Rapportage Informatiebeveiliging 2017

Transcriptie

1 Rapportage Informatiebeveiliging 2017

2 Titel: Rapportage Informatiebeveiliging 2017 Versie: 0.9 Datum: 23 mei 2018 Auteur(s): I.M.C. Mekers

3 Inhoudsopgave Samenvatting Inleiding Leeswijzer Het verantwoordingsproces De ENSIA-verantwoording De scope van de verantwoording Informatiebeveiliging in Informatiebeveiliging organisatiebreed Chief Information Security Officer Werkgroep Informatiebeveiliging Information Security Management System Aansluiting bij de Informatiebeveiligingsdienst Onderzoek ibewustzijn Verklaring van Toepasselijkheid Informatiebeveiligingsplan Beveiligingsincidenten Zelfevaluaties BRP en PUN Suwinet-audit Senzer Burgerzaken Zelfevaluatie BAG en BGT Overige aspecten Samenwerken in ketens Privacy Aanpak Actualiseren informatiebeveiligingsbeleid ISMS Werkgroep informatiebeveiliging Bewustwording Procedures vaststellen en monitoring van activiteiten Contracten met externe partijen BIG invoeren Externe audits

4 Samenvatting Het college van B&W legt jaarlijks verantwoording af over de uitvoering van het informatiebeveiligingsbeleid. Dit rapport bevat die verantwoording. Over 2017 wordt voor het eerst verantwoording afgelegd volgens ENSIA (Eenduidige Normatiek Single Information Audit). Hierdoor verminderd de auditlast, omdat informatie wordt gebruikt voor meerdere audits en zelfevaluaties. Algemeen normenkader Informatiebeveiliging heeft betrekking op meer gebieden dan die welke wettelijke eisen stellen. Daarom is binnen ENSIA afgesproken dat er een algemeen normenkader voor de organisatiebrede informatiebeveiliging is, namelijk de Baseline Informatiebeveiliging Gemeenten (BIG). In het kader van de BIG heeft informatiebeveiliging een vaste plaats binnen gemeente Asten gekregen en is een werkgroep Informatiebeveiliging opgericht. Daarnaast is een tool aangeschaft en ingericht om de BIG-maatregelen te beheren en monitoren. Ook is gemeente Asten aangesloten bij de Informatiebeveiligingsdienst en is een onderzoek ibewustzijn uitgevoerd onder de medewerkers. Ten slotte zijn een Verklaring van Toepasselijkheid en een informatiebeveiligingsplan vastgesteld. Beveiligingsincidenten Beveiligingsincidenten zijn gebeurtenissen die inbreuk maken op de informatieveiligheid. In 2017 zijn er twee datalekken geweest bij Senzer met betrekking tot Astense burgers. Hiervan heeft Senzer melding gedaan bij de Autoriteit Persoonsgegevens en de betrokkenen geïnformeerd. Ook zijn in december 2017 vier ipads gestolen bij De Schop. Na constatering van deze diefstal zijn maatregelen genomen, daardoor is het risico op een datalek uitgesloten. Zelfevaluaties Jaarlijks moeten gemeenten verantwoording afleggen over het gebruik van een aantal basisregistraties. Voor BRP en PUN scoort gemeente Asten binnen de gestelde normen. Het beveiligingstechnische deel wordt als onvoldoende beoordeeld vanwege het ontbreken van externe toetsing en monitoring. BAG en BGT scoren voldoende op het inhoudelijke deel. Over het beveiligingstechnische deel heeft geen terugkoppeling plaatsgevonden door de toezichthouder. Suwinet-audit De gemeente heeft haar SUWI-taken op het gebied van o.a. de Participatiewet opgedragen aan Senzer. Desondanks blijft de gemeente verantwoordelijk voor Suwinet. Gemeente Asten gebruikt Suwinet Inkijk voor BPR-(adres)onderzoeken. In beide gevallen is door een externe IT-auditor vastgesteld dat niet wordt voldaan aan het gestelde normenkader. Zowel Senzer als gemeente Asten gaan in 2018 maatregelen nemen om de tekortkomingen op te lossen. Privacy Met de komst van de Algemene Verordening Gegevensbescherming is privacy volop in de schijnwerpers komen te staan. Binnen gemeente Asten worden privacy en informatiebeveiliging samen opgepakt, ook al omhelst informatiebeveiliging meer dan alleen privacy. Vooruitblik 2018 In 2018 wordt het informatiebeveiligingsbeleid geactualiseerd. Daarnaast gaat de werkgroep Informatiebeveiliging aan de slag met de beheersmaatregelen en wordt de BIG verder ingevoerd. 2

