Verslag Visitatiecommissie Informatieveiligheid

Transcriptie

1 Vereniging vjn Verslag Visitatiecommissie Informatieveiligheid Gemeente Tijd Aanwezig gemeente Krimpen a/d IJssel 11 mei 2016, 9:30 uur. Arnold de Leeuw, wethouder, o.a. ICT Marlène Geskes, hoofd ICT in de GR Gert-Jan Ossevoort, CISO in Krimpen; plv. CISO in Capelle a/d IJssel Aart Boele, gemeentesecretaris en directeur GR IJsselgemeente Aanwezig Visitatiecommissie Informatieveiligheid Frans Backhuijs (voorzitter) Wim Blok Maarten Ruys Jeroen Boot (secretaris) Inleiding De Commissie Informatieveiligheid dankt de gemeente Krimpen a/d IJssel hartelijk voor haar gastvrijheid. De Commissie heeft een open gesprek kunnen voeren, wat zij zeer heeft gewaardeerd. Ze denkt een goed beeld te hebben gekregen van de wijze waarop de gemeente Krimpen a/d IJssel werkt aan informatieveiligheid en wat de grootste uitdagingen zijn. De Commissie heeft het beeld dat de gemeente Krimpen a/d IJssel op een realistische manier werkt aan informatieveiligheid. Daarbij viel de Commissie specifiek de volgende zaken positief op: - Krimpen a/d IJssel beseft dat informatieveiligheid complexe materie is en het beperken van kwetsbaarheden gebaat is bij voldoende kennis. Krimpen a/d IJssel heeft er tegen deze achtergrond voor gekozen om samen te werken in een Gemeenschappelijke Regeling. Door deze ingreep zijn middelen beschikbaar om twee CISO's (1,5 fte) werkzaam te laten zijn. De Commissie onderschrijft dat het instellen van de GR een juiste keuze lijkt en direct ten goede komt aan de professionaliteit waarmee Krimpen a/d IJssel het onderwerp informatieveiligheid aanpakt. - Krimpen a/d IJssel geeft aan dat zij voornemens is om verdere samenwerking met buurgemeenten te willen verkennen. Krimpen a/d IJssel meent dat het bij externe partijen inhuren van kennis en kunde tot gevolg heeft dat deze kennis en kunde niet binnen de eigen organisatie wordt ontwikkeld. De Commissie erkent dat de onwenselijkheid hiervan.

2 De Commissie meent dat, waar het ontwikkelen van kennis en kunde binnen de eigen organisatie te kostbaar zou blijken te zijn, het poolen hiervan met andere (buur)gemeenten een interessante optie is en nodigt Krimpen a/d IJssel uit om deze mogelijkheid nader te verkennen. In dit verslag beschrijven we achtereenvolgens ons verkregen beeld, een aantal aanbevelingen voor het handelingsperspectief van de gemeente voor de komende periode en enkele slotnoties. Het beeld van de Commissie is gecategoriseerd in vijf onderdelen: 1. Digitalisering algemeen; 2. Gerichtheid; 3. Verankering; 4. Extern leren en 5. Werking. Handelingsperspectief Maak de Raad deelgenoot van de complexiteit van de dilemma's op het gebied van informatieveiligheid Door structurele en actieve verantwoording tegenover de Raad (met een vaste frequentie) wordt de Raad betrokken bij het belang van informatieveiligheid en de complexiteit van het onderwerp. Dit kan leiden tot meer vertrouwen in het College en het begrip dat (menselijke) fouten nooit geheel zijn uit te sluiten. De Commissie beveelt aan om het gesprek met de Raad concreet vorm te geven door aandacht te vragen voor informatieveiligheid als onderdeel van politiek-urgente vraagstukken of door het organiseren van themasessies in plaats van naar aanleiding van concrete incidenten. Op structurele basis betreft het onderwerpen zoals financiën, de veranderingen in het sociaal domein en op het gebied van privacy. Door informatieveiligheid te framen als een randvoorwaarde voor het realiseren van de ambities, biedt het handvatten om een toekomstgericht gesprek met de Raad aan te knopen over informatieveiligheid. Prioriteer acties op basis van de GAP analyse De Commissie beveelt aan om een GAP analyse 1 centraal te stellen bij het prioriteren van acties en het maken van keuzes om zo van een meer ad hoc en incidentgedreven aanpak te komen tot een meer structurele aanpak. In de besluitvorming dienen de bestuurders betrokken te zijn en is het aan te bevelen om de Raden (ten minste) te informeren zodat zij hun controletaak goed kunnen uitvoeren. Concreet betekent dit dat de gemeente de voorgestelde prioritering inzichtelijk maakt, motiveert en aangeeft welke specifieke maatregelen daarop aansluiten. Daarbij dient aannemelijk te zijn dat de voorgestelde maatregelen daadwerkelijk zullen leiden tot beperking van de gesignaleerde risico's, met oog voor het kennisniveau van de organisatie/specifieke doelgroep binnen de gemeente. Tevens is van belang de risico's te expliciteren die (nu nog) niet (volledig) geadresseerd worden. 1 Met een GAP-analyse gecontroleerd worden in hoeverre de gemeente al voldoet aan de BIG. Hiermee bekijkt u hoe de huidige situatie op het gebied van informatiebeveiliging is, ten opzichte van de situatie die u eigenlijk zou willen. Zie nader:

