Verslag Visitatiecommissie Informatieveiligheid

Transcriptie

1 Verslag Visitatiecommissie Informatieveiligheid Gemeente Tijd Aanwezig gemeente Coevorden 16 november 2016, 12:00 uur - De heer B.J. Bouwmeester, burgemeester - René Jonkman, Concernmanager bedrijfsvoering - Jeroen Kuijpens, teamleider Advies & Services Aanwezig Visitatiecommissie Informatieveiligheid Frans Backhuijs (voorzitter) Wim Blok Maarten Ruys Jeroen Boot (secretaris) Inleiding De Commissie Informatieveiligheid dankt de gemeente Coevorden hartelijk voor haar gastvrijheid. De Commissie heeft een open gesprek kunnen voeren, wat zij zeer heeft gewaardeerd. Ze denkt een goed beeld te hebben gekregen van de wijze waarop de gemeente Coevorden werkt aan informatieveiligheid en wat de grootste uitdagingen zijn. De Commissie heeft het beeld dat de gemeente Coevorden op een realistische manier werkt aan informatieveiligheid. Daarbij viel de Commissie specifiek positief op dat Coevorden nauw samenwerkt met Emmen (gastheermodel), waarbij Coevorden een actieve opdrachtgeversrol op zich neemt. In dit verslag beschrijven we achtereenvolgens ons verkregen beeld, een aantal aanbevelingen voor het handelingsperspectief van de gemeente voor de komende periode en enkele slotnoties. Het beeld van de Commissie is gecategoriseerd in vijf onderdelen: 1. Digitalisering algemeen; 2. Gerichtheid; 3. Verankering; 4. Extern leren en 5. Werking. 1

2 Handelingsperspectief Maak het College en de Raad structureel deelgenoot van de complexiteit van de dilemma s op het gebied van informatieveiligheid Coevorden voert op dit moment nog geen gestructureerd gesprek met de Raad over het onderwerp informatieveiligheid. Het is nu zaak om de aandacht bij de Raad te verstevigen en te bewerkstelligen dat de aandacht bovendien structureel is. De Commissie beveelt aan om het gesprek met de Raad concreet nader vorm te geven door aandacht te vragen voor informatieveiligheid door hen te informeren over het beleidsplan/uitvoeringsplan, als onderdeel van politiek-urgente vraagstukken of door het organiseren van themasessies. Op structurele basis zijn dit onderwerpen zoals financiën en de veranderingen in het sociaal domein, maar ook privacy, en Big Data. Ook door informatieveiligheid te framen als een randvoorwaarde voor het realiseren van haar ambities biedt het handvatten om een toekomstgericht gesprek met de Raad te blijven voeren over informatieveiligheid. Het gesprek in de Colleges kan in de optiek van de Commissie langs dezelfde lijnen vorm krijgen, zodat op Collegeniveau meer scherpte ontstaat. De Commissie meent dat de interesse voor en kennis van het onderwerp bij de portefeuillehouder hieraan kan bijdragen. Door structurele en actieve verantwoording (met een vaste frequentie) worden College en Raad betrokken bij het belang van informatieveiligheid, de complexiteit van het onderwerp en het besef dat hiervoor ook financiën benodigd zijn om bepaalde (concreet geformuleerde) beleidsdoelstellingen te bereiken. Het is met name belangrijk dat de Raad voor ogen heeft dat Coevorden, in samenwerking met de regio, systematisch aan informatieveiligheid werkt en dat men zich bewust is van de risico s, zonder dat (menselijke) fouten geheel zijn uit te sluiten. Informatieveiligheid dient bovendien een vaste plaats te krijgen in de jaarverslagen. Besteed nadere aandacht aan het leveranciersmanagement Coevorden heeft het belang van goede afspraken met leveranciers voor ogen. De Commissie herkent uit andere ervaringen in het land dat het maken van goede afspraken en het naleven daarvan door de leverancier niet eenvoudig of vanzelfsprekend is. De Commissie adviseert expliciet aandacht te geven aan de mogelijke risico s in de reeds lopende contracten en aan de vraag of bewerkersovereenkomsten zijn afgesloten. De Commissie roept Coevorden op om in dit kader ook in contact te treden met Emmen en Borger-Odoorn. De Commissie verwijst tevens naar de IBD ( waar waardevolle informatie is op te halen. Dit is te meer van belang omdat de gemeente, ook in het geval zij ICT diensten uitbesteed, (bestuurlijk) verantwoordelijk blijft voor informatieveiligheid. Bestendig de positie van de CISO en bestendig de verantwoordelijkheid in de lijn Coevorden heeft op dit moment de CISO rol nog niet structureel belegd. Op termijn heeft Coevorden de wens om de functie van CISO meer structureel en permanent vorm te geven. De Commissie onderschrijft dat nauwe samenwerking tussen CISO s van verschillende gemeenten (zoals in dit geval in BOCE verband) de kwaliteit bevordert en kwetsbaarheden vermindert doordat kennis en ervaring efficiënt wordt gedeeld. 2