5 1. Inleiding Informatiebeveiliging is de laatste jaren een actueel thema geworden, zowel in de publieke als de private sector. De informatieveiligheid staat vanuit vele kanten onder druk en het aantal dreigingen neemt nog dagelijks toe. Daarom hebben de Nederlandse gemeenten hun verantwoordelijkheid genomen en zijn werk gaan maken van een deugdelijke informatiebeveiliging. In een resolutie hebben de Nederlandse gemeenten in 2013 uitgesproken hun informatiebeveiliging in te richten op een gestandaardiseerde en transparante wijze. Onderdeel daarvan is dat het college van B&W jaarlijks verantwoording aflegt over de uitvoering van het informatiebeveiligingsbeleid. Dit rapport bevat die verantwoording. 1.1 Leeswijzer Na een beschrijving van het kader waarbinnen de verantwoording plaatsvindt, wordt in hoofdstuk 3 een beeld gegeven van de situatie in Hoofdstuk 4 beschrijft enkele randaspecten, waarna in hoofdstuk 5 vooruit wordt gekeken naar de informatiebeveiliging in

6 2. Het verantwoordingsproces Over 2017 wordt voor het eerst door alle gemeenten verantwoording afgelegd op een gestandaardiseerde wijze, namelijk volgens ENSIA (Eenduidige Normatiek Single Information Audit). Dit betekent dat alle informatie ten behoeve van de verantwoording centraal binnen de gemeente wordt verzameld en dat deze wordt gebruikt voor verschillende doeleinden. Door deze opzet wordt de auditlast verminderd, omdat eenmaal verzamelde informatie gebruikt wordt voor verschillende audits en zelfevaluaties. Voorheen werden voor elke audit opnieuw gegevens verzameld. 2.1 De ENSIA-verantwoording De ENSIA-verantwoording valt uiteen in twee onderdelen: de zogenaamde horizontale verantwoording van het college van B&W aan de gemeenteraad en de verticale verantwoording aan de externe toezichthouders (in het algemeen de verantwoordelijke ministeries). Het verantwoordingsproces over 2017 ziet er schematisch als volgt uit: Het proces is gestart op 1 juli 2017 en moet uiterlijk 15 juli 2018 worden afgesloten met de horizontale verantwoording aan de gemeenteraad. In deze periode hebben diverse rapportages en audits plaatsgevonden. Op de bijzonderheden daarvan wordt in het volgende hoofdstuk verder ingegaan. 4

7 2.2 De scope van de verantwoording De integrale verantwoording, zoals die nu voor het eerst plaatsvindt, is nieuw voor gemeenten. Audits en zelfevaluaties vonden in het verleden slechts per onderdeel plaats; ze werden dan meestal ook uitgevoerd vanuit de vakafdelingen. ENSIA brengt daar verandering in. Dat gaat echter niet in één keer. Om die reden beperkt de verantwoording zich in 2017 (en ook in 2018) tot alleen de opzet en het bestaan van beveiligingsmaatregelen. Daarna zal ook de feitelijke werking getoetst worden. Dit betekent voor de toekomst een verhoging van de auditlast. 5