3 Informatieveiligheid is een verantwoordelijkheid in de lijn De Commissie signaleert dat de CISO een actieve rol op zich neemt bij het bevorderen van de informatieveiligheid in de werkprocessen. Het is voor een CISO echter niet doenlijk, en ook niet zijn rol, om inhoudelijke verantwoordelijkheid op zich te nemen wat betreft de werkprocessen. De Commissie beveelt aan om op topambtelijk niveau een dialoog te voeren, en zo de gerichtheid verder te versterken, over de verantwoordelijkheid van de afdelingshoofden om informatieveiligheid in 'hun' werkprocessen te bevorderen. Het aanwijzen van contactpersonen in de diverse afdelingen is daartoe een goede stap, maar kan op zichzelf niet bewerkstelligen dat de verantwoordelijkheid voor informatieveiligheid organisatiebreed (van hoog tot laag) gevoeld wordt. Sluit tot en met stap 4 aan bij IBD Krimpen a/d IJssel geeft aan dat zij later dit jaar tot en met stap 4 aangesloten verwacht te zijn bij de IBD. De Commissie benadrukt het belang hiervan. Aansluiting tot en met stap 4 stelt de IBD in staat om gericht te waarschuwen bij concrete incidenten/dreigingen. Gemeenten krijgen zo meer inzicht in incidenten die zich bij collega-gemeenten hebben voorgedaan. Dit kan bovendien het bewustzijn verder vergroten. 1. Digitalisering algemeen Krimpen a/d IJssel maakt in verband van de GR IJsselgemeente op dit moment een professionaliseringsslag wat betreft ICT. Het gaat hierbij primair om de dienstverlening naar burgers/bedrijven. Het digitaliseringsbeleid en ook de informatieveiligheid krijgen vorm vanuit deze GR. De BIG is thans nog niet volledig geïmplementeerd; dit wordt beoogd voor eind De dilemma's liggen vooral op het vlak van het 'meekrijgen' van de gemeentelijke organisatie. Krimpen a/d IJssel werkt met samen met Capelle a/d IJssel (GR IJsselgemeenten) aan een klantcontactsysteem en harmonisering van de ondersteunende processen (financiën, P&O, facilitaire zaken, beheer van de openbare ruimte). De digitaliseringsvraagstukken die in Krimpen a/d IJssel op de agenda staan, betreffen op dit moment primair de dienstverlening aan haar inwoners/ondernemers en in beperkte mate het herontwerp van werkprocessen. De vraagstukken betreffen ook 'dat wat nodig is' op het gebied van informatie-uitwisseling via digitale knooppunten en het gebruik van de Generieke basisinfrastructuur. Eind 2014 is het informatieveiligheidsbeleid vastgesteld. Alle taken met betrekking tot ICT zijn ondergebracht in de GR IJsselgemeenten, die per 1 januari 2015 is ingesteld. Deze GR verricht ook taken op het gebied van het Sociale Domein en zal op termijn uitgroeien tot een GR met betrekking tot alle bedrijfsvoeringstaken. Krimpen a/d IJssel geeft aan dat zij de BIG eind 2017 op orde wil hebben. Krimpen a/d IJssel geeft aan dat haar dilemma's liggen op het meekrijgen van de gemeentelijke organisatie, die het al druk heeft met de bestaande activiteiten en informatieveiligheid als 'extra werk' ziet.

