betreft het zelfs bewust en ongeoorloofd gebruik van gegevens uit nieuwsgierigheid of voor persoonlijk gewin.

40 Daarnaast maakt onzorgvuldig omgaan met informatie de organisatie ook kwetsbaar voor externe dreigingen. Zo zijn bijvoorbeeld eenvoudige wachtwoorden makkelijk te achterhalen en te kraken door hackers. Zorgvuldig omgaan met gegevens en bedrijfsmiddelen is dan ook de meest effectieve maatregel tegen informatieveiligheidsrisico s. Naast de dreigingen vanuit de eigen organisatie en kwaadwillenden blijft het van belang de gemeentelijke informatiesystemen ook te beschermen tegen meer fysieke dreigingen als stroomuitval, brand en dergelijke zaken. 4. Wat zijn belangrijke actuele trends in informatieveiligheid? Informatieveiligheidsrisico s nemen met het toenemende gebruik van ICT hand over hand verder toe. Jaarlijks publiceert het Nationaal Cyber Security Centrum (NCSC) het Cyber Security Beeld Nederland (CSBN). Een aantal opvallende conclusies uit het laatste onderzoek: De gevolgen van informatieveiligheidsincidenten nemen steeds meer toe. Mede doordat vele systemen tegenwoordig met elkaar zijn verbonden (hyperconnectiviteit), ontstaan al snel keteneffecten. De mens is en blijft vaak de zwakste schakel. Een voorbeeld daarvan is het gebruik van zwakke wachtwoorden en gelijke wachtwoorden voor verschillende systemen. Criminelen gaan steeds brutaler te werk. Voor hen is er langs de digitale weg steeds meer te halen. Mobiele apparaten zijn steeds meer het doelwit van virussen. Ook Apple-apparaten worden steeds meer op de korrel genomen. Er is bij veel organisaties nog steeds onvoldoende inzicht in relevante dreigingen en kwetsbaarheden ten aanzien van informatieveiligheidsrisico s. Kwetsbaarheden in systemen die gebruikt worden om apparatuur op afstand te bedienen komen steeds meer in beeld. Denk bijvoorbeeld aan de bediening van bruggen of gemalen die via internet bedienbaar zijn, de zogeheten SCADA-systemen. 5. Wat kan de impact zijn van een beveiligingsincident? We staan er vaak niet bij stil, maar een beveiligingsincident kan een grote impact hebben op de gemeentelijke organisatie en specifiek op: Reputatie: een zorgvuldig opgebouwde reputatie kan in één klap op losse schroeven komen te staan. Continuïteit: er treedt verstoring op van kernprocessen waardoor de operatie vertraging oploopt of zelfs volledig stagneert. Veiligheid: de veiligheid van systemen en informatie valt niet langer te garanderen. Betrouwbaarheid: onder invloed van één casus is de kans aanzienlijk dat de betrouwbaarheid van de gehele informatievoorziening en dienstverlening van een organisatie in het geding komt. Kwaliteit: processen, systemen en dienstverlening leiden tot potentieel kwaliteitsverlies. Privacy-issues: de privacy van medewerkers, klanten of leveranciers wordt mogelijk bedreigd. De financiële positie: directe kosten die voortvloeien uit een cyberincident en/of indirecte kosten verbonden met herstel en preventieve maatregelen kunnen de financiële positie van een organisatie negatief beïnvloeden. Denk hierbij ook aan de boetes die opgelegd kunnen worden bij een datalek. Stakeholders: belanghebbenden ervaren de gevolgen van cyberrisico s. Compliance: normen, standaarden, regel- en wetgeving worden mogelijk geschonden. Juridische zaken: aan het vastleggen, bewaren en omgaan met privacygevoelige gegevens zijn verantwoordelijkheden en verplichtingen verbonden. Bijvoorbeeld de Europese commissie: organisaties moeten de ontdekking van een datalek binnen 24 uur melden bij de nationale toezichthouder. Bij overtreding kunnen organisaties geldboetes verwachten tot twee procent van de jaaromzet

41 6. Waarom is een officiële aansluiting bij de IBD belangrijk? Alle gemeenten kunnen gebruik maken van de producten en de generieke dienstverlening van de IBD. Om de gehele dienstverlening van de IBD af te kunnen nemen en elke gemeente gericht te kunnen helpen, heeft de IBD specifieke informatie nodig. Hiervoor dient iedere gemeente zich officieel aan te sluiten bij de IBD. Zo n officiële aansluiting betekent enerzijds dat de gemeente een aantal zaken dient in te richten om de IBD-dienstverlening af te kunnen nemen en anderzijds dat de IBD concrete informatie nodig heeft van een gemeente om gericht te kunnen handelen. Aansluiten bij de IBD is niet alleen noodzakelijk voor gemeentespecifieke ondersteuning op informatiebeveiligingsvlak. Het is bovendien onmisbaar om regie te houden binnen de gemeentelijke overheid op (potentiële) incidenten op informatiebeveiligingsvlak. 7. wat kan een gemeentelijke medewerker doen om informatieveiligheid te borgen? Iedere medewerker van de gemeente heeft de verantwoordelijkheid om zorgvuldig met gegevens en bedrijfsmiddelen om te gaan. Dit vormt een belangrijke waarborg tegen informatieveiligheidsrisico s. Het gaat dan om eenvoudige, doch belangrijke zaken. Gezond verstand is daarbij leidend: Toolkit Informatieveiligheid Zorg dat de computer, smartphone of tablet bij het verlaten van de werkplek geblokkeerd is en geen informatie toont. Gebruik geen ongeautoriseerde software. Maak geen gebruik van onbekende en/of onbeveiligde netwerken. Maak geen onnodige kopieën van informatie. Minder informatie is uiteindelijk makkelijker te beveiligen. Laat (mobiele) apparatuur en gegevensdragers niet slingeren. Gebruik sterke wachtwoorden die niet makkelijk zijn af te leiden.

42

43 leeraanbod

44

45 leeraanbod Toolkit Informatieveiligheid Heeft u uw risico s in beeld op gebied van informatieveiligheid? Weten uw medewerkers welke rol zij kunnen spelen bij het verkleinen van deze risico s? Zijn de verantwoordelijkheden van bestuur, directie, CISO en lijnmanagers voldoende helder? Bent u in staat om een incident te beheersen? Om u daarbij behulpzaam te zijn heeft de Taskforce BID een leeraanbod ontwikkelt dat u ondersteunt bij deze vraagstukken. Met het leeraanbod werkt u aan transformatie van nieuwe kennis in nieuwe routines, van het individu naar de organisatie of omgeving en andersom. U kunt dit leeraanbod inzetten afhankelijk van de fase waarin uw organisatie in de leercyclus staat. Een bewustwordings- en leertraject richt zich op verandering in kennis, houding en vaardigheden. Het leeraanbod van de Taskforce BID werkt toe naar betekenisgeving en verandering in individueel gedrag via vijf bewustzijnstadia: weten, erkennen, willen, kunnen, doen. Hoe stelt u uw bewustwordings- en leertraject samen aan de hand van dit leeraanbod? 1. Zorg voor commitment van het management voor een bewustwordings- en leertraject. 2. Bepaal op welk bewustzijnsniveau de doelgroep die u wilt bereiken zich bevindt. Gebruik hiervoor bijvoorbeeld de Zelftest Informatieveiligheid bij de doelgroep bestuurders/topmanagers. 3. Bepaal naar welk bewustzijnsniveau u de doelgroep wilt brengen en stel het tijdspad vast. 4. Stel een mediamix samen om deze verandering te realiseren. U kunt denken aan: mystery guest/ hack demo, campagnemiddelen als posters en filmpjes, zeepkistsessies, workshops van de Taskforce BID, de iveiligheidsapp van de Taskforce BID/e-learning en gouden regels. Voorbeelden van een beproefde mediamix, onderdelen daarvan en veelgebruikte thema s vindt u op informatieveiligheid.pleio.nl onder leren. 5. Zet ambassadeurs en koplopers in om de doelgroep te enthousiasmeren, bijvoorbeeld via learn and share bijeenkomsten of filmboodschappen. Het leeraanbod van de Taskforce BID werkt toe naar betekenisgeving en verandering in individueel gedrag

46 Fase Producten Weten/herkennen Zelftest - U krijgt als bestuurder een beeld van uw kennis en bewustzijn op het gebied van informatieveiligheid. U ontdekt de verschillende aspecten van informatieveiligheid en vooral ook hoe u daarop kunt sturen. Masterclass - U neemt kennis van de visie van een collega-bestuurder, een inhoudelijke visie van een expert en/of een best practice. Doelgroep: Bestuurder Thema: Kennis Doelgroep: Bestuurder Thema: Kennis Erkennen Confrontatie workshop - Via confrontatie met een scenario uit de praktijk ontdekt u het belang van een actieve rol van het management bij een incident en het belang van het stellen van de juiste stuurvragen. Doelgroep: Manager Thema: Commitment Dialoogsessie - In de dialoogsessie leren u en uw informatiebeveiliger elkaar beter begrijpen en dezelfde taal spreken. Zodat u informatieveiligheid samen goed kunt vormgeven. Doelgroep: Manager IB-er Thema: Commitment Willen Risicobewustzijnsessie - U krijgt inzicht in risicoafwegingen. U leert bewust risico s te accepteren of te vermijden op basis van uw bestuurlijke risicogebieden. U ontdekt met welke criteria u passende maatregelen kunt kiezen. Doelgroep: Besturder, manager Thema: Risicobesef Doen Informatieveiligheidsoefening - Met de vele calamiteiten en incidenten binnen de overheid is het opportuun om een informatieveiligheidsoefening te doen. Hiermee kunt u toetsen hoe weerbaar uw organisatie is. App Met de Informatieveiligheidsapp checkt u uw kennis over informatieveiligheid. Het helpt u alle aspecten van informatieveiligheid in beeld te houden. Doelgroep: Crisisteam Thema: Weerbaarheid Doelgroep: Hele organisatie Thema: Kennis Kunnen Procesworkshop - U leert hoe een belangrijk proces bedreigd kan worden en hoe u dit proces kunt beschermen. Doelgroep: Manager IB-er Thema: Risicomanagement Verankersessie - U leert hoe u informatieveiligheid kunt inrichten binnen uw organisatie tijdens onze verankersessie. De ISMS-principes helpen u grip te krijgen op informatieveiligheid via organisatie, beleid, uitvoering en lerend vermogen. Doelgroep: Manager IB-er Thema: Verantwoordelijkheden Meer informatie Wilt u gebruik maken van ons leeraanbod? U kunt meer informatie hierover vinden op onze website en onze deelsite informatieveiligheid.pleio.nl. Heeft u vragen neem dan contact op met de Taskforce BID via info@taskforcebid.nl.

47 zelftest informatieveiligheid De Taskforce BID heeft voor u een online test ontwikkeld waarmee u in 10 minuten zelf eenvoudig uw kennis en bewustzijn toetst op het gebied van informatieveiligheid. Met de Zelftest Informatieveiligheid krijgt u een beter beeld van de verschillende aspecten van informatieveiligheid en hoe u daar als gemeentesecretaris op kunt sturen. U vindt de zelftest op informatieveiligheidstest.nl. In totaal bestaat de Zelftest Informatieveiligheid uit een tiental vragen. Onderwerpen die aan bod komen gaan over de verschillende aspecten van informatieveiligheid, verantwoordelijken bij informatieveiligheid, informatieveiligheid en ketens, sturen op informatieveiligheid en risicobewustzijn. Nieuwsgierig of u voldoende bewust bent van en voldoende kennis heeft over informatieveiligheid? Doe de Zelftest Informatieveiligheid en binnen tien minuten weet u het antwoord. Toolkit Informatieveiligheid Meer informatie en inspiratie over informatieveiligheid vindt u op de website van de Taskforce BID en op onze deelsite Informatieveiligheid op Pleio. Informatieveiligheidstest.nl

48 pl deelsite informatieveiligheid pleio Eind 2013 heeft de Taskforce BID een deelsite Informatieveiligheid op Pleio gelanceerd. De lancering heeft plaatsgevonden tijdens de campagneweek Alert Online. De deelsite Informatieveiligheid biedt een platform op het gebied van informatieveiligheid en stimuleert het delen van kennis en ervaring op dit onderwerp. Niet meer zelf het wiel uitvinden Naast concrete instrumenten voor bestuurders en topmanagers uit elke overheidslaag, zijn op de deelsite Informatieveiligheid van Pleio voorbeelden en handleidingen te vinden die houvast en inspiratie bieden bij het implementeren en verbeteren van het informatieveiligheidsbeleid. Ook is het mogelijk om best practices en andere informatie te delen om andere gebruikers te inspireren. Want, waarom zelf opnieuw het wiel uitvinden als een ander dit al gedaan heeft? Wekelijks nieuwe informatie, deelt u mee? De deelsite Informatieveiligheid op Pleio is uiteraard een interactief medium en volop in ontwikkeling. Wekelijks zal hier nieuwe informatie worden geplaatst. Ook kunt u zelf hier uw ervaringen en ideeën over informatieveiligheid delen. Over Pleio Pleio is een samenwerkplatform voor de overheid: voor interne samenwerking binnen en tussen organisaties, maar ook om burgers en ondernemers te betrekken. Gebruikers kunnen individueel een account nemen. Overheidsorganisaties kunnen een deelsite openen als basis voor een intranet of website. Ook maatschappelijke organisaties kunnen gebruik maken van Pleio. Nieuwsgierig? Bezoek dan de deelsite Informatieveiligheid op Pleio: informatieveiligheid.pleio.nl

49 ibewustzijn overheid en iveiligheidsapp Met de bewustwordingscampagne ibewustzijn Rijk én ibewustzijn Overheid wil de overheid haar medewerkers zoveel mogelijk ondersteunen en stimuleren in het ontwikkelen van de bewustzijn omtrent informatieveiligheid. Waarbij verandering in kennis, houding en vaardigheden op het gebied van informatieveiligheid centraal staat. Van onbewust onbekwaam, naar onbewust bekwaam omgaan met informatie. ibewustzijn Overheid is gebaseerd op de materialen van ibewustzijn Rijk, dé campagne voor de rijksmedewerkers. De campagne ibewustzijn Overheid bestaat uit communicatie- en leermiddelen die te gebruiken zijn binnen alle waterschappen, provincies en gemeenten. Zo biedt de campagne interactieve workshops, e-learningmodules met toetsen en een tal van ondersteunende communicatiemiddelen. Zoals posters, een folder, Gouden Regels, een ansichtkaart, informatieve animatiefilmpjes, de Zelftest Informatieveiligheid en de iveiligheidsapp. Toolkit Informatieveiligheid Het aanbod van ibewustzijn Overheid is goed te combineren met al lopende of geplande initiatieven omtrent informatieveiligheid binnen uw organisatie en de campagne wordt u nagenoeg kosteloos aangeboden. iveiligheidsapp Download gratis de iveiligheidsapp van de Taskforce BID. Met deze app kunt u zelf ontdekken hoe te werken aan een informatieveilige organisatie. De iveiligheidsapp is te downloaden in de Apple store en de Google Playstore.