8 3. Informatiebeveiliging in 2017 In het verleden zijn door de verschillende toezichthouders (ministeries) separate normenkaders gedefinieerd waaraan gemeenten moeten voldoen. Voor de Basisregistratie Personen (BRP) gelden andere beveiligingsnormen dan voor bijvoorbeeld een Suwinet-aansluiting. Deze normenkaders volgen in de meeste gevallen uit de betreffende wet- en regelgeving. Informatiebeveiliging heeft echter betrekking op meer gebieden dan alleen die welke wettelijke eisen stellen. Daarom is binnen ENSIA afgesproken dat naast deze specifieke normenkaders ook een algemeen normenkader geldt voor de organisatiebrede informatiebeveiliging. Deze algemene norm wordt gevormd door de Baseline Informatiebeveiliging Gemeenten (BIG). Hierna wordt eerst deze algemene norm besproken, gevolgd door de taakgebonden normenkaders. In deze rapportage worden geen specifieke beveiligingsmaatregelen genoemd, omdat het publiceren daarvan juist een veiligheidsrisico inhoudt. 3.1 Informatiebeveiliging organisatiebreed Gemeente Asten kende geen vaste, organisatiebrede structuur waarin informatiebeveiliging op reguliere basis aandacht kreeg. Uiteraard waren er wel ICT-technische maatregelen genomen en waren er binnen teams afspraken hoe omgegaan moest worden met gegevens en informatie. Maar deze maatregelen waren niet altijd consistent en op elkaar afgestemd. In 2017 is een aanvang gemaakt met het verbeteren hiervan. De invoering van de BIG en het ENSIA-toetsingskader bieden hiervoor een basis: de BIG omdat deze zorgt voor een organisatiebreed, gestandaardiseerd geheel van beveiligingsmaatregelen, ENSIA omdat het een uniform verantwoordingskader biedt. In de volgende paragrafen wordt beschreven wat er in 2017 organisatiebreed op het vlak van informatiebeveiliging is uitgevoerd Chief Information Security Officer Sinds eind 2016 kent gemeente Asten een Chief Information Security Officer (CISO). Deze is verantwoordelijk voor de coördinatie van en advisering over informatiebeveiliging. Aanvankelijk is deze CISO-functie tijdelijk ingevuld. Vanaf 1 maart 2018 is hiervoor structurele formatie aanwezig en ingevuld. Daarmee heeft informatiebeveiliging een vaste plaats binnen de organisatie gekregen Werkgroep Informatiebeveiliging De BIG kent 11 aandachtsgebieden die een rol spelen in de informatiebeveiliging. Uiteraard speelt ICT hierin een grote rol, maar ook personeelsbeleid, gebouwenbeheer, procesbewaking en controlemechanismen zijn belangrijke schakels. Om die reden is in 2017 de werkgroep Informatiebeveiliging opgericht. Hierin zijn verschillende vakdisciplines vertegenwoordigd. Door in werkgroepverband de informatiebeveiliging aan te pakken wordt enerzijds bevorderd dat alle relevante aspecten in beeld zijn en anderzijds dat maatregelen en acties in hun onderlinge samenhang worden beoordeeld. 6