3 Het is voor een CISO niet doenlijk (en ook niet zijn rol) om zeker als hij in diverse gemeenten werkzaam is te nauw betrokken te zijn bij de specifieke werkprocessen. Een goede stap is om contactpersonen in de diverse afdelingen aan te stellen, zoals Coevorden op dit moment heeft gedaan, zodat de CISO via de lijn zijn slagkracht kan behouden. Dit kan op zichzelf echter niet bewerkstelligen dat de verantwoordelijkheid voor informatieveiligheid organisatiebreed (van hoog tot laag) gevoeld wordt, zodat het van belang is om hierin te blijven investeren zoals door middel van kennissessies. De Commissie meent dat het goed zou zijn als Coevorden de volgende elementen in haar afweging betrekt om te bepalen (of en) hoe de positionering van de CISO in de toekomst nader versterkt kan worden, zoals in het geval van de concerncontroller. In alle gevallen is het van belang dat de CISO, conform de afspraken uit de BIG en de huidige praktijk in Coevorden, een directe rapportagelijn heeft naar de (eindverantwoordelijke) gemeentesecretaris en de (bestuurlijk) portefeuillehouder. 1 De verdere praktische inkleding is daarbij aan de gemeente overgelaten. Ook in een kleinere gemeente is het van belang om de rapportagelijnen te verankeren, ook al weten de juiste personen elkaar in de praktijk goed te vinden. De werking dient namelijk niet te veel verbonden te zijn aan specifieke personen, omdat dit een kwetsbaarheid oplevert: met name in het geval van incidenten kan het beste worden teruggevallen op vastgelegde routines. Aan het werk met een (leuk!) leerprogramma Coevorden geeft aan dat zij het belang onderschrijft om aandacht voor houding en gedrag in de organisatie te borgen door het leren te systematiseren. De indruk van de Commissie is dat Coevorden hierbij al de juiste aandacht besteedt aan nieuwe/tijdelijk medewerkers, maar nog meer systematisch aandacht zou kunnen hebben voor de huidige medewerkers. Organisatiebreed kunnen leeracties als I-bewustzijn worden verbonden met opleidingsplannen zodat er systematisch aandacht is voor het kennisniveau in de organisatie. Het is van belang om daarbij te werken met indringende/aansprekende voorbeelden. Daarmee wordt het leren binnen de organisatie stevige ondergrond geboden. Periodieke interactie met het lijnmanagement over het verder inrichten van het leerbeleid is daarbij wenselijk. Dit geeft de mogelijkheid om heel gericht te blijven zoeken naar de best werkende mix van interventies en acties. Concreet kan daarbij gedacht worden aan het campagnemateriaal van I-bewustzijn, waarmee het ontwikkelen van houding en gedrag binnen de organisatie verder ondersteund wordt (zie; Voorts zijn goede voorbeelden en werkwijzen op te halen in de IBD community ( De Commissie heeft in andere gemeenten al diverse werkvormen opgehaald: denk aan een jaarlijkse oefening, een mystery guest of het spelen van een informatieveiligheidsgame. Ook kunnen gemeenten zich laten uitdagen door het zogeheten ethisch hacken. De VNG kan helpen om in contact te komen met gemeenten die op dit vlak goede stappen hebben gezet. 1 Zie voor een nadere uitwerking van de positie van de CISO de handreiking van IBD: 3