50

51 verwijzingen

52

53 verwijzingen Toolkit Informatieveiligheid In deze Toolkit wordt verwezen naar een aantal documenten en hulpmiddelen van zowel de IBD als de Taskforce BID. Hier treft u de adressen en contactgegevens van de IBD en de Taskforce BID. Ook vindt u de gegevens van andere relevante organisaties op informatieveiligheidsvlak. Omschrijving Informatiebeveiligingsdienst gemeenten (IBD) De Informatiebeveiligingsdienst voor gemeenten (IBD) heeft drie concrete doelen. Allereerst het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. In de tweede plaats het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. En tot slot, gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. Denk bijvoorbeeld aan het ICT-Beveiligingsassessment DigiD. Taskforce BID De Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) is ingesteld om het onderwerp informatieveiligheid hoog op de agenda te krijgen bij bestuurders en topmanagement van alle overheidslagen. Zowel qua bewustwording als sturing, vanuit het perspectief van Verplichtende Zelfregulering. VNG Samen met alle gemeenten staat de Vereniging van Nederlandse Gemeenten (VNG) voor kracht en kwaliteit van het lokaal bestuur. De VNG is een dienstverlenende organisatie en biedt een platform voor opinievorming en vernieuwing. De VNG is bovendien dé belangenbehartiger van alle gemeenten en dus een belangrijke gesprekspartner voor andere overheden en maatschappelijke organisaties. Contactgegevens Website: Telefoonnummer: info@ibdgemeenten.nl Website: Community: informatieveiligheid.pleio.nl Telefoonnummer: info@taskforcebid.nl Website: informatieveiligheid Telefoonnummer: informatiecentrum@vng.nl VGS De Vereniging van Gemeentesecretarissen (VGS) is de beroepsvereniging voor gemeentesecretarissen. Vrijwel iedere gemeentesecretaris is lid van de vereniging. Ook veel secretarissen van regio s en deelgemeenten zijn lid. De VGS ondersteunt haar leden op inspirerende wijze bij hun dagelijks werk en behartigt de belangen van gemeentesecretarissen. Website: Telefoonnummer: vgs@gemeentesecretaris.nl

54 Omschrijving NCSC Het Nationaal Cyber Security Centrum (NCSC) draagt bij aan het gezamenlijk vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein en daarmee aan een veilige, open en stabiele informatiesamenleving door het leveren van inzicht en het bieden van handelingsperspectief. Contactgegevens Website: Telefoonnummer: Ministerie van BZK Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) vervult een belangrijke rol in waarborgen van de digitale veiligheid. Om die reden heeft minister Plasterk in februari 2013 de Taskforce BID voor een periode van twee jaar in het leven geroepen. Website: ministeries/bzk Telefoonnummer: VIAG De Vereniging van coördinatoren I&A van Gemeenten (VIAG), is in 1991 opgericht op initiatief van een aantal gemeentelijke coördinatoren I&A. Zij hebben daarmee gehoor gegeven aan de behoefte om overlegstructuren te bundelen voor de groeiende groep van vakgenoten. Website: Telefoonnummer: NVVB De Nederlandse Vereniging voor Burgerzaken (NVVB) is in 2014 hét aanspreekpunt voor de thema s identiteitsmanagement, persoonsinformatiemanagement, verkiezingen en innovatie. De NVVB denkt en handelt toekomstgericht, borgt kwaliteit en is een gewilde en betrouwbare partner voor andere (overheids)organisaties. Website: Telefoonnummer: nvvb@nvvb.nl VDP De Vereniging Directeuren Publieksdiensten (VDP) is een beroepsvereniging voor directeuren publieksdiensten van Nederlandse gemeenten. Relatief jong, maar ambitieus in hun streven door samenwerking de dienstverlening van de overheid te verbeteren. Website: Telefoonnummer: vdp@publieksdiensten.nl NGB Het Nederlands Genootschap van Burgemeesters (NGB) is de beroepsvereniging van de burgemeesters in Nederland. Vrijwel alle burgemeesters zijn lid van deze vereniging, die zich vooral richt op de ontwikkeling van de burgemeestersfunctie. Daarbij behoort de collectieve belangenbehartiging namens de burgemeesters, het verzorgen van een uitgebreid opleidingenprogramma voor de burgemeesters en het bevorderen van de onderlinge contacten tussen burgemeesters. Wethoudersvereniging De Wethoudersvereniging is de beroepsvereniging van wethouders in Nederland en bestaat sinds Met ruim 600 leden zet zij zich in voor de professionalisering van het wethoudersvak. Website: Telefoonnummer: info@burgemeesters.nl Website: Telefoonnummer: info@wethoudersvereniging.nl

55 Informatieveiligheid en intergemeentelijke samenwerkingsverbanden Gemeenten voeren steeds meer taken uit in samenwerking met andere gemeenten. De informatie die nodig is voor deze taken overstijgt daarmee de organisatiegrenzen. Het is daarom belangrijk dat er afspraken worden gemaakt binnen de verschillende samenwerkingswerkingsvormen over informatieveiligheid. Toolkit Informatieveiligheid Deze bijdrage biedt gemeentesecretarissen, CISO s en het management van samenwerkingsverbanden een handvat voor borging van informatieveiligheid binnen intergemeentelijke samenwerkingsverbanden. Dit wordt ingekleurd op basis van casuïstiek over informatieveiligheid voor Intergemeentelijke Sociale Diensten (hierna: ISD). Echter, de lessen die worden getrokken, zijn breder dan alleen voor de keten van Werk en Inkomen. Na een toelichting op het belang van informatieveiligheid wordt stilgestaan bij de verantwoordelijkheidsverdeling tussen gemeenten en samenwerkingsverbanden. Hoe kunnen deze verantwoordelijkheden vertaald worden naar de praktijk? Tevens worden de risico s en/of problemen die gemeenten en ISD s tegen kunnen komen, beschreven. De bijdrage sluit af met een lijst van stuurvragen en de te nemen stappen die gemeenten en samenwerkingsverbanden kunnen helpen om hun informatieveiligheid (beter) te borgen. Gemeentelijke verantwoordelijkheid informatieveiligheid In de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente, hebben alle gemeenten ingestemd met een aantal voorwaarden ten behoeve van de bestuurlijke en organisatorische borging van informatieveiligheid. Voor de volledig- en leesbaarheid van deze bijdrage vindt u hieronder een korte samenvatting 1 : Borging: informatieveiligheid is onderdeel van de collegeambities en wordt ondergebracht in de portefeuille van één van de leden van het college van B&W. Informatiebeveiligingsbeleid: gemeenten stellen het informatieveiligheidsbeleid vast aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Risicoanalyse: het informatiebeveiligingsbeleid wordt vertaald naar een informatiebeveiligingsplan gebaseerd op eigenstandige risicoafwegingen. Gemeenten zijn zich daarbij bewust van de (continu veranderende) informatieveiligheidsrisico s die ze lopen en nemen hierop adequate maatregelen. In het informatiebeveiligingsplan worden thema s als continuïteit, ketens/(inter) gemeentelijke samenwerking en incidentmanagement uitgewerkt. Toetsing en verantwoording: gemeenten maken het thema van informatieveiligheid transparant voor burgers, bedrijven en (keten)partners. De informatie vormt de basis voor jaarlijkse collegiale beoordelingen (peer reviews) en het college informeert de gemeenteraad over de resultaten. Dit gebeurt door middel van een aparte paragraaf informatieveiligheid in het jaarverslag. Leercyclus: informatieveiligheid wordt bestuurlijk en organisatorisch geborgd door aansluiting in de reeds bestaande planning- en controlcyclus (P&C-cyclus). Het doel hiervan is dat gemeenten door middel van leren en ontwikkelen, een blijvend bewustzijn voor informatieveiligheid ontwikkelen. Informatieveiligheid en gemeentelijke samenwerking Gemeenten zijn verantwoordelijk voor informatieveiligheid bij het vervullen van maatschappelijke taken richting burgers en bedrijven. Met de VNG-Resolutie hebben gemeenten ermee ingestemd om informatieveiligheid toe te bedelen aan een van de portefeuilles van het college van B&W. Ook wanneer de gemeente taken uitbesteedt of in een samenwerkingsverband uitvoert, blijft ze verantwoordelijk voor informatieveiligheid.

56 De gemeentelijke verantwoordelijkheid voor informatieveiligheid wijzigt niet als de gemeente besluit om een bepaalde dienst of taak uit te besteden of samen met andere gemeenten (intergemeentelijk) uit te voeren. De gemeente blijft als opdrachtgever verantwoordelijk voor de kwaliteit en veiligheid van het gebruik van informatie. Zo blijft de gemeente op basis van de Wet bescherming persoonsgegevens (Wbp) 2, bijvoorbeeld als zij verwerker is van persoonsgegevens, verantwoordelijk voor bewerkersafspraken ten aanzien van deze persoonsgegevens. Ook wanneer deze gegevens buiten de organisatie worden verwerkt. Wanneer bijvoorbeeld wordt samengewerkt in een ISD, heeft de gemeente de verantwoordelijkheid om met de ISD als bewerker afspraken te maken over deze persoonsgegevens en over hoe verslaggeving hierover conform de Wbp plaatsvindt. Voorbeelden - verantwoordelijkheden informatieveiligheid bij intergemeentelijke samenwerking Samenwerkingsverband de Drechtsteden 3 Binnen het samenwerkingsverband de Drechtsteden zijn de individuele gemeenten (Dordrecht, Papendrecht, Sliedrecht, Zwijndrecht, Alblasserdam en Hendrik-Ido-Ambacht) verantwoordelijk voor het gebruik van informatie. De uitvoering van het informatiebeveiligingsbeleid hebben deze gemeenten gemandateerd naar het samenwerkingsverband (ISD). Een regionaal portefeuillehouder Informatievoorziening en Automatisering coördineert de werkprocessen op het gebied van ICT. De regionaal portefeuillehouder kan afspraken over harde ICT afdwingen, maar formeel heeft hij niets te zeggen over de wijze waarop gemeenten met hun gegevens omgaan en dus ook niet over de beveiliging ervan. De ICT-systemen die gegevens bevatten, zoals de Gemeentelijke Basisadministratie persoonsgegevens (GBA) en de Basisregistratie Adressen en Gebouwen (BAG), zijn met verschillende veiligheidsregels en procedures omlijnd, waar de gemeenten elk apart regelmatig op worden geaudit. Samenwerking De Bevelanden De vijf Bevelandse gemeenten (Borsele, Goes, Noord-Beveland, Kapelle en Reimerswaal) hebben een openbaar lichaam ingesteld gericht op de uitvoering van bedrijfsvoeringsaspecten. 4 Onderwerp van samenwerking zijn onder andere de ICT- en informatievoorziening. Hier wordt uitvoering aan gegeven op basis van, door de gemeente(raden) vastgestelde, beleidsplannen. Met het oog op coördinatie is een afstemmingsoverleg informatievoorziening ingericht. In dit overleg komen onderwerpen aan bod, zoals de aanschaf van softwarepakketten en al het andere op het gebied van ICT- en softwaregebied. Overigens blijven de gemeenten autonoom in hun besluitvorming: elke gemeente beslist uiteindelijk zelf. 5 Voor Suwinet is specifiek in de wet opgenomen dat elke afnemer (dus ook gemeenten) verantwoordelijk is voor de beveiliging van het gebruik van Suwinet. 6 Dat betekent ook dat verantwoording van en transparantie over informatieveiligheid voor een gemeente van belang blijft. Afhankelijk van de keuze voor de inrichting van het samenwerkingsverband bestaan er al dan niet dwingende voorschriften over transparantie en verantwoording. Overigens beperkt de scope van deze notitie zich niet tot nieuwe samenwerkingsverbanden, het gaat ook over bestaande samenwerkingsverbanden. Voor de meest voorkomende vormen van intergemeentelijke sociale diensten is hierna een toelichting opgenomen. 7 Op basis van deze toelichting wordt vervolgens een vertaalslag gemaakt naar de vraag wat vraagt dit van de portefeuillehouder informatieveiligheid?. Publiekrechtelijke samenwerkingsvorm(en) Publiekrechtelijke samenwerking tussen gemeenten vindt plaats op grond van de Wet gemeenschappelijke regelingen (Wgr). In deze paragraaf worden de belangrijkste samenwerkingsvormen op basis van deze wet uiteengezet.

57 Openbaar lichaam Een openbaar lichaam is de meest voorkomende samenwerkingsvorm op grond van de Wgr. Met het aangaan van een openbaar lichaam wordt een nieuwe organisatie met rechtspersoonlijkheid ingesteld. Deelnemers aan een openbaar lichaam zijn bestuursorganen van gemeenten. Meest gebruikelijk zijn collegeregelingen waaraan colleges van B&W deelnemen. Aan het hoofd van een openbaar lichaam staat een algemeen bestuur dat bij een collegeregeling wordt gevormd door wethouders. Uit het algemeen bestuur wordt een dagelijks bestuur gekozen. Bestuursorganen die deelnemen aan een openbaar lichaam 8 kunnen taken opdragen en bevoegdheden delegeren of mandateren aan het openbaar lichaam (artikel 10:4 Algemene wet bestuursrecht (Awb)). Op deze manier is de gemeente niet (direct) betrokken bij de uitvoering. De sturingslijn tussen de gemeente en het openbaar lichaam loopt grotendeels via het bestuur van het samenwerkingsverband. De wethouder die zitting heeft in het algemeen bestuur is hierover verantwoording schuldig aan het college waaruit hij voortkomt en aan de gemeenteraad die hem als vertegenwoordiger heeft aangewezen. De wettelijke instrumenten van verantwoording zijn: Het verschaffen van inlichtingen en afleggen van verantwoording (wethouder aan college en college aan de raad). Het ontslaan/terugroepen van vertegenwoordigers (door de raad). Toolkit Informatieveiligheid De regeling dient bepalingen te bevatten over de wijze waarop de informatie- en verantwoordingsplicht invulling krijgt. 9 Centrumgemeente Met een centrumgemeente komen deelnemers overeen dat bevoegdheden van een bestuursorgaan van de ene gemeente worden uitgeoefend door een bestuursorgaan van de andere gemeente. Het ene gemeentebestuur mandateert dus bestuursbevoegdheden aan het andere. Er wordt geen nieuwe organisatie ingesteld en er is geen algemeen of dagelijks bestuur. Een centrumgemeente heeft een inlichtingenplicht aan de deelnemende gemeenten. Een centrumgemeente kan echter niet ter verantwoording worden geroepen. Aan een centrumgemeente kunnen wel algemene of specifieke instructies worden gegeven. Hiermee wordt de verantwoording ook enigszins gedekt (artikel 10:6, Awb). Aangezien een centrumregeling geen bestuur kent, kunnen deelnemers geen vertegenwoordigers terugroepen. Wel kan een verleend mandaat altijd worden ingetrokken (artikel 10:8, Awb). Dit betekent echter niet dat de deelnemers niet meer gebonden zijn aan de in de regeling gemaakte afspraken. Privaatrechtelijke samenwerkingsvorm(en) De wetgever heeft een voorkeur voor publiekrechtelijke samenwerking, maar overheden kunnen ook privaatrechtelijk samenwerken. De meest laagdrempelige vorm is het afsluiten van een contract, bijvoorbeeld voor het leveren van een dienst, zoals het ophalen van huisvuil. Indien de dienst of taak hier aanleiding voor geeft, zullen in het contract afspraken gemaakt moeten worden over informatieveiligheid. Naast het zijn van partij in privaatrechtelijke overeenkomsten, kunnen overheden een rol spelen in privaatrechtelijke rechtspersonen (bijvoorbeeld een stichting). Hierna gaan we in op de meest voorkomende privaatrechtelijke samenwerkingsvormen. Stichting Een stichting is een vorm van een privaatrechtelijke rechtspersoon. Een stichting kent een bestuur, maar geen aandeelhouders of leden. De juridisch dwingende voorschriften ten aanzien van de stichtingsvorm zijn beperkt. Via de statuten kan een gemeente een formele rol hebben ten opzichte van een stichting. Er kan bijvoorbeeld worden vastgelegd dat het gemeentebestuur de bestuurders van een stichting aanwijst of voor bepaalde besluiten goedkeuring moet geven. Een gemeente kan geen eigenaar zijn van een stichting. In het kader van transparantie kunnen afspraken gemaakt worden over hoe de stichting zich verantwoordt. Tevens kan een raad van toezicht worden ingesteld waarin vertegenwoordigers namens de gemeenten zitting nemen. Indien de taak van de stichting

58 inhoudt dat er gewerkt moet worden met data van de gemeente, zullen hier contractuele afspraken over gemaakt moeten worden. De samenwerking met ketenpartners en gemeenten is een aandachtspunt. Specifiek voor Suwinet geldt dat naast gemeenten ook organisaties als het UWV en de Sociale Verzekeringsbank gebruik maken van Suwinet. Van gemeenten mag niet worden verwacht dat zij de verantwoordelijkheid voor informatieveiligheid van ketenpartners overnemen. Vice versa kunnen gemeenten hun verantwoordelijkheid voor informatieveiligheid niet naar ketenpartners of bijvoorbeeld softwareleveranciers overhevelen. In geval van Suwinet hebben de Suwi-partijen gezamenlijk een wettelijke opdracht ten aanzien van het in stand houden en doorontwikkelen van Suwinet. De taak van een portefeuillehouder informatieveiligheid De voorgaande beschrijving laat zien dat bepalingen over verantwoording per samenwerkingsvorm kunnen verschillen. Dit geldt dus ook voor informatieveiligheid. Aangezien informatieveiligheid een lokale verantwoordelijkheid is, is de gemeente verantwoordelijk om na te gaan welke afspraken er per type samenwerkingsverband nodig zijn om informatieveiligheid te borgen en op welke wijze hierover verantwoording wordt afgelegd. De hiervoor aangewezen (regionale) portefeuillehouder informatieveiligheid kan hier het initiatief voor nemen. De eisen aan deze verantwoording en borging zijn niet afhankelijk van de gekozen samenwerkingsvorm. Wel zijn de sturingsmogelijkheden afhankelijk van de gekozen rechtsvorm. Voorbeeld De taak van een portefeuillehouder Samenwerkingsverband de Drechtsteden 10 De Regionaal portefeuillehouder Informatievoorziening en Automatisering de Drechtsteden houdt zich bezig met de coördinatie van de uitvoering op het gebied van informatieveiligheid. Op bestuurlijk niveau coördineert en regisseert hij de werkprocessen op het gebied van ICT tussen de gemeenten van het samenwerkingsverband. Hij stemt deze processen en de informatiehuishouding op elkaar af. Toch kan op basis van voorgaande beschrijvingen een aantal extra aandachtspunten geformuleerd worden als het gaat om intergemeentelijke samenwerking en de borging van verantwoording over informatiebeveiliging. Deze aandachtspunten worden onderverdeeld in enerzijds juridische aandachtspunten (waar liggen de verantwoordelijkheden en bevoegdheden) en anderzijds de organisatorische aandachtspunten (wat is belangrijk voor een goede inrichting van het werkproces). Om deze aandachtspunten zo goed mogelijk toepasbaar te maken in de praktijk, worden deze belicht vanuit het perspectief van de gemeente en het perspectief van het samenwerkingsverband. Juridische aandachtspunten Op basis van voorgaande beschrijving van de verschillende samenwerkingsvormen wordt duidelijk dat de wijze waarop gestuurd kan worden per samenwerkingsvorm kan verschillen. Wat vraagt dit juridisch gezien van een gemeente/of portefeuillehouder informatieveiligheid per vorm? Het openbaar lichaam is de meest gebruikte én de zwaarste vorm van samenwerking. Zoals hiervoor is toegelicht, staat het bestuur aan het hoofd van een openbaar lichaam. Via dit bestuur kan gestuurd worden op het onderwerp informatieveiligheid. Hierover zal de wethouder die deelneemt in het bestuur verantwoording moeten afleggen binnen het college van B&W. Mocht de regeling ruimte bieden voor het afsluiten van afzonderlijke dienstverleningsovereenkomsten, verdient het aanbeveling om ook informatieveiligheid hier onderdeel van uit te laten maken.