9 3.1.3 Information Security Management System Als ondersteunende tool is een Information Security Management System (ISMS) aangeschaft en ingericht. Hiermee kunnen de BIG-maatregelen worden beheerd en gemonitord. De evaluatie van deze maatregelen moet ingebed gaan worden in de organisatiebrede P&C-cyclus Aansluiting bij de Informatiebeveiligingsdienst De Informatiebeveiligingsdienst (IBD) is een onderdeel van VNG Realisatie (voorheen KING). Zoals de meeste Nederlandse gemeenten is ook Asten aangesloten bij de IBD. De IBD ondersteunt en adviseert gemeenten op het gebied van informatiebeveiliging. Daarnaast geven zij informatie over mogelijke bedreigingen. De IDB onderhoudt contacten met het Nationaal Cyber Security Centrum (NCSC) dat op zijn beurt weer in verbinding staat met gelijksoortige internationale organisaties Onderzoek ibewustzijn In 2017 is binnen gemeente Asten een enquête gehouden waarin is onderzocht hoe het staat met de bewustwording ten aanzien van informatiebeveiliging. De uitkomsten van dit onderzoek worden gebruikt om het bewustzijn bij medewerkers verder te vergroten, te borgen en om de medewerkers concrete hulp te bieden om te reageren op situaties en mogelijke bedreigingen. Dit traject wordt gecombineerd met een vergelijkbaar traject dat betrekking heeft op privacy in het kader van het in werking treden van de Algemene Verordening Gegevensbescherming (AVG) Verklaring van Toepasselijkheid In oktober 2017 heeft het college een Verklaring van Toepasselijkheid (VvT) vastgesteld. Deze gaf een overzicht van de stand van zaken met betrekking tot de invoering van de BIG-maatregelen per medio Onderstaande grafiek geeft dit schematisch weer: Status invoering BIG-maatregelen 9% 19,70% 29,60% 41,70% Volledig geïmplementeerd Deels geïmplementeerd Gepland Geaccepteerd risico In totaal kent de BIG ruim 130 maatregelen. De grafiek geeft weer in hoeverre deze maatregelen daadwerkelijk zijn geïmplementeerd. Een deel (29,6%) van de maatregelen is volledig ingevoerd 7

10 en 41,7% van de maatregelen is gedeeltelijk geïmplementeerd. Dit laatste wil zeggen dat ze slechts in een deel van de organisatie ofwel tot op zeker hoogte zijn ingevoerd. Daarnaast is 19,7% van de maatregelen in zijn geheel (nog) niet ingevoerd. Een klein deel van de maatregelen (9%) wordt beschouwd als een geaccepteerd risico. Daarbij kan worden gedacht aan het open karakter van het gemeentehuis tijdens commissie- en raadsvergaderingen en ten behoeve van de exposities, waardoor publiek feitelijk toegang heeft tot vrijwel alle ruimtes. De BIG-maatregelen vallen globaal in drie categorieën uiteen. In de eerste plaats kent de BIG maatregelen die een direct beschermend karakter hebben. Denk daarbij aan het gebruik van wachtwoorden, het afsluiten van kwetsbare ruimtes, het maken van dagelijkse back-ups en het scannen van op virussen en andere bedreigingen. In deze categorie zijn al veel maatregelen doorgevoerd, maar deze kunnen op onderdelen nog aangescherpt worden. Daarnaast wijzigen de dreigingen van buitenaf continu, zodat een herbeoordeling van de effectiviteit van de maatregelen nodig blijft. De tweede categorie betreft procedurele maatregelen. Daarbij gaat het om afspraken binnen en tussen teams. Deze afspraken zijn er in veel gevallen wel, maar ze zijn niet in alle gevallen geformaliseerd en vastgelegd. Hiervoor moet een inhaalslag gemaakt worden. Tenslotte is er nog een categorie maatregelen die te maken heeft met monitoring van en controle op de uitvoering van processen. Deze zogenaamde accountability behoeft ook verbetering. Uit deze VvT blijkt dat gemeente Asten nog een flinke stap moet zetten om volledig te voldoen aan de BIG-normen. Op onderdelen zullen aanvullende beveiligingsmaatregelen nodig zijn, omdat daar hogere risico s bijvoorbeeld in verband met privacy gelden. Maar vanwege het tempo van technische ontwikkelingen en de menselijke factor is 100% informatieveiligheid een illusie Informatiebeveiligingsplan Naast de VvT heeft het college van B&W in het najaar 2017 het informatiebeveiligingsplan vastgesteld. Hierin is aangegeven op welke wijze de verbetering van de informatiebeveiliging wordt aangepast en welke tijdsplanning hierbij wordt gehanteerd. De activiteiten in het plan zijn gegroepeerd naar de volgende onderdelen: - Benoemen van rollen, verantwoordelijkheden en overlegstructuren. - Bewustwording en opleidingen. - Opstellen en uitrollen van privacyrichtlijnen en maatregelen. - Uitrollen maatregelen voor beveiligingsniveaus. - Formaliseren van afspraken met IT-leveranciers met betrekking tot informatiebeveiliging. Op het merendeel van deze onderdelen zijn in 2017 al acties ondernomen. In 2018 en volgende jaren zal hier verder vervolg aan worden gegeven Beveiligingsincidenten Beveiligingsincidenten zijn gebeurtenissen die inbreuk maken op de informatieveiligheid. Dat kan van alles zijn: verlies of verminking van gegevens, storingen op systemen, ongeautoriseerde inzage van gegevens. Deze incidenten kunnen veroorzaakt worden door menselijk handelen, door 8