4 2. Besef van het belang van werken aan informatieveiligheid (gerichtheid) De gerichtheid is op bestuurlijk en topambtelijk niveau op orde; de raad is (meer reactief) betrokken; organisatiebreed en bij de afdelingsmanagers is de gerichtheid nog punt van aandacht (met name in de onderdelen die niet dagelijks met persoonsgegevens bezig zijn). Met behulp van de figuren in het vervolg van dit verslag illustreert de Commissie haar beeld van de huidige situatie ten opzichte van de groeipotentie (100) die is waargenomen. Dit houdt in dat de figuren geen norm voor de ideale gemeente verbeelden, maar de ruimte voor verbetering per specifieke gemeente weergeeft. 100 Portefeuillehouder College Raad Gemeentesecretaris Directeur bedrijfsvoering CISO MT Organisatiebreed Bestuurlijke gerichtheid Ambtelijke gerichtheid De portefeuillehouder en de CISO overleggen periodiek (ieder kwartaal). Informatieveiligheid is een aparte portefeuille. De portefeuillehouder heeft specifieke kennis van zaken. Jaarlijks vindt een presentatie in het College plaats. Eind 2014 is het IB-beleid vastgesteld na een presentatie in het College. In 2015 is er een presentatie informatieveiligheid in de 3D's gegeven op verzoek van het College. De decentralisaties waren in dat verband een mooie aanleiding. Dit geldt ook voor het onderwerp Privacy, dat recent meer op de (bestuurlijke) agenda is gekomen. De ambitie is om informatieveiligheid in het College nog steviger op de agenda te zetten. Jaarlijks vindt ook een presentatie in de Raad plaats. Die presentatie zal dit jaar herhaald worden. Daarbij is het wel een uitdaging hoe het onderwerp informatieveiligheid 'interessant' te maken voor de Raad. De Raad gaat er vanuit dat een professionele organisatie dit naar behoren heeft geregeld en dat het vanzelfsprekend is dat het College 'in control' is. Wel laat de Raad zich informeren. De CISO bespreekt met de gemeentesecretaris de kwartaalrapportage besproken. De Gemeentesecretaris is tevens directeur van de GR IJsselgemeenten. Met de directeuren/afdelingshoofden wordt eveneens periodiek overlegd. Daarbij blijft het van belang om ook bij de afdelingshoofden te benadrukken dat informatieveiligheid niet 'iets' van de GR is maar dat de verantwoordelijkheid in de lijn ligt.

5 De CISO is minimaal o van zijn tijd bezig met informatieveiligheid. Hij is bovendien plaatsvervangend CISO in Capelle a/d IJssel en vice versa. Op afdelingen waar veel met persoonsgegevens wordt gewerkt is het onderdeel van het werk- of afdelingsoverleg. De omgang met informatieveiligheid op de werkvloer is wisselend, op plaatsen waar veelvuldig met persoonsgegevens wordt gewerkt is er (ruim) voldoende aandacht en is in werkoverleggen onderwerp van gesprek. Op andere plaatsen wordt ICT met name als onderwerp van en voor de GR gezien. In mei wordt voor alle medewerkers een verplichte bewustwordings training gegeven. 3. Formele positionering in bestuur, organisatie en in P&C cyclus (verankering) Informatieveiligheid is een specifieke portefeuille die in het College is belegd. De gemeentesecretaris is eindverantwoordelijk en is tevens directeur van de GR IJsselgemeenten waarbinnen het informatieveiligheidsbeleid vorm krijgt. De verplichte audits worden gedaan en de CISO doet steekproeven. Vanaf het aanstaande jaarverslag krijgt informatieveiligheid een vaste plek in de jaarstukken Governance Beleid en plannen 40 Planning S Control Verantwoording 20 Verankering Informatieveiligheid is een specifieke portefeuille in het College. Volgens het beleid is de GS eindverantwoordelijk en zijn de directeuren verantwoordelijk voor hun processen. De CISO coördineert het realiseren van de BIG. Krimpen a/d IJssel is deelnemer aan de GR IJsselgemeenten en vertegenwoordigd in het bestuur. De gemeentesecretaris is tevens directeur van de GR. De rol CISO is binnen de GR belegd. De CISO rapporteert aan GS van deelnemende gemeenten. Twee personen (1,5 fte) vervullen deze rol en werken op dagelijkse basis samen en wisselen alles met elkaar binnen de wettelijke mogelijkheden (en zijn elkaars plaatsvervanger).