59 Bij een centrumregeling kunnen in de regeling en in dienstverleningsovereenkomsten die op basis van de regeling worden gesloten afspraken worden gemaakt over informatieveiligheid. Sowieso dient het college van de gemeente, die fungeert als centrumgemeente, zich uiteraard te houden aan de wettelijke verplichtingen die voor overheden gelden ten aanzien van de omgang met informatie. Daarnaast kan aan de verleende mandaten voorwaarden worden verbonden die betrekking hebben op informatieveiligheid. Voorbeeld Informatieveiligheid en de centrumgemeente Gemeente Heerlen Gemeente Heerlen 11 fungeert in de regio als centrumgemeente en is onderdeel van Parkstad IT, een ICT-samenwerkingsvorm gebaseerd op de Wgr. De gemeente Heerlen faciliteert als centrumgemeente voor omringende gemeenten voor wat betreft de ICT-infrastructuur. In dienstverleningsovereenkomsten tussen de centrumgemeente en omringende gemeenten zijn afspraken gemaakt over het dienstverlenings- en beveiligingsniveau. Toolkit Informatieveiligheid Een dienstverleningsovereenkomst bevat in het algemeen afspraken waarmee de relatie tussen een opdrachtnemer en een opdrachtgever wordt geregeld. Deze afspraken hebben bijvoorbeeld betrekking op de taak- en opdrachtomschrijving, de kwaliteitsaspecten (in het geval van informatie het normenkader van de BIG), financiële kaders voor de uitvoering van de taak, de duur van de overeenkomst en eventuele voorwaarden ten aanzien van de uitvoering. Organisatorische aandachtspunten (perspectief gemeenten) Naast de voorgaande specifieke juridische aandachtspunten is er een aantal generieke onderwerpen die ongeacht de samenwerkingsvorm van de centrumgemeente, het openbaar lichaam of de privaatrechtelijke overeenkomst van belang zijn om als portefeuillehouder informatieveiligheid op te sturen. De BIG beschrijft dat gemeenten een informatiebeveiligingsbeleid opstellen voor de coalitietermijn. Daarnaast wordt jaarlijks een informatiebeveiligingsplan opgesteld waarin onder andere, naast een expliciete risicoafweging van betrouwbaarheidseisen, keuzen voor en implementatie van maatregelen die voortvloeien uit de betrouwbaarheidseisen zijn opgenomen. Als gemeenten samenwerken is het de opgave om dit beleid en deze plannen op elkaar af te stemmen. Dit kan gerealiseerd worden door: Een gemeenschappelijk normenkader vast te stellen op basis van het landelijke normenkader, de BIG, en daarin zoveel mogelijk gelijke keuzes te maken. De P&C-cyclus van de gemeente en het samenwerkingsverband op elkaar af te stemmen. Dit maakt het voor gemeenten en het samenwerkingsverband overzichtelijk om de eigen beleids- en planvorming overzichtelijk en efficiënt te houden. Naast de verantwoordelijkheid van de bestuurlijke portefeuillehouder Informatieveiligheid ligt het in rede om de verantwoordelijkheid voor de uitvoering van het informatieveiligheidsbeleid te beleggen bij de gemeentesecretaris, in het kader van zijn rol als hoofd van de gemeentelijke organisatie. Specifiek daar waar het gaat om het afstemmen en coördineren van de afstemming over het beleidskader en de P&C-cyclus. Tot slot, is het van belang dat een gemeente informatieveiligheid borgt in nieuw te vormen en bestaande samenwerkingsverbanden. Voor deze laatste categorie is het nodig dat gemeenten kijken naar hoe de informatieveiligheid en de verantwoording hierover is geborgd. Dat vraagt van gemeenten dat zij: Zicht hebben op bestaande afspraken die zijn gemaakt over de samenwerking en/of uitbesteding van taken. In hun Informatiebeveiligingsbeleid expliciet aandacht besteden aan de ketens/ samenwerkingsverbanden waarin zij opereren, en toelichten welke afspraken zijn gemaakt ten aanzien van de borging van en verantwoording over informatieveiligheid.

60 Organisatorische aandachtspunten (perspectief samenwerkingsverbanden) Als gezegd: gemeenten blijven ook bij samenwerkingen verantwoordelijk voor de veiligheid van hun informatie. Voor het samenwerkingsverband kan dit echter een lastig werkbare situatie opleveren. Dit met name wanneer verwacht wordt dat het verband zich voegt naar het beleid van elke individuele opdrachtgevende gemeente. Dit kan deels worden voorkomen door de samenwerkende gemeenten te vragen op basis van het gemeenschappelijke normenkader van de BIG zich te beperken tot een algemeen beveiligingsbeleid en bijhorende planvorming. Het is dan aan het samenwerkingsverband, bijvoorbeeld de ISD, om hier een Suwi-specifieke aanvulling op te doen, dit voorkomt dubbelwerk en inefficiëntie. Deze aanvulling vanuit een ISD kan het beleid en de uitvoering betreffen. Indien het vormen van een Suwi-specifiek beleid niet alleen belegd is bij de gemeente. Om dit proces tussen gemeenten goed te laten verlopen, is het minimaal raadzaam dat samenwerkingsverbanden: zich conformeren aan de BIG; bij elke (nieuwe) taak expliciet aandacht geven aan de informatiebeveiligingsaspecten; via interne en externe audits een reguliere verantwoording aan deelnemende gemeenten inzicht geven in de manier waarop informatiebeveiliging in de eigen organisatie wordt geborgd; daarbij specifiek aandacht hebben voor de manier waarop de informatiebeveiliging binnen de eigen organisatie aansluit op het beveiligingsbeleid van de opdrachtgevende gemeenten. Voorbeeld Uitvoering audits intergemeentelijke samenwerking Samenwerkingsverband de Service Centrum Drechtsteden 12 Ook voor de uitvoering van audits is het van belang om afspraken te maken met het oog op het realiseren van bijvoorbeeld efficiencyvoordelen. Binnen het samenwerkingsverband van de Drechtsteden wordt eerst een heldere scope opgesteld, wat complex is omdat dit met alle aanwezige partijen in de keten moet gebeuren. Nadat de scope helder is, is een kader nodig over wat er vooraf in kaart gebracht dient te worden en wat centraal en decentraal gebeurt. Juist een centrale functie kan namelijk mogelijkheden bieden voor efficiency. Vervolgens voert het samenwerkingsverband integraal securitytesten en auditwerkzaamheden uit. De zes gemeenten zelf zijn geen partij tijdens de uitvoering van de testen en het audittraject. Alle ICT draait namelijk bij Service Centrum Drechtsteden (SCD). Dit heeft als voordeel dat er maar één in plaats van zes testen hoeven te worden uitgevoerd. Checklists De VNG heeft een operationeel stappenplan opgesteld, aan de hand waarvan een gemeente kan komen naar een veiliger Suwinet. 13 Bij het (her)inrichten van de samenwerkende organisatie gaan hier stuurvragen aan vooraf. Stuurvragen voor gemeenten/secretarissen 1. Hebben we zicht op het informatiebeveiligingsbeleid bij alle gemeenten met wie we samenwerken? 2. Is er per organisatie een risicoanalyse gemaakt om de risico s inzichtelijk te krijgen? 3. Hebben we (contractuele) afspraken gemaakt over het gebruik van de BIG als norm voor het basis-beveiligingsniveau van samenwerkingsverbanden, zo nodig inclusief tijdpad? 4. Hebben we zicht op de stand van zaken met betrekking tot de implementatie van de BIG bij de individuele gemeenten? 5. Vragen we van de samenwerkingsverbanden verantwoording over de wijze waarop zij aan de BIG (gaan) voldoen? Sluit deze verantwoording aan op onze (P&C-)cyclus? 6. Hebben we zicht op de (extra) beveiligingsmaatregelen die van ons verlangd worden door onze samenwerkingspartners en zijn deze ook geïmplementeerd?

61 Stuurvragen voor directeuren/vertegenwoordigers van samenwerkingsverbanden 1. Heb ik met gemeenten afspraken gemaakt over het gebruik van de BIG als norm voor het basis beveiligingsniveau voor het samenwerkingsverband? 2. Zijn er afspraken over wie het specifieke deel van het beleid formuleert? Bijvoorbeeld het Suwi-veiligheidsbeleid dat generiek is ten opzichte van het algemene informatiebeveiligingsbeleid. 3. Heeft ons samenwerkingsverband een beveiligingsplan waarin het traject voor implementatie van de maatregelen is beschreven? 4. Rapporteren en bespreken we het functioneren van de beveiliging van informatie op management- en bestuursniveau dat aansluit op de cyclus van onze opdrachtgevers? 5. Toetsen we jaarlijks binnen het samenwerkingsverband of we in control zijn op het gebied van informatieveiligheid via peer reviews, audits of self-assessments? Verantwoord ik me daarover naar gemeenten (c.q. naar degenen die verantwoordelijk zijn voor informatieveiligheid)? 6. Stel ik de werkbaarheid van het informatiebeveiligingsbeleid in samenwerking met verschillende gemeenten voldoende op de agenda? Toolkit Informatieveiligheid Tot slot In deze bijdrage is stilgestaan bij de vraag hoe informatieveiligheid en verantwoording hierover geborgd kan worden in intergemeentelijke samenwerkingsverbanden. Hiervoor is ook een aantal stuurvragen geformuleerd. Deze stuurvragen kunnen gebruikt worden bij een verkenning aan de bestuurstafel. Om vervolgens aan de slag te gaan, is op basis van deze informatie een aantal stappen (niet limitatief en logischerwijs volgtijdelijk) geformuleerd om informatieveiligheid van een gemeente richting een intergemeentelijke samenwerkingsverband te borgen en vice versa. Deze stappen zijn in onderstaand kader opgenomen. Stappen borging informatieveiligheid gemeentesecretaris/directeur samenwerkingsverband Analyseer de samenwerkingspartners Stel een overzicht samen van de samenwerkingsverbanden en ga na welke afspraken zijn gemaakt ten aanzien van informatieveiligheid en verantwoording hierover. Stel het informatiebeveiligingsniveau vast Leg met het samenwerkingsverband vast dat het normenkader van de BIG wordt toegepast en maak afspraken over de uitvoering ervan. Bijvoorbeeld als het gaat om uitvoering geven aan een GAP-analyse, incident- en crisismanagement, het continuïteitsplan, et cetera. Maak afspraken over de coördinatie en afstemming Om dubbelwerk voor de gemeente en het samenwerkingsverband te voorkomen, moet duidelijk zijn hoe de coördinatie en afstemming is geregeld. Bijvoorbeeld als het gaat om de implementatie van maatregelen. Leg vast hoe de verantwoording plaatsvindt Leg vast waarover en wanneer het samenwerkingsverband zich verantwoordt over informatieveiligheid. Centraal moet de vraag staan in hoeverre het samenwerkingsverband in control is op het gebied van informatieveiligheid. Dit kan via peer reviews, audits of self-assessments. Spreek af dat de P&C-cyclus van het samenwerkingsverband aansluit op de P&C-cyclus van de gemeente.

62 Plan leer- en evaluatiemomenten Maak afspraken met het samenwerkingsverband over periodieke evaluatiemomenten om na te gaan hoe de afstemming en coördinatie verloopt, in hoeverre het informatiebeveiligingsbeleid werkbaar/uitvoerbaar is en of op basis van veranderingen in de interne organisatie of in de externe omgeving aanpassingen nodig zijn. 1 Gebaseerd op de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente, Vereniging van Nederlandse Gemeenten, Informatieveiligheid binnen ICT-samenwerkingsverbanden. Taskforce BID, 2013, 4 Gebaseerd op: Gemeenschappelijke Regeling Samenwerking De Bevelanden, Gemeente Goes, 2013, decentrale.regelgeving.overheid.nl/cvdr/xhtmloutput/actueel/goes/ html. 5 Gebaseerd op Informatiebeveiliging in beeld, 2014, Informatiebeveiligingsdienst voor gemeenten (IBD). 6 Voor het veiligheidsbeleid van het gebruik van Suwinet zijn de Vereniging van Nederlandse Gemeenten, UWV en Sociale Verzekeringsbank gezamenlijk verantwoordelijk. Het beheer in bedrijfsmatige zin is belegd bij het UWV en het technisch beheer bij BKWI, als onderdeel van het UWV. 7 Voor een volledig overzicht van mogelijke samenwerkingsvormen voor gemeenten wordt verwezen naar Vormen van samenwerken voor gemeenten, Vereniging van Nederlandse Gemeenten, Gebaseerd op: Samenwerking tussen gemeenten op basis van de Wet gemeenschappelijke regeling (Wgr), Vereniging van Nederlandse Gemeenten, 2008 en Intergemeentelijke samenwerking toegepast, Vereniging van Nederlandse Gemeenten, Er zijn verschillende soorten regelingen, zoals een raadsregeling en een collegeregeling, waarvoor andere regels gelden: zie Intergemeentelijke samenwerking toegepast, Vereniging van Nederlandse Gemeenten, Gebaseerd op: Informatiebeveiliging in beeld, Informatiebeveiligingsdienst voor gemeenten (IBD), Gebaseerd op: Informatiebeveiliging in beeld, Informatiebeveiligingsdienst voor gemeenten (IBD), Interviews van de IBD, IBD, 2014, 13 Stappenplan voor een veiliger gebruik van Suwinet, Vereniging van Nederlandse Gemeenten, 2014, sociale-zaken/samenwerken-op-de-arbeidsmarkt/publicaties/stappenplan-voor-een-veiliger-gebruik-van-suwi-net.

63 de planning- en controlcyclus (p&c-cyclus) Gemeenten hebben zich met de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente gecommitteerd aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Deze baseline is een basisnormenkader aan de hand waarvan iedere gemeente het informatiebeveiligingsbeleid kan vaststellen. De BIG kent twee varianten, een Strategische- én een Tactische Baseline. In de Strategische baseline staan de organisatie en de verantwoording over informatiebeveiliging centraal. Ter ondersteuning aan deze (externe) verantwoording en met het oog op interne sturing is het van belang de informatieveiligheidscyclus aan te laten sluiten op de reguliere planning- en controlcyclus (P&C-cyclus). Door de informatieveiligheidcyclus op te nemen in de P&C-cyclus, kan hierover door de gemeentelijke organisatieonderdelen verantwoording af worden gelegd. Dit kan in de vorm van reguliere voortgangsrapportages. Daarmee krijgt informatiebeveiliging een duidelijke rol in de verticale sturingskolom van een gemeente. Toolkit Informatieveiligheid Verantwoordelijkheden Het lijnmanagement is verantwoordelijk voor de kwaliteit van de bedrijfsvoering, waar informatiebeveiliging integraal onderdeel van uitmaakt. Het lijnmanagement legt hiervoor verantwoording af aan het college van Burgemeesters & Wethouders (college van B&W). Het college van B&W is integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen. Conform de P&C-cyclus legt het college van B&W hierover verantwoording af aan de gemeenteraad. Naast de verantwoordingslijn, stuurt de gemeenteraad via zijn kaderstellende bevoegdheid op het informatiebeveiligingsbeleid door minimaal binnen twee jaar een informatiebeveiligingsbeleid vast te stellen en hier wordt uitwerking aan gegeven door het college van B&W en het management. Deze verantwoordelijkheidsverdeling vormt de basis voor de verbinding tussen de informatieveiligheidcyclus en de reguliere P&C-cyclus. Leeswijzer figuren In tabel 1 is een ideaaltypische gemeentelijke P&C-cyclus opgenomen. In tabel 2 zijn de sturingselementen uit de informatieveiligheidcyclus opgenomen die een verband hebben met de reguliere P&C-cyclus. Ten slotte zijn in tabel 3 de overige sturingselementen uit de informatieveiligheidscyclus overgenomen. De tabellen geven weer wat, van wie en op welk moment binnen een gemeente wordt gevraagd om tot informatiebeleid en verantwoording hierover te komen. De tijdlijn van de cyclus kan uiteraard per gemeente verschillen. Ook de verantwoordelijkheidsverdeling kan per gemeente verschillen. Desondanks is in de tabellen geprobeerd de gemeentelijke praktijk zo dicht mogelijk te benaderen. Om de tabellen toegankelijk en overzichtelijk te houden, wordt in de tabellen niet ingegaan op welke verantwoordingsinformatie nodig is, dan wel welke onderwerpen hierbij horen.