11 bewuste inbreuken zowel van binnenuit als van buitenaf of door het uitvallen van techniek bij onszelf of bij partners. Het aantal beveiligingsincidenten over 2017 is tot een minimum beperkt gebleven. Uitval van systemen heeft zich nauwelijks voorgedaan. Langdurige uitval (meer dan één uur) is helemaal niet voorgekomen. Voor zover er significante storingen zijn geweest, zijn die beperkt gebleven tot deelsystemen. Door de IBD zijn we regelmatig gewaarschuwd om mogelijke bedreigingen van buitenaf. De bekendste dreiging was het Wannacry-virus in mei Geen enkele van deze bedreigingen heeft daadwerkelijk invloed gehad op onze systemen en onze informatieverwerking. Gemeente Asten heeft in 2017 twee keer te maken gehad met een datalek. Deze vonden plaats in de verwerking binnen de gemeenschappelijke regeling Senzer. Van deze datalekken is door Senzer conform de geldende richtlijnen melding gemaakt bij de Autoriteit Persoonsgegevens, daarnaast heeft Senzer de betrokkenen geïnformeerd. Daarnaast zijn er in december 2017 bij De Schop vier ipads gestolen. Er zijn, na constatering van de diefstal, meteen maatregelen genomen waardoor het risico op een datalek is uitgesloten. 3.2 Zelfevaluaties BRP en PUN Jaarlijks moeten gemeenten verantwoording afleggen over het gebruik van de Basisregistratie Personen (BRP) en de verwerking van reisdocumenten (de Paspoortuitvoeringsregeling Nederland, PUN). In voorgaande jaren vonden deze zelfevaluaties plaats vanuit de betreffende vakafdeling. Met de komst van ENSIA is het inhoudelijke deel afgesplitst van het beveiligingstechnische deel. Het inhoudelijke deel, dat onder andere kijkt naar de kwaliteit van de persoonsgegevens in het BRP en de inrichting van de verwerkingsprocessen, wordt nog steeds door de vakafdeling uitgevoerd. Het beveiligingstechnische deel wordt sinds 2017 op basis van de BIG-richtlijnen uitgevraagd. De zelfevaluaties BRP en PUN zijn ingediend zodat de externe toezichthouder (het ministerie van Binnenlandse zaken en Koninkrijkszaken) zich hierover een oordeel kan vormen. Op het inhoudelijke deel van de zelfevaluaties scoort gemeente Asten binnen de gestelde normen. Het beveiligingstechnische deel wordt echter als onvoldoende beoordeeld. Dat komt niet doordat de feitelijke beveiligingsmaatregelen onvoldoende zijn, maar vindt zijn oorzaak in het ontbreken van een externe toets en monitoring op uitvoering van de maatregelen (accountability). 3.3 Suwinet-audit Suwinet is een digitale infrastructuur waarmee de Suwi-partijen (UWV, SVB en gemeenten) gegevens met elkaar kunnen uitwisselen voor de uitoefening van hun wettelijke taak. Er worden alleen gegevens uitgewisseld voor zover daar een wettelijke grondslag voor is. Het Bureau Keteninformatisering Werk & Inkomen (BKWI, onderdeel van het ministerie van Sociale zaken en Werkgelegenheid) beheert Suwinet en is tevens de externe toezichthouder waaraan gemeenten verantwoording moeten afleggen over het gebruik ervan. 9

