We zijn pas echt succesvol als we samen aan de slag gaan!

Transcriptie

1 Informatiebeveiliging in Beeld In deze tweede editie van de IBD-krant, met als speciaal accent Aansluiten bij de IBD, voorziet de IBD u graag van informatie over de laatste ontwikkelingen op informatiebeveiligingsgebied bij gemeenten en natuurlijk over het officieel aansluiten bij de IBD. De interviews zijn zowel vanuit beleids- als ICT-perspectief ingestoken Ik wil alles van je weten Gemeente Súdwest-Fryslân Altijd actief zijn Piet Woudt vertelt over de workshop Informatiebeveiliging en Social Engineering. 6 Jelle Jan Burggraaff legt uit hoe je veiliger kan werken door de top 10 richtlijnen. 10 Larissa Zegveld vindt dat de tijd van achterover leunen voorbij is. 19 Nausikaä Efstratiades en Anita van Nieuwenborg, IBD We zijn pas echt succesvol als we samen aan de slag gaan! Den Haag - Ook de gemeentelijke ketting is zo sterk als de zwakste schakel. Juist als het gaat om informatiebeveiliging. Aan het woord is Nausikaä Efstratiades, hoofd van de Informatiebeveiligingsdienst voor gemeenten (IBD). We spreken met Efstratiades en Anita van Nieuwenborg, teamleider van de IBD. In deze tweede editie van de IBD-krant blikken we met beiden terug op de ontwikkelingen van de afgelopen periode en natuurlijk krijgen we ook een vooruitblik op dat wat komen gaat. Wat staat er nog te gebeuren? En.. hoe belangrijk is het eigenlijk dat gemeenten officieel aansluiten bij de IBD? Nausikaä Efstratiades Met de toenemende digitalisering van de samenleving en dus ook van overheidsdienstverlening wordt informatiebeveiliging, of het bredere begrip informatieveiligheid, een steeds meer in het oog springend onderwerp. Zit er eigenlijk verschil tussen deze begrippen? Volgens velen is informatieveiligheid hetgeen dat we willen bereiken en dit doen we door middel van het beveiligen van informatie, ofwel informatiebeveiliging. Door de vergaande mogelijkheden tot koppeling van informatie en gegevens wordt een goede beveiliging steeds belangrijker. Zeker als het gaat om privacygevoelige gegevens van burgers en bedrijven. De technologische ontwikkelingen volgen elkaar in rap tempo op. Met alle veiligheidsrisico s van dien. Daarnaast wordt het adequaat optreden bij digitale calamiteiten en het bewustzijn tot het optreden ervan zonder dat je het door hebt, vandaag de dag steeds belangrijker. Anno 2013 is informatiebeveiliging niet meer weg te denken uit de dagelijkse bedrijfsvoering (Efstratiades) Informatiebeveiliging, niet sexy wel onmisbaar Wat Efstratiades opvallend vindt, is dat er de laatste tijd steeds meer eigen verantwoordelijkheid in handelen van de burger zelf wordt verwacht. Dus niet meer lijdzaam toekijken, maar er zelf actief voor zorgen dat je data in veilige handen is en ervoor zorgen dat je de juiste soft- en hardware gebruikt bij zaken die je via het internet doet. Als overheidsorganisatie kun je hier zeker niet in achterblijven. Anno 2013 is informatiebeveiliging niet meer weg te denken uit de dagelijkse bedrijfsvoering van ieder zichzelf respecterende organisatie, aldus Efstratiades. Dat informatiebeveiliging belangrijk is, zal elke gemeente beamen. Maar er daadwerkelijk tijd en geld voor vrijmaken en er een plan voor opstellen, dat is andere koek. Vaak, nog in het recente verleden ziet men daar pas de noodzaak van in wanneer er een incident is opgetreden. De laatste jaren is hier, door een aantal grote incidenten, De technologische ontwikkelingen volgen elkaar in rap tempo op (Efstratiades) verandering in gekomen. Niet alleen is de IBD opgericht door en voor gemeenten op initiatief van de VNG en KING, ook is er op bestuurlijk vlak veel meer aandacht gekomen voor het onderwerp. Het is niet langer alleen maar een ICTonderwerp. En dat is een enorme en randvoorwaardelijke stap in de goede richting. Van Nieuwenborg: Dit hebben we onlangs kunnen zien bij alle ontwikkelingen rondom Windows XP. Waar op initiatief van de gemeenten Amsterdam, Den Haag, Rotterdam, Utrecht en Eindhoven (G5), in samenspraak met de VNG en de IBD een ondersteuningsovereenkomst is gesloten met Microsoft ten behoeve van alle decentrale overheden. Lees verder op pagina 4 en 5 Ook aansluiten bij de IBD? Kijk hiervoor op pagina 20!

2 2 Informatiebeveiliging in Beeld hans schild, gemeente Goes Keep it simple Goes - We reizen voor de tweede keer dit jaar af naar Zeeland. Eerder dit jaar vond namelijk de tweede regiobijeenkomst van de IBD Aansluiten bij de IBD in Goes plaats. Gastgemeente Goes opende toen haar deuren voor geïnteresseerde collega-gemeenten uit de regio. Gemeentesecretaris Hans Schild opende de bijeenkomst en vandaag spreken we opnieuw met hem over informatiebeveiliging en de gemeente Goes. Schild: Tijdens de regiobijeenkomst zijn een hoop ogen geopend. Een aantal medewerkers ging er kritisch naar toe, aan het einde van de rit was echter iedereen overtuigd en enthousiast om aan te sluiten bij de IBD. In het geval van informatiebeveiliging geeft de techniek vele mogelijkheden, hoe kunnen we daar nu met elkaar verstandige keuzes in maken? Daar hebben we die dag een volgende stap in kunnen zetten. Hans Schild is sinds 1 januari 2014 gemeentesecretaris van de gemeente Goes. Hiervoor was hij al ruim 4 jaar werkzaam bij de gemeente Goes. Hoe kijkt hij vanuit zijn rol als gemeentesecretaris aan tegen het onderwerp informatiebeveiliging? Schild: De overheid moet het toppunt van betrouwbaarheid zijn. We beschikken over gigantisch veel informatie en weten alles van iedereen, hierdoor zijn we erg kwetsbaar. Of het nu de gemeente, de rijksoverheid of de belastingdienst is, de overheid weet alles. Daar tegenover staat dat je voor 200% beveiligd moet zijn. Ontwikkelingen als de oprichting van de IBD en de VNG Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente vindt Schild goede initiatieven. Door de Resolutie Informatieveiligheid is het onderwerp op het collegeprogramma terecht gekomen. Hierdoor leeft het en doen we er ook echt iets mee. Ambtseed Bij deze verantwoordelijkheid horen privacybeschermende- en vei- stagiaires. Daarnaast heb je allerlei technische maatregelen en instrumenten nodig om te voorkomen dat er van buitenaf iets gebeurt, hier heb je beveiligingsprotocollen voor nodig en mensen die daar verstand van hebben. Schild vindt dat dit veel aandacht verdient en ook krijgt, zeker voor een relatief kleine gemeente als Goes. Je moet mensen hebben die zich hier verantwoordelijk voor voelen. Mensen moeten gestimuleerd worden. Het begint natuurlijk met, je hebt informatie, voel je verantwoordelijk om daar fatsoenlijk mee om te gaan. En bij onze rol als overheid is dit van groot belang. Werken voor de overheid = betrouwbaarheid Schild laat het collegeprogramma zien: informatieveiligheid staat er benoemd. En dat heb ik zelf niet eens tegen het college gezegd, dat besluit is genomen tijdens de college-onderhandelingen. Het valt onder het grotere begrip: veiligheid. Ja, we vinden het belangrijk, en ja, we willen dat mensen zich bewust zijn. Mensen die bij de overheid werken moeten zich daar verantwoordelijk voor voelen, meer dan wie dan ook. Werken voor de overheid = betrouwbaarheid. Indien dit niet het geval is, dan aarzelt de gemeente Goes ook niet om maatregelen te treffen. Je moet het willen Bewustwording is volgens Schild de sleutel tot succes als we spreken Het besef was er wel, maar dat de IBD het je gemakkelijk kan maken als gemeente wisten we nog niet over informatiebeveiliging. Bewustwording is het belangrijkste en daarnaast moet het ook uitgedragen worden. We moeten zorgvuldig omgaan met informatie en dit ook écht willen. Dit geldt ook voor de bijeenkomsten van de IBD, het belangrijkste is niet dát we gaan aansluiten, maar dat we het belangrijk vinden om er iets aan te doen. Een volgende stap is aansluiten bij de IBD. Als je voet aan de grond wilt krijgen, moet men het niet doen omdat de burgemeester het zegt, nee we moeten het zelf echt belangrijk vinden en ons verantwoordelijk voelen. Verantwoordelijkheid Schild is niet ontevreden over het bewustzijnsniveau binnen de gemeente Goes. Volgens hem is het bewustzijnsniveau na de regiobijeenkomst gegroeid binnen de organisatie. We moeten er wel constant aan blijven werken, mensen moeten zich betrokken voelen bij het wel en wee van onze inwoners. Vraag aan een willekeurig iemand of hij weet hoe hij met vertrouwelijke informatie moet omgaan, en hij/zij zegt ja. Vraag aan iemand of hij zich verantwoordelijk voelt voor het wel en wee van de inwoners en het antwoord is ja natuurlijk! Maar tegelijkertijd laat zo iemand ook weleens een dossier slingeren. En dat is nou juist dat stukje bewustzijn. 100% waterdicht krijg je het nooit, maar we kunnen wel ons best doen er zo dicht mogelijk bij in de buurt te komen. Maak het makkelijk De omgeving is een belangrijke factor, de medewerkers moeten het onderwerp informatiebeveiliging belangrijk vinden. Maak het daarom expliciet, bespreekbaar, investeer in bewustwording en maak het zo simpel mogelijk. Je moet niet teveel last hebben van de veiligheidsmaatregelen. Vanuit de beleidsmatige kant vindt Schild dit heel belangrijk. Schild: Ja, het is belangrijk, maar het moet ook in de uitvoering aanvaardbaar zijn. Je moet het kunnen doen. Zorg voor weinig lasten en veel draagvlak en Hans Schild bewustwording. Zorg dat medewerkers het benul hebben, ze mogen best iets op hun bureau hebben liggen, maar dit mag geen privacygevoelige informatie zijn. Kortom: Keep it simple! De vijf Bevelandse gemeenten Zorg voor weinig lasten en veel draagvlak en bewustwording Goes is aangesloten bij de IBD. We voelen ons verantwoordelijk. Binnen de organisatie zijn mensen aangewezen als vaste contactpersonen. Voor wat betreft de ICT-omgeving werken we samen met de vijf Bevelandse gemeenten: Borsele, Goes, Noord-Beveland, Kapelle en Reimerswaal. Die vijf gemeenten hebben een afstemmingsoverleg informatievoorziening. Alles wat er gebeurt op ICT- en softwaregebied is op elkaar afgestemd. Indien er nieuwe software of pakketten worden aangeschaft, dan doen we dat bij voorkeur met z n vijven. Zo hebben we ook alle vijf besloten om bij de IBD aan te sluiten, het was geen optie dat er vier wel aansloten en één niet. We zijn wel autonoom, uiteindelijk beslist elke gemeente zelf, maar we streven er naar dergelijke keuzes met elkaar te nemen. De overheid moet het toppunt van betrouwbaarheid zijn ligheidsmaatregelen, zodat er geen misbruik gemaakt kan worden van deze gegevens. De gemeente Goes hanteert strenge integriteitsregels. Iedere nieuwe medewerker dient een ambtseed af te leggen voor het college van B&W. Dit gebeurt ook echt met handopsteking en iedereen krijgt daarna een oorkonde mee. Op deze manier maken we het expliciet, zodat het ook door mensen gevoeld wordt. We doen dit bij al onze medewerkers, ook bij Goes Samen sterk Het was heel makkelijk om aan te sluiten bij de IBD! Twee dingen zijn hierbij belangrijk; bewustwording en je moet het willen. Indien dit het geval is, kun je er actief mee omgaan. Vervolgens organiseert de IBD een regiobijeenkomst bij de gemeente Goes, wat wil je nog meer! Als je dus iets wilt doen met informatiebeveiliging, sluit je dan aan bij de IBD! Samen staan we namelijk sterker. Tip van Schild: Organiseer het in huis; zorg voor bewustwording, maak mensen verantwoordelijk en bovenal: keep it simple!