64 In de tabellen zijn drie niveaus opgenomen: De reguliere P&C-cyclus (tabel 1): de hoofdstappen van de reguliere P&C-cyclus van de gemeentelijke begrotingssystematiek. De P&C-cyclus van het informatiebeveiligingsbeleid (tabel 2a) verbonden met de reguliere P&C-cyclus (tabel 2b). Overige sturingselementen voor de realisatie informatieveilige overheid (tabel 3): in de Toolkit zijn elf sturingselementen opgenomen, die relevant zijn vanuit het oogpunt van sturing door de gemeentesecretaris. Deze zijn opgenomen in deze P&C-cyclus. Een deel van de onderwerpen maakt onderdeel uit van het informatiebeveiligingsplan. Echter hier is de tabel niet volledig in om het overzicht compact te kunnen houden. Voor een voorbeeld van een compleet informatiebeveiligingsplan verwijzen we naar het Voorbeeld Informatiebeveiligingsplan Gemeenten op de website van de IBD. legenda De Raad College van B&W CISO Lijnmanager(s) (Business) controller Medewerker(s) ICT Projectleider(s) legenda Kaderstellende- en controlerende verantwoordelijkheid Integrale verantwoordelijkheid Sturing en coördinatie op beleid en uitvoering ervan Sturing op informatieveiligheid en controle op naleving Onafhankelijke toetsing Technische beveiliging Dagelijkse coördinatie IB In tabel 1 is een ideaaltypische P&C-cyclus weergegeven. Uiteraard kan dit in elke gemeente verschillen. Het proces van een P&C-cyclus start met een kadernota waarin beleidsdoelstellingen per onderwerp genoemd en begroot worden. De kadernota wordt vertaald naar de begroting. Aan de hand van managementrapportages kan nagegaan worden of de uitvoering, van de door de gemeenteraad vastgestelde begroting, wordt gerealiseerd. Over de behaalde resultaten (inhoudelijk en financieel) wordt door het college van B&W verantwoording afgelegd in het jaarverslag. Dit verslag wordt vastgesteld door de gemeenteraad. thema 1e kwartaal 2e kwartaal 3e kwartaal 4e kwartaal jan feb mrt apr mei jun jul aug sep okt nov dec Reguliere P&C-cyclus Kadernota Actualiseren investeringsprogramma Concept langs MT Definitief vaststellen Begroting Opstellen planning investeringen Investerings-/ Planningsverantwoording Voorcalculaties nieuwe jaar Voorbereiding en opstellen Definitief maken Actualiseren begroting Actualiseren risicoprofielen Definitief vaststellen Managementrapportage Opstellen Definitief vaststellen Opstellen Definitief vaststellen Jaarrapportage (jaarrekening en verslag) Opstellen jaarrekening Concept jaarrekening Jaarrekening definitief vaststellen Voorbereiden jaarrekening en opstellen jaarverslag Definitief vaststellen jaarverslag Tabel 1

65 Verbanden tussen de reguliere P&C-cyclus en de informatieveiligheidscyclus Nadat de beleidskaders voor informatieveiligheid zijn vastgesteld, wordt gewerkt aan de totstandkoming van een informatiebeveiligingsplan. Dit gebeurt op basis van een risicoanalyse, waarmee de risico s in kaart worden gebracht. Dit informatiebeveiligingsplan wordt vastgesteld door het college van B&W. In het jaarverslag wordt een in control statement opgenomen waarin wordt gepresenteerd hoe de informatiebeveiliging aantoonbaar wordt beheerst en dat eventuele bedreigingen zoveel mogelijk worden gemitigeerd. In onderstaande tabellen is op hoofdlijnen weergegeven hoe een cyclus van het informatiebeveiligingsbeleid er uit kan zien. thema 1e kwartaal 2e kwartaal 3e kwartaal 4e kwartaal jan feb mrt apr mei jun jul aug sep okt nov dec De P&C-cyclus van het informatiebeveiligingsbeleid Toolkit Informatieveiligheid Per gemeentelijke afdeling Tabel 2a Analysefase Uitvoeren GAP-analyse Opstellen en kaderstellen beleid Coördinatie van analyse Risico- en impactanalyse Toepassingen verwerken in informatiebeveiligingsplan Op basis van input lijnmanagers opstellen plan Coördineren implementatie Uitvoering Input kadernota Informatiebeveiligingsplan Vaststellen Waarborgen continuïteit uitvoeren plan Informatiebeveiligingsbeleid Presenteren in jaarverslag Input voor jaarverslag De stappen in de cyclus van het informatiebeveiligingsplan zijn te verbinden aan de reguliere P&C-cyclus. Het doel is immers om het onderwerp informatiebeveiliging in samenhang (integraal) te behandelen met andere onderwerpen. De verbinding zit tussen leveren van input voor de kadernota (welke maatregelen zijn nodig en wat kost dat) en daar waar het gaat om input voor de verantwoording over het informatiebeveiligingsbeleid- en plan dat onderdeel uitmaakt van het jaarverslag van de gemeente (input voor jaarverslag). Deze voorbeelden zijn weergegeven door middel van pijlen. thema 1e kwartaal 2e kwartaal 3e kwartaal 4e kwartaal jan feb mrt apr mei jun jul aug sep okt nov dec Reguliere P&C-cyclus Kadernota Actualiseren investeringsprogramma Concept langs MT Definitief vaststellen Begroting Opstellen planning investeringen Investerings-/ Planningsverantwoording Voorcalculaties nieuwe jaar Voorbereiding en opstellen Definitief maken Actualiseren begroting Actualiseren risicoprofielen Definitief vaststellen Managementrapportage Opstellen Definitief vaststellen Opstellen Definitief vaststellen Jaarrapportage (jaarrekening en verslag) Opstellen jaarrekening Concept jaarrekening Jaarrekening definitief vaststellen Voorbereiden jaarrekening en opstellen jaarverslag Definitief vaststellen jaarverslag Tabel 2b

66 Overige sturingselementen Informatieveiligheidcyclus Naast de onderdelen die rechtstreeks verbonden zijn aan de reguliere P&C-cyclus, kent de informatieveiligheidscyclus meer elementen. Voor de volledigheid zijn deze hier in opgenomen. Ze komen echter niet als zodanig direct terug in de reguliere P&C-cyclus. Een aantal van de genoemde activiteiten komt eenmalig terug (bijvoorbeeld het aanstellen van een Chief Information Security Officer (CISO) of aansluiting bij de IBD). Deze activiteiten zijn te herkennen aan een * achter het element. Ook komt een aantal van de genoemde activiteiten niet elk jaar terug. Deze activiteiten zijn te herkennen aan een ^ achter de betreffende activiteit. thema 1e kwartaal 2e kwartaal 3e kwartaal 4e kwartaal aansluiting IBD* Officieel aansluiten bij IBD Informatie aanleveren ICT en internet jan feb mrt apr mei jun jul aug sep okt nov dec Sturingselementen realisatie informatieveilige overheid Functionaris Beleid* of CISO aanstellen Wijzigingen melden aan IBD Continuïteit^ Herkennen uit analyses Continuïteitsplan opstellen Vaststellen Implementeren Oefenen crisisplan Periodiek aanscherpen Ketens^ In kaart brengen netwerkverbanden Beleid voor borging van informatieveiligheid bij externen Eventuele extra beveiligingsmaatregelen implementeren Scenario s opstellen incidenten Incident -en crisismanagement Voorbereiden en leren Periodiek toetsen Leerstrategie Training Uitdragen belang van veiligheid Opnemen in jaarverslag Toetsing Self-assessments, peer reviews en/of audits Self-assesments, peer reviews en/of audits Rapporteren Rapporteren Periodieke evaluatie Monitoren risico s en oplossingen Ontwikkelingen en Toetsing bevindingen evalueren meenemen in beleid Informatieveiligheidscyclus Bijstellen cyclus Verantwoording Opstellen tekst jaarverslag In control statement opnemen in jaarverslag Opnemen in jaarverslag Presentatie intern en extern Beleid t.o.v. samenwerkingspartners Uitdragen belang van veiligheid Opnemen in jaarverslag Tabel 3

67 suwinet; de volgende stap naar een informatieveilige omgeving Toolkit Informatieveiligheid Via Suwinet kunnen overheidsorganisaties gegevens van burgers en bedrijven digitaal met elkaar uitwisselen. Door gegevens te delen kunnen burgers sneller en beter worden geholpen en hoeven zij geen gegevens te verstrekken die de overheid al heeft. Veel overheidsorganisaties maken gebruik van Suwinet. Ook bij het gebruik van Suwinet is het van belang bewust te zijn van de eventuele risico s op informatieveiligheidsvlak. Suwinet is een van de instrumenten waarmee u als gemeentesecretaris kunt toetsen of uw gemeente het informatieveiligheidsbeleid goed geïmplementeerd heeft. Veilig, veiliger, veiligst Onderzoek naar Suwinet heeft laten zien dat niet alle gemeenten zorgvuldig genoeg omgaan met de informatieveiligheid. De uitkomsten zijn gepubliceerd in het rapport: Naar veiliger gebruik van Suwinet: De bal ligt bij gemeenten. Uit dit onderzoek blijkt dat meer dan de helft - 76% - van de ondervraagde 80 gemeenten aan minder dan 3 van de 7 normen voor een veilig en verantwoorde omgang met Suwinet voldoen, zoals controle op het opvraaggedrag. Dat zet een rem op de doorontwikkeling van gegevensuitwisseling die nodig is voor de decentralisaties. Bovendien kan het ook het imago van de gemeente en de bestuurlijk verantwoordelijken beïnvloeden. Het kan zelfs leiden tot een verlies aan vertrouwen bij burgers. Kortom, het is belangrijk dat iedereen die van Suwinet gebruik maakt hier op een verantwoorde wijze mee omgaat. Instrumenten De VNG heeft drie verschillende instrumenten ontwikkeld waarmee u binnen uw gemeente verantwoord gebruik van Suwinet kunt realiseren: 1. Zelftest Suwinet VNG heeft met advies van Bureau Keteninformatisering Werk & Inkomen (BKWI), het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en de Inspectie SZW een zelftest voor gemeenten ontwikkeld. Met de zelftest kan elke gemeente in kaart brengen of zij inzage in Suwinet op maat aanbiedt aan haar medewerkers, of er goed op gebruik wordt toegezien en hoe de waarborgen daartoe zijn ingebed. Daarmee ziet de gemeente vervolgens aan welke van de zeven door de Inspectie SZW onderzochte normen zij wel of niet voldoet. Deze normen zijn afgeleid van en komen één-op-één terug in de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De einduitkomst kunt u zien als een sterkte / zwakte analyse van uw gemeente. Het biedt richting voor het lokale verbeterpad. Met het verrichten van de zelftest en de daaruit volgende inzet om de resultaten te optimaliseren, werkt u dus ook aan de implementatie van de BIG en geeft u invulling aan de verschillende stappen, zoals beschreven in het Dasboard Informatieveiligheid in deze Toolkit. Kortom, u doet geen werk dubbel.

68 2. Stappenplan Suwinet Het stappenplan Suwinet dat de VNG heeft ontwikkeld, biedt gemeenten een handvat om een start te maken met een veiliger gebruik van Suwinet. Aan de hand van checklists kunt u een doorlichting uitvoeren van de wijze waarop de veiligheid van Suwinet in de gemeente nu is georganiseerd. Door de resultaten te vergelijken met referentiematerialen kunt u de verbeterpunten signaleren en een verbeterplan opstellen. Als deze basis is gelegd komt het erop aan om de nieuwe afspraken over werkwijze en organisatie te implementeren en te handhaven. En om ze bij alle betrokken medewerkers tot routine te maken: verantwoord en bewust gedrag van mensen is immers essentieel voor een goede informatieveiligheid. Informatieveiligheid is immers meer dan techniek alleen. 3. Handreiking Suwinet BKWI heeft onlangs de gebruikersrapportage voor het gemeentelijk gebruik Suwinet geüpdatet. De VNG heeft een handreiking gemaakt bij deze gebruikersrapportage, zodat gemeenten de gebruikersrapportage optimaal kunnen inzetten. De gebruikersrapportage, die op te vragen is bij BKWI, is een noodzakelijk instrument voor controle, sturing en verantwoording. In de rapportage staan tabellen waaruit het gebruikersgedrag en de effectiviteit van het autorisatiebeleid af te lezen zijn. In de VNG-handreiking leest u hoe de tabellen vertaald kunnen worden en welke signalen u daaruit af kunt leiden. Ook is terug te vinden welke mogelijke vervolgstappen genomen kunnen worden als nader onderzoek nodig is. Kortom, een onmisbaar instrument om Suwinet veilig te benutten. Meer informatie Meer informatie over Suwinet is terug te vinden op de website van de VNG:

69 factsheets ibd Onderstaande factsheets van de IBD zijn te downloaden op: Factsheet Factsheet IBD IBD Dienstenportfolio Factsheet Het dienstenportfolio van de IBD: aansluitproces Factsheet Het dienstenportfolio van de IBD: aansluitproces voor bestuurders Het dienstenportfolio van de IBD: De randvoorwaarden Omschrijving Deze factsheet geeft een kijkje in de keuken van de dienstverlening van de IBD. Dit document bevat een uitgebreide omschrijving van het dienstverleningspakket van de IBD. Deze factsheet beschrijft de verantwoordelijkheden van de IBD en het bijbehorende aansluitproces voor gemeenten. Deze factsheet beschrijft de verantwoordelijkheden van de IBD en het bijbehorende aansluitproces voor gemeenten gericht op bestuurders. Deze factsheet beschrijft de verantwoordelijkheden behorend bij de rol als VCIB. Toolkit Informatieveiligheid Factsheet Incidentpreventie Factsheet Incidentpreventie; Kwetsbaarheidswaarschuwingen Factsheet Incidentdetectie Factsheet Incidentcoördinatie Factsheet Incidentcoördinatie; Crisiswoordvoering IBD Stappenplan Aansluiten bij de IBD Deze factsheet beschrijft de dienstverlening behorend bij de IBD-verantwoordelijkheid Incidentpreventie. Deze factsheet beschrijft de dienstverlening Kwetsbaarheidswaarschuwingen behorend bij de IBD verantwoordelijkheid Incidentpreventie. Deze factsheet beschrijft de dienstverlening behorend bij de IBD-verantwoordelijkheid Incidentdetectie. Deze factsheet beschrijft de dienstverlening behorend bij de IBD-verantwoordelijkheid Incidentcoördinatie. Deze factsheet beschrijft de dienstverlening Crisiswoordvoering behorend bij de IBD verantwoordelijkheid Incidentcoördinatie. Dit document beschrijft in detail de te volgen stappen in het aansluitproces voor de specifieke dienstverlening voor de IBD. Factsheet DigiD Factsheet DigiD praktische tips Deze factsheet beschrijft een aantal handzame tips die voortgekomen zijn uit de ervaringen van gemeenten bij het uitvoeren van het ICT-Beveiligingsassessment DigiD. Deze factsheet beschrijft een aantal handzame tips, die voortgekomen zijn uit de ervaringen van gemeenten bij het uitvoeren van het ICT-Beveiligingsassessment DigiD.

70

71 praktijkverhalen

72

73 praktijkverhaal beleid (big) Toolkit Informatieveiligheid De wereld digitaliseert, ook bij gemeenten. Besef hiervan is belangrijk want de veiligheid van de gemeentelijke informatiestromen wordt hierdoor nog crucialer. Burgers moeten immers kunnen vertrouwen op veilige digitale dienstverlening. Dat vindt ook Piet van Elteren, sinds 2002 gemeentesecretaris van Nieuwegein. We spreken met hem over digitalisering en informatiebeveiliging. De gemeente Nieuwegein is een groot voorvechter van informatieveiligheid en informatiebeveiliging. Dat blijkt wel uit de vele interviews met Frans Backhuijs, burgemeester van de gemeente Nieuwegein, die zijn gepubliceerd. Van Elteren is hier blij mee. De bestuurlijke borging is er in ieder geval. Als gemeentesecretaris pak ik mijn ambtelijke verantwoordelijkheid als het gaat om informatieveiligheid. Daarbij werk ik nauw samen met de CISO van de gemeente Nieuwegein. Veel gemeenten zien alles wat met ICT en informatiebeveiliging te maken heeft al snel als bedrijfsvoering. Het onderwerp komt niet vaak voor op de bestuurlijke agenda. Bij de gemeente Nieuwegein ligt dit anders. De omgang met informatievoorziening en de informatiehuishouding wordt alleen maar belangrijker en de onlangs aangenomen Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente onderstreept dit. Een gemeente doet niks anders dan informatie ontvangen, gebruiken en verwerken tot nieuwe informatie. Tot en met het maken van een briefje naar de stratenmaker betreft het informatie. Een gemeente is dan ook een informatieverwerkend bedrijf. Het gaat om mensen, geld en informatie. Dit kan niet los van elkaar gezien worden. (Bron: IBD, Informatiebeveiliging in Beeld; editie ICT-Beveiligingsassessment DigiD, Praktijkverhaal Nieuwegein, november 2013) Als gemeentesecretaris pak ik mijn ambtelijke verantwoordelijkheid als het gaat om informatieveiligheid. Daarbij werk ik nauw samen met de CISO van de gemeente Nieuwegein.