12 3.3.1 Senzer De gemeente heeft haar SUWI-taken op het gebied van de Participatiewet, IOAW en IOAZ opgedragen aan Senzer als uitvoerend lichaam (mandaat). Desondanks blijft de gemeente verantwoordelijk voor Suwinet. Senzer heeft een audit laten uitvoeren door een gecertificeerde IT-auditor. De zogenaamde Third Party Memorandum (TPM) die deze auditor heeft opgesteld laat zien dat Senzer niet aan het door BKWI gestelde normenkader voor Suwinet voldoet. Daardoor voldoet gemeente Asten (als verantwoordelijke) ook niet aan de normen. In de verplichte collegeverklaring hieromtrent wordt dit door de gemeente aan de toezichthouder gemeld (via ENSIA). Onze externe IT-auditor heeft deze collegeverklaring beoordeeld als zijnde in overeenstemming met de werkelijkheid. Senzer heeft aangegeven dat de geconstateerde tekortkomingen in 2018 worden opgepakt. Er is afgesproken dat zij gemeente Asten van de voortgang op de hoogte houdt Burgerzaken Gemeente Asten gebruikt Suwinet Inkijk binnen Burgerzaken voor BRP-(adres)onderzoeken. Onze externe IT-auditor heeft een audit uitgevoerd op het gebruik van Suwinet Inkijk en heeft geconstateerd dat gemeente Asten niet aan het door BKWI gestelde normenkader voor Suwinet voldoet. Gemeente Asten gaat in 2018 maatregelen nemen om de tekortkomingen op te lossen. 3.4 Zelfevaluatie BAG en BGT De zelfevaluaties voor de Basisregistratie Adressen en Gebouwen (BAG) en Basisregistratie Grootschalige Topografie (BGT) zijn over 2017 nog niet verplicht. Desondanks zijn ze al wel opgenomen in de ENSIA-methodiek. De externe toezichthouder, het ministerie van Infrastructuur en Waterstaat, heeft wel laten weten te verwachten dat gemeenten op vrijwillige basis deelnemen aan de zelfevaluaties over Asten heeft dat dan ook gedaan. De ENSIA-verantwoording voor BAG en BGT valt in twee delen uiteen: een inhoudelijk deel en een beveiligingstechnisch deel. Op het inhoudelijke deel (de kwaliteit van de gegevens en de processen) wordt ruimschoots voldoende gescoord. Het beveiligingstechnische deel betreft de vertaling van de VvT naar de vraagstelling vanuit ENSIA. Hierover heeft geen terugkoppeling plaatsgevonden door de toezichthouder, maar de kwaliteitsslag op de BIG-maatregelen zal een positief effect hebben op de beveiliging van BAG en BGT. 10