4 1. Digitalisering algemeen Coevorden werkt aan diverse vraagstukken rondom digitalisering en heeft daarbij nauwe contacten met Emmen. Informatieveiligheid komt terug bij het werken aan digitalisering en in het kader van de ambitie op het gebied van dienstverlening. Coevorden heeft de Digitale Agenda 2020 en Digitaal 2017 omarmd. Daarbij werkt Coevorden concreet aan het verbeteren van de (digitale) dienstverlening en de verdere digitalisering o.a. door het verder dichtdraaien van de papierstromen door onder andere zaakgericht werken. Het gaat onder meer om digitale bestuurlijke besluitvorming, slimme sturingsinformatie, managementinformatie en kwaliteitsmonitors, gegevensknooppunten en generiek beveiligd mailen, elektronisch factureren en I-burgerzaken. Coevorden wil een krachtige eerste overheid zijn. Door steeds meer digitaal af te handelen, vast te leggen en te verspreiden neemt voor Coevorden de urgentie wat betreft informatieveiligheid toe. De aandacht voor informatieveiligheid in projecten krijgt steeds meer aandacht. Daarnaast wil Coevorden voldoen aan de Baseline Informatiebeveiliging, dit betekent dat Coevorden de risico's wil blijven afwegen (want deze zijn onderhevig aan verandering, naarmate zij verder digitaliseren) en gestelde maatregelen moeten implementeren. Coevorden heeft op het vlak van digitalisering en informatieveiligheid een ontwikkeling doorgemaakt. In 1998, na de herindeling, was het werken aan informatieveiligheid nog weinig structureel en professioneel. Sinds 2004 is sprake van een gastheermodel met Emmen (wat betreft de I-kant). Informatieveiligheid komt op twee manieren terug: het gaat om de veiligheid naar buiten (aanvallen vanuit de buitenwereld), maar de meeste bestuurlijke aandacht gaat naar aspecten van informatiehuishouding/beschikbaarheid tegenover privacy-aspecten (informatieveiligheid binnenshuis). Het komt voor dat informatiebeveiliging en privacy op gespannen voet staan met de wensen en ambities die Coevorden heeft als het gaat om dienstverlening en een efficiënte bedrijfsvoering. Coevorden beschikt over veel informatie van haar inwoners, maar zetten wij deze informatie wel optimaal in? Deze discussie is ook verbonden met integriteitsvraagstukken. 4

5 2. Besef van het belang van werken aan informatieveiligheid (gerichtheid) De portefeuillehouder heeft informatieveiligheid hoog in het vaandel; de gerichtheid bij College en Raad kunnen worden verstevigd. In de komende periode zal ook nadere aandacht zijn voor de organisatie brede gerichtheid. Met behulp van de figuren in het vervolg van dit verslag illustreert de Commissie haar beeld van de huidige situatie ten opzichte van de groeipotentie (100) die is waargenomen. Dit houdt in dat de figuren geen norm voor de ideale gemeente verbeelden, maar de ruimte voor verbetering per specifieke gemeente weergeeft Portefeuillehouder College 60 Raad Gemeentesecretaris 40 Directeur bedrijfsvoering 20 CISO MT 0 Bestuurlijke gerichtheid Ambtelijke gerichtheid Organisatiebreed De portefeuillehouder vindt het belangrijk dat Coevorden een betrouwbare eerste overheid is, maar ziet ook de spanning tussen (wettelijke) spelregels en dienstverlening. Het efficiënt omgaan met informatie om doelen en ambities te bereiken staat eveneens hoog in het vaandel. Voor het College en de Raad is het belangrijk dat Coevorden voldoet aan de wettelijke normen en dat de privacy van de inwoners wordt gewaarborgd. College en Raad worden middels de P&C documenten op de hoogte gehouden wat de stand van zaken; zaken die verbeterd dienen te worden en zaken die positief zijn afgehandeld, zoals audits. Daarnaast wil Coevorden de Raad inzicht geven in wat zij doet op het gebied van informatiebeveiliging, dit komt terug in o.a. de Begroting Informatieveiligheid is als zodanig geen afzonderlijk aandachtspunt voor de Raad. De security officer is op strategisch, tactisch en operationeel niveau betrokken bij informatieveiligheid. De gemeentesecretaris en de concernmanagers zijn alert op het onderwerp informatieveiligheid, ze zijn op de hoogte van wat er speelt en vinden de veiligheid van informatie belangrijk. Er wordt veel tijd en aandacht besteed aan de Suwinetrapportages en de voorbereiding en uitvoer van zelfevaluaties en audits BRP. Ook ontwikkelingen in de markt worden gevolgd en waar nodig geïmplementeerd. In het sociaal domein, waar men met privacygevoelige gegevens werkt is men meer bewust van hun verantwoordelijkheid en het belang van informatieveiligheid. Dat blijkt bijvoorbeeld uit het locken van schermen en het inschatten van dataclassificatie. 5