74 Verantwoordelijkheid voelen als gemeente Informatie is dus eigenlijk net zo belangrijk als geld. Alleen behandelen gemeenten informatie helaas niet hetzelfde als geld, want het is niet tastbaar genoeg, zoals dit wel het geval is met geld. Maar als het fout gaat, gaat het heel vaak fout, omdat óf de juiste informatie ontbreekt óf de informatie op het verkeerde moment beschikbaar komt. Het is een bepaalde mindset waarin iemand langzaamaan ontdekt dat er anders tegen informatie aangekeken kan worden. Een gemeente is immers verantwoordelijk voor deze informatie en komt in beeld op het moment dat er een incident voorvalt, zoals een hack of een lek. Een goed informatiebeleid is dus van wezenlijk belang. De gemeente Nieuwegein is er geen voorstander van om dit af te dwingen middels wetgeving. Gemeenten moeten hun verantwoordelijkheid zelf voelen om dat goed te organiseren. Dit is zo n ingewikkeld onderwerp, dat krijg je niet met een wet geregeld. Bovendien is het de normale opdracht aan gemeenten om taken en verantwoordelijkheden goed te organiseren. Daar zit al in dat de informatiehuishouding goed op orde behoort te zijn en dat ook de beveiliging daarvan op orde is. Eventuele risico s moeten worden beperkt en beheersbaar blijven. Verantwoordelijkheid nemen binnen gemeente Nieuwegein De gemeente Nieuwegein is al een eind op dreef als het gaat om het informatiebeveiligingsbeleid. Zo is er intern iemand verantwoordelijk gemaakt, de Chief (Information) Security Officer (CISO/CIO) Pieter van der Hoog. De aandacht in de gemeente Nieuwegein is aanzienlijk toegenomen nadat er twee ICT-incidenten zijn voorgevallen. Vervolgens heeft de directeur bedrijfsvoering het college van B&W geïnformeerd. In 2013 heeft Nieuwegein het informatiebeveiligingsbeleid in het college vastgesteld en ook de Raad is op de hoogte gesteld. Door DigiNotar is zowel bij het college van B&W als bij de Raad de belangstelling voor het onderwerp toegenomen. Frans Backhuijs, burgemeester van Nieuwegein, zit er als portefeuillehouder bovenop. en hoeft niet meer overtuigd te worden. Hij is zeer gemotiveerd en probeert informatiebeveiliging structureel op de agenda te krijgen en te houden middels de beleidsnota. Het is een bewuste keuze van de gemeente Nieuwegein om het college te laten besluiten. De belangstelling vanuit het bestuur werkt stimulerend, het bestuur voelt dat de gemeente die verantwoordelijkheid heeft en dat het onderwerp niet iets is wat je alleen maar bij de directie kunt neerleggen. En indien er kosten mee gemoeid zijn, komen deze niet uit de blauwe hemel vallen, maar zijn ze het gevolg van een beleidsnota die het college van B&W heeft vastgesteld. Gemeenten moeten als ketenpartners optreden Vanuit de IBD wordt samenwerking tussen gemeenten op het gebied van informatiebeveiliging sterk aangemoedigd, aangezien gemeenten wat betreft informatiebeveiliging van elkaar afhankelijk zijn. Risico s kunnen gemeenten zich niet veroorloven. Zwakke plekken in de gemeentelijke keten bepalen de sterkte van het hele gemeentelijke domein. Aansluiten bij de IBD heeft voor elke gemeente als voordeel dat je snel informatie kunt uitwisselen en niet elke keer het wiel opnieuw hoeft uit te vinden. Hiermee bouwen gemeenten samen kennis op, waarbij een basisniveau op gebied van informatiebeveiliging ontstaat waar je op kunt vertrouwen. tips voor collega-gemeentesecretarissen Zorg voor bestuurlijk draagvlak en laat informatiebeveiliging structureel op de bestuurlijke agenda plaatsen. Informeer ook de gemeenteraad over het informatiebeveiligingsbeleid. Sluit je aan bij de IBD en voorkom dat je zelf opnieuw het wiel moet uitvinden.

75 praktijkverhaal risicoanalyse Toolkit Informatieveiligheid Informatieveiligheid is een belangrijk onderwerp voor Arjan van Gils, gemeentesecretaris en algemeen directeur van de gemeente Amsterdam. Amsterdam is een grote gemeente, met medewerkers. Dat betekent dat je als gemeentesecretaris over alles gaat, dus ook over informatieveiligheid. We gaan met Van Gils in gesprek over informatieveiligheid en de plaats die het onderwerp inneemt in zijn dagelijkse werk als gemeentesecretaris. Van Gils: We hebben, voor mijn tijd, met DigiNotar een redelijke crisis gehad. Ineens besef je als gemeente wat het kan betekenen voor je gemeente als er zich een grootschalig incident voordoet. In die zin hoeft niemand hier in Amsterdam overtuigd te worden van het belang en de noodzaak van het onderwerp informatieveiligheid. Het onderwerp staat structureel op de agenda. Zo hebben we een Chief Information Officer (CIO) die verantwoordelijk is en er is een directe rapportagelijn van de CIO naar mij als gemeentesecretaris. Uiteraard komt niet alles bij van Gils voorbij, maar wel datgene wat spanning in zich heeft en natuurlijk principiële vragen en/of grote risico s. Op die manier is hij als gemeentesecretaris goed op de hoogte van wat er speelt op informatieveiligheidsvlak binnen zijn gemeente. Drie decentralisaties Van Gils: Op terreinen waarbij we denken dit heeft extra aandacht nodig dan zorgen we altijd dat we tijd vrij maken. Zo is bijvoorbeeld aangaande de drie decentralisaties gekeken naar wat de impact is op je gemeentelijke informatiehuishouding en ook op je informatieveiligheid. Leveren de decentralisaties nieuwe risico s of wellicht ook nieuwe complexiteiten op? Zijn er procedures die aangepast moeten worden, omdat het wel werkt in het oude model, maar straks niet in het nieuwe model? Informatievoorziening en het beveiligen ervan wordt steeds complexer, omdat informatie steeds minder met techniek te maken heeft. Tijden zijn veranderd; de kwetsbaarheden werden voorheen alleen gezocht (en gedicht) in de technische voorzieningen en het beheer. Vroeger was informatieveiligheid relatief eenvoudig te toetsen: heb je je lades op slot? Zijn de archiefkasten dicht? En zijn belangrijke documenten in brandvrije kasten opgeborgen? Nu zie

76 je steeds minder een verschil tussen wat binnen en buiten is als het gaat om je gemeentelijke informatievoorziening. Zo werk je met veel verschillende partijen samen, en met de drie decentralisaties worden dat er alleen nog maar meer. ICT-vraagstuk Informatieveiligheid wordt vaak als ICT-vraagstuk gezien. Volgens Van Gils is techniek slechts een deel van de uitdaging. Informatieveilig handelen heeft immers ook in hoge mate te maken met vragen als: Wie heeft toegang tot welke informatie? Wie kan waar, wanneer en op welke locatie ergens bij? Hoe zorgen we ervoor dat informatie niet binnen kringen verspreid wordt als dit niet echt nodig is? En, zijn we scherp op hoe we informatie vastleggen? Er zit nog heel veel ambachtelijkheid in het onderwerp en daarnaast ook veel gedragscomponenten. Laten mensen hun telefoons, ipads slingeren? Gooien we papier in dichte bakken? Is je beveiliging van je gebouw zo dat mensen zich vrij kunnen bewegen? Allemaal zaken die er toe doen en die in de dagelijkse hectiek nog weleens naar de achtergrond verdwijnen. We zouden als overheidspartijen nog meer door dezelfde bril moeten kijken en hetzelfde normenkader moeten hanteren. Risicoanalyse Binnen de gemeente Amsterdam is elk ICT-project verplicht om met risicoanalyses te werken. Gemeenten hebben veel processen. Om te achterhalen wat de belangrijkste processen zijn, moet je inzicht krijgen in die processen. Om dit inzicht te krijgen heeft Amsterdam een risicoanalyse uitgevoerd. Hierbij hebben we gekeken naar de echte kritische zaken. Dat zijn voor ons verstoringen in je betalingsverkeer of in je burgergegevens en uitkeringen, kortom de vitale processen voor gemeenten. Deze mogen nooit down gaan. Dus daar zitten we bovenop. Dat is geen rocket science. Voor elke gemeente zijn deze kritieke processen ongeveer hetzelfde. Dat betekent dat het ook belangrijk is om te kijken naar andere gemeenten en partijen, en naar hoe het daar geregeld is. De Dienst Belastingen kijkt naar hoe kwetsbaar ons waarderingssysteem is, de Dienst Werk en Inkomen kijkt naar hoe het eigenlijk zit met onze uitkeringssystemen. Hierbij zouden we als overheidspartijen nog meer door dezelfde bril moeten kijken en hetzelfde normenkader moeten hanteren. En gebruik je gezond verstand. Niet alles hoef je te protocolleren en heel ingewikkeld te maken. Heb je er oog voor, heb je er aandacht voor, test je weleens? Als je een incident elders ziet, denk dan hé als het daar kan gebeuren kan het ons ook overkomen. Hoe is het eigenlijk bij ons georganiseerd? Neem hierin als gemeente een leer- en reflectiehouding aan en zit er actief boven op. Uiteraard moet je afwegingen maken. Je kunt niet alles 100% afdichten. Kritiek zijn de primaire processen en zaken waarbij financiële belangen, geheimhouding, privacy/veiligheid, et cetera een rol spelen. Hier hoort een meer toegespitst beveiligingsniveau bij. En wat vooral belangrijk is, leg het niet alleen vast in een informatiebeveiligingsplan, maar zorg dat het ook daadwerkelijk wordt uitgevoerd. Aldus Van Gils.

77 amsterdam Toolkit Informatieveiligheid Privacy impactanalyse We hanteren portfoliomanagement heel strak. Dat doen we door het Project Portfolio Management (PPM-proces). Daarin komen alle vragen en stukken systematisch aan de orde, zodat je kunt toetsen of er geen onveilige ICT de organisatie binnenkomt. We nemen er de tijd voor en zetten de juiste expertise in om dit goed te doen. Tenslotte hecht Amsterdam veel waarde aan de Privacy Impactanalyse. Kijk niet alleen maar naar de technische kant, maar ook naar wat het betekent voor de privacy. Kortom, voldoen we als gemeente aan alle eisen en waarborgen we deze ook? Gebruik je gezond verstand. Niet alles hoef je te protocolleren en heel ingewikkeld te maken.

78 tips voor collega-gemeentesecretarissen Beschouw het onderwerp Informatieveiligheid als een steeds belangrijker en regulier normaler productiemiddel en beleg het bij iemand. Je wilt als gemeente heel veel informatie beschikbaar stellen en je wilt dat interne gebruikers toegang hebben tot deze informatie. Daar zit spanning op. Om te voorkomen dat hier misbruik van gemaakt wordt, moet je afgewogen keuzes maken. Zeg niet standaard het moet altijd super veilig zijn waardoor het heel gebruiksonvriendelijk wordt of heel bewerkelijk en kostbaar is. Wees je bewust dat je daar in kunt kiezen. Maak van risicomijdend gedrag de slag naar risicomanagend gedrag. Niets is meer 24 uur per dag onder alle omstandigheden door alle medewerkers veilig te maken en te houden: besef dat en durf hierin gezamenlijk verantwoorde keuzes te maken. Zoek de gemeentelijke samenwerking op als het gaat over informatieveiligheid. Veel bedreigingen komen van buitenaf (cybercrime) en zijn een landelijk en vaak mondiaal probleem. Zo werken wij in Amsterdam sinds DigiNotar nauw samen met onder meer de G4-gemeenten en de Informatiebeveiligingsdienst voor gemeenten (IBD) van de VNG. Reduceer de complexiteit.

79 praktijkverhaal informatieveiligheidsbeleid en -plan Toolkit Informatieveiligheid Goede dienstverlening voor inwoners en bedrijven staat bij de gemeente Doetinchem voorop. De gemeente wil dit zo veilig mogelijk doen en heeft informatieveiligheid daarom hoog op de agenda staan. De gemeente wil hierin met de tijd mee als het om digitalisering gaat, maar wil zeker geen onnodige risico s lopen. Nicolette van Waart is als gemeentesecretaris samen met Ron Frerix als directeur bedrijfsvoering ambtelijk eindverantwoordelijk voor het informatiebeveiligingsbeleid van de gemeente Doetinchem. Met Ron Frerix zijn we in gesprek gegaan over de inbedding van informatieveiligheid in de plan- en controlcyclus van de gemeente. Serieuze zaak De gemeente Doetinchem wil het de burgers zo gemakkelijk mogelijk maken en deelt daarom veel informatie. Dit schept uiteraard de verplichting om zorgvuldig met die gegevens om te gaan, zowel op het gebied van privacy als met betrekking tot de kwaliteit en beschikbaarheid van gegevens. Daarom neemt de gemeente Doetinchem informatieveiligheid en informatiebeveiliging zeer serieus. Eens in de vier jaar vernieuwt de gemeente Doetinchem het informatiebeveiligingsbeleid in overleg met het college. Tussendoor stelt de gemeente haar beleid bij wanneer dit nodig wordt geacht. Zo voert de gemeente nu jaarlijks analyses uit, waarbij kritisch wordt gekeken naar het huidige beleid en naar verbeterpunten die doorgevoerd kunnen worden. Deze punten leggen we vervolgens vast in een actieplan, vervolgt Frerix. Het informatiebeveiligingsbeleid was dus al een feit binnen de gemeente, nog voordat de VNG Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente afgelopen najaar is aangenomen. Aan de hand van de Resolutie is het beleid wel verrijkt met een aantal punten, vertelt Frerix. Ook zijn de operationele producten van de baseline een goed hulpmiddel om te standaardiseren en daarmee te voldoen aan het veiligheidsniveau dat voor gemeenten gewenst is. Op deze wijze kunnen we een samenhangend kwaliteitsysteem opzetten. Planning en controlcyclus De gemeente Doetinchem beschikt over een security officer die gemeentebreed verantwoordelijk is voor de informatiebeveiliging en informatieveiligheid, en een

80 beveiligingscoördinator die verantwoordelijk is voor het bewaken van acties die gedurende het jaar worden uitgevoerd rondom informatieveiligheid. Alle activiteiten met betrekking tot het informatiebeveiligingsbeleid zijn opgenomen in de termijnkalender van de gemeente. Frerix: Op basis van een risicoanalyse en afhankelijkheidsanalyse worden gewenste verbeteringen vastgesteld. De acties die hieruit voortkomen zijn in een vierjarenplan vastgelegd. Ook heeft de gemeente informatieveiligheid opgenomen in de plan- en controlcyclus, waardoor er in het jaarverslag ook aandacht wordt besteed aan informatieveiligheid. Als er tussentijds serieuze beveiligingsincidenten zijn, wordt natuurlijk gebruik gemaakt van tussentijdse rapportages over het informatiebeveiligingsbeleid. Op deze wijze is informatieveiligheid in de hele organisatie verankerd en is de verantwoording belegd. De gemeente classificeert haar systemen. Daardoor hebben we goed inzicht in welke systemen privacygevoelige informatie bevatten en welke groepen medewerkers daarmee werken. Risicobewustzijn Omdat de menselijke factor het grootste veiligheidsrisico vormt, wordt er in het informatiebeveiligingsbeleid van de gemeente Doetinchem ook ruimschoots aandacht besteed aan het risicobewustzijn van de medewerkers. We hebben in een digitale leeromgeving een kennistoets ingezet, om te zorgen dat alle medewerkers ook daadwerkelijk weten wat de spelregels zijn en wat er concreet van een medewerker zelf wordt verwacht. Informatieveiligheid is meer dan alleen een ICT-aangelegenheid. Te vaak denken medewerkers dat wel en onderschatten ze hun eigen rol, vervolgt Frerix. Ook heeft de gemeente inzichtelijk gemaakt welke functionarissen primair omgaan met privacygevoelige informatie, zoals de gebruikers van Suwinet. Deze functionarissen hebben allemaal een zogenaamde verklaring omtrent gedrag voor moeten leggen. Dit wil de gemeente ook invoeren voor bijvoorbeeld de systeembeheerders. Het is steeds lastiger te bepalen voor welke groepen functionarissen deze regeling ook moet gelden. Om die reden gaat de gemeente haar systemen classificeren. Dan hebben we goed inzicht in welke systemen privacygevoelige informatie bevatten en welke groepen medewerkers daarmee werken en dus een verklaring moeten aanleveren, vertelt Frerix. Hoewel we al heel wat stappen hebben gezet vindt Frerix dat geen reden om stil te blijven staan. We worden steeds afhankelijker van het digitale netwerk. Dat betekent dat we op een andere manier naar informatie moeten kijken en dat we goede gemeenschappelijke afspraken moeten maken over vraagstukken als hoe om te gaan met informatie, hoe zorg te dragen voor de toegankelijkheid van informatie, maar ook de privacy van onze burgers te respecteren, ook in allerlei samenwerkingsverbanden en het waarborgen van de continuïteit van onze diensten. Niet alleen omdat wet- en regelgeving ons dit oplegt, maar vooral omdat we zelf voorbereid willen zijn op wat komen gaat. Er staat ons wat dat betreft nog genoeg te wachten! tips voor collega-gemeentesecretarissen Zorg ervoor dat informatieveiligheid en informatiebeveiliging onderdeel is van je planning en controlcyclus. Maak inzichtelijk welke groepen medewerkers met privacygevoelige informatie werken. Besteed extra aandacht aan bewustzijn van medewerkers die voor hun functie veel met privacygevoelige informatie werken.