13 4. Overige aspecten Behalve de informatiebeveiliging als zodanig zijn er nog enkele andere aspecten die van belang zijn voor deze jaarlijkse rapportage. Het betreft dan het feit dat gemeente Asten steeds vaker onderdeel uitmaakt van een keten van partners. Hetzij omdat het een (wettelijke) verplichting is, hetzij omdat we ervoor kiezen om werkzaamheden elders onder te brengen. Daarnaast heeft informatiebeveiliging een nauwe band met de toegenomen aandacht voor de bescherming van persoonsgegevens. 4.1 Samenwerken in ketens Om diverse redenen heeft gemeente Asten te maken met samenwerkings- of ketenpartners. Op het vlak van informatiebeveiliging brengt dat nieuwe risico s met zich mee. In de eerste plaats is er de noodzaak tot overdracht van informatie. Zo vindt er gegevensuitwisseling plaats met een omgevingsdienst of met een gemeenteschappelijke regeling in het sociaal domein. Maar we verstrekken ook informatie aan externe adviseurs. Iedere informatieoverdracht heeft een zeker risico (op inbreuk, op verminking, enzovoort). Het is een uitdaging om de steeds groter wordende bedreigingen op dit gebied te pareren met afdoende technische en procedurele beveiligingsmaatregelen. Het gegeven dat we werkzaamheden onderbrengen in externe organisaties ontslaat ons niet van onze verantwoordelijkheden. Om hier aan tegemoet te komen zijn goede vooraf opgestelde afspraken nodig. Desondanks blijkt in de praktijk toch regelmatig een spanningsveld te bestaan tussen dat wat om legitieme redenen wenselijk is en dat wat mag of kan vanuit het perspectief van informatiebeveiliging en privacy. 4.2 Privacy Met de komst van de Algemene Verordening Gegevensbescherming per 25 mei 2018 is privacy volop in de schijnwerpers komen te staan. Hoewel er met deze wetgeving niet zo heel veel veranderd, zal de beleving en naleving ervan wel anders zijn. Privacy heeft per definitie alleen betrekking op persoonsgegevens, waarbij dat begrip overigens ook heel ruim is. Zo kan het kenteken van een auto beschouwd worden als een persoonsgegeven als het herleidbaar is tot een individueel persoon. Elke organisatie, en zeker een gemeente, dient de privacy te kunnen waarborgen. Daar zijn dus strikte wettelijke regels voor die, bij overtreding, kunnen leiden tot forse boetes. Informatiebeveiliging heeft een breder aandachtsgebied. De beveiliging is bijvoorbeeld ook gericht op de bedrijfscontinuïteit en beperkt zich niet tot uitsluitend persoonsgegevens. Toch is het niet vreemd dat privacy en informatiebeveiliging vaak in één adem worden genoemd. Bovendien is het zo dat een aantal beveiligingsmaatregelen van directe invloed is op de waarborging van de privacy. Omgekeerd dragen privacyvereisten - zoals het afsluiten van verwerkersovereenkomsten - bij aan een verhoging van de informatiebeveiliging. Binnen gemeente Asten worden informatiebeveiliging en privacy dan ook samen opgepakt. 11

14 5. Aanpak 2018 In de voorgaande hoofdstukken is weergegeven wat in 2018 op het gebied van informatiebeveiliging aan de orde is geweest. In dit hoofdstuk wordt kort aangegeven waar de acties in 2018 liggen. 5.1 Actualiseren informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid van gemeente Asten is in 2016 vastgesteld en loopt tot en met Het beleid moet in 2018 worden geactualiseerd. Het geactualiseerde informatiebeveiligingsbeleid zal voor een deel steunen op het dreigingsbeleid zoals dat begin 2018 door de IBD is geschetst. In dit dreigingsbeleid geeft de IBD aan waar de risico s liggen en waar de prioriteiten van de gemeenten zouden moeten liggen. Als risico s noemt de IBD: - Mensen maken fouten. - Gemeenten zijn, net als alle organisaties, kwetsbaar. - Dreigingen liggen ook (vlak) buiten de eigen organisatie. - De waan van de dag bepaalt de agenda. - We weten niet wat we niet weten. Op grond hiervan worden de volgende prioriteiten geadviseerd: - Maak medewerkers uw verdedigingslinie. - Elimineer kwetsbaarheden uit uw organisatie. - Zorg voor een plan B. - Maak uw CISO belangrijk(er). - Organiseer het samen. 5.2 ISMS Het ISMS zal verder worden ingezet als beheerinstrument van de BIG-normen. Op dit moment is het vooral een tool voor de CISO, maar ook andere actiehouders (zoals P&O en gebouwenbeheer) zullen het ISMS gaan gebruiken voor het beheer van de voor hen relevante beveiligingsmaatregelen. 5.3 Werkgroep informatiebeveiliging De werkgroep Informatiebeveiliging is aan de slag gegaan om de beheersmaatregelen verder te implementeren. Dit zal in 2018 gecontinueerd worden. 5.4 Bewustwording De schade als gevolg van inbreuken op de informatieveiligheid loopt voor de Nederlandse gemeenten jaarlijks in de miljoenen euro s. Meer dan een kwart van die inbreuken is een gevolg van menselijk handelen, zonder dat daar kwade opzet bij in het spel is. Het dan om dingen die gebruikers doen of juist nalaten, door onwetendheid of doordat men zich niet bewust is van risico s. Op dit vlak is dus veel winst te behalen. In combinatie met voorlichting over privacy zal informatiebeveiliging voortdurend onder de aandacht van de medewerkers worden gebracht. Het 12