3 Informatiebeveiliging in Beeld 3 jule hintzbergen, IBD De BIG; Hoe gaat u dat gemeentelijke varkentje wassen? Den Haag - De BIG, of voluit: de Baseline Informatiebeveiliging Nederlandse Gemeenten. De BIG is een set van beveiligingsmaatregelen die een goede basis voor het beveiligingsniveau voor gemeenten neerlegt. Daarnaast is er de operationele baseline met producten die gemeenten helpt met het invoeren/ implementeren van de set aan maatregelen uit de BIG. Zo is er een handzaam instrument (de GAP-analyse) waarmee gemeenten kunnen meten of ze in control zijn. Jule Hintzbergen is, als adviseur Informatiebeveiliging, nauw betrokken bij de ontwikkeling van deze BIG en de bijbehorende operationele producten. We spreken met hem over het onderwerp informatiebeveiliging en de, volgens hem belangrijkste vraag, waarom en hoe moet je als gemeente beginnen met de implementatie van de BIG? Hintzbergen is al 20 jaar werkzaam in het informatiebeveiligingsvak. Onder meer als CISO van een internationale organisatie, maar ook als onderzoeker en als schrijver van het boek Basiskennis informatiebeveiliging op basis van de ISO27001 en ISO Momenteel is Hintzbergen werkzaam voor de IBD, waar hij onder andere mede verantwoordelijk is voor het schrijven van de operationele producten van de BIG. Hoe kijkt hij vanuit deze positie aan tegen het onderwerp informatiebeveiliging? Informatieveiligheid versus informatiebeveiliging Hintzbergen: Informatiebeveiliging is naar mijn mening dat wat je moet doen om informatieveiligheid te bereiken. De Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID), die het woord informatieveiligheid heeft gekozen, omdat dit managers en bestuurders meer aanspreekt, Nut en noodzaak van de BIG is vooral het opleggen van een norm die voor alle gemeenten gelijk is en op die manier helpt om gemeenteland geheel veiliger te maken heeft hier goed aan gedaan. Het doel van een manager moet niet zijn het verhogen van de informatiebeveiliging. Je wilt als manager WET- EN REGELGEVING VOLDOEN AAN DE BASELINE BASELINE TOETS (0-METING) GAP ANALYSE IMPACTANALYSE INFORMATIE- BEVEILIGINGSPLAN T.O.V. DE BIG IMPLEMENTEREN MAATREGELEN BEWAKEN EN VERANTWOORDEN wél je informatieveiligheid verhogen, en het middel hiervoor is informatiebeveiliging. Strategische en Tactische Baseline De BIG is gebaseerd op de ISO 27001, de ISO en op de Baseline Informatiebeveiliging Rijksdienst (BIR). De IBD heeft hiervan een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt: de BIG. Deze BIG heeft twee varianten, een strategische én een tactische. Het verschil? De strategische variant bevat regels en aanwijzingen over het managen en het toewijzen van verantwoordelijkheden voor informatiebeveiliging. In de tactische variant staan de daarbij behorende maatregelen beschreven. Nut en noodzaak van de BIG STANDAARDEN EN NORMEN (ISO 2700X) STRATEGISCHE BASELINE GEMEENTEN TACTISCHE BASELINE GEMEENTEN OPERATIONELE BASELINE GEMEENTEN IB-PATRONEN Afgelopen jaren zijn er bij gemeenten een aantal incidenten op informatiebeveiligingsvlak opgetreden, waaruit is gebleken dat het basisbeveiligingsniveau bij veel gemeenten verschilt. Veel gemeenten hanteren niet dezelfde normen als het IT-SPECIFIEKE BEVEILIGINGS- PROCEDURES BIR FAMILIE GEMEENTELIJK BEVEILIGINGSBELEID GEMEENTELIJKE BEVEILIGINGS- STANDAARDEN GEMEENTELIJK BELEID AANVULLEND GEMEENTELIJK BEVEILIGINGSBELEID BEVEILIGINGS- PROCEDURES gaat om informatiebeveiliging. Nut en noodzaak van de BIG is vooral het opleggen van een norm die voor alle gemeenten gelijk is en op die manier helpt om gemeenteland Je gebruikt informatiebeveiliging om informatie passend te beschermen geheel veiliger te maken. Een kader dat voor alle gemeenten gelijk is en hetzelfde niveau van informatiebeveiliging nastreeft. Wanneer iedere gemeente deze BIG implementeert en naleeft, heb je een goed basisbeveiligingsniveau te pakken. Daarnaast heeft een gemeenschappelijke norm ook het voordeel dat, in het geval van Gemeenschappelijke Regelingen (GR) en andere samenwerkingsverbanden, altijd over hetzelfde gepraat wordt vanuit opdrachtgeverschap. In de Resolutie Informatieveiligheid is dit door gemeenten bekrachtigd. Jule Hintzbergen Met deze Resolutie Informatieveiligheid onderschrijft iedere gemeente het informatieveiligheidsbeleid vast te stellen aan de hand van de BIG. BIG-producten Om gemeenten bij de implementatie van de strategische en tactische BIG concreet te ondersteunen, zijn door de IBD, deels in samenwerking met de Taskforce BID, producten ontwikkeld op operationeel niveau. Hintzbergen: Met behulp van deze operationele producten kan iedere gemeente tot implementatie van de BIG overgaan. De operationele producten en templates van de BIG zijn stapsgewijs ontwikkeld en aangeboden aan gemeenten. Bovendien zijn ze samen met gemeenten ontwikkeld. We hebben aan gemeenten gevraagd welke producten zij als eerste willen ontvangen, uit deze uitvraag is een top 10 van producten gekomen. Inmiddels heeft de IBD zo n 30 producten ontwikkeld en online gezet. Al deze producten zijn bovendien steeds gereviewd door gemeenten voordat ze definitief zijn gemaakt. BIG-producten Benieuwd naar de hele lijst van producten? De producten zijn beschikbaar op de website van de IBD en in bewerkbaar format op de IBD-community. Aan de slag Hintzbergen merkt dat gemeenten moeite hebben om te starten met de implementatie van de BIG. Er moet ook veel werk gebeuren. Bij de ontwikkeling van de ondersteunende operationele producten heb ik voornamelijk gezien dat gemeenten worstelen met de hoe -vraag. De beste start die een gemeente kan maken, is inzicht krijgen in waar een gemeente nu al staat. Concreet betekent dit het uitvoeren van een nulmeting en een impactanalyse. Dit kan veel werk zijn, zeker als er binnen een gemeente veel applicaties draaien. Daarom kun je ook eerst starten met het bepalen van je essentiële systemen en daarmee beginnen. Dit betekent echter niet dat je de overige systemen niet meeneemt, die volgen daarna. Kortom, prioriteren en behapbaar maken. Met het resultaat van de impactanalyse kan een planning worden gemaakt en de verantwoordelijkheden worden belegd om ontbrekende maatregelen in te voeren. Vergeet niet om ook budget te reserveren als dat nodig is voor maatregelen die geld kosten. Vervolgens voer je dit plan uit, met een horizon van een jaar. In datzelfde jaar worden de overige systemen gecontroleerd ten opzichte van de BIG, zodat ook gewerkt wordt aan de planning van het jaar erop. Tenslotte benadrukt Hintzbergen dat de rol van het gemeentebestuur en het management hierbij erg belangrijk is. Zij dienen het onderwerp informatieveiligheid prioriteit Practise what you preach te geven en moeten dit ook uitdragen. Practise what you preach. Het management, het college van Burgemeesters en Wethouders (college van B&W) en het afdelingshoofd moeten zichzelf allemaal dezelfde vraag stellen: Hoe staat het met de informatieveiligheid van onze gemeente en binnen mijn proces en informatiesystemen? Informatiebeveiliging behoort een integraal onderdeel te zijn van de bedrijfsvoering en van de keuzes die het management maakt. Zorg dus te allen tijde voor commitment van het management en het bestuur, waarbij commitment dus ook het actief uitdragen van het beleid door het management inhoudt. En daarbij is nog veel belangrijker, zorg ervoor dat iedereen binnen de gemeente het niet alleen uitdraagt, maar zich ook bewust is van de risico s en hier dus naar handelt. De mens is en blijft de zwakste schakel, ook binnen een gemeente. Tips van Hintzbergen t.b.v. de implementatie van de BIG: kijk naar buurgemeenten, hoe zij het aangepakt hebben en oplossen. Je hoeft het wiel niet opnieuw uit te vinden, help elkaar. Net als de IBD op haar beurt gemeenten weer helpt en een platform biedt voor gemeenten om kennis uit te wisselen. Samen staan we sterker. Als het veel werk lijkt, knip het dan op in hapklare brokjes. Begin met de essentiële systemen, begin daarna aan de overige systemen. Maak een keuze uit de ontbrekende maatregelen en laat het management ermee instemmen, niet alle maatregelen moeten en kunnen morgen geïmplementeerd zijn. En de belangrijkste tip; Begin!

4 4 Informatiebeveiliging in Beeld Informatieveiligheid gaat uitera Vervolg van de voorpagina (Nausikaä Efstratiades en Anita van Nieuwenborg) Dit initiatief is geheel in lijn met de nauwe samenwerking die gemeenten al hebben bereikt op het vlak van informatieveiligheid en informatiebeveiliging. Een samenwerking die de afgelopen jaren steeds hechter is geworden. Een ander voorbeeld van zo n collectieve inspanning is de Resolutie Informatieveiligheid. Goed op weg? Zoals iedereen weet, heeft de IBD sinds januari 2013 haar deuren geopend. De IBD is er voor alle gemeenten en heeft drie concrete doelen. Hierbij staan kennisontwikkeling, kennisdeling en kennisvermeerdering op het vlak van informatiebeveiliging bij gemeenten centraal: 1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. Het leveren van integrale coördinatie en concrete ondersteuning op ge- De IBD is er voor alle gemeenten en heeft drie concrete doelen (Efstratiades) meente-specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging en 3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de gemeentelijke praktijk van alle dag naar een hoger plan te tillen. Om deze doelen naar behoren te kunnen vervullen, werkt de IBD nauw samen met organisaties die gelijke doelen nastreven. De IBD werkt als ketenpartner samen met het Nationaal Cyber Security Centrum (NCSC), om gemeenten specifiek te kunnen ondersteunen in geval van incidenten en crisissituaties op informatiebeveiligingsvlak. Het NCSC draagt bij aan het gezamenlijk vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein en daarmee aan een veilige, open en stabiele informatiesamenleving door het leveren van inzicht en het bieden van handelingsperspectief. De IBD doet dat voor alle gemeenten. Gemeenten zijn op dit vlak voortvarend aan de slag gegaan, ze nemen hun verantwoordelijkheid op informatieveiligheidsvlak, als individuele organisaties en als overheidslaag. Niet alleen is 2013 het jaar van de oprichting van de IBD, ook is de eerder genoemde Resolutie Informatieveiligheid door gemeenten bekrachtigd, aldus Efstratiades. De IBD heeft een regie en ondersteunende rol in geval van informatiebeveiliging bij gemeenten. Uiteraard ligt de verantwoordelijkheid voor informatiebeveiliging primair bij de gemeente(n) zelf. Dit is ook vastgelegd in de Resolutie Informatieveiligheid. Hierin onderschrijft iedere gemeente informatiebeveiligingsbeleid vast te stellen aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De gemeentelijke verantwoordelijkheid op informatiebeveiligingsvlak strekt zich uiteraard ook uit tot de overheids- en private ketens waaraan gemeenten deelnemen. Mede reden waarom de IBD deelneemt aan het Nationaal Respons Netwerk (NRN). Hierdoor kan er bij toekomstige grootschalige cyber security-incidenten snel en effectief worden gereageerd door kennis en capaciteiten van de verschillende publieke en private partners te bundelen. Een varkentje dat gewassen moet worden Om een stevig fundament te leggen op informatiebeveiligingsgebied heeft de IBD hard gewerkt en een aantal mijlpalen bereikt. Zo hebben we begin 2013 de BIG ontwikkeld. De BIG is een direct afgeleide van de Baseline Informatiebeveiliging van het Rijk (BIR). De BIG kent twee varianten, een strategische- én een tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgaan. Bestuur en management hebben met deze baseline een instrument in handen Ik denk dat we gezamenlijk al veel bereikt hebben in een hele korte tijd, maar er is nog een hoop te doen. We kunnen alles nog zo goed beveiligen, maar als we er zelf niet naar handelen heeft dit geen enkel nut. Het bij alle medewerkers verhogen van het bewustzijn op informatiebeveiligingsvlak is dus van cruciaal belang. Dit is lastig, met techniek kun je iets makkelijk oplossen en het resultaat is meetbaar, bewust- Hierdoor kan er bij toekomstige grootschalige cybersecurityincidenten snel en effectief worden gereageerd (Efstratiades) waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. En dat is belangrijk aldus Van Nieuwenborg. Om de implementatie van de strategische- en tactische Baseline te ondersteunen, zijn door de IBD producten ontwikkeld op operationeel niveau. Deze producten zijn samen met de Taskforce BID en een groot aantal betrokken gemeenten vervaardigd en vertegenwoordigers van deze gemeenten hebben de producten gereviewd. Met de totstandkoming van de BIG is een belangrijke stap voorwaarts gezet op het vlak van informatiebeveiliging binnen de gemeentelijke markt. Jule Hintzbergen geeft een interview in deze krant (zie pagina 3) over de BIG en hoe u als gemeente een start kunt maken met de implementatie ervan. Op pagina 10 neemt gemeente Súdwest-Fryslân u mee in het verhaal hoe zij een gemeentelijk informatiebeveiligingsbeleid hebben opgesteld en hieruit een top 10 aan BIG-producten hebben opgesteld. Sinds augustus 2013 zitten we als IBD in de fase waarin de gemeenten officieel aan kunnen sluiten bij de IBD, zodat we gemeenten ook bij gemeente-specifieke incidenten kunnen ondersteunen. Van onbewust en onbekwaam naar bewust en bekwaam Informatiebeveiliging en zeker informatieveiligheid gaat uiteraard vooral om bewustwording, vervolgt Efstratiades. We leveren natuurlijk veel producten en praktische diensten, maar we willen het onderwerp ook bestuurlijk op de agenda zetten. Informatiebeveiliging wordt vaak gezien als een ICT-feestje, iets technisch, maar er zit ook een belangrijke menselijke kant aan (digitale) veiligheid. Daar is men zich steeds meer bewust van. Zo is er sinds februari 2013 een speciale Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID). Deze richt zich op bestuurders van alle overheidslagen, met als doel om uiteindelijk te komen tot een vorm van verplichtende zelfregulering per overheidslaag, als het gaat om informatieveiligheid. We werken als IBD nauw samen met de Taskforce BID. En natuurlijk ook met andere partners als de Nederlandse Vereniging voor Burgerzaken (NVVB), de Vereniging Directeuren Publieksdiensten (VDP), de Vereniging van Gemeentesecretarissen (VGS) en het Centrum voor Informatiebeveiliging en Privacy (CIP) om zo gezamenlijk initiatieven te ontplooien om kennisontwikkeling, kennisdeling en kennisvermeerdering te bevorderen. De IBD heeft, samen met de Taskforce BID, samenwerkingsovereenkomsten afgesloten op het vlak van informatieveiligheid.

