Informatieveiligheid: Een gemeenschappelijke missie met een gedeelde verantwoordelijkheid

21 maart 2024

In een tijd waarin de urgentie rond informatieveiligheid groter is dan ooit, is het cruciaal dat gemeenten hun verantwoordelijkheden erkennen en actief stappen ondernemen. De dreiging van hogere sancties, nieuwe informatiewetten en groeiende verantwoordelijkheden legt de nadruk op het belang van een proactieve aanpak. Het is niet langer voldoende om reactief te handelen; gemeenten moeten anticiperen in plaats van repareren.

Gemeenten fungeren als cruciale bolwerken van informatie, maar helaas wordt er vaak te weinig aandacht besteed aan dit onderwerp. Ondanks investeringen in geavanceerde systemen blijven menselijke fouten de zwakke schakel. Het is daarom essentieel te investeren in het bewustzijn van medewerkers. Door hen te informeren en trainen over kwaadwillende methoden van cybercriminelen, kunnen bedreigingen worden herkend en potentiële risico’s voorkomen. Het doel? Een proactief verantwoordelijkheidsgevoel bij medewerkers ontwikkelen, zodat ze actief bijdragen aan het veilig houden van gemeentelijke activa.

Volwassenheidsniveau meten en verbeteren

Om bewustwording te bereiken, is het belangrijk dat gemeenten eerst hun huidige volwassenheidsniveau in kaart brengen. We hebben een methode ontwikkeld die met gesprekskaartjes en checklists het niveau op verschillende lagen binnen de organisatie meet (Directie/MT, PO/CISO/FG, Proceseigenaren, en Medewerkers). Op basis van input uit de hele organisatie – onder andere over de rol van informatieveiligheid in managementrapportages en kennis van het ICT-landschap – beoordelen we het volwassenheidsniveau is op een schaal van 1 tot 5.

Visie, ambitie en realisatie: het strategische kader

Na het vaststellen van het huidige volwassenheidsniveau wordt de koers uitgezet. In werksessies met het MT formuleren we een visie op informatieveiligheid en een ambitie die als basis dient voor strategische keuzes en het vervolg van het traject. Deze visie geeft niet alleen richting, maar bepaalt ook de koers van de organisatie. Het creëren van een heldere strategie motiveert medewerkers en maakt duidelijk welke competenties nodig zijn om bij te dragen aan de informatieveiligheidsresultaten.

We gebruiken de visie en ambitie als uitgangspunt voor het bepalen van strategische richtingen, het creëren van bewustzijn, en het leggen van de basis voor diepgaande informatieveiligheid. Hierbij implementeren we een sturingsmodel met stuurgroepen en projectgroepen om voortgang te monitoren. Een doordachte aanpak, middelen, beleid en communicatiestrategie worden bepaald om de ambitie succesvol te realiseren. Cruciale elementen, zoals eigenaarschap, budgettering, betrokkenheid van medewerkers, heldere communicatie, en commitment van bovenaf met een lange termijn ambitie, zijn hierbij essentieel.

Bewustwordingsactiviteiten en quickscan

Terwijl beleid en technische maatregelen belangrijk zijn, leggen we in dit traject de nadruk op bewustwording als de sleutel tot een effectief informatieveiligheidsbeleid. In samenwerking met de afdeling Communicatie ondernemen we (regelmatig) activiteiten zoals trainingen, workshops rondom risicomanagement, het gebruik van posters, flyers, en andere visuals, evenals het verstrekken van nieuwsbrieven en updates. Hiermee benadrukken we niet alleen het gemeten volwassenheidsniveau en de opgestelde visie & ambitie, maar richten we ons vooral op wat de organisatie in de komende periode kan verwachten, waaronder de quickscan.

Een diepgaande beoordeling van de huidige situatie volgt met behulp van een quickscan, gebaseerd op NEN-ISO/IEC 27002:2017, BIO en VNG Borgingsproduct AVG versie 3.0. Deze biedt niet alleen een gedetailleerd beeld van de huidige situatie en identificeert risico’s op alle relevante niveaus binnen de organisatie, maar vormt ook de basis voor de gewenste ambitie.

De quickscan biedt een duidelijk overzicht van het functioneren van de organisatie op het gebied van informatieveiligheid. Het identificeert bestaande moeilijkheden en belangrijke kansen voor verbetering. Deze inzichten stellen gemeenten in staat om direct verbeteringen door te voeren en stimuleren betrokkenheid en teamwork onder medewerkers. Daarnaast biedt het waardevolle rapportage voor toekomstige beslissingen en strategieën. Tot slot legt de quickscan ook de basis voor een continu verbeterproces.

Prioritering en borging: stapsgewijze verbeteringen

De verkregen inzichten uit voorgaande stappen markeren het begin van een voortdurend proces. De resultaten van de quickscan zijn cruciaal, niet alleen voor naleving van informatieveiligheidsnormen, maar ook voor waardevolle inzichten en continue verbeteringen.

Mogelijke verbeteringen zijn het koppelen van het bewustwordingsprogramma aan de Planning & Control (P&C) cyclus, regelmatige accountantscontroles en ENSIA-deelname. Deze aanpassingen zorgen ervoor dat informatieveiligheid niet meer slechts een randvoorwaarde is maar een integraal onderdeel van het strategisch beleid.

Ongeacht de genomen stappen, is het meten van effectiviteit essentieel. Deze metingen, samen met de eerder genomen stappen, creëren een veerkrachtige cultuur van informatieveiligheid. Het communiceren van deze resultaten vergroot niet alleen de bewustwording maar bevordert ook de betrokkenheid binnen de organisatie. Zo bouwen we aan een sterke basis voor informatieveiligheid, gedreven door continue verbetering en gedeelde verantwoordelijkheid.

Bewustwording als hart van Informatieveiligheid

Terwijl beleid en technische maatregelen de ruggengraat vormen van informatieveiligheid, benadrukken we dat bewustwording het kloppende hart is. Ook al zijn de meest geavanceerde systemen geïmplementeerd, dan nog blijft de menselijke factor een cruciale schakel. Het is essentieel dat medewerkers niet alleen op de hoogte zijn van de risico’s, maar ook begrijpen hoe ze actief kunnen bijdragen aan de veiligheid van de gemeente.

Gemeenten worden aangemoedigd om de controle niet alleen te leggen op beleidsstukken, maar vooral op de bewustwording en betrokkenheid van medewerkers. Een holistische aanpak waarin technische oplossingen hand in hand gaan met continue training en communicatie is noodzakelijk. Informatieveiligheid is immers geen eindbestemming, maar een doorlopende reis waarin bewustwording, continue verbetering en borging de fundamenten vormen.