15 heeft weinig zin om veel geld en inspanning te spenderen aan het inrichten van allerlei technische maatregelen als het menselijk handelen in de beveiligingsketen geen aandacht krijgt. 5.5 Procedures vaststellen en monitoring van activiteiten Procesafspraken zullen moeten worden vastgelegd en vastgesteld in procedures. Daarmee worden meerdere doelen gediend. Beschreven procedures maken voor iedereen duidelijk hoe gehandeld moet worden. Daarnaast vormen ze een (intern) toetsingskader aan de hand waarvan de feitelijke handelingen beoordeeld kunnen worden. 5.6 Contracten met externe partijen De gemeente heeft overeenkomsten met externe partijen afgesloten waarin afspraken zijn vastgelegd over de levering van diensten en producten. Een deel van die overeenkomsten en de bijbehorende voorwaarden dateren uit een tijd dat informatiebeveiliging nog niet zo hoog op de agenda stond. Het is dus nodig dat deze overeenkomsten opnieuw worden beoordeeld en zonodig aangepast. Behalve dat dit een grote hoeveelheid werk betekent, bestaat ook de kans dat de betreffende externe partij niet bereid is de overeenkomst aan te passen. Van geval tot geval zal dan bekeken moeten worden wat de consequenties daar van zijn. Bij nieuwe inkooptrajecten worden beveiligings- en privacyvereisten standaard meegenomen en wordt ervoor gezorgd dat relevante eisen worden opgenomen in de af te sluiten overeenkomsten. 5.7 BIG invoeren Het invoeren van de BIG-maatregelen gaat in 2018 verder. Dit betekent niet dat alle maatregelen ook tot in de volle breedte in 2018 ingevoerd zullen zijn daar is het te omvangrijk voor. Bovendien speelt hierin ook een kostenaspect. Een andere factor van invloed is de onzekerheid over hoe onze ICT-infrastructuur in de toekomst vorm wordt gegeven. Daar waar het verantwoord is, worden technische beveiligingsmaatregelen uitgesteld. De BIG biedt een niveau van basisbeveiliging. Op onderdelen kan echter extra beveiliging nodig zijn. Dit kan zijn omdat er binnen een taakveld verhoogde risico s zijn ten aanzien van privacy of dat bepaalde bedrijfskritische processen extra beschermd moeten worden. Grote gevoeligheden ten aanzien van vertrouwelijkheid van gegevens liggen in het sociale domein. Deze taken zijn ondergebracht in gemeenschappelijke regelingen. Dat ontheft ons niet van onze verantwoordelijkheid, maar vergt een meer controlerende inspanning van gemeente Asten. 5.8 Externe audits Eén van de belangrijkste redenen waarom niet voldaan werd aan de BRP/PUN-normen in 2017 was het ontbreken van externe audits op de processen. Het is de accountability die vraagt om een onafhankelijke beoordeling van ons reilen en zeilen op het gebied van de informatiebeveiliging. 13