5 Informatiebeveiliging in Beeld 5 ard vooral om bewustwording zijn creëren is veel complexer. Je kunt sloten op de deur zetten, maar als we vergeten de deur op slot te doen, maken we het de inbreker wel heel gemakkelijk. antwoorden op deze vragen zijn makkelijk te vinden op social media, waardoor het hacken van iemands wachtwoord makkelijk en snel gedaan is (Van Nieuwenborg) Van Nieuwenborg haakt hierop in: Gezien de aard van dit onderwerp ben je met bewustwording ook nooit klaar. Het is natuurlijk prachtig dat we thuis kunnen werken, digitaal informatie kunnen versturen vanaf elke locatie en dat we onze ipad mee kunnen nemen naar het werk, maar het gevolg is wel dat cybercriminaliteit hiermee andere vormen aanneemt. Het bij medewerkers verhogen van dit bewustzijn op informatiebeveiligingsvlak is van cruciaal belang. Een voorbeeld; we zetten alles maar op internet, niet beseffend dat al deze informatie opgeslagen wordt en zichtbaar is voor iedereen. Bijvoorbeeld de geheime vraag die je krijgt bij veel instanties, in het geval je je wachtwoord vergeten bent. Vragen als wat is de meisjesnaam van je moeder? en wat is de naam van je eerste huisdier?, antwoorden op deze vragen zijn makkelijk te vinden op social media, waardoor het hacken van iemands wachtwoord makkelijk en snel gedaan is. Aansluiten bij de IBD, gaat dat niet vanzelf? als IBD gestart met het officieel aansluiten van gemeenten bij de IBD. Dit doen we onder meer door middel van het organiseren van diverse regiobijeenkomsten in het hele land om gemeenten aan te sluiten. Zo n aansluiting betekent enerzijds dat gemeenten een aantal zaken dienen in te richten om de IBD-dienstverlening af te kunnen nemen. Anderzijds dat de IBD concrete informatie nodig heeft van gemeenten om gericht te kunnen handelen. Tijdens deze regiobijeenkomsten nemen we gemeenten mee in het aansluitproces en de bijbehorende dienstverlening van de IBD. Bovendien kunnen gemeenten stap 1 en 2 van het aansluitproces ter plekke doorlopen. Als u voor uzelf en omringende gemeenten een IBD-aansluitbijeenkomst wilt organiseren, dan kan dat uiteraard ook. U kunt hiervoor contact opnemen met onze helpdesk en wij komen graag naar u toe! Van Nieuwenborg vervolgt: De IBD heeft bij haar oprichting verschillende doelen meegekregen om informatiebeveiliging bij gemeenten naar een hoger plan te tillen. Randvoorwaardelijk hieraan is de inrichting van een Computer Emergency Response Team (CERT) om zo preventie, detectie en coördinatie van informatiebeveiligingsincidenten binnen de gemeentelijke overheid mogelijk te maken. De IBD heeft net als haar ketenpartner het NCSC een CERT-functie. Gemeenten ontvangen vanuit deze CERT, standaard de generieke dienstverlening van de IBD. Voor specifieke dienstverlening vanuit de IBD is het noodzakelijk dat de IBD-CERT bepaalde gemeentespecifieke gegevens ontvangt, dit noemen we officieel aansluiten bij de IBD. Door deelname van de IBD aan het Nationaal Respons Netwerk (NRN) kan er bij toekomstige grootschalige cybersecurityincidenten snel en effectief worden gereageerd. Mede doordat kennis en capaciteiten van de verschillende publieke en private partners hierin gebundeld zijn. 2017, alle overheidsdienstverlening digitaal? Vanuit de visie Digitale overheid 2017 van minister Plasterk moet in 2017 de overheid volledig digitaal zijn. Gezien deze visie mag dan het onderwerp informatiebeveiliging niet meer ontbreken op de gemeentelijke bestuursagenda. Om dit te bereiken is het doel om alle gemeenten in 2014 aan te sluiten bij de IBD. Een groot deel van de verantwoordelijkheid daarvoor ligt bij de gemeenten zelf uiteraard. Deze verantwoordelijkheid is vastgelegd in de Resolutie Informatieveiligheid. Alle gemeenten hebben als collectief de handen ineengeslagen voor de oprichting van de IBD. Laten we dan ook met elkaar het onderwerp op de bestuurstafel houden. Zo kunnen de fundamenten van de IBD stevig worden verankerd en kan gerichte dienstverlening stap voor stap effectief worden ingevuld. Op die manier kunnen we aangesloten gemeenten zo snel als mogelijk bereiken bij incidenten en anderzijds ontvangen deze gemeenten de informatie als eerste. Kortom, bent u als gemeente nog niet aangesloten bij de IBD? Dan bij dezen de oproep voor al deze gemeenten om zich te melden bij onze helpdesk. Sluit u als gemeente dus snel aan bij de IBD wanneer u dit niet al gedaan heeft! Samen staan Anita van Nieuwenborg we immers sterk als het gaat om informatiebeveiliging. Van Nieuwenborg: Het moge duidelijk zijn, we hebben met elkaar nog een behoorlijke klus te klaren. We weten dat 100% veiligheid niet bestaat. Niet in de fysieke wereld, maar ook niet in de digitale wereld. Maar als de IBD zorgt voor de dienstverlening om u als gemeente de juiste ondersteuning te kunnen bieden, en u er voor zorgt dat u niet de zwakste schakel bent, komen we een eind in de goede richting! Overzicht van de stappen in het aansluitproces stap 1 stap 2 stap 3 stap 4 Zoals ik net heb aangegeven, is de IBD er voor alle gemeenten, aldus Efstratiades. Zo heeft de IBD een helpdesk waar gemeenten al hun vragen over informatiebeveiliging kunnen stellen én een community waar, door en tussen gemeenten, kennis en ervaring op informatiebeveiligingsvlak kan worden uitgewisseld. Wanneer een gemeente echter ook op gemeente-specifiek vlak ondersteund wil worden door de IBD, heeft de IBD een algemene en een vertrouwde contactpersoon nodig en ook concrete input over de gemeentelijke ICT-omgeving. Hiervoor is het noodzakelijk dat elke gemeente zich officieel aansluit bij de IBD. Aansluiten bij de IBD is overigens niet alleen noodzakelijk voor gemeente-specifieke ondersteuning op informatiebeveiligingsvlak. Het is tevens onmisbaar om regie te houden binnen de gemeentelijke overheid op (potentiële) incidenten op informatiebeveiligingsvlak. In 2013 zijn wij Wat moet een gemeente doen? Wat krijt de gemeente? Aanstellen ACIB (aanstellen van een Algemene Contactpersoon Informatiebeveiliging (ACIB)) IBD aansluitformulier ACIB invullen Incident proces inrichten Waarschuwingen en informatie met een niet vertrouwelijk karakter over algemene bedreigingen en incidenten Mogelijkheid om incidenten te melden bij de IBD Aanstellen VCIB (aanstellen van een Vertrouwde Contactpersoon Informatiebeveiliging (VCIB)) IBD aansluitformulier VCIB invullen inclusief handtekening gemeentesecretaris of burgemeester Waarschuwingen en informatie met een vertrouwelijk karakter over mogelijke bedreigingen en incidenten Mogelijkheid om incidenten waarbij ook vertrouwelijke gegevens worden uitgewisseld, te melden bij de IBD Doorgeven IP-adressen en URL s Lijst met gemeentelijke IP-adressen en URL s invullen Waarschuwingen over mogelijk geïnfecteerde systemen Aanleveren gemeentelijke ICT-foto De lege foto invullen Configuratiemanagement en patchmanagement proces inrichten IBD kwetsbaarheidswaarschuwingen op maat over mogelijke kwetsbaarheden in hard- en software

6 6 Informatiebeveiliging in Beeld Piet woudt, gemeente houten Ik wil alles van je weten Houten Ik wil alles van je weten, zo heet de workshop Informatiebeveiliging en Social Engineering van Piet Woudt, senior adviseur Informatiemanagement van de gemeente Houten. Woudt is verantwoordelijk voor de integrale aanpak van zowel de digitale als de fysieke veiligheid binnen de gemeente Houten. Zicht op kwetsbaarheid is ruimte voor informatieveiligheid (Gemeentesecretaris Houten, Henny den Bieman) Piet Woudt In de hal van het gemeentehuis worden wij opgehaald door Woudt, waarna we door een beveiligde deur, waar je alleen doorheen kunt met een veiligheidsbadge, de werkruimten van de gemeente bereiken. Hier spreken we met Woudt over informatiebeveiliging en de bewustzijnscampagne die de gemeente Houten heeft ontwikkeld voor al haar medewerkers. Actief aan de slag De gemeente Houten is al geruime tijd actief aan de slag met het onderwerp informatiebeveiliging. Woudt: Ook voor Lektober waren we als gemeente al bezig met informatiebeveiliging. We hebben een vereniging van 49 gemeenten die samenwerken op het gebied van gemeentelijke websites, TY- PO3gem. In het kader van deze samenwerking heeft Woudt destijds een workshop over informatiebeveiliging georganiseerd. Dit was in september 2011, een maand voor Lektober, we hebben toen als gemeenten onderling al gezegd informatiebeveiliging is belangrijk, laten we onze kennis op dit vlak met elkaar delen. We hebben deskundigen ingehuurd om tijdens een workshop te vertellen wat de gemeenten vooral zelf kunnen doen om de eigen websites goed te beveiligen. Wat dat betreft was het bij Lektober niet zo schrikken voor de gemeente Houten. De gemeente had haar beveiliging al aardig op orde. Die workshop was voor mij dé inspiratie voor het maken van een draaiboek voor de workshop Informatiebeveiliging en Social Engineering met de pakkende naam: Ik wil alles van je weten. Informatiebeveiliging moet gedragen worden Het doet heel veel als het management en het college inzien hoe belangrijk informatieveiligheid is en dit ook zelf uitdragen. De gemeente Houten heeft een beveiligingsadviescommissie (BAC), die bestaat uit mensen van de verschillende afdelingen binnen de organisatie. De burgemeester is de voorzitter en de commissie fungeert als adviseur van het college. Een voordeel hiervan is dat zij regelmatig overleg hebben en veel zaken integraal kunnen oppakken. Hierdoor krijgt het onderwerp continue aandacht en leeft het ook echt binnen de organisatie. We hebben korte lijnen en kunnen snel overleg inplannen. Dit alles heeft te maken met het feit dat er al langere tijd afstemming en vertrouwen is op dit gebied. Het onderwerp informatiebeveiliging staat structureel op de agenda en krijgt hierdoor dagelijks aandacht. De rol van de burgemeester en van de gemeentesecretaris zijn hierbij erg belangrijk. Je wilt uiteraard als gemeente naar je burgers toe je verantwoordelijkheid kunnen nemen. Uiteraard kun je geen 100% garantie geven, maar je kunt wel je uiterste best doen. Bewustzijn is een randvoorwaarde Volgens Woudt begint het allemaal bij bewustzijn. Bewustzijn is één van de eerste voorwaarden als het gaat om informatiebeveiliging. Daar doen we dan ook binnen de gemeente Houten heel veel aan. Het is belangrijk te (laten) realiseren dat iedereen binnen de gemeentelijke organisatie verantwoordelijk is voor de privacy van onze burgers. De workshop is een belangrijk instrument bij de totstandkoming van die bewustwording, deze geven we onder andere op de Houten Academie. Op een gegeven moment hebben we bedacht om iets aan bewustwording te doen door middel van workshops. Dit is toen in het beveiligingsplan opgenomen en zo zijn we aan de slag gegaan. Met deze workshops willen we werknemers binnen de gemeente bewust maken van de dagelijkse risico s waar zij mee te maken hebben en delen we kennis en vaardigheden met elkaar. Het bewustzijn binnen de gemeente is daardoor absoluut toegenomen. Beïnvloedingstechnieken Henny den Bieman en Piet Woudt Zoals Woudt eerder aangaf inspireerde met name het onderwerp Social Engineering hem. Hoe worden wij als mens nou beïnvloed? Daar is hij zich verder in gaan verdiepen. Je hebt zes beïnvloedingstechnieken. Deze worden vooral door verkopers gebruikt, maar diezelfde technieken worden ook door cybercriminelen gebruikt. Hoe verleiden zij jou om een bepaalde handeling te doen? Hier heeft Woudt zijn workshop omheen gebouwd. Het is een interactieve workshop waarbij we met de groep in gesprek gaan. Alles wat we gebruiken komt terug in hun huidige omgeving. Een van de meest onveilige zaken, maar iets wat we wel dagelijks gebruiken, is bijvoorbeeld . Een prachtig voorbeeld hiervan, gisteren binnengekregen, is een van het ministerie van Justitie, dat ik nog een boete heb openstaan. Dit was uiteraard niet het geval, zegt Woudt glimlachend, maar een voorbeeld van een phishingmail. Een spiegel voorhouden Wat we vooral terugzien is sociale bewijskracht; we letten op anderen om ons eigen gedrag aan te spiegelen. Een voorbeeld: je loopt over straat en er staat een groepje mensen omhoog te kijken. Dan is het onmogelijk om niet automatisch ook omhoog te kijken. Zo werkt het met niet anders. Op het moment dat je een link toegestuurd krijgt van een bekende instantie, ga je er sneller op in dan bij een onbekende instantie. Dus als hackers erin slagen om je contactpersonen te pakken te krijgen en vanuit hen een versturen, zal je hier sneller in trap-

7 Informatiebeveiliging in Beeld 7 Samen staan we sterker en zijn we verantwoordelijker (Gemeentesecretaris Houten, Henny den Bieman) pen. Ik eindig de workshop altijd met een phishing- test. Mensen krijgen dan een tiental schermen te zien, waarbij ze moeten aangeven of het echt is of fake. De s zijn soms zo identiek aan elkaar dat het met het blote oog bijna onmogelijk is om te zien of het echt of nep is. Elke dag gehackt Naast het geven van de workshop heeft gemeente Houten zelf vele andere maatregelen getroffen om haar systemen veilig te houden. Zo hebben ze een abonnement op een systeem, een Saas-dienst, dat dagelijks hun gemeentelijke websites probeert te hacken. Hiermee laat de gemeente iedere dag testen of hun website en firewall gehackt kunnen worden. Dit geeft geen 100% garantie maar het helpt enorm dat je op de bekende beveiligingslekken continu wordt getest. Zodra er iets is, krijgt Woudt een . Dit kan op twee manieren ontstaan, iemand doet iets waardoor er een lek ontstaat, of iemand probeert binnen te komen. Tevens heeft gemeente Houten diverse gradaties in de toegang tot het WiFi-netwerk. Zo hebben gasten beperkte toegangsrechten en kunnen zij maximaal een half uur inloggen en hebben werknemers weer andere toegangsrechten dan raadsleden. Kroonjuwelen De gemeente Houten werkt op het gebied van informatiebeveiliging samen met andere gemeenten. Woudt: Zo is iedere gemeente in de regio aan het kijken naar zijn of haar kroonjuwelen op informatiebeveiligingsvlak die we kunnen Bewustzijn van risico s levert begrip op voor gebruiksonvriendelijke beveiligingsmaatregelen (Gemeentesecretaris Houten, Henny den Bieman) Houten uitwisselen. De workshop kan een kroonjuweel van Houten zijn. Het is een kant en klaar product dat wij op de plank hebben staan en waarmee iedere gemeente aan de slag kan gaan om het bewustzijn te verhogen. Andere gemeenten hebben weer andere dingen, zo wisselen we onze kroonjuwelen uit en hoeven we niet allemaal opnieuw het wiel uit te vinden. De eerste stappen in een gemeentelijke samenwerking zijn hiermee gezet. De IBD vervult hierin een goede voortrekkersrol. Spannend, maar toch heel gewoon Woudt vindt de oprichting van de IBD een erg goed initiatief: Informatiebeveiliging moet op de lange termijn iets natuurlijks gaan worden. Het moet in onze genen gaan zitten. Met de snelle technologische ontwikkelingen in deze tijd is het in het begin allemaal heel spannend, om vervolgens heel gewoon te worden. Denk bijvoorbeeld aan mobiel bereikbaar zijn, dit hoort inmiddels bij ons leven. Zo moet het ook zijn, dat wanneer we het hebben over een systeem, we automatisch nadenken over de beveiliging ervan. En daar kan de IBD een grote rol in spelen! Net als in de onderlinge samenwerking en uitwisseling van kennis en ervaring op dit vlak. Handen ineen slaan Het is goed dat wanneer er zich landelijk een groot incident of belangrijke zaken voordoen, we de handen ineen kunnen slaan, zoals Delen is het nieuwe hebben (Gemeentesecretaris Houten, Henny den Bieman) bijvoorbeeld bij Windows XP. Het is belangrijk om informatiebeveiligingszaken gezamenlijk op te pakken en zo ook gezamenlijk tot een oplossing te komen. Er kunnen zich situaties voordoen die boven de macht van individuele gemeenten liggen. Het is prettig om dan ondersteuning te hebben. Uiteraard blijf je zelf altijd verantwoordelijk als gemeente. We zijn met veel dingen bezig als gemeenten, maar iedereen kan dingen over het hoofd zien. De IBD is er dan om gemeenten hiervan bewust te maken. Een partij om rekening mee te houden Als we de krachten bundelen staan we veel sterker. Daarom moeten gemeenten ook officieel aansluiten bij de IBD wat mij betreft. Om dezelfde reden hebben wij ons als gemeente Houten met TYPO3 verenigd. Met 49 gemeenten vertegenwoordigen we 2.2 miljoen inwoners. Dan ben je een partij om rekening mee te houden. Wanneer de IBD een actie uitzet, zoals met Microsoft kun je zeggen als IBD vertegenwoordigen wij alle gemeenten, dan ben je een heel andere partij dan wanneer je dit als individuele gemeente doet. Hierdoor heb je een heel andere onderhandelingspositie, ook richting leveranciers. Tips van Woudt t.b.v. bewustzijnsopbouw met betrekking tot informatiebeveiliging: Denk niet dat één cursus of workshop voldoende is. Je moet met enige regelmaat hier aandacht voor vragen. Probeer elke 3 maanden je medewerkers ergens mee te prikkelen als het gaat om informatiebeveiliging. Al is het maar een artikel op intranet. En de belangrijkste: Houd het levend! Wanneer men zich bewust is van de risico s kijkt men anders naar het onderwerp.

