Bedrijfsvoering

Informatiebeveiliging   

Informatiebeveiliging is de verzamelnaam voor de processen, die ingericht worden om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging’ heeft betrekking op: 

• beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers; 
• exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn; 
• integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking. 

Beleid gemeente Almelo  
De gemeente is zelf verantwoordelijk voor het opstellen en uitvoeren en handhaven van het beleid in 2021 door het college is vastgesteld. Hierbij geldt: 

• Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: AVG, BRP, SUWI, BAG en PUN, maar ook de archiefwet.  
• Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Overheid (BIO).  
• De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis van het ‘pas toe of leg uit’ principe. 

De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)-management, met het College van B&W als eindverantwoordelijke. Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ vormen samen het management systeem van informatiebeveiliging. 

Bij informatiebeveiliging zijn 3 pijlers van belang: 

1. Mensen 

2. Processen 

3. Techniek 

Techniek is van groot belang, maar wanneer de mensen niet weten hoe zij dienen te handelen lopen we alsnog flinke risico’s. Dus hameren we op kennis, houding en gedrag in bewustwordingsprogramma’s om zo de juiste cultuur te krijgen binnen de organisatie. Processen zijn nodig voor het gecontroleerd afhandelen van bijvoorbeeld wijzigingen en beveiligingsincidenten. 

Er zijn drie soorten Informatiebeveiligingsmaatregelen: 

1. Preventie. Dit zijn maatregelen om te voorkomen dat er dingen fout gaan. Dit zijn bijvoorbeeld implementatie van een spamfilter, een virusscanner, een firewall, maar ook een campagne om medewerkers bewust te maken van hun rol bij informatiebeveiliging. 
2. Detectie. 100% veiligheid bestaat niet, er is altijd een kans dat er iets gebeurt. Daarom zijn er ook maatregelen nodig om een beveiligingsincident te ontdekken. Dit kunnen technische maatregelen zijn, die vreemd gedrag detecteren, maar ook campagnes om medewerkers bewust maken dat zij incidenten moeten melden. 
3. Reactie. Als een incident is gedetecteerd moet er worden gereageerd om te voorkomen dat het groter wordt en te zorgen dat het wordt gestopt, en dat datalekken op tijd en juist worden gemeld. Dit zijn veelal procesmatige maatregelen. Er zal dan ook moeten worden gekeken of nog maatregelen nodig zijn om herhaling te voorkomen. 

Sinds 1 januari 2020 is de BIO (Baseline Informatiebeveiliging Overheid) de officiële richtlijn die alle gemeenten volgen. Gemeenten, Rijk, waterschappen en provincies zijn overgegaan over op één uniform normenkader voor informatiebeveiliging: de BIO.  

Sinds 2017 moet de gemeente verantwoording afleggen over informatiebeveiliging aan diverse toezichthouders middels ENSIA. ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Het project ENSIA streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid.  

Door verdergaande samenwerking met ketenpartners spannen wij ons maximaal in om de risico’s met betrekking tot informatieveiligheid te beperken. Door digitalisering van de dienstverlening en continue veranderingen van de dreiging op internet is dit complex en nooit af. Het is dan ook onmogelijk de risico’s voor 100% af te dekken. 

Actuele ontwikkelingen  
In de afgelopen jaren zijn er diverse datalekken geweest waarbij onbevoegden toegang hebben gekregen tot persoonsgegevens. Deze datalekken zijn afgehandeld conform procedure en wetgeving. Personeel speelt een belangrijke rol bij het voorkomen van datalekken, daarom wordt er geregeld aandacht gegeven aan bewustwording. Ook worden technische maatregelen genomen. Daarnaast worden processen aangepast.  

In 2022 is de organisatie bezig geweest met de uitkomsten van de informatiebeveiliging audit. De audit was opgesplitst in 3 pijlers en per pijler waren er een aantal werkstromen/projecten benoemd.

1: Techniek

• Netwerksegmentatie (opgesplitst in 2 delen); status: wordt afgerond in eerste kwartaal 2023;
• Vulnerabilitymanagement (detecteren en verhelpen kwetsbaarheden in de IT-omgeving); status: basis is gerealiseerd, monitoring wordt ingeregeld in 2023.
• Security logging en monitoring (zien wat er gebeurt binnen de IT-omgeving); status: afgerond

2: Processen

• Hardening (aanvalsoppervlak verkleinen); status: nagenoeg afgerond
• Leveranciersmanagement; status: staat nog open (wervingsprocedure loopt)
• Incident respons processen (hoe om te gaan met security incidenten en de afhandeling daarvan); status: deels beschreven en geïmplementeerd, vervolg in 2023.
• Least priviledge principe (alleen noodzakelijk rechten voor het uitvoeren van de functie); status: doorgevoerd
• Verbeter assetmanagement (welke hardware/software is in gebruik); status: wordt afgerond in eerste kwartaal 2023

3: Bewustzijn

• Organiseer informatiebeveiliging a.d.h.v. risicogedreven aanpak; De BIO is gebaseerd op de internationale standaarden voor informatiebeveiliging en heeft risicomanagement als uitgangspunt. Met de BIO als richtlijn zal de informatiebeveiliging risicogedreven worden opgepakt.
• Vergroot Security Awareness; er is een ambtelijke werkgroep ingesteld die als opdracht heeft Security Awareness structureel te borgen in de organisatie.

Alle projecten zijn jaar overschrijdend en zullen ten dele in 2023 doorlopen. Sommige trajecten verlopen moeizaam door externe factoren. In de huidige arbeidsmarkt zijn moeilijk de juiste mensen te vinden, is er drukte bij leveranciers en zijn er leveringsproblemen van hardware. De ambtelijke bezetting  is in 2022 versterkt met 3 medewerkers, maar er staan ook nog twee vacatures open (vulnerability en leveranciersmanagement).

In 2022 zijn bijna alle laptops/Surface’s en MacBooks voorzien van VPN-software. Dat betekent dat het lokale internetverkeer op het device centraal gemanaged/gemonitord wordt.

Mede naar aanleiding van de ervaringen in andere gemeentelijke organisaties is het van belang te investeren in netwerksegmentatie.  Dat is een belangrijke nieuwe technische maatregel om de nadelige gevolgen van een hack, bijvoorbeeld een ransomware aanval, te beperken. De netwerksegmentatie is in 2022 gestart en wordt in het eerste kwartaal van 2023 afgerond.