6 3. Formele positionering in bestuur, organisatie en in P&C cyclus (verankering) De verantwoordelijkheden zijn belegd in nauwe samenwerking met Emmen. Het beleid is vastgesteld en er wordt gewerkt aan een uitvoeringsplan. Coevorden legt verantwoording af in een afzonderlijke paragraaf over informatieveiligheid Governance Beleid en plannen Planning & Control Verantwoording 20 0 Verankering Informatiebeveiliging is belegd bij een I-adviseur (die tevens de rol van CISO heeft). De I-adviseur legt verantwoording af aan de teamleider Advies en Services en de concernmanager Bedrijfsvoering. Coevorden werkt nauw samen met Emmen. Coevorden wil in het gastheermodel met Emmen niet achterover leunen: zij wil gevoel houden bij hoe het gaat en is actief in haar opdrachtgeversrol. Het informatiebeveiligingsbeleid is opgesteld op basis van de BIG en is vastgesteld in Het beleid wordt uitgevoerd op basis van risicoafweging, de behoefte in de organisatie, veranderende wet- en regelgeving (zoals de meldplicht datalekken) en quick wins. De hoofdpunten zijn houding en gedrag, technische beveiliging en fysieke beveiliging. Voor het jaar 2017 staat gepland het beveiligingsbeleid verder uit te werken in een operationeel beveiligingsplan. In 2017 zal daarbij in ieder geval aandacht zijn voor houding/gedrag (bewustwordingsprogramma), de steeds scherpere eisen aan de techniek en het aanscherpen van de dienstverleningsovereenkomst met Emmen. Interne controles, externe audits (bijvoorbeeld na zelfevaluatie) worden uitgevoerd en komend jaar zal Coevorden een audit doen voor het gebruik maken van de gegevensdiensten van het UWV. Daarnaast voert de accountant een externe controle uit. In de P&C documenten is een paragraaf opgenomen over informatieveiligheid. Op deze manier legt het College verantwoording af aan de Raad over de wijze waarop informatie beveiligd wordt en de privacy wordt geborgd. 6

7 4. Extern leren Coevorden werkt samen met Emmen op basis van een gastheerconstructie. Ook Borger-Odoorn is hierbij aangesloten. In dit verband vindt structureel overleg plaats. Coevorden is aangesloten tot en met stap 4 bij IBD en neemt deel in diverse informele samenwerkingsverbanden Formele samenwerkingen Ambtelijke participatie (in)formele netwerken Bestuurlijke participatie (in)formele netwerken 0 Externe netwerken Coevorden werkt samen met de gemeenten Emmen en Borger-Odoorn. Dit gebeurt als partners, in een structureel overleg wordt kennis gedeeld en waar dat mogelijk is worden informatiebeveiligingsmaatregelen gezamenlijk getroffen. Gemeente Emmen host en levert de automatisering voor de gemeenten voor de implementatie van technische beveiligingsmaatregelen. Structureel vindt er met de gemeenten Emmen en Borger-Odoorn overleg plaats tussen de gemeentesecretarissen en de verantwoordelijken voor de bedrijfsvoeringen. Hier kan informatieveiligheid op de agenda staan. Daarnaast wordt in een zogenaamde securitykolom waar mogelijk samengewerkt. In ieder geval wordt kennis gedeeld en geëvalueerd. Coevorden heeft informatiebeveiliging bewust niet (volledig) uitbesteed omdat zij verantwoordelijk is en de lijnen kort wil houden als het gaat om informatiebeveiliging. Op het vlak van het informeren van samenwerkingspartners over veiligheidsissues zijn contactpersonen en aanspreekpunten afgestemd. In het kader van de meldplicht datalekken zijn in een bewerkersovereenkomst aanvullende afspraken gemaakt met de gemeente Emmen als het gaat om informatiebeveiligingsinbreuken. Daarnaast is het incidentmanagement ingericht op basis van ITIL. Komend jaar zal de dienstverlengingsovereenkomst met Emmen worden aangescherpt. Daarbij moet bijvoorbeeld worden gedacht aan het vervangen van voldoen aan de BIG voor voldoen aan de BIG of gelijkwaardig. Coevorden is aangesloten bij IBD tot en met stap 4. De ICT-foto moet nog wel vernieuwd worden, zodat Coevorden specifiekere kwetsbaarheidsmeldingen kan ontvangen van de IBD. Er is een VCIB benoemd, die bij incidenten actie onderneemt, betrokkenen informeert. 7