8 8 Informatiebeveiliging in Beeld Alexander meijer, gemeente De ronde venen Informatie is een grondstof waarmee we werken De Ronde Venen We hebben als gemeente zoveel vertrouwelijke informatie, administratie en documenten in ons steeds digitaler wordende archief. We kunnen niet anders dan digitale veiligheid hoog op onze gemeentelijke agenda plaatsen. Informatieveiligheid, is een belangrijk onderwerp voor Alexander Meijer, gemeentesecretaris van De Ronde Venen. Meijer is tevens lid van het Landelijk Overleg van Coördinerend Gemeentesecretarissen (LOCGS). We gaan met hem in gesprek over veiligheid en de plaats die het onderwerp inneemt in zijn dagelijks werk als gemeentesecretaris. Meijer: Inwoners verwachten een bepaalde mate van zekerheid en wij dienen die zekerheid vanuit de overheid ook te bieden. Onze gemeentelijke dienstverlening gaat steeds vaker via de digitale weg en heel veel van de gegevens die bij ons belegd zijn zitten ook weer in digitale systemen, zoals persoonsgegevens of bankgegevens. Bovendien is het zo dat veel van onze fysieke infrastructuur, denk aan bruggen, sluizen et cetera, ook allemaal digitaal geregeld is. Als deze systemen gehackt worden, is alles ontregeld. Informatie kan gezien worden als een soort grondstof waarmee we werken. Als overheid zijn we een uitvoeringsinstituut. Dat gebeurt op basis van informatie en aan die informatie zit dus ook een bepaalde integriteitswaarde. Alles moet op een bepaalde manier beveiligd zijn en de betrouwbaarheid van de overheid, zowel feitelijk als in perceptie, hangt hier uiteraard weer vanaf. Vroeger zette je de papieren dossiers achter slot en grendel en dat was genoeg. Nu is de vraag complexer, hoe borg je nu de juistheid en volledigheid van die gegevens in je organisatie, maar ook in de verwerking van je gegevens? Informatiesamenleving Waarom is het voor een gemeente zo belangrijk om je informatiebeveiliging op orde te hebben? De Ronde Venen Meijer: Het eerste punt wat hierbij van belang is, is de positie van veiligheid. Hiermee doel ik op de wijze waarop de inwoners naar de overheid kijken. Als tweede gaat het uiteraard om integriteit, en als derde draait het om de vertrouwelijkheid van onze gegevens. Het is Er zit een directe link tussen vertrouwelijkheid en beschikbaarheid niet de bedoeling dat die gebruikt worden voor verkeerde dingen of simpelweg gaan rondslingeren. In die zin schuift het ook steeds meer op naar een onderwerp wat onderdeel moet uitmaken van de HR-cyclus. Want ook voor de personen die met deze informatie werken geldt, hoe betrouwbaar zijn die eigenlijk? Voor zijn rol als lid van de Landelijke Operationele Staf (LOS), is Meijer vooraf gescreend. Ik vind het heel normaal dat dit gebeurt. Dat is binnen onze gemeentelijke organisaties nog niet een standaard iets, maar het is wel belangrijk. Zo weet men dat ik betrouwbaar ben. Nu is het voor de lokale overheid misschien niet gebruikelijk om mensen die met dergelijke informatie te maken hebben te screenen, maar dit zal steeds normaler worden. Beschikbaarheid van informatie Wat ik heel belangrijk vind aan het onderwerp informatieveiligheid is dat het gaat over de beschikbaarheid. Aan de ene kant is de informatie vertrouwelijk, maar tegelijkertijd zijn wij als gemeente een organisatie die heel veel informatie beschikbaar moet stellen. Dus er zit een directe link tussen enerzijds de vertrouwelijkheid en anderzijds de beschikbaarheid van de informatie. Hier zit veel spanning op. Dat noemen ze dataclassificatie en dat staat soms weer op gespannen voet met de Wet openbaarheid van bestuur. Die openbaarheid stelt vervolgens ook weer eisen aan betrouwbaarheid en die betrouwbaarheid stelt weer eisen aan beschikbaarheid. Kortom, dat is eigenlijk niet te doen. Het gaat niet alleen over het wel of niet beschikbaar zijn van die data, maar heb je ook de ICT-voorzieningen die dat mogelijk maken? We werken met heel veel verschillende leveranciers en applicaties, die continu gegevens met elkaar uitwisselen, 7 dagen per week, 24 uur per dag. Werkt de koppeling tussen die verschillende organisaties wel vlekkeloos? Werken de verbindingen wel optimaal? Enerzijds gaat het dus over de betrouwbaarheid van de overheid en wat je eigenlijk elke dag weer moet bewijzen en anderzijds is er ook een operationele verantwoordelijkheid voor mij als gemeentesecretaris. Breed vraagstuk Zoals het eigenlijk bij alle dingen gaat, gaat het ook hier eerst om bewustwording, dan om inspiratie en daarna komen mensen in beweging. Dus maak mensen bewust van wat er speelt, inspireer ze door te laten samenwerken en houd het met elkaar in beweging door te zorgen dat je het niet bij het oude laat. Daarbij benadrukt Meijer ook dat je de onderwerpen informatieveiligheid en beveiliging in totaliteit moet beschouwen, kortom als een concern-breed vraagstuk. De ene keer heb je het over informatiebeveiliging vanuit de echte softwarekant en de andere keer vanuit de hardwarekant. Wij koppelen Het gaat eerst om bewustwording, dan om inspiratie en daarna komen mensen in beweging het aan het veiligheidsoverleg en in dit overleg wordt zowel de informatieveiligheid als de fysieke veiligheid en beveiliging van het pand besproken. Doordat Meijer een intern veiligheidsoverleg heeft staat het onderwerp structureel op de agenda. Meijer: Daar komt nog bij dat wij als gemeente een gebied zijn met slappe grond, dus wij hebben hier veel veen en daardoor ook regelmatig stroomstoringen. Hierdoor hebben wij een oplossing moeten bedenken voor als er een stroomstoring is, Alexander Meijer zodat we de stroomstoringen snel kunnen herstellen. Als de stroom namelijk te lang is uitgeschakeld, heb je drie dagen nodig om alles weer opnieuw op te starten. Dat is te kostbaar. De gemeente de Ronde Venen heeft daarom geïnvesteerd in een groot vast nood aggregaat en een verplaatsbare aggregaat, om er voor te zorgen dat zij zelfvoorzienend is als de stroom uitvalt en zij als gemeente hier geen last van heeft. Gelegenheidsdief Meijer vindt het ook belangrijk om aan te geven dat het niet alleen om digitale informatie gaat, maar ook om fysieke informatie en vooral ook om de manier waarop mensen met elkaar praten in het openbaar of bij bijeenkomsten. Het onderwerp is natuurlijk veel breder dan dat. Voor mij gaat het om het geheel, eerst vanuit bewustwording en daarna moet je inzoomen op specifieke groepen waar de meeste risico s zijn. Organisatorisch, fysiek en ook digitaal. Je hebt alles nodig om er goed Test uw Horizontaal 1. Bescherming van informatie 2. Besturingssysteem 3. Systematische reeks bewerkingen 4. Communicatie in crisissituaties 5. Vervelende gebeurtenis 6. Vereniging van Nederlandse Gemeenten (afk.) 7. Strategische en tactische variant van de 8. Preventie mededeling Verticaal 9. Computer Emergency Response Team (afk.) 10. Een gemeenschap 11. Subjectieve reflectie op indrukken uit de buitenwereld 12. Soort motie 13. Baseline Informatiebeveiliging Nederlandse Gemeenten (afk.) 14. Internet Protocol (afk.) 15. Vertrouwde Contactpersoon Informatiebeveiliging (afk.) 16. Een document waarin de planning is vastgelegd Lees de oplossing op pagina 11

9 Informatiebeveiliging in Beeld 9 naar te kijken. Wanneer je thuis je huis beveiligt, kun je hiermee een inbraak niet voorkomen, maar je kunt het een gelegenheidsdief wel lastiger maken. Daarmee kun je 80% tot 90% van je risico s beperken, 100% veilig lukt nooit. We zullen moeten accepteren dat er altijd een risico aanwezig is. Landelijke voorziening Meijer vindt de oprichting van de IBD erg belangrijk. Je moet landelijke voorzieningen hebben die het onderwerp informatiebeveiliging namens kleine-, middelgrote- en grote gemeenten gezamenlijk en daarmee efficiënter en effectiever kunnen organiseren. Hiermee lijk je autonomie in te leveren maar op die manier kun je tegelijkertijd beter je werk doen en als gemeente een veel hogere kwaliteit, tegen Niemand wil risicoloos leven lagere kosten bieden. Die kosten zijn weer gemeenschapsgeld dus eigenlijk ben je als gemeente verplicht om tegen zo laag mogelijke kosten te werken met een zo hoog mogelijke kwaliteit. En dat doe je bijvoorbeeld door aan te sluiten bij en samen te werken met de IBD, die als landelijke voorziening haar belofte waarmaakt, aldus Meijer. Risicoloos leven Aansluiten bij de IBD is volgens Meijer, net als de Resolutie Informatieveiligheid, Een randvoorwaarde voor een professionele organisatie. En ik wil graag in een professionele organisatie werken, waar ik trots op kan zijn en waar ik de beloften en verwachtingen van inwoners, kan waarmaken. Ik vind dat gemeenten het verplicht zijn aan hun inwoners. Indien een gemeente besluit om daar verminderde aandacht voor te hebben, dan moeten zij dat zelf uitleggen, daar zijn zij verantwoordelijk voor. En in dit geval geldt better safe than sorry en tegelijkertijd ook wel de realiteit inzien dat je niet 100% risicoloos kunt zijn. Maar dat wil je ook niet, niemand wil risicoloos leven. Toch? Aansluiten bij de IBD Informatieveiligheid en beveiliging is onderdeel van houding en gedrag en dat geldt voor iedereen: bestuurders, raadsleden, leidinggevenden en medewerkers. Tevens verwachten we dit ook van onze ketenpartners en zij weer van ons. Alle gemeenten moeten dus aangesloten zijn bij de IBD, want we dragen allemaal bij aan die Routine geeft minder bloedverlies landelijke voorziening. Natuurlijk, het kost wel tijd en energie. Medewerkers bij ons pakken het met elkaar op. Ik ben nog geen enkele gemeenteambtenaar tegengekomen die niet gemotiveerd is door dit onderwerp. Je bent er als gehele organisatie verantwoordelijk voor dat je betrouwbaar overkomt. Kortom, sluit je aan bij de IBD! Tip van Meijer: Informatieveiligheid is geen sexy onderwerp en op het eerste oog misschien zelfs geen politiek onderwerp. Maar als er iets fout gaat, wordt het opeens wel een politiek relevant onderwerp. Dan is de vraag wat je er in de tussentijd aan gedaan hebt. Dit moet je zien te voorkomen. Doe in ieder geval datgene wat binnen de mogelijkheden ligt, om er wel aandacht aan te besteden. En zoals met heel veel meer dingen geldt: routine geeft minder bloedverlies. Dus hoe meer je met het onderwerp bezig bent, hoe meer je het dagelijks in je bedrijfsvoering kunt doorvoeren en hoe logischer het is, hoe beperkter uiteindelijk de risico s zijn. Dit leer je ook bij crisisbeheersing, als je gewoon vaak traint en oefent ben je voorbereid op een crisis die ontstaat. In dit geval geldt hetzelfde: besteed er regelmatig aandacht aan, regel de dingen die je hebt afgesproken, dan is de kans dat je er effect van hebt groter en het risico dat het fout gaat kleiner. Meer kun je niet doen. Helemaal risicoloos bestaat niet. kennis!

10 10 Informatiebeveiliging in Beeld jelle jan burggraaff, gemeente Súdwest-Fryslân Veiliger werken door de top 10 richtlijnen van Súdwest-Fryslân Súdwest-Fryslân Thuiswerken, mobiele telefoons, tablets. Een aantal ontwikkelingen van de laatste jaren die elkaar in rap tempo opvolgen. Handige hulpmiddelen zul je denken, maar er zitten ook flink wat risico s aan. Hoe kan je gebruik maken van deze middelen en toch veilig werken? De IBD gaat in gesprek hierover met Jelle Jan Burggraaff, security officer en contractmanager bij de gemeente Súdwest-Fryslân. In zijn rol als security officer is hij verantwoordelijk voor het opstellen en uitvoeren van het informatiebeveiligingsbeleid van de gemeente. De gemeente Súdwest-Fryslân heeft het onderwerp informatiebeveiliging structureel op de van, daar is geen ontkomen meer aan. Met de drie decentralisaties in het vooruitzicht wordt die verantwoordelijkheid van gemeenten alleen maar groter. Als gemeente zijnde lig je toch al onder een vergrootglas. Om de burger dat vertrouwen te kunnen geven, is het goed dat er steeds meer aandacht komt voor informatiebeveiliging. Zo lag het onderwerp informatiebeveiliging een aantal jaren geleden alleen bij de ICT-afdeling. Hier zie je nu verschuivingen in, het is een fulltime functie geworden, je doet het er niet even meer bij. Súdwest-Fryslân Súdwest-Fryslân bestaat nog maar sinds Súdwest-Fryslân was eerst aangesloten bij een Shared Service Center (SSC), het ISZF. In januari is het ISZF opgehouden te bestaan en onderdeel geworden van Súdwest-Fryslân. Binnen dat SSC hadden we een informatiebeveiligingsbeleid voor meerdere gemeenten, een overkoepelend beleid voor het samenwerkingsverband. Na de sluiting van het SSC wilde de gemeente een eigen beveiligingsbeleid opstellen. Dit sloot perfect aan op de Baseline Informatiebeveiliging De burger moet erop kunnen vertrouwen dat de overheid een betrouwbare partner is (Gemeentesecretaris Súdwest-Fryslân, Johan Krul) agenda staan. De voorgaande wethouder is nauw betrokken geweest bij de Resolutie Informatieveiligheid van de VNG. Sindsdien is het onderwerp ook echt gaan leven, ook vanuit de media. Je hoort of ziet iedere week wel een beveiligingsincident voorbijkomen in het nieuws. Denk aan Lektober, toen ging het over een maand, nu vinden er wekelijks beveiligingsincidenten plaats. Er is geen ontkomen meer aan, iedereen krijgt het onder ogen. Nederlandse Gemeenten (BIG) die vorig jaar is verschenen vanuit de IBD. Deze hebben we goed kunnen gebruiken als uitgangspunt. Burggraaff is tevens één van de gemeentelijke reviewers geweest van de bijbehorende operationele producten. Meten is weten Een van de belangrijkste punten als het gaat om informatiebeveili- aan een audit en de hierbij behorende normen. Bewustzijn is echter heel lastig te meten, helemaal in grote organisaties, zoals bij Súdwest Fryslân met 800 gemeentelijke medewerkers. Het is lastig te meten hoe bewust je medewerkers zijn. Je kunt wel een informatiebeveiligingsbeleid opstellen, maar daarmee ben je vertrouwelijke informatie. De medewerker leest dit beleidsstuk alleen niet, daarom hebben we een top 10 samengesteld aan richtlijnen. Dit maakt het laagdrempeliger voor de overige medewerkers van de organisatie. Je leest dit een stuk makkelijker dan een beleidsstuk. Deze richtlijnen zijn direct toepasbaar en kan men terug vinden op intranet. Súdwest- Fryslân tatie heeft de mystery guest de resultaten getoond aan de directie. Die reageerde hier uiteraard eerst geschrokken, maar daarna ook enthousiast op waardoor het Digitaal 2017 Het meest hardnekkige onderwerp bij informatiebeveiliging is de zogenaamde zachte kant, het gedrag van collega s Mystery Guest Burggraaff vindt het goed dat er zichtbare ontwikkelingen zijn op informatiebeveiligingsvlak, zoals de Resolutie Informatieveiligheid en de oprichting van de IBD. Zeker met het vooruitzicht van de visie Digitale overheid 2017 van minister Plasterk, waarbij in 2017 de overheid volledig digitaal moet zijn. We gaan alleen maar meer digitaal werken en worden hier steeds afhankelijker ging is awareness, ofwel bewustzijn. Technische ontwikkelingen zijn meetbaar, je moet voldoen (Gemeentesecretaris Súdwest-Fryslân, Johan Krul) er nog niet. In het informatiebeveiligingsbeleid staat hoe medewerkers om moeten gaan met Het omslagpunt bij de gemeente is ontstaan nadat er een mystery guest is langs geweest, die geprobeerd heeft toegang te krijgen tot de gebouwen en vertrouwelijke informatie van de gemeente. Naderhand heeft deze ongenode gast aan de hand van foto s aangetoond hoe makkelijk hij aan vertrouwelijke informatie heeft kunnen komen en toegang had tot de gebouwen. Middels een presen- Jelle Jan Burggraaff