6 Informatieveiligheid is een onderdeel in de afdelingsplannen. Ook de CISO werkt op basis van een jaarplan, waarin de acties binnen de GR en de individuele gemeenten zijn uitgewerkt. De belangrijkste punten in het plan voor 2016 is het verbeteren van de awareness in de organisatie en het verder vormgeven van de organisatie. Voorkomen moet worden dat de CISO een 'lonely battle' voert. Daartoe zullen ambassadeurs (security officers) binnen de teams worden ingesteld. De security officers zullen de verbinding met de CISO houden. De rol van de CISO verschuift daarbij om de security officers te trainen en te begeleiden. Het onderwerp Privacy is hier ook aan gekoppeld. Een groot deel van het beleid wordt via diverse (verplichte) audits gecontroleerd, daarnaast doet de CISO de nodige steekproeven en legt deze vast in topdesk. Recent is bijvoorbeeld gekeken naar de uitdienstprocedure. Daaruit is gebleken dat er concrete verbeteringen moeten worden doorgevoerd omdat deze procedure niet altijd blijkt te worden doorlopen. In 2014 scoorde Krimpen a/d IJssel onder de maat in de audit van Suwinet. Hierop zijn vervolgens maatregelen genomen en is aan de Raad gerapporteerd. De inzet was om de volgende audit alles op orde te hebben. De professionaliseringsslag in het kader van de GR heeft in dit verband geholpen om deze doelstelling te realiseren; Krimpen a/d IJsel voldoet thans weer aan de normen. In het aanstaande jaarverslag zal informatieveiligheid voor de eerste keer opgenomen worden. Bij komende begrotingen en jaarverslagen zal het een vast onderdeel van de paragraaf bedrijfsvoering zijn. 4. Extern leren Krimpen a/d IJssel werkt op ICT gebied samen met Capelle a/d IJssel in een GR. Krimpen a/d IJssel is tot en met stap 2 aangesloten bij IBD. Er vindt op verschillende vlakken informele samenwerking plaats (met name: MDHR en met buurgemeenten) Formele samenwerkingen Ambtelijke participatie (in)formele netwerken Bestuurlijke participatie (informele netwerken Externe netwerken

7 Krimpen a/d IJssel werkt in een gemeenschappelijke regeling samen met Capelle a/d IJssel op gebied van ICT en Sociale Zaken. De GR, die in 2015 is ingesteld, heeft Krimpen a/d IJssel de gelegenheid geboden om als - verhoudingsgewijs kleinere gemeente - informatieveiligheid stevig neer te zetten met een sterke CISO. Door de samenwerking met Capelle a/d IJssel was het noodzakelijk om processen en klantsystemen te harmoniseren. Daardoor is een olievlekwerking ontstaan, hetgeen geresulteerd heeft in verbeterde werkprocessen. De kansen die daaruit voortvloeiden zijn dan ook benut. De ervaring is dat door het samenvoegen van activiteiten veel van elkaar geleerd kan worden, feitelijk 'spiegel' je je daarbij aan de samenwerkingspartner. Dit is in de praktijk ook daadwerkelijk tweerichtingsverkeer gebleken en een aanjager voor professionaling. Krimpen a/d IJssel is aangesloten tot en met stap 2 bij IBD. Dit houdt in dat er een Vertrouwd Contactpersoon is aangesteld. Stap 3 is in voorbereiding en Stap 4 is voor later dit jaar voorzien. In mei wordt de procedure beheer informatiebeveiligingsincidenten uitgerold. Informele samenwerking vindt plaats in de metropoolregio, met IBD, leveranciersdagen van ISMS, en met omringende gemeenten. Het betreft afstemmen en informatie uitwisselen. In de MRDH wordt samenwerking gezocht omtrent de inkoopvoorwaarden. Het besef leeft voorts dat op dit moment veel geld besteed wordt aan externe inhuur, bij voorbeeld voor audits en certificaten. Krimpen a/d IJssel geeft aan liever kennis in huis te hebben of te 'poolen' in samenwerking met andere (buur)gemeenten dan deze kennis (commercieel) extern in te huren. Naar aanleiding van de recent toegenomen aandacht voor het onderwerp Privacy worden de afspraken met externe leveranciers herzien. Informatieveiligheid wordt hierin meegenomen. In Capelle a/d IJssel is een project met betrekking tot Privacy gestart, waarvan Krimpen a/d IJssel kan profiteren. Enkele jaren geleden heeft Ad Koppejan namens VNG de gemeente Krimpen a/d IJssel bezocht. De lessen uit zijn bezoek betroffen met name het belang van bestuurlijke aandacht voor het onderwerp informatieveiligheid. 5. Daadwerkelijk leren, daadwerkelijk beleid uitvoeren (werking) Krimpen a/d IJssel geeft aan dat door middel van periodieke overleggen informatieveiligheid onder de aandacht blijft bij de diverse actoren. Bij het implementeren van de BIG zal de organisatie nog nadrukkelijker betrokken gaan worden. Aansluiting op P&C, cyclisch leren en het instellen van leerprogramma's zijn de thema's waarop Krimpen a/d IJssel thans ontwikkelingen doormaakt.