81 praktijkverhaal uitvoering Toolkit Informatieveiligheid Als gemeente is het belangrijk scenario s op te stellen voor incidenten met een hoge impact, die de dienstverlening in ernstige mate kunnen verstoren. Elke gemeente dient zich hierop goed voor te bereiden. De gemeente Eindhoven is op het gebied van incidentmanagement een echte koploper. Begin dit jaar heeft de gemeente het Hack me please -event in het Eindhovens stadhuis georganiseerd. We gaan met Paulien Pistor, gemeentesecretaris van Eindhoven, in gesprek over het hoe en waarom van dit event. Als gemeentesecretaris is Pistor enerzijds sparringpartner van het college van B&W en anderzijds ook algemeen directeur van de ambtelijke organisatie en voorzitter van de directieraad. Pistor heeft geen specifieke portefeuilles. Zij is breed inzetbaar voor diverse onderwerpen die haar aandacht vragen en richt zich op het goed functioneren van de gehele organisatie. Ook informatieveiligheid heeft haar aandacht en prioriteit. Als gemeente beschikken wij over veel privacygevoelige informatie, vertelt Pistor. Wij zijn ervoor verantwoordelijk dat deze informatie bij ons in veilige handen is en niet zomaar op straat komt te liggen. We besteden daarom veel aandacht aan de bewustwording van medewerkers bij het werken met gevoelige informatie. Daarnaast vinden wij het belangrijk dat ook de techniek op orde is en daarom investeren we hier in. Binnen de mogelijkheden die we hebben, doen wij er alles aan om onze systemen te behoeden voor hackers met kwade bedoelingen. Na zes uur hacken hebben we kunnen constateren dat de beveiliging goed op orde is. (Bron: VNG Magazine, Hackers komen er niet doorheen in Eindhoven, april 2014) Hack me please Onder het motto if you can t beat them, join them hebben we begin dit jaar een hack me please-event georganiseerd, vervolgt Pistor. Een twintigtal hackers hebben we uitgenodigd om de ICT en de leveranciers van de gemeente onder vuur te nemen. Dat betekent dat hackers hun gang mogen gaan. Daartoe zijn ze uitgedaagd door Staf Depla, wethouder bij de gemeente Eindhoven,

82 en Brenno de Winter, onderzoeksjournalist op het gebied van computer- en netwerkbeveiliging. Er waren geen beperkingen voor de hackers, geen kinderachtige reacties. Echter, alleen gegevens stelen of systemen bewust alleen maar platgooien mocht niet. Na zes uur hacken hebben we kunnen constateren dat de beveiliging goed op orde is. Wel kregen we de tip om een paar verouderde versies te vervangen. Dat de hackers er niet in slaagden om de site van de gemeente Eindhoven uit de lucht te krijgen, kwam misschien mede door dat medewerkers zich al een half jaar hebben kunnen voorbereiden op het moment. Onze ambtenaren zijn hierdoor natuurlijk extra alert, vervolgt Pistor. Vergelijk het maar met een snelheidscontrole; wanneer automobilisten dit weten, dan letten ze ook beter op hun snelheid. Leveranciers Volgens Pistor is de einduitslag niet alleen goed nieuws voor de gemeente Eindhoven, maar ook voor de leveranciers. We zijn natuurlijk niet de enige klant van deze leveranciers! Een ander groot winstpunt dat Pistor benoemt is de open sfeer tussen de hackers en de leveranciers, zonder inmenging van het OM. Samen hebben zij gekeken naar de systemen, elkaar bevraagd en ervaringen gedeeld. Je ziet dat het merendeel van de hackers een groot verantwoordelijkheidsgevoel heeft, vervolgt Pistor. De hackers gaven aan flink last te hebben gehad van een hoop onzin die was ingebouwd, dus een poging tot hacking werd door het systeem herkend. Complimenten De hackers hebben tijdens deze dag alle trucs uit de kast gehaald om de gemeente te hacken. Het is de hackers niet gelukt de website van de gemeente op zwart te krijgen. Hiervoor heeft de gemeente complimenten van de hackers ontvangen. De hackers hebben aangegeven flink last te hebben gehad van een hoop onzin die was ingebouwd, dus een poging tot hacking werd door het systeem herkend, vertelt Pistor. Er zijn ook enkele zwakke punten naar voren gekomen. Pistor: Dit had vooral te maken met verouderde software. Zo bevatte een server oude software, waardoor een beveiligingsrisico is ontstaan. Die server hebben we inmiddels uitgezet. Elders zat een vinkje in het systeem, waardoor onbeperkt een poging tot inloggen in het webmail-systeem gedaan kon worden. Dit hebben we op de dag zelf direct opgelost. Afspraken Om te voorkomen dat de hackers informatie over hun bevindingen naar buiten kunnen brengen, heeft de gemeente vooraf goede afspraken gemaakt met zowel de hackers als de leveranciers. Alle bevindingen van de hackers zijn doorgespeeld aan de leveranciers. Met hen hebben we afspraken gemaakt dat ze drie weken de tijd kregen om reparaties van de zwakke plekken binnen het systeem uit te voeren. Pas na die tijd hebben we bekend gemaakt waar het lek zat. Dit omwille van de veiligheid. Hierover hebben we schriftelijke afspraken gemaakt met zowel de hackers als de leveranciers, aldus Pistor. tips voor collega-gemeentesecretarissen Een hackingevenement is een aanrader voor elke gemeente. In een kort tijdbestek weet je waar je zwakke plekken zitten en welke aanpassingen je door moet voeren. Maak goede afspraken met leveranciers en hackers over de responsible disclosure. Belangrijkste leerpunt: zorg voor actuele software van je systemen.

83 praktijkverhaal continuïteit Toolkit Informatieveiligheid In de zomer van 2012 is de gemeente Weert getroffen door het Dorifel-virus. Hierdoor hebben de systemen van de gemeente een week plat gelegen en is de dienstverlening zwaar ontregeld geweest. Myriam Meertens, locogemeentesecretaris ten tijde van het incident, heeft in die week het crisisteam geleid. Zij vertelt over haar ervaringen en over hoe de gemeente door het virus de dienstverlening heeft kunnen continueren. Ze begint haar verhaal met een belangrijke raad voor alle gemeentesecretarissen: Ga er maar van uit dat een virus ook een keer in uw organisatie gaat binnendringen. Het directieteam krijgt het nieuws over het Dorifel-virus te horen tijdens een vergadering die beleefd, maar resoluut wordt onderbroken door de ICT-adviseur. Hij deelt mee dat er een virus in het netwerk actief is en heeft met hoge spoed twee besluiten nodig. 1. Legt de gemeente het netwerk actief plat? 2. Gaat Weert met dit nieuws naar buiten? Het komt aan op de drie die vergaderen: Meertens, de directeur bedrijfsvoering en de directeur inwoners. We hebben de ICT er direct bestookt met vragen. Wist hij meer over het virus? Zag hij een andere oplossing dan het netwerk uitschakelen? Al snel wisten we dat er geen andere mogelijkheid was dan het netwerk uit te schakelen. We hebben direct gehandeld, vertelt Meertens. Eerst zijn alle medewerkers en leidinggevenden geïnformeerd. Een aparte beleving. We vielen bijna helemaal terug op mondelinge communicatie. Direct daarna is burgemeester Heijmans op de hoogte gebracht en is besloten om met het incident actief naar buiten te treden. Meertens: Deze keuze hebben we gemaakt, omdat we onze inwoners zo snel mogelijk wilden laten weten welke dienstverlening we wel en niet konden bieden. Een aparte beleving. We vielen bijna helemaal terug op mondelinge communicatie. (Bron: ibestuur Online, Nicole van der Steen, 17 juli 2013)

84 Communicatie is het sleutelwoord Achter de schermen is vervolgens alles in gang gezet om de technische problemen rond het Dorifel-virus op te lossen. Ondertussen heeft de gemeente de dienstverlening gewoon door laten lopen. Om de continuïteit van de dienstverlening in stand te houden zijn de nodige maatregelen getroffen. Communicatie is daarbij het sleutelwoord, vertelt Meertens. We hebben eerst een aantal praktische zaken geregeld, zoals standalone (dus niet op het netwerk aangesloten) laptops en printers. Deze hadden we nodig om medewerkers op de hoogte te houden met informatie over de laatste status van de crisis en een overzicht van veelgestelde vragen en de antwoorden. Standalone oplossingen maken bovendien ook een aantal basishandelingen mogelijk, zoals aangiftes van de burgerlijke stand en het zorgdragen voor de betalingen van uitkeringen. Alle werkprocessen die computers nodig hebben, liggen immers stil. De impact van zo n virus is pas echt goed zichtbaar geworden toen Meertens de medewerkers op ouderwetse typemachines hun werk heeft zien doen. Omdat de website extern gehost wordt heeft Weert zonder probleem de inwoners van de gemeente via de website geïnformeerd over het virus en de ontregelde dienstverlening. Daarnaast is een oproep aan burgers gedaan om indien mogelijk een aantal dagen te wachten met hun aanvragen voor diensten van de gemeente. Meertens: Mensen hebben hier gehoor aan gegeven. Er was gelukkig veel begrip. De hoeveelheid vragen die onze extra bezetting op het Klant Contact Centrum (KCC) heeft ontvangen, bleek goed te hanteren. Er werd slechts een enkele bewoner boos. Er is ongelooflijk veel energie vrijgekomen bij onze medewerkers. Iedereen wilde helpen om het probleem op te lossen. Spanning Ondanks de beperkte middelen die iedereen tot zijn beschikking had en de onzekerheid is er tijdens deze dagen ongelooflijk veel energie vrijgekomen bij onze medewerkers. Iedereen wilde helpen om het probleem op te lossen, vervolgt Meertens. Er hebben zich medewerkers vrijwillig aangemeld om mee te helpen. Zo hebben medewerkers collega s bij onze telefonische helpdesk ondersteund. De crisis schiep juist een hechte groepsband, mede door onze openheid naar de medewerkers. Na alle nodige technische problemen heeft de gemeente het netwerk na ruim een week weer volledig hersteld van het virus. Ik zag de spanning op de gezichten van onze medewerkers. We hebben toen extra medewerkers met flair ingezet die als gastvrouwen en -mannen konden fungeren om de burgers gerust te stellen en de medewerkers te ontlasten. Het heeft goed uitgepakt; de aanloopproblemen hebben we binnen enkele uren kunnen oplossen. tips voor collega-gemeentesecretarissen Wees transparant in wat er wel en niet aan de hand is. Regel een communicatieteam en spreek af hoe de organisatie te informeren. Houd een lijst bij met veelgestelde vragen en beantwoord die steeds via een centraal punt; voorkom onduidelijkheden. Beschouw digitalisering en de daarmee verbonden risico s als vraagstukken voor directie en bestuur.

85 praktijkverhaal ketens Toolkit Informatieveiligheid Marcel Meijs is sinds 2005 gemeentesecretaris van de gemeente Enschede. Enschede werkt veel samen met andere partijen in allerlei domeinen. Zo ook binnen het sociaal domein, waar het extra belangrijk is dat er voorzichtig wordt omgesprongen met gegevens en het uitwisselen hiervan. Met Meijs gaan we in gesprek over de deelname van de gemeente Enschede aan de Living Labs. Door de toenemende digitalisering is het zorgvuldig omgaan met de gegevens van burgers en bedrijven voor gemeenten van groot belang. Ook de samenwerking met andere overheden in ketens en de contacten met burgers en bedrijven zijn steeds vaker digitaal van aard. Dit legt, deels nieuwe, eisen op aan de kwaliteit van de informatievoorziening van de gemeente. Een goede borging van informatieveiligheid zorgt voor een betere betrouwbaarheid van de informatievoorziening en een grotere continuïteit van de gemeentelijke bedrijfsvoering. Bovendien is een goede informatievoorziening noodzakelijk voor het slagen van de decentralisaties in het sociaal domein. De gemeente Enschede heeft het initiatief genomen om met meerdere grote en kleine gemeenten (onder de noemer Living Lab Oost-Nederland) de informatievoorziening samen te ontwikkelen. Wij zijn voortdurend op zoek naar samenwerking met andere partijen en ketenpartners en we werken dan ook met veel verschillende organisaties samen, vertelt Meijs. Zo ook binnen het sociaal domein, waar door de decentralisaties veel taken van gemeenten in complexe netwerken van aanbieders worden uitgevoerd. De gemeente blijft in dit netwerk van ketens eindverantwoordelijk, ook voor de informatieveiligheid. (Bron: VNG Magazine, Informatieveiligheid in sociale domein vooral ethisch probleem, Wethouder Marijke van Hees, Gemeente Enschede, april 2014) Samenwerken veronderstelt informatie delen en dan is er ineens een groot veiligheidsissue dat we met elkaar moeten zien te tackelen.

86 Living Labs Meijs is blij dat het bestuur van de gemeente Enschede het belang inziet van structurele aandacht voor informatieveiligheid, ook in de keten. Door de decentralisaties komt er veel op ons af en komt er veel privacygevoelige informatie bij ons te liggen. Het is belangrijk dat deze gegevens in veilige en vertrouwde handen zijn, ook als we gegevens uitwisselen met ketenpartners. Daarom doet de gemeente Enschede mee aan de zogeheten Living Labs; een proeftuin waarin we samen met ketenpartners de informatievoorziening ontwikkelen. Hierbij besteden we ook aandacht aan de informatieveiligheidsrisico s die kunnen ontstaan bij het uitwisselen van informatie. De eerste ervaringen van Living Lab Oost-Nederland leggen de nadruk niet alleen op de techniek. Techniek is een middel en natuurlijk moeten we dat goed beveiligen, vervolgt Meijs. Daarnaast gaat het vooral ook om gedrag, cultuur, de bewustwording van risico s rond het uitwisselen van informatie en de afspraken die je hierover met elkaar maakt. Door de decentralisaties komt er veel op ons af en worden er straks veel gegevens uitgewisseld, vooral in de keten. Samenwerken veronderstelt informatie delen De Living Lab Oost-Nederland is een initiatief van de gemeente Enschede. De gemeenten Losser, Tubbergen/Dinkelland, Rijssen-Holten, Apeldoorn en Zwolle hebben de Enschedese aanpak geadopteerd. Andere gemeenten in de regio s Twente, IJsselland en de Veluwe, kijken en denken mee. In deze cocreatie trekken we samen op en ontwikkelen we samen de informatievoorziening die bruikbaar is voor alle gemeenten en hun partners in Nederland, vertelt Meijs. Ons uiteindelijke doel is bestaande en nieuwe systemen zo in te zetten dat inwoners en zorgprofessionals goed en op een veilige manier van de juiste info worden voorzien. Het is onze ambitie om toe te werken naar een integrale benadering met één klant, één dossier en één contact. Dat veronderstelt volgens Meijs samenwerken. Samenwerken vereist informatie delen en dan is er ineens een groot veiligheidsissue dat we met elkaar moeten zien te tackelen. Om die reden kijken we in Enschede ook naar (aanvullende) eisen die nodig zijn, bovenop de eisen die zijn gesteld in het kader van de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten). Daarnaast zorgen we voor ondersteuning bij het inrichten van de informatievoorziening, door het opstellen van handreikingen met aandacht voor het inrichten van een beveiligingsaudit en ondersteuning in het leveranciersmanagement. Privacyvraagstuk Naast het veiligheidsissue is er in de Living Lab Oost-Nederland ook aandacht voor het privacyvraagstuk. Wanneer mag je welke informatie met wie delen en welke rol speelt het belang van de cliënt hierin? Meijs: Het is belangrijk om ook hier gezamenlijke afspraken over te maken. Uiteindelijk moeten ketenpartners met elkaar een goed gevoel krijgen over de manier waarop privacy via protocollen en procedures in de systemen wordt bewaakt. Volgens Meijs is op papier de gemeente straks eindverantwoordelijk voor de informatieveiligheid van deze gegevens, maar moet de verantwoordelijkheid ook gedragen worden door de ketenpartners, het rijk en de burger zelf. tips voor collega-gemeentesecretarissen Maak gebruik van de ervaringen van Living Lab Oost-Nederland. Gegevensuitwisseling vraagt om een gezamenlijke aanpak. Streef naar een structurele samenwerking in de keten om informatieveiligheid van alle privacygevoelige informatie te waarborgen. Maak heldere afspraken met je ketenpartners over de uitwisseling van gegevens en informatie, sta hierbij vooral ook stil bij het privacyvraagstuk.