11 Informatiebeveiliging in Beeld 11 onderwerp echt begon te leven. Sindsdien heeft het onderwerp alle aandacht. De directie heeft aan de hand hiervan voorgesteld de presentatie in een soort themasessie Informatiebeveiliging te gebruiken, voor alle teammanagers en een aantal directieleden. Zo gezegd, zo gedaan. Dit leverde erg veel leuke reacties op. Een van de foto s bijvoorbeeld, waarbij een PC niet vergrendeld is en er duidelijk geen clean-desk policy is, bleek een werkplek van een van de teammanagers te zijn. Die herkende zijn bureau, zegt Burggraaff. Top 10 aan richtlijnen Na de sessie heeft iedereen aan de hand van post-its zijn of haar input geleverd aangaande verbeteringen op informatiebeveiligingsvlak; wat voor hem/haar belangrijk is. Op flip-overs hebben we vervolgens drie thema s ingedeeld, namelijk Bricks, Bytes en Behaviour. Van alle input hebben we die post-its gepakt die het meeste voorkwamen en aan de hand daarvan hebben we een top 10 aan richtlijnen samengesteld. Met als resultaat dat deze top 10 ook veel in werkoverleggen besproken wordt en zelfs actief wordt opgepakt door teammanagers. De top 10 aan maatregelen is heel gevarieerd en onderverdeeld in de drie onderwerpen, Bricks, Bytes en Behaviour. Een drietal richtlijnen zijn: 1. Ze mogen alles van me weten, behalve m n wachtwoord Met de vakantie in aantocht zie je dat heel veel medewerkers hun wachtwoorden aan elkaar verstrekken om bij elkaars mail te kunnen. Ik heb uitgelegd dat er ook andere manieren voor zijn. Zo heeft de gemeente een DMSsysteem waarmee je documenten kunt doorzetten van je collega. Het is niet nodig om je wachtwoorden aan je buurman te verstrekken omdat je met vakantie gaat. Kortom, houd je wachtwoord voor jezelf! 2. De mobiele werkplek, ook beveiligd Afdwingen van een wachtwoord op mobiele telefoons en tablets. Voor laptops is het verplicht een gebruikersnaam en wachtwoord te gebruiken, dus waarom ook niet voor andere middelen? Je hebt tegenwoordig dezelfde informatie op je telefoon als op je laptop, dus ook hier moet een wachtwoord op. Elk mobiel apparaat waar van Súdwest- Fruslân op binnenkomt, krijgt een Collega s direct aanspreken en confronteren met het gedrag rond informatiebeveiliging werkt prima (Gemeentesecretaris Súdwest-Fryslân, Johan Krul) verplichte pincode. Veel mensen beseffen de risico s niet. Bij beveiligingsincidenten nemen we, indien dit van toepassing is, ook mee wat het privé betekent voor de werknemers. Bijvoorbeeld bij incidenten die niet alleen betrekking hebben op de gemeentelijke werkplek maar, zoals bij Internet Explorer ook voor de PC van de werknemer thuis van belang is. 3. Opgeruimd staat netjes Zorg voor een clean-desk policy. Ga vertrouwelijk om met documenten, zowel papier als digitaal. Laat deze niet liggen op een bureau en neem ze niet mee naar huis. Berg alles op en sla documenten in een veilige omgeving op en gooi vertrouwelijke documenten niet zo maar weg, maar vernietig deze. Andere richtlijnen zijn: Wat zet je wel en niet in de Cloud? Spreek altijd een onbekende aan in het gebouw, maar denk ook na over het feit dat je: vertrouwelijk met informatie omgaat, te allen tijde incidenten meldt, ook bij twijfel, én dat je altijd contact opneemt met Burggraaff in het geval van vragen betreffende informatiebeveiliging. In the picture Bij ieder punt uit de top 10 vermelden we een soort spreuk, zoals hierboven: ze mogen alles van me weten, behalve m n wachtwoord. Burggraaff is er achter gekomen dat je dit onderwerp op een ludieke manier onder de aandacht moet brengen. Vorige week heb ik een artikel geschreven voor het personeelsblad, hier heb ik een selfie aan toegevoegd (zie de selfie in deze krant) met mijn duim omhoog, bureau opgeruimd en mijn PC vergrendeld. Middels het personeelsblad en intranet brengen we het onderwerp onder de aandacht door bijvoorbeeld het plaatsen van een grappige foto zodat je de aandacht trekt, én houdt. En dat is niet alles, de gemeente maakt ook gebruik van toilet-displays op alle toiletdeuren. Hier hangen we dan een leuk stukje wat betrekking heeft op een richtlijn uit de top 10. Af en toe op een ludieke manier de aandacht trekken, is volgens Burggraaff dé manier om het bewustzijn te verhogen. Wek interesse bij je medewerkers en trek ze naar je toe. Als je de aandacht hebt, kun je veel meer bereiken. Samenwerken vanuit kracht Of je nu een kleine of grote gemeente bent, maakt niet uit. De manier zoals wij het hebben aangepakt kan in principe door elke gemeente gedaan worden. Súdwest-Fryslân regelt binnen hun samenwerkingsverband ook nog voor twee andere gemeenten de ICT. Die willen nu ook een eigen informatiebeveiligingsbeleid, en hebben hiervoor het beleid en de top 10 van Súdwest-Fryslân als uitgangspunt gebruikt. Hetzelfde doet de IBD; samenwerken vanuit kracht. De gemeente Súdwest- Fryslân overlegt samen met buurgemeenten over zaken rondom informatiebeveiliging. Door samen te werken met andere gemeenten, kun je van elkaar leren. Vooral kleinere gemeenten zouden dit moeten doen. Je merkt toch bij kleinere gemeenten dat een medewerker het onderwerp informatiebeveiliging er even bij krijgt maar geen idee heeft wat er eigenlijk op hem of haar af komt. Voor kleine gemeenten is dit onderwerp het meest lastig. Kortom, werk hierin samen en deel je kennis. Sluit dus in ieder geval aan bij de IBD! Tips van Burggraaff t.b.v. het opstellen van een informatiebeveiligingsbeleid: Begin met een nulmeting. Goed om vooraf te kijken waar je als gemeente staat en waar je naar toe wilt. Bekijk elke maatregel en bepaal wat nú interessant en belangrijk is, kortom kijk naar de risico s en prioriteer hierin wat je nu oppakt en wat later. Breng het onderwerp op een ludieke manier onder de aandacht!

12 12 Informatiebeveiliging in Beeld Mariska Asmus en Andrea Krush, gemeente Oosterhout Verantwoordelijkheid is vertrouwen geven Oosterhout - In het zuiden van het land hebben we een duo-gesprek bij de gemeente Oosterhout. We spreken met Mariska Asmus, directeur Middelen en Dienstverlening én met Andrea Krush, zij is Informatiebeveiligingscoördinator bij de gemeente. Asmus is verantwoordelijk voor alle dienstverlenende en ondersteunende afdelingen van de Oosterhoutse gemeente. In haar portefeuille heeft Asmus ook de eindverantwoordelijkheid voor Equalit. Equalit is het Shared Service Center (SSC) voor de ICT-dienstverlening van tien organisaties, waaronder gemeente Oosterhout. Vanuit haar rol is Asmus ook verantwoordelijk voor de informatiebeveiliging binnen de gemeente. Krush is vanuit Equalit bij de gemeente Oosterhout geplaatst en werkt in het team van Asmus. Zij heeft als informatiebeveiligingscoördinator de taak gekregen om er voor te zorgen het onderwerp informatiebeveiliging binnen de gemeente Oosterhout dagelijks onder ieders aandacht is. basis voor bepaalde rechtsgronden op andere terreinen. Dat betekent dat de gegevens moeten kloppen en iemand niet kan denken, ik pas Technische maatregelen hebben alleen nut als ze ook worden nageleefd lemaal wel goed ingericht zijn, maar als de mensen er niks van weten, of niet weten hoe ze er mee om moeten gaan, heeft het geen enkele zin. Uiteindelijk is het ook de combinatie van zachte en harde elementen die in dit geval het succes bepalen. Waarbij ik denk dat het bewust zijn van wat je aan het doen bent, het belangrijkste is. Dat maakt het hele onderwerp informatiebeveiliging ook zo complex. Technische maatregelen hebben alleen nut als ze ook worden nageleefd. Wanneer je het recht hebt om die gegevens in te zien, moet je ook de plicht voelen om er vertrouwelijk mee om te gaan Asmus: Als overheid heb je de verantwoordelijkheid en de rol om met heel veel informatie om te gaan, waaronder veel privacygevoelige informatie van burgers en bedrijven. Als gemeente moet je Mariska Asmus je meer dan bewust zijn van deze rol en de bijhorende verantwoordelijkheid op een verantwoorde manier invullen. Dat betekent dat wij maatregelen moeten nemen. Mensen die geen bevoegdheid hebben, mogen uiteraard niet bij vertrouwelijke informatie komen. Gemeenten hebben veel (basis) registraties in hun bezit, denk aan gegevens over: inkomens, personen, bedrijven en instellingen. Vanuit de werkprocessen beschikt de gemeente over nog meer informatie, denk aan gegevens over schulden, toeslagen, medische informatie en vingerafdrukken. Hier kun je, wanneer je dit niet veilig stelt, gemakkelijk identiteitsfraude mee plegen. Krush: Dat zijn hele gevoelige zaken. Wanneer je het recht hebt om die gegevens in te zien, moet je ook de plicht voelen om er vertrouwelijk mee om te gaan. Als burger vertrouw je de overheid, je hebt daarin ook weinig keus. Zo kun je bijvoorbeeld niet bij een andere instantie een paspoort aanvragen. Als je in Nederland wilt wonen moet je nu eenmaal geregistreerd zijn in de basisregistratie personen. Dit hebben we met elkaar afgesproken en als wij het belangrijk vinden om dat met elkaar af te spreken, dan moet je het ook belangrijk genoeg vinden om ervoor te zorgen deze informatie op een goede manier achter slot en grendel zit, en nooit toegankelijk is voor derden. Daarnaast zijn onze gegevens vaak de mijn eigen relaties in de BRP aan met nog eens tien kinderen extra, om zo op die manier meer kinderbijslag te krijgen. Zachte en harde maatregelen Kortom, om ervoor te zorgen dat je informatie veilig is, moet je maatregelen treffen. Asmus: Ik hou altijd van de combinatie van harde en zachte maatregelen, en ik zou bij informatiebeveiliging eerst met de zachte elementen beginnen: bewustwording, gedrag en processen. Zo voorkom je dat het fout kan gaan. Vervolgens kun je mensen ondersteunen met harde elementen, zoals bepaalde technologieën om het makkelijker voor ze te maken. Die technische maatregelen hebben alleen nut als ze ook worden nageleefd. Dus iemand die achter de balie zit, moet weten dat hij/ zij niet telefonisch bepaalde gegevens mag verstrekken. Als diegene dat toch doet, kan het technisch al- Decentrale samenleving Asmus: Vroeger werkte je als ambtenaar in een gemeentehuis en zat iedereen bij elkaar. Op die manier was er onderling meer controle op wat er gebeurde. Als iemand bijvoorbeeld zei: Ik moet aan een bedrijf bepaalde informatie verstrekken, dan was er een andere collega die zei: Nee, dat mag je niet doen. Tegenwoordig is informatievoorziening decentraal georganiseerd. We hebben informatie op een ipad, maar werken ook thuis of op een andere externe locatie. Mensen hebben niet meer de (corrigerende) hulp van collega s, als ze het even niet meer weten. Dus ze moeten zich er zelf veel meer van bewust zijn. Het risico op kwijtraken van gegevens is daarmee ook groter. Als ik mijn ipad in een restaurant laat liggen, ligt er wel een apparaat met heel veel informatie. Mensen en processen Krush: Wat betreft informatiebeveiliging, hebben wij het onderwerp opgesplitst in vier factoren: mensen, processen, de virtuele- en de fysieke omgeving. Dat zijn de vier grote factoren waar je rekening mee moet houden. Dat zie je ook door vertaald in de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), die de IBD heeft ontwikkeld. Voor alle factoren zijn maatregelen te treffen. Belangrijk hierbij is wel de combinatie van deze factoren, waarbij wij hebben gezegd dat mensen de basis, de fundering zijn. Zit dit niet goed? Dan kun je het wel vergeten. Daarnaast scheiden wij ook de virtuele- en de fysieke werkomgeving, want er wordt nog steeds gebruik gemaakt van beide. Samenwerkingsverband Oosterhout Asmus: Voor ons geldt daarbij ook nog dat je door samenwerking met andere gemeenten binnen het SSC Equalit, ervoor moet zorgen dat het daar ook goed op orde is. Want als iemand bij een collega-gemeente alle deuren openzet, dan kan ie-