8 m Sturing geven M Uitvoering geven f Maatregelen treffen M Leren in de organisatie 20 M Verantwoording afleggen 0 Werking Krimpen a/d IJssel heeft aangegeven dat de hierboven beschreven verantwoordelijkheidsverdeling op de volgende manier doorwerkt in de dagelijkse praktijk. - Elk kwartaal vindt overleg met wethouder en GS. - Op verzoek wordt een presentatie gegeven in afdelingsoverleggen. - Er zijn 4-8 bijeenkomsten van de contactpersonen IV & Privacy. - In de reguliere kwartaaloverleggen wordt tussen CISO en GS/Wethouder overlegd en waar nodig prioriteiten bepaald. - In het MT van de GR geeft de CISO elk kwartaal een presentatie over de stand van zaken. - CISO is met name procedureel bezig, de afdeling ICT verbetert de techniek voortdurend. De feedback uit audits wordt verwerkt in de dagelijkse procesgang. In beginsel gebeurt dit door de verbeteringen direct te implementeren. In het geval van grotere issues krijgt de beoogde verandering mogelijk vorm door middel van een project. Krimpen a/d IJssel geeft aan dat alle recente audits en zelftests succesvol zijn afgerond. Een update van het informatieveiligheidsbeleid is voor eind 2016 voorzien. Krimpen a/d IJssel is op dit moment bezig met het implementeren van een Information Security Management System (ISMS), waarin thans 150 documenten zijn verwerkt, en wil dit in 2017 ook aangesloten hebben op de PDCA cyclus. De organisatie wordt in 2016 en 2017 volop betrokken bij het realiseren van de maatregelen die volgen uit het implementeren van de BIG, het merendeel van de technische maatregelen is al geïmplementeerd. In de praktijk wordt al veel gewerkt 'naar de intentie' van de BIG, maar dient de slag naar het stevig verankeren nog te worden gemaakt. Krimpen a/d IJssel gaat starten met een training bewustwording gevolgd door een e-learning programma voor alle medewerkers van de GR en de twee gemeenten. Dit leerprogramma zal worden voorafgegaan door een introductie van de Wethouder of GS. Middels de contactpersonen IV & P wordt verder gewerkt aan het realiseren van de maatregelen.

9 Deze contactpersonen dienen ook als eerste vraagbaak en als lokale ambassadeurs op gebied van informatieveiligheid. Er wordt een toegenomen aantal meldingen geconstateerd, hetgeen een signaal is dat informatieveiligheid meer is gaan leven in de organisatie. 6. Slot - Krimpen a/d IJssel zou graag geïnformeerd willen worden als de standaard ICT-voorwaarden van VNG gereed zijn. Krimpen a/d IJssel ziet in het hanteren van standaardvoorwaarden een mogelijkheid om een gezamenlijke vuist te maken tegen grote ICT-leveranciers die soms de voorwaarden lijken te dicteren. Op dit vlak zou VNG meer proactief mogen acteren (bv. centrale inkoop). - Krimpen a/d IJssel geeft aan dat het opslaan van informatie in de cloud een thema is. De Commissie beveelt aan om het IBD document "Cloud Computing" te bestuderen en waar gewenst nader contact op te nemen met IBD/VNG. Zie - Krimpen a/d IJssel geeft aan nog zoekende te zijn wat in formatieve zin een goede bezetting van de CISO functie is. Thans is dit 1,5 fte. De Commissie meent dat dit - in vergelijking tot andere gemeenten die zij bezocht heeft - een logische keuze lijkt.