87 praktijkverhaal aansluiten ibd Toolkit Informatieveiligheid Hans Schild is sinds 1 januari 2014 werkzaam als gemeentesecretaris bij de gemeente Goes. Hiervoor was hij al vier jaar werkzaam bij de gemeente. Goes is één van de gemeenten die is aangesloten bij de IBD. Hiermee kan de gemeente rekenen op gemeentespecifieke ondersteuning op informatiebeveiligingsvlak. We gaan met Schild in gesprek over zijn visie op het belang van aansluiting bij de IBD en het belang van structurele aandacht voor informatieveiligheid. Volgens Schild moet de overheid het toppunt van betrouwbaarheid zijn. We beschikken als gemeente over gigantisch veel informatie en weten alles van iedereen, hierdoor zijn we erg kwetsbaar. We moeten daarom voor 200% beveiligd zijn. Ontwikkelingen als de oprichting van de IBD en de VNG resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente vind ik daarom goede initiatieven. Door de Resolutie is het onderwerp op het collegeprogramma gekomen. Hierdoor leeft het en doen we er ook echt iets mee. Schild laat het collegeprogramma zien: informatieveiligheid staat er benoemd. En dat heb ik zelf niet eens tegen het college gezegd, dat besluit is genomen tijdens de collegeonderhandelingen. Informatiebeveiliging en informatieveiligheid valt onder het grote begrip veiligheid. Ja, we vinden het belangrijk, en ja, we willen dat mensen zich bewust zijn en zich verantwoordelijk voelen. De overheid moet het toppunt van betrouwbaarheid zijn. (Bron: IBD, Informatiebeveiliging in Beeld; editie Aansluiten bij de IBD, praktijkverhaal gemeentesecretaris Hans Schild, Gemeente Goes, juli 2014) Je moet het willen Om alle beschikbare informatie binnen de gemeente Goes veilig te stellen zijn verschillende privacybeschermende- en veiligheidsmaatregelen genomen. Naast allerlei technische maatregelen en instrumenten hanteert de gemeente Goes ook strenge integriteitregels. Iedere nieuwe medewerker of stagiaire dient een ambtseed af te leggen voor het college van B&W. Op deze manier maken we het expliciet, zodat het ook door mensen gevoeld wordt.

88 Het is belangrijk om die verantwoordelijkheid te voelen. Mensen moeten gestimuleerd worden. Bewustwording is volgens Schild de sleutel tot succes als het gaat om informatiebeveiliging. Die bewustwording moet ook uitgedragen worden. We moeten zorgvuldig omgaan met informatie en dit ook écht willen. Zo zijn we als gemeente onder andere aangesloten bij de IBD. Niet omdat de burgemeester het zegt, maar omdat we het zelf echt belangrijk vinden en ons verantwoordelijk voelen. Daarnaast was het ook nog eens heel makkelijk om aan te sluiten bij de IBD! De IBD helpt ons informatiebeveiliging naar een hoger plan te tillen. De nadruk ligt hierbij op bewustwording en concrete ondersteuning. Uiteindelijk maken we als gemeente zelf een beslissing, maar we streven ernaar dergelijke keuzes met elkaar te nemen. Samen staan we namelijk sterker. Maak het makkelijk Schild is niet ontevreden over het bewustzijnsniveau binnen de gemeente Goes. We moeten er wel constant aan blijven werken, mensen moeten zich betrokken voelen bij het wel en wee van onze inwoners. Vraag aan een willekeurig iemand of hij weet hoe hij met vertrouwelijk informatie moet omgaan, en hij of zij zegt ja. Vraag aan iemand of hij zich verantwoordelijk voelt voor het wel en wee van de inwoners en het antwoord is ja, natuurlijk!. Tegelijkertijd laat iemand ook wel eens een dossier slingeren. En dat is nou juist dat stukje bewustzijn. 100% waterdicht krijg je het nooit, maar we kunnen wel ons best doen er zo dicht mogelijk bij in de buurt te komen. Volgens Schild is het daarbij belangrijk om het onderwerp expliciet en bespreekbaar te maken. Investeer in bewustwording en maak het zo simpel mogelijk. Je moet niet te veel last hebben van de veiligheidsmaatregelen. Zorg voor weinig lasten en veel draagvlak en bewustwording. Zorg dat medewerkers het benul hebben, ze mogen best iets op hun bureau hebben liggen, maar dit mag geen privacygevoelige informatie zijn. Kortom, Keep it simple! De vijf Bevelandse gemeenten De gemeente Goes werkt voor wat betreft de ICT-omgeving samen met de vijf Bevelandse gemeenten. Naast Goes zijn dit Borsele, Noord-Beveland, Kapelle en Reimerswaal. De gemeenten hebben een afstemmingsoverleg informatievoorziening. Alles wat er gebeurt op ICT- en softwaregebied is op elkaar afgestemd, bijvoorbeeld de aanschaf van nieuwe softwarepakketten. Schild: Zo hebben we ook alle vijf besloten om bij de IBD aan te sluiten, het was geen optie dat er vier wel aansloten en één niet. Uiteindelijk maken we als gemeente zelf een beslissing, maar we streven ernaar dergelijke keuzes met elkaar te nemen. Samen staan we namelijk sterker. tips voor collega-gemeentesecretarissen Sluit je aan bij de IBD! Zorg voor bewustwording binnen je organisatie. Laat medewerkers zich verantwoordelijk voelen voor informatieveiligheid. En bovenal: Keep it simple!

89 praktijkverhaal incidentmanagemant Toolkit Informatieveiligheid In Schiedam hebben we een duo-gesprek, we spreken met Jan van Ginkel, gemeentesecretaris en algemeen directeur bij de gemeente Schiedam én met Suzan Deegeling, teammanager Toezicht en Handhaving en crisismanager binnen het domein Integrale Veiligheid. Van Ginkel is sinds twee jaar gemeentesecretaris van de gemeente en tevens portefeuillehouder voor het thema Open en Big Data van de Commissie Dienstverlening en Informatiebeleid van de VNG. Schiedam heeft vorig jaar, in het kader van Serious Ambtenaar, een informatieveiligheidsoefening georganiseerd. Vaak wordt bij crisisoefeningen een brand gesimuleerd, een ontruiming door een gaslek of een groot ongeval, dus waarom geen informatieveiligheidsoefening?, vertelt Van Ginkel. Met de vele calamiteiten en incidenten zou het, net als bijvoorbeeld bij brandoefeningen, verplicht opgenomen moeten worden in het calamiteitenplan van een organisatie. Tijdens de informatieveiligheidsoefening test je hoe weerbaar je organisatie eigenlijk is. En zo zijn we het gesprek begonnen met Van Ginkel en Deegeling over hoe de gemeente Schiedam invulling heeft gegeven aan de informatieveiligheidsoefening en wat het heeft opgeleverd. Als gemeentesecretaris worstelt Van Ginkel met het onderwerp informatieveiligheid. Volgens Van Ginkel is de kernvraag: Hoe relevant is privacy? En bestaat privacy nog wel over vijf jaar? Het is een groot maatschappelijk probleem, maar tegelijkertijd zijn we zelf als burgers vaak het lek, kijk maar eens wat we zelf allemaal op het internet en Facebook plaatsen. Het is tijd voor een veel intensiever maatschappelijk debat. Het informatieveiligheidsvraagstuk wordt in de toekomst meer en meer een hoofdzaak.

90 Van Ginkel is blij met de aandacht voor het onderwerp informatieveiligheid binnen de gemeente Schiedam. En deze aandacht is groeiend. De ontwikkeling van externe partijen, zoals de IBD en de afgelopen twee jaar fungerende Taskforce BID, die helpen en hebben geholpen om het onderwerp onder de aandacht en op de bestuurlijke agenda te krijgen, is een goed initiatief. Door de opkomst van deze partijen is het onderwerp op de agenda gezet. Vroeger was het meer een ICT-ding, nu is het meer dan dat en is het ook bij bestuurders een relevant onderwerp. De komende jaren zal blijken dat dit onderwerp meer en meer een kerntaak van de overheid wordt, als onderdeel van het bredere informatiemanagement. De impact van het informatieveiligheidsvraagstuk is in de toekomst groter dan wat je nu ziet aan impact van de drie decentralisaties. Volgens Van Ginkel is een aantal factoren belangrijk als het gaat om informatieveiligheid: 1. bewustzijn, 2. het verantwoordelijkheidsgevoel van werknemers, 3. tools en technieken, 4. middelen en geld en 5. in begrijpbare taal communiceren over het onderwerp. Binnen de gemeente Schiedam staat het onderwerp inmiddels hoog op de prioriteitenlijst. De aandacht voor informatieveiligheid is ook op bestuurlijk en politiek niveau de afgelopen jaren enorm toegenomen, vervolgt Van Ginkel. We weten allemaal dat het kan gebeuren, we hebben een scenario en binnen een aantal uur kun je bij een andere gemeente terecht. Maar weten we ook hoe we het moeten oplossen? ICT-bom Om te testen hoe de gemeente Schiedam omgaat met een externe digitale aanval en hoe de gemeente handelt in het geval zich een incident voordoet, heeft zij veiligheidsmaatregelen genomen en een informatieveiligheidsoefening uitgevoerd. De veiligheidsmaatregelen bestaan onder andere uit het opleiden van een Certified Ethical Hacker (CEH) en een Computer Forensic Investigator (CFI). Daarnaast wordt er gewerkt met de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Centraal hierbij staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente. Tevens worden de normen en maatregelen ten behoeve van controle en risicomanagement beschreven. Deegeling: Voor Serieus Ambtenaar was de vraag om een crisisoefening te organiseren; ambtenaren afkomstig uit het hele land zijn twee dagen in het kader van Serious Ambtenaar bij elkaar gekomen en hebben alle mogelijke incidenten bedacht die zich kunnen voordoen. Uiteindelijk hebben we besloten: we laten een ICT-bom knallen. Van Ginkel: We weten allemaal dat er een incident kan gebeuren, in dat geval hebben we een scenario klaarliggen en in de meeste gevallen kunnen onze burgers binnen een aantal uur bij een andere gemeente terecht. We hebben hiervoor ook afspraken met onze buurgemeente Vlaardingen. Maar weten we ook hoe we het incident moeten oplossen? Kent de ICT-afdeling de malware en hoe gaan we ermee om? In het geval er bijvoorbeeld een brand uitbreekt, weet je wat er moet/gaat gebeuren. De brandweer blust de brand en dit kan enkele uren duren, afhankelijk van de grootte van de brand. Mensen moeten opgevangen worden, de milieuaspecten moeten afgewogen worden en het gebouw moet worden geïnspecteerd op instorten. Bij techniek is dit lastiger, de complexiteit van het onderwerp is wat het moeilijk maakt. Daarom is het belangrijk je bewust te zijn van de impact dat een incident kan hebben op je gemeente.

91 Toolkit Informatieveiligheid schiedam Blijven herhalen De gemeente Schiedam is goed uit de informatieveiligheidsoefening gekomen. De oefening kwam echt als een verassing, de werknemers wisten van te voren niet dat dit zou plaatsvinden, waardoor dit geheel onverwachts was. Tijdens de oefening hebben we een fictieve DDoS-aanval gedaan. Dit is een aanval waarbij een server bestookt wordt met (vals) internetverkeer, zodat de server tijdelijk bezwijkt of moeilijk bereikbaar wordt. Een heel reëel scenario, wat regelmatig plaatsvindt. De gemeente was niet meer bereikbaar via de website, mensen konden geen vergunningen, paspoorten, et cetera aanvragen. We hebben gespeeld hoe de media hier mee omgaat en dat goede woordvoering daarbij dan erg belangrijk is voor je gemeente, zowel in- als extern, vertelt Deegeling. Mensen prikkelen Van Ginkel is niet ontevreden over de uitkomst van de oefening. Het ging erg goed, we doen binnen de gehele gemeente dan ook veel aan bewustwording. Erg belangrijk, want zo staat het onderwerp niet stil. Je moet zorgen dat je je medewerkers blijft prikkelen op dit onderwerp. Zo hebben we onlangs aandacht besteed en acties ondernomen ten behoeve van de phishing mails van PostNL. Je merkte dat we alleen al in het elkaar vinden veel aan de oefening gehad hebben. Hierdoor waren in een mum van tijd de juiste mensen met de juiste zaken aan de slag. Je moet er aan blijven werken, mensen moeten zich betrokken voelen bij het onderwerp en dat geldt ook voor de informatieveiligheidsoefening. Je moet dit niet eenmalig doen, maar blijven herhalen. Standaard opnemen als oefening, echter behoudt hierbij wel het verassingselement. We eindigen het gesprek met de vraag of de gemeente nu beter is voorbereid op een incident? Deegeling: Jazeker, naast het oefenen van de maatregelen rondom de digitale aanval zijn tevens de lijnen korter geworden met bijvoorbeeld de gemeente Vlaardingen, waar wij naar kunnen uitwijken indien zich er een incident voordoet. Je kunt door middel van deze oefening gelijk zien hoe zo n samenwerking gaat en wat nog beter kan.

92 tips voor collega-gemeentesecretarissen Maak gebruik van je kennis en deel deze ook met elkaar als gemeenten. Zorg voor bewustwording binnen je organisatie. Oefen met incidenten door middel van de informatieveiligheidsoefening.

93 praktijkverhaal toetsing en verantwoording Toolkit Informatieveiligheid Henny den Bieman werkt sinds 1 oktober 2013 als gemeentesecretaris bij de gemeente Houten. De gemeente Houten heeft informatieveiligheid hoog in het vaandel staan. We gaan met Den Bieman dieper in op hoe de toetsing en verantwoording ten aanzien van informatiebeveiliging en informatieveiligheid binnen de gemeente Houten vormgegeven is. De gemeente Houten is al geruime tijd actief aan de slag met het onderwerp informatiebeveiliging en informatieveiligheid. Ook voor Lektober was de gemeente Houten al bezig met dit thema. Daarbij werkt de gemeente samen met verschillende gemeenten om kennis te delen. Den Bieman: Delen is het nieuwe hebben. Samen staan we immers sterker en zijn we verantwoordelijker. Vanuit de gemeente Houten constateren ze dat er op steeds meer vlakken intergemeentelijke samenwerking ontstaat, waarbij ook heel veel informatie uitgewisseld moet worden. Dan is het belangrijk dat informatieveiligheid bij alle partijen goed geregeld is. Ook met het oog op de landelijke digitalisering van de overheidsdienstverlening en de komst van de decentralisaties is het belangrijk om aandacht te hebben voor informatieveiligheid. Door de decentralisaties komt er een groeiende hoeveelheid privacygevoelige informatie bij gemeenten te liggen. Het is belangrijk dat deze gegevens in vertrouwde handen zijn. Burgers verwachten dit ook van gemeenten. 100% Garantie kunnen gemeenten niet geven, maar risico s kunnen wel zoveel mogelijk uitgesloten worden. Bewustwording is daarbij een van de belangrijkste aandachtspunten. De gemeente Houten doet hier heel veel aan en vindt het belangrijk dat iedereen binnen de organisatie realiseert dat de gemeente verantwoordelijk is voor de privacy van de burgers. Bewustzijn van risico s levert begrip op voor gebruiksonvriendelijke beveiligingsmaatregelen, vertelt Den Bieman. Via de Houten Academie organiseert de gemeente verschillende workshops. Hierdoor is het bewustzijn binnen de gemeente absoluut toegenomen. (Bron: IBD, Informatiebeveiliging in Beeld; editie Aansluiten bij de IBD, Gemeentesecretaris Henny den Bieman, Gemeente Houten, juli 2014) Structureel op de agenda Binnen de gemeente Houten wordt het thema informatieveiligheid breed gedragen. Zowel het management als het college zien in hoe belangrijk informatieveiligheid is en dit dragen zij ook uit. De

94 gemeente Houten heeft daarnaast ook een beveiligingsadviescommissie (BAC), die bestaat uit mensen van de verschillende afdelingen binnen de organisatie. De burgemeester is de voorzitter en de commissie fungeert als adviseur van het college. Er vindt regelmatig overleg plaats en veel zaken pakt de gemeente integraal op. Het onderwerp informatiebeveiliging staat structureel op de agenda en krijgt hierdoor dagelijks aandacht, waardoor het leeft binnen de gemeente Houten. Elke dag gehackt Ook heeft de gemeente Houten verschillende andere maatregelen getroffen om haar systemen veilig te houden en te toetsen. Zo hebben ze een abonnement op een systeem, een Saas-dienst, dat dagelijks hun gemeentelijke websites probeert te hacken. Hiermee laat de gemeente iedere dag testen of hun website en firewall gehackt kunnen worden. Dit biedt geen garanties, maar het helpt enorm dat er op de bekende beveiligingslekken continu wordt getest. Zodra er iets is, ontvangt de gemeente hierover bericht. Zicht op kwetsbaarheid is ruimte voor informatieveiligheid, vertelt Den Bieman. Tevens heeft gemeente Houten diverse gradaties in de toegang tot het Wi-Fi-netwerk. Zo hebben gasten beperkte toegangsrechten en hebben werknemers weer andere toegangsrechten dan raadsleden. In de genen De gemeente Houten wil dat informatiebeveiliging op de lange termijn iets natuurlijks moet gaan worden en in de genen gaat zitten. Met de snelle technologische ontwikkelingen in deze tijd is het in het begin allemaal heel spannend, om vervolgens heel gewoon te worden. Wanneer een gesprek gaat over een systeem moet automatisch nagedacht worden over de beveiliging ervan. Daar kan de IBD ook een grote rol in spelen. Daarom is het als gemeente ook belangrijk officieel aangesloten te zijn bij de IBD. Zicht op kwetsbaarheid is ruimte voor informatieveiligheid. Transparant In de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente, die eind 2013 door een meerderheid van de gemeenten is aangenomen, staat dat gemeenten ook transparant moeten zijn op informatieveiligheidsvlak naar burgers, bedrijven en ketenpartners. Deze transparantie wordt ondermeer behaald door gebruik te maken van waarstaatjegemeente.nl. tips voor collega-gemeentesecretarissen Zorg dat informatiebeveiliging organisatorisch en bestuurlijk is geborgd. Stel een adviescommissie in die vraagstukken toetst rondom informatieveiligheid. Test regelmatig de bekende veiligheidslekken om te toetsen of je voldoet aan de veiligheidseisen.