13 Informatiebeveiliging in Beeld 13 nemen, Andrea Krush Mensen, processen, virtuele en fysieke omgeving. Dat zijn de vier grote factoren waar je rekening mee moet houden Tips van Oosterhout: dereen ook in ons BRP terecht, en dat willen we niet. We zijn hier dus extra alert op. We willen het niet alleen voor Oosterhout, maar eigenlijk voor het gehele SSC Equalit en de andere organisaties nóg beter regelen. Krush: De gemeente Oosterhout is al een aantal jaren bezig met informatiebeveiliging, dit is eigenlijk begonnen vanuit het samenwerkingsverband binnen het SSC Equalit. Vanuit die samenwerking is een beweging ontstaan van waaruit we gezamenlijk gekeken hebben naar het informatiebeveiligingsbeleid. Toen dat er eenmaal lag hebben wij binnen het SSC Equalit en de gemeente Oosterhout onszelf een aantal vragen gesteld: Wat betekent dit nu eigenlijk voor ons?, Wat voor consequenties heeft dit? en Wat moeten wij doen om dit te realiseren?. Vorig jaar hebben we een intern onderzoek uitgevoerd en een audit toegepast op basis van de BIG. Dit heeft er toe geleid dat ik hier nu zit als informatiebeveiligingscoördinator. Ik heb een heel concrete projectopdracht, zo gaan wij onder andere verantwoordelijkheden nog duidelijker beleggen binnen de gemeente en zijn we bezig met bewustwording. Ik heb nu een eerste rondje gemaakt bij managers, vervolgens ga ik alle teamoverleggen af om alle medewerkers te bereiken. Mensen prikkelen Afhankelijk van iemands functie, zie je verschil in het bewustzijnsniveau. Iemand die nooit klantencontact heeft, is zich minder bewust van de noodzaak tot veiligheid. Dus die loopt vaak sneller van zijn pc af zonder de schermbeveiliging aan te zetten en heeft dan niet in de gaten dat iemand anders zo nog even tijd heeft om zijn of haar computer in te duiken, aldus Asmus. De gemeente Oosterhout maakt al een enige tijd gebruik van leuke, inspirerende sprekers over bepaalde onderwerpen. Krush: Medewerkers waarderen dit enorm en worden zo geprikkeld om over andere zaken na te denken. We hebben afgesproken dat we dit ook gaan doen op informatiebeveiligingsvlak. Daarnaast willen wij iets doen aan de digitale voorziening van de dienstverleningsprocessen. Dat doen we onder meer door in gesprek te gaan met elkaar en mensen aan te spreken: Ben jij bewust dat je ipad daar ligt en dat ik die in mijn handen heb en weg kan lopen? Het gaat echt over het gesprek. Mensen moeten daar met elkaar over in gesprek gaan en vooral ook blijven. Asmus: En dat is niet altijd makkelijk. Want aan de ene kant willen we klantvriendelijk zijn, we zijn dienstverlenend Mensen moeten met elkaar in gesprek gaan en vooral ook blijven en willen mensen helpen, en aan de andere kant moeten onze collega s ook weleens nee verkopen als burgers of bedrijven informatie vragen die we niet mogen verstrekken. De IBD, een partij die helpt Begin met een GAP-analyse om inzicht te krijgen waar je staat. Zorg dat je je ICT-omgeving inzichtelijk hebt. Sluit je aan bij de IBD! Zij maken het gemeenten makkelijker op informatiebeveiligingsgebied. Dat zorgt voor een nog professionelere gemeentelijke overheid. Krush: Gemeente Oosterhout en het SSC Equalit zijn erg geholpen door de BIG. Tussen de operationele producten heb je goede handreikingen en het is prettig dat we aangesloten zijn bij de IBD en nu alle berichten krijgen die specifiek van toepassing zijn op onze omgeving. Dit verhoogt ons beveiligingsniveau. Als er een grootschalig incident is in je gemeente, is het heel handig dat je er niet alleen voor staat en hulp krijgt van mensen die hier kennis en ervaring in hebben. Het aansluitproces bij de IBD verliep erg soepel. Het SSC Equalit houdt inzichtelijk wat wij als gemeente aan ICT in huis hebben staan. Ook het meekrijgen van het college was voor gemeente Oosterhout geen probleem. Zij zien in wat het belang en de urgentie is van dit onderwerp. Wat ons enorm geholpen heeft om de bewustwording van managers en directie groter te maken, was toch wel het onderzoek dat wij voorafgaand hebben uitgevoerd, de zogenaamde GAP-analyse. Dat was een eyeopener voor iedereen. Asmus: Daarmee zag ook het college eigenlijk direct de urgentie in van het Kees Jan de Vet, lid van de directieraad VNG De drie V s; Den Haag - Cybercrime is, na fietsendiefstal, de grootste vorm van criminaliteit. Informatieveiligheid is echt een maatschappelijk vraagstuk. Informatie moet als eerste vitaal zijn, je moet over de relevante informatie kunnen beschikken. Deze informatie moet daarnaast uiteraard ook veilig zijn. Daar hoort nog een derde V bij, die van verantwoordelijkheid: met wie deel je welke informatie? Aan het woord is Kees Jan de Vet, lid van de directieraad van de Vereniging van Nederlandse Gemeenten (VNG). Informatieveiligheid ligt niet op andermans bord, maar begint bij jezelf. Pak dus je verantwoordelijkheid en maak het verschil! (Directeur VDP, Annelice Kluin) vitaal, veilig, Tijdens de Buitengewone Algemene Ledenvergadering (BALV) van de VNG eind 2013 hebben de Nederlandse gemeenten ingestemd met de Resolutie Informatieveiligheid. De Resolutie Informatieveiligheid is eigenlijk een pakket aan maatregelen. Het bestaat onder andere uit de acceptatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als gemeenschappelijk normenkader. De gemeenten hebben samen lokale krachten georganiseerd, ter vermindering van regulering en ter voorkoming dat wetgeving wordt opgelegd door de minister. Daar hoort dus ook bij dat gemeenten zich lokaal verantwoordelijk voelen. De VNG en KING faciliteren met de IBD het proces van waaruit we met partners als het NCSC gemeenten voorzien van onderwerp. Het is handig als er een partij is die helpt, handvatten biedt en meldingen geeft als er iets niet klopt. Dus als het aan ons ligt moet elke gemeente zeker aansluiten bij de IBD! verantwoordelijk! Kees Jan de Vet relevante informatie. Maar de verantwoordelijkheid om het lokaal op orde te hebben, ligt bij de gemeenten zelf.

14 14 Informatiebeveiliging in Beeld Tw Lars Fehse en Anya Smits, Shared Service Netwerk Twente Samen kom je verder Hengelo Door de gebeurtenissen van de afgelopen jaren, zoals DigiNotar, het ICT-Beveiligingsassessment DigiD en het, vanuit VNG, vaststellen van de Resolutie Informatieveiligheid, is het informatiebeveiligingsbeleid prominent geworden op de gemeentelijke agenda. Ook binnen het Shared Service Netwerk Twente (SSNT) wordt dit onderwerp voortvarend opgepakt. We spreken hierover met Anya Smits, projectmanager SSNT Informatie en Automatisering en Lars Fehse, teamleider van het team Informatievoorziening en Techniek bij de gemeente Borne. moeten we nou echt daadwerkelijk met elkaar organiseren? En daarnaast ook juist het delen met elkaar, het samen doen. Niet drie keer opnieuw het wiel uitvinden, maar ook kijken naar het pragmatische. Aanvliegroute Binnen het Shared Services Netwerk Twente (SSNT) werken de Twentse gemeenten, Regio Twente, Waterschap Vechtstromen en de Veiligheidsregio Twente actief samen op het terrein van bedrijfsvoering. Hierbinnen wordt slim samengewerkt op basis van kennis en informatie, en wel op diverse (ondersteunende) werkprocessen, waar ruimte is voor verschillen in mate, schaal en aansluitsnelheid. Zo ook op het gebied van informatiebeveiliging. Dit heeft voor acht Twentse gemeenten (Oldenzaal, Hengelo, Losser, Hof van Twente, Haaksbergen, Enschede, Borne en Almelo) geleid tot het opstellen van een informatiebeveiligingsbeleid aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), die ontwikkeld is door de IBD. Informatiebeveiliging versus informatieveiligheid Lars Fehse Het onderscheid tussen informatiebeveiliging en informatieveiligheid ziet Fehse als volgt: Informatiebeveiliging is voor mij een maatregel die je probeert te treffen om iets te beveiligen en informatieveiligheid is de mate waarin dit dan ook daadwerkelijk veilig is. Dat brengt ons overigens tot een interessant punt, waar we het binnen het SSNT ook vaker over hebben en wat deels ook heel scherp benoemd wordt in de BIG: beleg de verantwoordelijkheid voor dit onderwerp in de organisatie en zorg ervoor dat het geen ICTspeeltje is. Natuurlijk zijn wij als ICT-collega s van nature meer van de beveiliging en van de speeltjes om alles te beveiligen, zoals dit vaak plastisch wordt gezegd. Maar, als wij een hek om een huis zetten dan is het aan de bewoner van het huis om het hek dicht te doen en er iets van te zeggen als er iemand overheen wil klimmen. Dus waar het op neerkomt is dat je jezelf als gemeentelijke collega de vraag moet stellen: is het daadwerkelijk veilig wat ik doe? En dat ligt dus vooral ook heel erg bij de cultuur, bij gedrag en dus bij bewustwording van mensen. Elkaar versterken Twentse convergentiestrategie begint bij inhoud en voordelen (Programmamanager SSNT, Gert-Jan Eikenaar) Smits: Deze vraag: is het daadwerkelijk veilig wat ik doe?, speelt voor alle gemeenten. Kijk naar wat de echte prioriteiten zijn, bestuurlijk gezien. Er zijn grote ontwikkelingen gaande, bijvoorbeeld op het vlak van de drie decentralisaties, de Regionale Uitvoeringsdienst (RUD) en verschillende ingezette vormen van samenwerking. Hierbij is het belangrijk dat informatiebeveiliging een zichtbare plek heeft binnen de organisatie, zeker daar waar je het hebt over gegevensuitwisseling. Het versterkt elkaar. Tegelijkertijd wil je ook niet dat als gevolg van informatiebeveiliging de gereedschapskist wordt dichtgelast met allerlei maatregelen. Medewerkers moeten hun werk wel kunnen Anya Smits blijven doen, daarom is bewustwording ook zo belangrijk. Het gaat om een goede balans. Die goede balans vinden we ook in de samenwerking op gebied van informatiebeveiliging: vele handen maken licht werk. Wat de ene gemeente al heeft opgepakt, hoeft de andere gemeente niet meer te doen. We delen dat met elkaar, en daardoor is er tijd voor het oppakken van andere zaken. Op deze wijze versterken we elkaar. Praktisch en pragmatisch Wij werken in het samenwerkingsverband met een vrij praktische/pragmatische aanpak. Het is echt kijken en zoeken naar het antwoord op de vraag: Wat hebben we nou echt nodig? Wat Hoe heeft het SSNT het opstellen van een informatiebeveiligingsbeleid opgepakt? Fehse: We hebben in eerste instantie met elkaar vastgesteld wat onze behoefte is en wie welke inbreng kan bieden. We kwamen er snel achter dat het beter is samen aan een product te werken, dan ieder voor zich. Ook omdat sommige vraagstukken vrij taai zijn, zoals bijvoorbeeld de GAP-analyse. Van een collega, die de GAP-analyse al had gemaakt, hoorde we dat het een worsteling Samenwerken gaat ook over proces en veranderen (Programmamanager SSNT, Gert-Jan Eikenaar) is er doorheen te komen. Daarom hebben we ervoor gekozen de GAP-analyse samen te doen en hebben we het op de middelbare schoolmanier aangepakt. We zijn met elkaar in een hok gaan zitten en hebben gezegd: We gaan ons de hele middag bezighouden met de GAP-analyse, en stoppen niet voordat we het af hebben. Het was inderdaad een zware middag maar het resultaat is nu wel dat we met elkaar kunnen vergelijken waar we wel of niet al producten hebben die we met elkaar kunnen delen, of met zijn allen bepaalde leemtes hebben die uitgewerkt kunnen worden. Wat daarnaast erg belangrijk is, is tijd en capa-

15 Informatiebeveiliging in Beeld 15 ente citeit. Dat is ook een beetje wat ons bindt. Efficiënt ermee omgaan en zorgen dat producten afgerond worden. Pragmatisch en zo efficiënt mogelijk, dat was ons standpunt. Wanneer je het af hebt, kun je er de volgende keer inhoudelijk weer mee verder. Vertrouwen Smits: Wat heel relevant is binnen het samenwerkingsverband, en daar hebben we in het begin dan ook veel tijd in gestoken, is vertrouwen. Je deelt gegevens met elkaar, je vertelt dit hebben we niet goed voor elkaar, mag ik dit van jou hebben et cetera. Dit vertrouwen is er nu! Vandaaruit kun je doorpakken. Je hoeft dit als gemeenten niet alleen te doen, pak het samen op. Samen staan we sterker, dat hebben wij in ons samenwerkingsverband ook gemerkt. Samenwerken versus autonomie Smits: Samenwerking is belangrijk voor de toekomst en dat zal alleen maar toenemen, tegelijkertijd moet je wel de ruimte voor autonomie en eigenheid inbouwen. Het gehele SSNT berust ook op die uitgangspunten: convergentie en coalition of the willing ; verschillende technologieën en partijen die naar elkaar toe groeien. Het uitgangspunt is: je doet mee als je denkt dat je er wat bij te winnen hebt en over het geheel genomen blijkt dat er toch vrij veel gemeenten meedoen. In een van de beginsessies hebben we met elkaar gedeeld wat onze verwachtingen zijn, alleen zo kom je verder met elkaar. Het is belangrijk als je weet wat een ieder van elkaar verwacht. Aan de voorkant duidelijkheid en perspectief, zodat iedereen daarop voort kan bouwen. Positieve invalshoek Samenwerken is ook positief labelen en enthousiasme (Programmamanager SSNT, Gert-Jan Eikenaar) Als je het hebt over bewustwording moet je naar de politiek en naar de organisatie kijken. Bij de politiek hebben we nu een raadswisseling. Je kunt je eigen raadsleden informeren of je kunt een middag met als onderwerp Informatiebeveiliging organiseren, dit laatste is dan ook gelijk een netwerkbijeenkomst, dus een grotere kans dat mensen komen. Je kunt proberen daar nog iets ludieks aan toe te voegen, aldus Fehse. Als ik met het bestuur in gesprek ben en ik begin over het informatieveiligheidsbeleid en zou dit als individuele gemeente positioneren, is de boodschap moeilijker over te brengen. Daarom kom ik dus met een enthousiast verhaal over het SSNT. Wat doe ik nou als SSNT samen met acht andere gemeenten? Wat het leuk maakt is dat je met enig enthousiasme kunt vertellen dat er ook daadwerkelijk stappen worden gemaakt. Volgens Fehse is het daarbij van belang dat je het vanuit de positieve kant benadert in plaats van dat je het vanuit de risico s bekijkt. Beste wethouder, het is heel vervelend als uw gegevens volgend jaar op straat liggen, is een negatieve invalshoek die momenteel een vaak gekozen manier is om het onderwerp over het hek te krijgen. Volgens mij is dat niet de juiste manier. Probeer het vanuit een positieve invalshoek aan te vliegen. Beste wethouder, wist u dat u met een wachtwoordbeleid een sterk wachtwoord heeft wat men niet zomaar kan raden. Je zult zien dat je dan veel meer bereikt. Bewustwording Fehse: Wij zijn op dit moment vooral bezig met het informatiebeveiligingsbeleid. Maar in een beleid zitten alleen technische dingen, zoals maatregelen ten behoeve van de infrastructuur tot en met beveiliging van deuren. Waar we ook mee bezig zijn, maar op zich zelf een moeilijk vraagstuk is, is de bewustwording van mensen. En vooral ook: hoe houd je die bewustwording, zowel onder de medewerkers als de bestuurders levend? Bewustzijn is het moeilijkste. Al het andere kun je opschrijven en door het college laten vaststellen. Maar uiteindelijk staat of valt het bij mensen. Die moeten niet met dossiers over straat lopen, deuren open laten staan of passwords laten slingeren. Smits: We zijn binnen het SSNT druk bezig met dit vraagstuk maar oplossingen hebben we nog niet in beeld. Dus mochten er gemeenten zijn die hier al manieren voor hebben, dan geldt ook hier weer: deel dit met elkaar, zodat we niet allemaal het wiel opnieuw hoeven uit te vinden. De IBD biedt via haar community een handig platform om deze informatie te delen. Tips van het SSNT t.b.v. het opstellen van een informatiebeveiligingsbeleid: Zorg voor een pragmatische aanpak. Laat ruimte over voor eigenheid. Investeer in het proces: vertrouwen is een sleutelwoord. werk samen en deel kennis en geef elkaar ook ruimte voor afwijkingen. Internet brengt iedereen dichter bij elkaar Samenwerken met betrekking tot informatiebeveiliging is erg belangrijk, omdat het een ingewikkeld en complex onderwerp is. Maar let op, wanneer je dit oplegt en een bord boven de deur timmert, dan werkt het niet omdat het dan niet van hen is. Nu wordt er samengewerkt, omdat mensen er echt in geloven dat dit beter is. En omdat mensen merken dat ze er gelijk effect van hebben. Daar komt ook weer dat pragmatische om de hoek kijken, er wordt gewoon naar resultaat toegewerkt en dat is prettig voor mensen. Fehse: Het gaat er om dat we met elkaar nadenken en dat we met elkaar ook sparren of dat wat we doen ook van toegevoegde waarde is. En het gaat om harmoniseren dus geef elkaar ook ruimte voor eventuele afwijkingen. Convergentie