8 In verschillende domeinen en op alle niveaus vinden overleggen plaats en zijn er netwerken waaraan wordt deelgenomen. Onder andere VNG, Dimpact, BOCE, regiobijeenkomsten van de Informatie BeveiligingsDienst (IBD), RUD veiligheidsregio. 5. Daadwerkelijk leren, daadwerkelijk beleid uitvoeren (werking) De rol van CISO is belegd bij de I-adviseur die gevraagd en ongevraagd advies geeft. Een gestructureerd overleg met het (topambtelijk) management zal worden ingesteld. Coevorden zal ook aandacht gaan besteden aan het leveranciersmanagement. Ook zal het leren in de organisatie meer structuur gaan krijgen op basis van een leerprogramma Sturing geven Uitvoering geven / Maatregelen treffen Leren in de organisatie Verantwoording afleggen 0 Werking Binnen de gemeente Coevorden liggen verantwoordelijkheden laag in de organisatie en de lijnen zijn kort. De I-adviseur geeft gevraagd en ongevraagd advies. Informatiebeveiliging is onderdeel in projecten met een informatievoorzieningscomponent. De I-adviseur overlegt regulier met de portefeuillehouder, onder meer over informatieveiligheid en bestuurlijke dilemma s (bv privacy en begrenzingen). Voor de directeuren dient er nog een platform te komen. In Coevorden is sprake van integraal management, en de managers zijn zich ervan bewust dat informatieveiligheid erbij hoort (met name in het sociaal domein). De beheerders (een soort super-users) werken formeel in de afdeling bedrijfsvoering maar zitten fysiek decentraal in de teams. In het sociaal domein werken juridische kwaliteitsmedewerkers; zij werken weer nauw samen met de stafafdeling bedrijfsvoering. Coevorden geeft aan dat zij aandacht heeft voor het leveranciersmanagement en te beschikken over actuele bewerkersovereenkomsten met haar leveranciers. Recent heeft Coevorden de overeenkomsten met het shared service center Enschede en haar automatiseringspartner gemeente Emmen geactualiseerd. In Coevorden zijn geen grote incidenten geweest op het vlak van informatieveiligheid; recent was sprake van een datalek (afspraakbevestiging naar een verkeerd adres). 8

9 Coevorden is geslaagd voor de DigiD audit en ook op de BRP audit is een goede score. Wat betreft Suwinet voldoet Coevorden aan het normenkader. Uit de Suwinetrapportage komen steeds minder opvallende resultaten. Uit de audits kwam naar voren dat meer aandacht moeten zijn voor bewustwording. Voor de klantmanagers die werken met Suwinet is er verschillende keren dit jaar aandacht geweest voor informatiebeveiliging in de vorm van interactieve presentaties. In het Informatiebeleidsplan is ook opgenomen dat in 2017 gestart wordt met een organisatiebreed bewustwordingsprogramma. Dit leerprogramma betreft nieuwe medewerkers en ook huidige medewerkers (cultuur). Nieuwe medewerkers leggen een eed af en worden meegenomen in beveiligingsmaatregelen en bewust gemaakt van het feit dat zij werken met veelal gevoelige en persoonsgebonden informatie. Tijdelijke medewerkers dienen een geheimhoudingsverklaring te ondertekenen. Informatieveiligheid werkt door op de werkvloer door middel van clear/clean desk. Ook op intranet is berichtgeving over informatiebeveiliging. Er vindt jaarlijks op basis van het Jaarverslag een gesprek plaats met de Raad, in dit gesprek kan ook het onderwerp informatieveiligheid aan de orde komen aangezien er in het jaarverslag ook wordt gerapporteerd over informatieveiligheid. De Raad zal meer betrokken gaan worden bij informatieveiligheid (via de reguliere P&C en door een themasessie bedrijfsvoering waarin ook aandacht zal zijn voor informatieveiligheid).ook zal het nieuwe informatieveiligheidsbeleidsplan ter informatie naar de Raad gaan. 6. Slotopmerkingen Coevorden heeft op een aantal vlakken behoefte aan nadere kennisontwikkeling en ondersteuning vanuit de VNG: Coevorden wijst op de Wet Taaleis; dit is een goed voorbeeld van gegevens die bij de gemeente beschikbaar zijn (geregistreerde diploma s) maar niet gebruikt mogen worden Op basis van een uitvraag bij het RIEC bleek nog maar eens hoeveel gegevens de gemeente in eigen huis heeft. De gemeente merkt wel dat er belemmeringen worden ervaren om die informatie ook echt te gebruiken. Coevorden heeft diverse praktische vragen over gegevensuitwisseling met Duitsland in het kader van het uitvoeren van de participatiewet. Coevorden constateert verder dat rondom Suwi sprake lijkt van een overreactie. Het middel lijkt soms het doel te worden, waarbij een papieren werkelijkheid gecreëerd wordt. 9