95 praktijkverhaal evaluatie Toolkit Informatieveiligheid Bij de gemeente Oosterhout in Brabant is informatiebeveiliging en informatieveiligheid goed geregeld. Paul de Ridder is gemeentesecretaris van Oosterhout en heeft binnen de gemeente het onderwerp op een dusdanige wijze ingericht dat informatiebeveiliging met de bijbehorende risico s continue aandacht krijgt. Zijn collega Mariska Asmus is directeur Middelen en Dienstverlening en samen met Andrea Krush, informatiebeveiligingscoördinator bij de gemeente, zijn zij verantwoordelijk voor het informatiebeveiligingsbeleid. Daarmee heeft informatieveiligheid bij de gemeente Oosterhout structureel de aandacht. Volgens de Ridder en Asmus is dit volledig te danken aan Andrea Krush. Met haar gaan we dan ook in gesprek over hoe Oosterhout er zorg voor draagt dat het informatieveiligheidsbeleid up-to-date blijft. Oosterhout is al een aantal jaren bezig met informatiebeveiliging, dit is begonnen vanuit het samenwerkingsverband binnen het SSC Equalit. Equalit is het Shared Service Center (SSC) dat de ICT-dienstverlening van een tiental gemeenten verzorgt, waaronder de gemeente Oosterhout. Vanuit die samenwerking is een beweging ontstaan waarbij gezamenlijk is gekeken naar het informatiebeveiligingsbeleid. Vanuit Equalit ben ik bij de gemeente Oosterhout geplaatst en werk ik in het team van Mariska Asmus. Als informatiebeveiligingscoördinator zorg ik ervoor dat het onderwerp informatiebeveiliging binnen de gemeente Oosterhout dagelijks onder ieders aandacht wordt gebracht. Als gemeente is het immers onze plicht om tijd en energie te steken in een goed informatiebeveiligingsbeleid en dit beleid ook up-to-date te houden, vertelt Krush. (Bron: IBD, Informatiebeveiliging in Beeld; editie Editie ICT-Beveiligingsassessment DigiD, Gemeente Oosterhout, 2014) Als gemeente is het onze plicht om tijd en energie te steken in een goed informatiebeveiligingsbeleid en dit beleid ook up-to-date te houden.

96 Mensen en processen De focus van het informatiebeveiligingsbeleid van de gemeente Oosterhout is toegespitst op vier factoren: mensen, processen, de virtuele- en de fysieke omgeving, vervolgt Krush. Belangrijk is de combinatie daarbij. Ik hou altijd van de combinatie van harde en zachte maatregelen. Ik besteed dan ook veel aandacht aan bewustwording, gedrag en processen. Zo voorkom je dat het fout kan gaan. Technische maatregelen hebben namelijk alleen nut als ze ook worden nageleefd door medewerkers van de gemeente. Dat zie je ook doorvertaald in de BIG. Ook binnen de samenwerking met de andere gemeenten staat informatiebeveiliging structureel op de agenda. Een incident op informatieveiligheidsvlak bij een van de andere gemeenten kan er immers toe leiden dat gegevens uit bijvoorbeeld de Basisregistratie Personen (BRP) van Oosterhout niet meer bereikbaar zijn of erger nog, door onbevoegden te benaderen zijn. Om die reden heeft een regelmatige evaluatie van het beleid ook hoge prioriteit. Dankzij het onderzoek ervaart ook het college de urgentie van het onderwerp en krijgt het de aandacht die het verdient. Intern onderzoek De gemeente Oosterhout heeft vorig jaar een intern onderzoek uitgevoerd en een audit toegepast op basis van de BIG. Krush: Dit heeft ertoe geleid dat ik hier nu zit als informatiebeveiligingscoördinator met een heel concrete opdracht. Zo heb ik onder andere de verantwoordelijkheden nog duidelijker belegd binnen de gemeente en ook een bewustwordingstraject uitgevoerd. Bewustwording creëren is niet makkelijk, maar wel heel belangrijk om draagvlak te creëren voor het onderwerp. Het onderzoek dat wij voorafgaand hebben uitgevoerd, de zogenaamde GAP-analyse, heeft daarbij erg geholpen. Dat was een eyeopener voor iedereen. Daarmee zag ook het college de urgentie van het onderwerp en krijgt het de aandacht die het verdient. Daarnaast heeft Krush ook bij alle teamoverleggen aandacht gevraagd voor het belang van risico s op informatieveiligheid. Daarmee heb ik alle medewerkers bereikt. Tijdens het overleg hebben zij ook aandachtspunten kunnen aandragen. Afhankelijk van iemands functie zien we bij de gemeente Oosterhout wel verschillen in het bewustzijnsniveau. Zo is iemand die bijna nooit klantcontact heeft zich minder bewust van de risico s, vertelt Krush. Decentrale samenleving Volgens Krush dwingen ook de huidige (externe) ontwikkelingen en bedreigingen een gemeente om scherp te blijven op het informatiebeveiligingsbeleid en het beleid regelmatig bij te stellen. Zo werkten medewerkers vroeger in een gemeentehuis en was er onderling veel meer controle. Tegenwoordig is informatievoorziening decentraal georganiseerd. We hebben informatie op een ipad, maar werken ook thuis of op een andere externe locatie. Mensen hebben niet meer de (corrigerende) hulp van collega s, als ze het even niet meer weten. Dus ze moeten zich er zelf veel meer van bewust zijn. Ook dankzij de digitalisering van alle informatie is het risico op kwijtraken van gegevens daarmee ook groter, aldus Krush. tips voor collega-gemeentesecretarissen Voer een GAP-analyse uit om te kijken waar je staat als gemeente, zodat je treffende maatregelen kunt nemen. Stel je informatiebeveiligingsplan bij aan de hand van (jaarlijkse of halfjaarlijkse) evaluaties. Wees je bewust van (externe) ontwikkelingen en bedreigingen en speel daar op in met je informatiebeveiligingsbeleid.

97 praktijkverhaal leerstrategie Toolkit Informatieveiligheid De gemeente Súdwest-Fryslân heeft het onderwerp informatiebeveiliging en informatieveiligheid structureel op de agenda staan. Zo is de gemeente onder andere betrokken geweest bij de totstandkoming van de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente. Sindsdien is het onderwerp ook echt gaan leven. Volgens Johan Krul, gemeentesecretaris van Súdwest-Fryslân, is awareness ofwel bewustzijn van medewerkers een van de belangrijkste punten als het gaat om informatiebeveiliging. Met Krul gaan we in gesprek over hoe de gemeente deze bewustwording tot stand brengt. Technische ontwikkelingen zijn meetbaar, je moet voldoen aan een audit en de hierbij behorende normen. Bewustzijn is echter heel lastig te meten, zeker in een grote organisatie zoals bij Súdwest-Fryslân met 800 gemeentelijke medewerkers. Een gemeente kan wel een informatiebeveiligingsbeleid opstellen, maar daarmee ben je er nog niet. Het omslagpunt bij de gemeente Súdwest-Fryslân is ontstaan nadat er een mystery guest is langs geweest, die geprobeerd heeft toegang te krijgen tot de gebouwen en vertrouwelijke informatie van de gemeente. Naderhand heeft deze ongenode gast met foto s aangetoond hoe makkelijk hij aan vertrouwelijke informatie heeft kunnen komen en toegang had tot de gebouwen. Middels een presentatie heeft de mystery guest vervolgens de resultaten gepresenteerd. Sindsdien heeft het onderwerp bij deze gemeente alle aandacht. Een gemeente kan een informatiebeveiligingsbeleid opstellen, maar daarmee ben je er nog niet. (Bron:IBD, Informatiebeveiliging in Beeld; editie Aansluiten bij de IBD, praktijkverhaal gemeentesecretaris Johan Krul en security officer en contractmanager Jelle Jan Burggraaff, Gemeente Súdwest-Fryslân, juli 2014) Top 10 richtlijnen De presentatie heeft binnen de gemeente Súdwest-Fryslân de nodige schrik -reacties opgeroepen en heeft ook veel leuke reacties opgeleverd. Zo herkende een van de teammanagers zijn bureau op een foto waarop te zien was dat zijn computer niet vergrendeld bleek. Het

98 enthousiasmeerde iedereen om er iets aan te doen. In het informatiebeveiligingsbeleid heeft de gemeente vastgesteld hoe medewerkers om moeten gaan met vertrouwelijke informatie. Omdat niet alle medewerkers dit beleidsstuk lezen, is er een top 10 samengesteld aan richtlijnen, die direct toepasbaar zijn. Dit leest een stuk makkelijker dan een beleidsstuk. De top 10 aan maatregelen is heel gevarieerd en onderverdeeld in de drie onderwerpen, Bricks, Bytes en Behaviour. Een drietal richtlijnen zijn: 1. Ze mogen alles van me weten, behalve m n wachtwoord Tijdens de vakantieperiode constateert de gemeente dat veel medewerkers wachtwoorden aan elkaar verstrekken om bij elkaars te kunnen. Súdwest-Fryslân beschikt daarom over een DMS-systeem waarmee medewerkers documenten kunnen doorzetten naar collega s. Daardoor is het niet nodig om wachtwoorden aan je buurman te verstrekken. Kortom, houd je wachtwoord voor jezelf! 2. De mobiele werkplek, ook beveiligd Voor laptops is het verplicht een gebruikersnaam en wachtwoord te gebruiken, dus waarom ook niet voor andere middelen? Medewerkers binnen gemeenten beschikken veelal over dezelfde informatie op de telefoon als op de laptop, dus ook hier is het verstandig een wachtwoord aan te koppelen. Elk mobiel apparaat waar van Súdwest-Fryslân op binnenkomt, beschikt daarom over een verplichte pincode. 3. Opgeruimd staat netjes De gemeente Súdwest-Fryslân pleit ook voor een clean-desk policy en vertrouwelijke omgang met documenten. Documenten en andere belangrijke informatie mogen medewerkers niet op een bureau laten liggen en niet mee naar huis nemen. Alle documenten worden opgeslagen en opgeborgen in een veilige omgeving en vertrouwelijke documenten worden niet zo maar weggegooid, maar vernietigd. Af en toe op een ludieke manier de aandacht trekken, is dé manier om het bewustzijn te verhogen. In the picture Krul heeft van zijn collega Burggraaff meegekregen dat het belangrijk is om het onderwerp op een ludieke manier onder de aandacht te brengen. Bij ieder punt uit de top 10 vermeldt de gemeente een soort spreuk, zoals ze mogen alles van me weten, behalve m n wachtwoord. Middels het personeelsblad en intranet wordt het onderwerp onder de aandacht gebracht door bijvoorbeeld het plaatsen van een grappige foto, zodat je de aandacht trekt én houdt! Daarnaast maakt de gemeente ook gebruik van andere middelen om het onderwerp onder de aandacht te krijgen, zoals berichten via toilet-displays op alle toiletdeuren. Af en toe op een ludieke manier de aandacht trekken, is dé manier om het bewustzijn te verhogen. Door interesse te wekken bij medewerkers, trek je ze naar de organisatie toe. Als de aandacht er is, kan de gemeente veel meer bereiken. tips voor collega-gemeentesecretarissen Begin met een nulmeting. Goed om vooraf te kijken waar je als gemeente staat en waar je naar toe wilt. Bekijk elke maatregel en bepaal wat nú interessant en belangrijk is, kortom kijk naar de risico s en prioriteer hierin wat je nu oppakt en wat later. Breng het onderwerp op een ludieke manier onder de aandacht.

99 praktijkverhaal Toolkit Informatieveiligheid In de gemeente Zutphen is Boy Janssen werkzaam als gemeentesecretaris en vanuit zijn functie verantwoordelijk voor de informatiebeveiliging en informatieveiligheid binnen de gemeente. In dit praktijkverhaal beschrijft Janssen hoe hij beide thema s op de bestuurlijke agenda heeft gekregen en welke stappen hij heeft gezet om informatiebeveiliging en informatieveiligheid ook in de organisatieprocessen uit te rollen. (Bron: IBD, praktijkverhaal gemeentesecretaris Boy Janssen, gemeente Zutphen, december 2013) Boy Janssen: Ik heb een 22-jarige carrière achter de rug bij de brandweer en heb bij veel brandweercorpsen en ook bij veiligheidsregio s in eindfuncties gezeten. Het hele veiligheidsthema gaat mij na aan het hart. Gemeenten hebben in de volle breedte een verantwoordelijkheid als het gaat om het bieden en organiseren van veiligheid aan de burgers, maar soms beseffen gemeenten dat niet. En hiermee doel ik niet alleen op informatiebeveiliging. Dankzij mijn achtergrond is die affiniteit en kennis binnen onze gemeente zeker aanwezig. Dat helpt om het thema beter op de agenda van de bestuurder te krijgen en er ambtelijk de goede stappen voor te zetten. Het hele veiligheidsthema gaat mij nauw aan het hart DigiNotar was een wake-up-call Tot het moment van DigiNotar had het onderwerp nog op geen enkele manier op de agenda van het management gestaan. Dus je kunt wel stellen dat DigiNotar een wake-up-call was. Ik ben werkzaam bij de gemeente Zutphen sinds april 2012 en ik realiseerde me toen dat ik geen zicht had op hoe we het thema informatiebeveiliging georganiseerd hadden. Dat is eigenlijk de aanzet geweest om het onderwerp op managementniveau te gaan borgen. Vervolgens heeft het Centraal Team Overleg (CTO), Rob Geurts, adviseur Informatiemanagement, uitgenodigd om tijdens het overleg van de afdelingshoofden met de directie uit te leggen hoe het beleid er uitziet, wat daar op dit moment goed aan is en wat niet en om vervolgstappen te kunnen zetten. Dit was voor de gemeente Zutphen het vertrekpunt om informatiebeveiliging en informatieveiligheid als onderwerp op de kaart te zetten.

100 Chief Information Officer Janssen vervolgt: We hebben het beleid verder aangescherpt, waarbij we ook hebben gekeken in hoeverre het informatiebeveiligingsbeleid cyclisch wordt aangepast. Je kunt wel een beleid hebben, maar wordt er regelmatig naar eventuele verbeterpunten gekeken en volgt er dan ook een plan van aanpak? Maken we die cyclus ook echt rond? Naar onze mening kon de cyclus beter sluitend worden gemaakt en dat hebben we in praktijk gebracht. Wat daarnaast ook belangrijk was, is dat we de bijbehorende taken en verantwoordelijkheden gingen beleggen in de organisatie. We hebben onder andere iemand in het managementteam als Chief Information Officer (CIO) benoemd en wij zijn heel gestructureerd de informatiekolom in de organisatie gaan opbouwen. Aandachtspunt voor coalitieakkoorden zutphen Janssen merkt ook dat het thema informatiebeveiliging niet altijd op de juiste manier bij de verantwoordelijken in de hoofden zit. Het is namelijk echt een ongelooflijk belangrijk onderwerp, waar de gemeente verantwoordelijkheid voor draagt. De organisatie doet eigenlijk alles in opdracht van het bestuur. En wat ik met name gemerkt heb, is dat dit thema onder een bestuurlijke paraplu moet zitten. Dit zorgt ervoor dat de kennis en de awareness van dit thema in het bestuur moet worden versterkt. In die zin ben ik het geheel met de visie van de Taskforce BID eens. Wat ik voor de gemeente Zutphen heb gedaan, is dat we ieder jaar opnieuw het beleidsplan en de beleidsevaluatie op de agenda zetten. Zo worden de bestuurders erbij betrokken. Waar lopen we tegen aan als het gaat om informatiebeveiliging, wat staat ons nog te doen als gemeente, welke vraagstukken staan nog open. We kunnen nog niet alles regelen, maar ik denk dat het belangrijk is om dit onderwerp ook op te nemen in de coalitieakkoorden. Zo blijft het bewustzijn bij het bestuur groeien om deze verantwoordelijkheid nog beter in te vullen. Daar gaan we voor zorgen. Het is namelijk echt een ongelooflijk belangrijk onderwerp, waar de gemeente verantwoordelijkheid voor draagt Eerst inrichten en organiseren Afgezien van de coalitieakkoorden, vindt Janssen dat er meer aandacht moet komen voor het thema in de organisatie. Je ziet wel dat mensen, vooral als het over veiligheid en beveiliging gaat, het onderwerp fysieke beveiliging van gebouwen en eigendommen goed in de hoofden hebben zitten. Maar dat we ook over veel kwetsbare (digitale) informatie beschikken en daar op een bepaalde manier mee om moeten leren gaan, is een belangrijk vraagstuk geworden. Echter, we zijn momenteel nog heel hard bezig om alles goed ingericht en geregeld te krijgen en vervolgens willen we het bewustzijn bij de medewerkers vergroten. Nu gaat het erom dat het bestuur goed is aangesloten, dat het beleid is vastgesteld, dat de beveiligingsassessments goed worden uitgevoerd en dat we weten waar onze lekken zitten. Met andere woorden; dat we al deze onderdelen goed op orde hebben.