16 16 Informatiebeveiliging in Beeld Rachid Sabri, gemeente heerlen Aansluiten bij de IBD Heerlen - ICT heeft een eigen dynamiek, die lastig is om te volgen, laat staan om te sturen. Data is in deze tijd veel geld waard en daarom is het dus belangrijk om data goed te beveiligen. Voor ondersteuning op informatiebeveiligingsvlak is de oprichting van de IBD dan ook een goede zaak, aldus Rachid Sabri, specialist Informatievoorziening bij de gemeente Heerlen. Het is belangrijk om gemeenten hiervan bewust te maken en hen op het vlak van informatiebeveiliging concreet te ondersteunen. opgesteld voor onze gemeente dat in het verlengde ligt van ons informatiebeleid. Dit hebben we door vertaald naar een meerjaren plan. Op basis van de risicoanalyse, hebben we hier bewust een aantal jaren voor uitgetrokken. Elk jaar kijken we opnieuw naar de gestelde prioriteiten en mogelijk nieuwe ontwikkelingen. Informatiebeveiliging; een hot item Rachid Sabri Gemeente Heerlen fungeert in de regio als centrumgemeente en is onderdeel van Parkstad IT, een ICT-samenwerkingsvorm in de vorm van een Gemeenschappelijke Regeling (GR) voor omrin- Sabri is werkzaam voor de afdeling Informatiemanagement bij de gemeente Heerlen. Voorheen waren de verschillende ICT-activiteiten op diverse afdelingen belegd. We hebben dit bij elkaar gepakt en samengevoegd tot één afdeling. Sabri houdt zich onder andere bezig met het beleid aangaande informatiemanagement en deels ook met advisering naar de diverse afdelingen binnen de organisatie. Sabri: Ik ben betrokken bij nieuwe projecten aangaande ons informatiebeleid en informatiebeveiliging hoort daar ook bij. Binnen onze afdeling houd ik me bezig met informatiebeveiliging. Dit doe ik overigens niet alleen, maar samen met de privacyfunctionaris. Informatiebeveiliging en privacy hebben namelijk veel raakvlakken en liggen in elkaars verlengde. We proberen hier als gemeente ook meer één lijn in te krijgen. Op basis van de risicoanalyse, hebben we een aantal jaren geleden een nulmeting uitgevoerd: Waar staan we, wat komt er op ons af en wat vinden we belangrijk? Hier is een plan van aanpak uitgekomen dat heeft gezorgd voor een gestructureerde aanpak. Vervolgens hebben we als eerste een informatiebeveiligingsbeleid Informatiebeveiliging, de basis en een van de eerste voorwaarden om te kunnen samenwerken gende gemeenten. Sabri: Vanuit Heerlen faciliteren wij de ICT-infrastructuur. Hiermee komt er dus meer data en dus meer beheer bij onze gemeente te liggen en wordt informatiebeveiliging alleen maar nog belangrijker. Basis voor onze dienstverlening naar de omringende gemeenten hebben we dan ook formeel vastgelegd in dienstverleningsovereenkomsten. In die overeenkomsten hebben we duidelijke afspraken gemaakt. Hierdoor ga je serieus met het onderwerp om, dit doe je al voor je eigen gemeente uiteraard, maar wanneer je verantwoordelijk bent voor meerdere gemeenten helemaal. Verder speelt er ook nog de ontwikkeling van het Shared Service Center Zuid-Limburg (SSC-ZL). De gemeenten Heerlen, Sittard- Geleen, Maastricht en de Provincie Limburg hebben het voornemen om hun krachten te bundelen op het gebied van bedrijfsvoeringstaken. Op informatieveiligheid en informatiebeveiliging wordt hierbij hoog ingezet. Het is een basis en een van de eerste voorwaarden om verder te kunnen gaan in de samenwerking. Sleutel tot succes Heerlen De sleutel tot succes is volgens Sabri commitment van het management en de directie. Sabri: Op die manier krijgt het onderwerp de aandacht die het verdient. Zorg dat je een mandaat krijgt en dat ze het zo belangrijk vinden dat je daarmee de organisatie in kunt gaan. Als beleidsorgaan wil je zaken voor elkaar krijgen en daarvoor heb je medewerking nodig. Met een mandaat is dat mogelijk. Vervolgens moet je het eerst laten landen bij het management, en daarna bij de individuele medewerker. Een top down benadering dus. We willen uiteindelijk iedere collega bereiken in de organisatie, en om dit voor elkaar te krijgen heb je medewerking van het management nodig. Het menselijk handelen blijft een van de belangrijkste punten als we het hebben over informatiebeveiliging. Techniek is uiteraard ook belangrijk, maar uiteindelijk gaat het om mensen, en hoe mensen met het onderwerp omgaan. Hierbij is

17 Informatiebeveiliging in Beeld 17 eigen campagne om het bewustzijnsniveau omhoog te krijgen. Uiteindelijk moet je goed omgaan als gemeente met je burgers, en dit hoort daar zeker bij. Je hoort immers als burger steeds meer in de media over veiligheid. Door mee te gaan in landelijke ontwikkelingen en aan te sluiten bij de IBD verhoog je dus ook het vertrouwen van de burger. Zij zien namelijk dat je als gemeente hier serieus je verantwoordelijkheid in neemt. Tips van Sabri t.b.v. het aansluitproces: woon de regiobijeenkomsten van de IBD bij en/of laat je informeren door de IBD. Pak het breder op in de organisatie dan alleen de ICT-afdeling. Spreek mensen aan op hun gedrag. Zorg voor een goede rolverdeling, wie ga je aanstellen als IBDcontactpersoon? Je moet hier mensen voor bereid vinden en er tijd in steken. Doe dit door regelmatig bij elkaar te komen en dit af te dwingen in het begin. het belangrijk dat je regelmatig je processen evalueert en kijkt of alles werkt zoals je het verwacht. Geef het aandacht Amsterdam Informatiebeveiliging is een belangrijk onderwerp, noodzakelijk dus dat het ook structureel op de gemeentelijke agenda staat. We zijn in gesprek met Jos Maessen over informatiebeveiliging. Maessen is directeur Dienstverlening van gemeente Amsterdam. We zijn nieuwsgierig naar zijn antwoord op drie vra- Door de IBD krijgt het onderwerp informatiebeveiliging de aandacht die het verdient. Dat is een goede zaak De oprichting van de IBD en de Resolutie Informatieveiligheid, zijn goede ontwikkelingen volgens Sabri: Wat voor onze gemeente geldt, geldt landelijk uiteraard ook. Je moet de aandacht op het onderwerp vestigen en bewustzijn creëren op hoog niveau binnen de politiek. Deze initiatieven helpen daarbij. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de uitwerkingen op operationeel niveau zijn een mooi referentiekader. Een aantal zaken hebben we op orde, maar veel ook nog niet. Het is fijn om dan een partij als de IBD te hebben, die gemeenten van handvatten kan voorzien. De website van de IBD en de bijbehorende community zijn zeker een meerwaarde, je kunt hier informatie uitwisselen met collega-gemeenten en vragen stellen. Al met al een mooi platform! Aansluiten bij de IBD Wat is de sleutel tot succes bij informatiebeveiliging? Dat is een vraag die snel beantwoord kan worden; gedragsbeïnvloeding in mijn optiek. Of liever gezegd, dat we als gemeente naar gedragsbeïnvloedingen weten te gaan als het gaat om informatie-beveiliging. Om daar te komen zit daarvoor eerst een stukje probleembewustwording. Wat zijn de belangrijkste factoren waar je op moet letten binnen je gemeente? Gedrag en bewustwording dus, en vooral ook geen gekke dingen doen en niks laten rondslingeren. Heerlen is ook al aangesloten bij de IBD. Sabri: Als centrumgemeente hebben wij een voorbeeldfunctie op informatiebeveiligingsvlak, dit geldt ook voor het samenwerkingsverband Parkstad IT en de verdergaande samenwerking in het SSC-ZL. Wij vinden dat we moeten aansluiten bij landelijke ontwikkelingen. En waarom zou je niet aansluiten? De IBD kan je gemeente van informatie voorzien die je anders niet krijgt en daarnaast bieden zij ondersteuning op informatiebeveiligingsvlak. Dit is een duidelijke meerwaarde. Dit is ook waarom elke gemeente moet aansluiten bij de IBD naar mijn idee. Het heeft invloed op de gehele organisatie, zo creëer je een groter bewustzijn binnen je eigen organisatie. Het helpt tevens in je Daarnaast uiteraard het opstellen en naleven van procedures en regels. Dat zijn besluitstukken en deze zijn zeker nodig, maar alleen met procedures en regels krijg je je informatiebeveiliging niet voor elkaar. Met een beleid bereik je alleen iets als het ook daadwerkelijk geoperationaliseerd wordt. We weten wat er moet gebeuren, maar moeten het dan ook simpelweg gewoon doen. Kortom, we moeten overgaan tot actie. We komen uit een tijdperk waarin iedereen maar dacht dat we met computers, open netwerken en internet alles kunnen doen. Wat dat betreft hadden we misschien een wat naïef wereldbeeld, waarin we ons niet hebben gerealiseerd wat criminelen tegelijkertijd ook Hij doet inderdaad niet altijd wat je wil, maar we gooien nóóit onze computer uit het raam Jos Maessen, Directeur Dienstverlening gemeente Amsterdam over informatiebeveiliging We moeten het doen aan het doen zijn. Iedereen binnen een gemeente moet zich dus bewust zijn van zijn of haar handelen. Je laat immers thuis ook niet de achterdeur openstaan. Menselijk handelen, dat is waar het nog fout gaat en daarom is gedrag en gedragsbeïnvloeding een belangrijke factor. De IBD, een goede ontwikkeling? Maessen vindt de oprichting van de IBD en de Resolutie Informatieveiligheid, goede ontwikkelingen. Het is belangrijk dat dit gebeurt. Informatiebeveiliging zal op een hoger plan moeten komen, anders gaan we er niet uitkomen. De IBD is een partij die dit landelijk oppakt. Samen moeten we gaan nadenken over hoe we het gedrag van medewerkers gaan beïnvloeden, dit zit op overtuigingsniveau. We moeten niet te rooskleurig denken over waar mensen toe in staat zijn. Veel mensen (criminelen) weten namelijk dat er geld te verdienen is aan het krijgen van informatie. Jos Maessen We moeten ons hier meer van bewust zijn. Waar een crimineel vroeger via een achterdeur wist in te breken, kan hij dit nu op afstand en daarbij ook op veel grotere schaal. En daar zie je gelijk de meerwaarde van die bewustwording. Aldus Maessen.

18 18 Informatiebeveiliging in Beeld ingermar vrossink, IBD Tien vragen aan onze Sjaak Den Haag - We spreken met Ingermar Vrossink, adviseur Informatiebeveiliging, over de incidentdienstverlening van de IBD. Ingermar dus, en geen Sjaak, hoewel hij vandaag wel even zo heet. Sjaak is de bijnaam voor de dagelijkse hoofdverantwoordelijke van de IBD-helpdesk. De helpdesk-mannen en -vrouwen helpen gemeenten bij al hun vragen over informatiebeveiliging, bij incidentmeldingen en bij gemeentespecifieke vragen over informatiebeveiliging, in geval een gemeente is aangesloten bij de IBD. We stellen Ingermar 10 vragen en kregen 10 recht voor zijn raap antwoorden terug: Ingermar Vrossink 1. Wie is dit keer onze Sjaak en wat is je positie binnen de IBD? Ik ben Ingermar Vrossink, en inderdaad een van de Sjaken van de IBD. In een ver verleden ben ik de ICT ingerold. Eerst aan de technische kant, daarna meer richting het tactische vlak. Vanuit deze ervaring ben ik bij de IBD terecht gekomen. Een betrouwbaar en veilig internet is van groot belang voor de dienstverlening aan onze burgers en bedrijven. We kunnen ons niet permitteren, dat de continuïteit van onze bedrijfsvoering in gevaar komt doordat we onze gemeentelijke informatiehuishouding niet op orde hebben. En omdat we steeds meer met elkaar en met mede-overheden en ketenpartners verbonden zijn, is het belangrijk, dat we samen werken aan de veiligheid van het geheel. We zijn als gemeentesecretarissen eindverantwoordelijk voor de continuïteit van het werk. Als de computers niet goed werken, ligt de zaak plat. Dat moeten we zoveel mogelijk voorkomen. Daarom is het belangrijk dat we actief werken aan informatieveiligheid. De Informatiebeveiligingsdienst voor gemeenten (IBD) helpt ons daarbij. En al is het een flinke klus om aan te sluiten bij de IBD: het is noodzakelijk dat we het doen. Allemaal. Zo snel mogelijk. (Secretaris Boxtel en VGS-portefeuillehouder Dienstverlening, bedrijfsvoering en informatiebeleid, Jan Fraanje) 2. Zit er voor jou eigenlijk verschil tussen de begrippen informatiebeveiliging en informatieveiligheid? Bij informatiebeveiliging denk ik aan de richtlijnen die worden gesteld om je informatiebeveiliging op orde te hebben, het bedrijfsproces. Bij informatieveiligheid aan de technische implementatie ervan. 3. Wat is de sleutel tot succes als het gaat om informatiebeveiliging binnen gemeentelijke organisaties? Risicoanalyses vormen een goede basis als sleutel tot succes. Wat zijn de risico s die je loopt als gemeente? Probeer het niet weg te stoppen, maar doe er iets mee. Je risico afdekken, dat is de basis van informatieveiligheid. 4. Welke factoren dragen bij aan een informatieveilige omgeving? Een belangrijke factor is de bewustwording van de medewerkers. Je kunt nog zo veilig zijn op technisch vlak, de mens is en blijft de zwakste schakel. Zorg dat je bewustzijn kweekt bij je medewerkers en commitment krijgt vanuit het management. Het belang van het onderwerp moet elke dag worden uitgedragen. 5. Wat houdt de incidentdienstverlening van de IBD in? De basis van onze dienstverlening vormt onze bereikbaarheid, 24/7. Alle gemeenten kunnen bij de IBD terecht met vragen. Dit kan heel breed zijn, van aansluiten bij de IBD, vragen over informatiebeveiliging in het algemeen tot hele specifieke vragen over kwetsbaarheden. Anderzijds voorzien wij gemeenten vanuit de IBD zelf ook van informatie over kwetsbaarheden. In het geval van aangesloten gemeenten verstrekken wij natuurlijk ook gemeente-specifieke kwetsbaarheden. 6. Kun je een aantal voorbeelden geven van incidenten? Er kunnen bijvoorbeeld aanvallen door hackers gepleegd worden, of virusbesmettingen plaatsvinden. Maar er kan ook afwijkend dataverkeer plaatsvinden, bijvoorbeeld iemand die inlogt op het WiFinetwerk met een voor gemeenten onbekend IP-adres. Gemeenten worden hiervan door de IBD op de hoogte gebracht. Gemeenten zijn en blijven uiteraard altijd zelf verantwoordelijk voor de opvolging hiervan. 7. Hoe ziet een kwetsbaarheidswaarschuwing eruit? Zodra bekend is dat er een kwetsbaarheid gesignaleerd is in een applicatie, wordt de IBD hiervan op de hoogte gesteld door het NCSC of een andere organisatie. Wij kijken dan om welke applicatie het gaat. Vervolgens kijken we welke van de aangesloten gemeenten gebruik maken van die applicatie, wat het risico is, wat gemeenten er tegen kunnen doen en wat de structurele oplossing is voor het probleem. Dit proberen we zo snel als mogelijk richting de contactpersonen van de aangesloten gemeenten te communiceren. Tijdens dit proces blijven we eventuele updates over oplossingen doorsturen. 8. Waarom is het belangrijk dat gemeenten ook incidenten melden? Als er iets is gebeurd bij een gemeente op informatiebeveiligingsvlak, dan is de kans altijd aanwezig dat dit bij een andere gemeente ook kan gebeuren. Wanneer de IBD gelijk op de hoogte wordt gebracht, kunnen we sneller maatregelen nemen. Ook als het incident bij die gemeente al afdoende afgehandeld is door de gemeente of de leverancier zelf. Zo kunnen we namelijk indien nodig ook andere gemeenten waarschuwen en helpen. Zie het niet als een schande als zich een incident voordoet, 100% veilig bestaat immers niet. Wees blij dat het wordt ontdekt, dan lossen we het samen op. 9. Hoe kunnen gemeenten gebruik maken van de dienstverlening van de IBD? Allereerst natuurlijk via de website van de IBD, hier is veel informatie en documentatie terug te vinden. De IBD heeft bovendien een helpdesk, waar gemeenten al hun vragen over informatiebeveiliging kunnen stellen. En een community waar, door en tussen gemeenten, kennis en ervaring op informatiebeveiligingsvlak kan worden uitgewisseld. Om de gehele dienstverlening te kunnen afnemen en gemeenten gericht te kunnen helpen, heeft de IBD specifieke informatie nodig van gemeenten. Hiervoor moet je je als gemeente officieel aansluiten bij de IBD. 10. En waarom officieel aansluiten bij de IBD? De meerwaarde hiervan is, dat er altijd een direct, door de gemeente aangewezen, gemeentelijk contactpersoon is voor de IBD. Dus mochten er calamiteiten zijn dan hebben we als IBD één aanspreekpunt binnen de gemeente en kunnen we snel handelen omdat de juiste persoon benaderd wordt. Tevens hebben wij bij aangesloten gemeenten inzichtelijk wat gemeenten in huis hebben aan applicaties. Dus in geval van incidenten kunnen we hier als IBD heel gericht acteren. Gemeenten krijgen bovendien gemeente-specifieke informatie van de IBD, je ontvangt dus alleen datgene wat van toepassing is op je eigen gemeente. Het advies van Sjaak is dus niet voor niets; sluit je gemeente aan bij de IBD! Want ook bij gemeentelijke informatiebeveiliging geldt: de ketting is zo sterk als de zwakste schakel! Tips van Sjaak: Zorg dat medewerkers zich bewust zijn van wat zij doen op het internet. Veel incidenten worden veroorzaakt door onzorgvuldig internet gebruik. Besteed bewust aandacht aan Identity- en Accesmanagement. Het is belangrijk dat je weet wie je in dienst hebt en wat die persoon voor digitale rechten heeft.

19 Informatiebeveiliging in Beeld 19 Larissa Zegveld, Directeur KING Bereikbaarheid IBD De helpdesk van de IBD is te bereiken tijdens kantooruren van tot uur. Tijdens deze kantooruren reageert de IBD binnen 30 minuten op een incidentmelding. Buiten kantooruren is de IBD bereikbaar voor spoedeisende meldingen en zal de IBD binnen 60 minuten reageren op een telefonische oproep. De tijd van achterover leunen is voorbij! Den Haag Veel gemeenten hebben een medewerker die zich bezighoudt met informatieveiligheid. Maar dat is niet genoeg. Het gaat er met name om dat diegene in verbinding staat met de rest van het gemeentelijk werkveld. Met hen die dagelijks met informatie aan de slag zijn. Aan het woord is Larissa Zegveld, directeur Kwaliteitsinstituut Nederlandse Gemeenten (KING). KING is samen met de VNG initiatiefnemer achter de IBD. Zegveld: Het gaat om bewustwording dat je bij alles wat je doet, werkt met informatie. En dat je daar op een verantwoorde en veilige manier mee omgaat. Je ziet ook dat bestuurders steeds vaker met deze onderwerpen, en met name informatieveiligheid, geconfronteerd worden. Door bijvoorbeeld de decentralisaties zie je dat privacyaspecten ineens bestuurlijke vraagstukken worden. Het gaat over hoe je als gemeente je beleid uitvoert. Altijd actief zijn Zegveld: De tijd van achterover leunen is voorbij. Je bent nooit 100% veilig, maar je zult altijd actief moeten zijn op dit terrein. De ontwikkelingen gaan door. Ga eens na hoe jouw gemeente omgaat met de BIG, welke collega s met het onderwerp aan de slag zijn en in welke fase van aansluiten bij de IBD je gemeente zit. En geef aan de IBD terug wat jij nodig hebt om ervoor te zorgen dat informatiebeveiliging beter op ieders netvlies staat. Larissa Zegveld henk wesseling, taskforce BID Informatieveiligheid; een vast onderdeel van de dagelijkse praktijk Den Haag - De Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) is nu ruim anderhalf jaar actief en is ingesteld om het onderwerp informatieveiligheid hoog op de agenda te krijgen bij bestuurders en topmanagement van alle overheidslagen. Zowel qua bewustwording als sturing. Dat doen zij samen met de koepelorganisaties, waaronder de VNG en uiteraard ook samen met de IBD. De aanpak van de Taskforce BID bouwt voort op bestaande initiatieven, is gericht op samenwerking en stuurt op een vorm van Verplichtende Zelfregulering per overheidslaag als het gaat om informatieveiligheid. Hiervoor zetten zij concrete acties uit binnen elke overheidslaag, waaronder gemeenten. Samen met Henk Wesseling, bestuurlijk hoofd van de Taskforce BID, blikken we terug, bekijken we de huidige stand van zaken en kijken we vooruit. Wesseling: We stapten begin 2013 als Taskforce BID in een sterk gedifferentieerd veld. Het stadium dat mensen niet meer weten, dat er überhaupt sprake is van informatie-onveiligheid, zijn we inmiddels wel gepasseerd. Alleen hoe ermee om te gaan, moet op veel plaatsen nog wel verder worden opgebouwd. Om daar te komen volgen we twee lijnen: verplichtende zelfregulering en het gericht blijven op informatieveiligheid. Organisaties moeten informatieveiligheid leren te beschouwen als een vast onderdeel van de dagelijkse praktijk. Hiertoe creëren we gezamenlijk, enkele handige en goede kaders en dient de rest per overheidslaag zelf ingevuld te worden. In alle domeinen, van het Rijk tot de waterschappen en van provincies tot de gemeenten, lopen veel initiatieven om dit verder invulling te geven. Technische- en gedragskeuzes Om te zorgen dat de huidige aandacht niet verslapt, is een systeembenadering belangrijk. Ook binnen de gemeentelijke overheid. Je borgt geen continuïteit door heel hard iets te roepen of door sec Henk Wesseling aan bewustzijn te werken. Daarom wordt er concreet aan de verankering in processen gewerkt, als ook aan het blijven leren van elkaar. Organisaties van de toekomst zijn wellicht van nature gespitst op informatieveiligheid, maar op dit moment is het noodzakelijk dat juist de mensen die sturen en beslissen op hoofdlijnen begrijpen hoe informatieveiligheid technisch en sociaal werkt. Dat komt omdat de techniek en het bewustzijn over ons gedrag nog niet zodanig zijn doorontwikkeld dat je daar blind op kan vertrouwen. Je moet als gemeentelijk bestuurder in staat zijn om het juiste onderscheid te maken naar risico s als gevolg van technische en gedragskeuzes. Dit kun je doen door als bestuurder de juiste stuurvragen te stellen. Anders laat je je alleen leiden door de deskundigen en die zijn het maar al te vaak onderling ook niet met elkaar eens. Informatieveiligheid De fundamentele vragen over informatieveiligheid zijn voor het bedrijfsleven niet anders dan voor de overheid. Ook in het bedrijfsleven geldt dat hoe omvangrijker of gevoeliger de informatieverwerking is, hoe belangrijker de beveiliging is van die informatie. Bij basisregistraties als de GBA speelt informatieveiligheid al veel langer een centrale rol. Dat dit onderwerp nu maatschappij-breed speelt, bewijst eens te meer de ernst van de zaak. Als je als gemeentelijk bestuurder je informatieveiligheid niet voldoende op orde hebt, dan zal dat je belemmeren in je dienstverlening. Taskforce BID De erfenis van de Taskforce BID moet zijn dat informatieveiligheid is geborgd in de organisatie van alle overheidspartijen, ook bij gemeenten. Dat wil niet zeggen dat de informatieveiligheid dan helemaal op orde is, maar het vormt wel een gedegen basis. Deze bewustwording én de concrete verankering moeten uiterlijk in het voorjaar van 2015 zichtbaar zijn bij de jaarrekening van elke gemeente. Eigenlijk liever iets eerder maar dan moet het proces in alle organisaties al veel eerder op gang komen. We streven ernaar als Taskforce BID om eind 2014 door een vorm van monitoring een duidelijke indruk te kunnen geven over wat de voortgang is. Overigens formuleren sommige overheidslagen nu al ambities die hiermee overeenkomen of zelfs stelliger zijn. Ik ondersteun de ambitie van Digitaal 2017 van minister Plasterk volledig. Gezien de huidige ontwikkeling zou ik zeggen: het kan bijna niet anders. In de tussentijd gaat de informatisering met grote snelheid voort. Ook zal het besef dat je de informatieveiligheid vooraf geregeld moet hebben, heel snel toenemen. Er zullen zich zonder twijfel nog incidenten voordoen en af en toe zal een crimineel iets slims of onverwachts doen. Maar dit gaan we onder controle krijgen met de stappen die we nu zetten, daar ben ik van overtuigd. Let wel, onder controle betekent een gerichte risicobeheersing. Het zal, zoals in alle veiligheidskwesties, een strijd blijven van je risico s kennen, leren van incidenten en weer streven naar beheersen. 100% Veiligheid bestaat immers niet!

20 20 Informatiebeveiliging in Beeld Samenwerking is cruciaal De vergaande digitalisering heeft de samenleving ingrijpend veranderd. Naast de fysieke samenleving is een digitale samenleving ontstaan, waarin we onze bankzaken regelen, inkopen doen en elkaar op tal van platforms tegenkomen. van incidenten en crisissituaties op informatiebeveiligingsvlak is begin 2013, op initiatief van de VNG en de KING, de IBD opgericht, in samenspraak met het NCSC. De IBD werkt nauw samen met het NCSC als ketenpartner op het gebied van informatiebeveiliging. Voor het herkennen van dreigingen en voor een adequate respons, is het uiteraard van cruciaal belang dat kennis wordt gedeeld en dat alle betrokkenen elkaar snel weten te vinden. Een samenleving zonder internet is nog nauwelijks denkbaar. Om de samenleving en de economie niet te verstoren is digitale veiligheid, of cyber security, van vitaal belang. Het kabinet heeft daarom begin 2012 het Nationaal Cyber Security Centrum (NCSC) opgericht. Tot de oprichting van het NCSC, was GOVCERT.NL de organisatie van de overheid die zich bezighield met cyber security en incident response. Cyber security raakt alle onderdelen van de samenleving. Samenwerking tussen alle sectoren is dan ook een eerste vereiste om de weerbaarheid tegen bedreigingen te kunnen vergroten. Om gemeenten specifiek te kunnen ondersteunen in geval Computer Emergency Response Team Het NCSC heeft, net als de IBD, ook een CERT-functie. CERT staat voor Computer Emergency Response Team. In de internationale digitale samenleving is de CERTfunctie een begrip en in veel landen is zo n team actief. Aangezien digitale dreigingen zich weinig aantrekken van landsgrenzen is onderlinge samenwerking tussen de CERT s belangrijk. Dat zorgt voor een actueel inzicht in mogelijke dreigingen. Juist omdat online veiligheid in Nederland geen zaak is van één partij, is het van belang dat overheid en bedrijfsleven slim samenwerken om van Nederland de meest open en veilige online samenleving te maken. Nationaal Respons Netwerk Nederland loopt voorop als het gaat om cyber security. Zo is er het Nationaal Respons Netwerk (NRN), een actiegericht netwerk van organisaties die geloven in het belang van deze samenwerking en die hierin willen investeren. Met de oprichting van het NRN is bovendien een stap voorwaarts gezet op het vlak van digitale weerbaarheid. De Belastingdienst, SURFnet, Defensie CERT (DefCERT), de IBD en het NCSC hebben zich als eerste partijen aan het NRN gecommitteerd. Dat betekent dat er bij toekomstige grootschalige cybersecurity-incidenten snel en effectief kan worden gereageerd, dit door kennis en capaciteiten van de verschillende publiek en private partners te bundelen. Het NCSC vervult hierbij de rol van coalitievormer en facilitator van de samenwerking tussen de verschillende organisaties in het netwerk. Het NRN wordt nog verder uitgebreid met andere publieke en private partners. Heeft uw gemeente zich al officieel aangesloten bij de IBD? aansluiten@ibdgemeenten.nl kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Oplossing kruiswoordpuzzel: 1. Informatiebeveiliging 2. Windows 3. Aansluitproces 4. Crisiswoordvoering 5. Incident 6. VNG 7. Baseline 8. Kwetsbaarheidswaarschuwing 9. CERT 10. Community 11. Bewustzijn 12. Resolutie 13. BIG 14. IP 15. VCIB 16. Stappenplan De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. Zo heeft de IBD: COLOFON Een helpdesk, waar gemeenten al hun vragen over informatiebeveiliging kunnen stellen. Een website en community waar, door en tussen gemeenten, kennis en ervaring op informatiebeveiligingsvlak kunnen worden uitgewisseld. Om de gehele dienstverlening van de IBD af te kunnen nemen en gemeenten gericht te kunnen helpen, heeft de IBD specifieke informatie nodig van elke gemeente. Hiervoor moet iedere gemeente officieel aansluiten bij de IBD. Informatiebeveiliging in Beeld is een uitgave over Informatiebeveiliging bij gemeenten Copy, redactie en vormgeving: Sonja Kok, Marlies Schamper en Annelieke van den Berg Redactieadres: Informatiebeveiligingsdienst voor Gemeenten (IBD) T E info@ibdgemeenten.nl I