Drieluik voor Taskforce BID
2
Bestuur & Informatieveiligheid Dienstverlening mogelijk een blijvende plek kunnen geven aan die bestuurstafel. Drie woorden vormen onderdeel van de oplossing: bewustzijn, verandering en verankering. Kortom, naast bewustzijnsopbouw bij bestuur en topmanagement moeten ook concrete sturingsmiddelen worden aangeboden zodat het onderwerp ook echt blijft leven binnen een organisatie. Niet voor niets hebben we om die reden een punt op de horizon gedefinieerd om zo alle acties op informatieveiligheidsvlak scherp te richten; verplichtende zelfregulering per overheidslaag. En dat punt bereiken we alleen maar samen. DE MEERWAARDE INFORMATIEVEILIGHEID IS NIET VRIJBLIJVEND Voor ons is de eerste stap naar de oplossing, een stap die even voor de hand liggend is als vaak vergeten: het zoeken naar samenwerking. Alleen door samen te werken kan de oplossing echt meerwaarde genereren voor alle betrokkenen, niet alleen in woord, vooral ook in daad. Uiteraard met behoud van de eigen verantwoordelijkheid voor informatieveiligheid binnen elke overheidslaag. We pakken dat als volgt aan: In eerste instantie door samen met alle koepel- organisaties per overheidslaag de informatie- veiligheidsfoto scherp te maken. In tweede instantie door uit die foto die zaken op te pakken die over de overheidslagen heen van belang zijn als het gaat om informatieveiligheid. En deze zaken stevig neer te zetten t.b.v. alle overheidslagen en de organisaties daar- binnen. Denk bijvoorbeeld aan trainingen en op- leidingen, maar ook aan het ontwikkelen van een audit framework. Zo kunnen de overheidslagen zelf, vanuit hun eigen verantwoordelijkheid, putten uit een gemeenschappelijk aanbod van middelen. In derde instantie door de betreffende overheids- laag actief te ondersteunen om de ‘witte vlekken’ op de informatieveiligheidsfoto in te vullen. Zo bouwen we niet alleen optimaal voort op de huidige stand van zaken binnen elke overheidslaag, maar hergebruiken we bovendien de behaalde successen en best practices ten behoeve van andere overheidslagen. Met als doel deze ervaringen tussen lagen te delen, hiervan te leren en hierdoor te versnellen om het punt op de horizon, verplichtende zelfregulering, per overheidslaag ook met succes te bereiken. CONCRETE INITIATIEVEN De Taskforce Bestuur en Informatieveiligheid Dienstverlening zet samen met koepelorganisaties concrete acties uit binnen elke overheidslaag. Hierbij valt te denken aan: een geharmoniseerd normenkader gebaseerd op NEN 27001 en 27002 ten behoeve van elk van de vijf overheidslagen. een werkende en geaccepteerde systematiek om de voortgang van de implementatie van het normenkader te meten en inzichtelijk te maken. een geharmoniseerd en per laag specifiek ontwikkelde systematiek voor peer-reviewing en self-assessments op informatieveiligheidsvlak. een per laag geharmoniseerd auditkader (single-audit). een voor elke organisatie uitgevoerde visitatie gericht op het vaststellen van de verplichtende zelfregulering. een opleidingen- en trainingenpalet op het vlak van informatieveiligheid ten behoeve van bestuurders en topmanagement. INFORMATIEVEILIGHEID d o o r s a m e n w e r k i n g I N F O R M A T IE V E I L I G H E I D Bestuur & Informatieveiligheid Dienstverlening “De menselijke factor is het grootste veiligheidsrisico” HENRI LENFERINK, BURGEMEESTER VAN LEIDEN Bent u zich als bestuurder bewust van deze risico’s op informatieveiligheidsvlak binnen uw gemeente? Bestuur & Informatieveiligheid Dienstverlening Informatieveiligheid een uitdaging van ons allemaal! W. van Pruisenweg 104 2595 AN Den Haag T (070) 888 77 77 F (070) 888 78 88 [email protected] www.taskforcebid.nl Minister Plasterk heeft per 13 februari 2013 voor een periode van twee jaar de Taskforce Bestuur en Informatieveiligheid Dienstverlening in het leven geroepen. Mede op advies van de Onderzoeksraad Voor Veiligheid. Doel van de Taskforce als het gaat om informatieveiligheid is tweeledig. Enerzijds samen met de koepelorganisaties binnen de overheid versnelling te weeg brengen op het vlak van bewustzijn. Anderzijds concrete middelen te ontwikkelen om sturing op informatieveiligheid door bestuur en topmanagement binnen de overheidslagen mogelijk te maken. Punt op de horizon na twee jaar is verplichtende zelfregulering per overheidslaag. DE UITDAGING INFORMATIEVEILIGHEID IS MEER DAN TECHNIEK ALLEEN. We leven in een samenleving waarin informatie door alle technologische ontwikkelingen steeds vaker digitaal wordt vastgelegd en gedeeld. Een positieve ontwikkeling, want zo kunnen we steeds makkelijker tijd-, plaats- en apparaatonafhankelijk allerlei informatie ontsluiten. Maar helaas niet zonder risico. De steeds groter wordende afhankelijkheid van deze informatiesystemen leidt bijna automatisch tot allerlei veiligheidsvraagstukken die de betrouwbaarheid, de beschikbaarheid en de correctheid van deze informatie raken. Zeker als het gaat om overheidsorganisaties. En al helemaal als het gaat om die overheidsorganisaties waarbij de veiligheid van gegevens de kern van de dienstverlening omvat. Hier zijn de risico’s voor de continuïteit van de dienstverlening helaas zelfs voelbaar geworden. Incidenten als Diginotar, Lektober en Dorifel illus- treren deze risico’s het meest pakkend. Welke vorm de informatie ook heeft en op welke manier deze ook wordt gedeeld of verzonden, informatie dient altijd passend beveiligd te zijn. Kortom, in dit digitale tijdperk is gerichte aandacht voor informatieveiligheid onmisbaar geworden. DE OPLOSSING INFORMATIEVEILIGHEID VEREIST EEN PLEK AAN DE BESTUURSTAFEL. De afgelopen jaren is veel in gang gezet om de informatieveiligheid binnen overheidsorganisaties en -lagen te verbeteren. Vooral op technisch vlak. Toch is aandacht voor alleen de technische kant van informatieveiligheid helaas niet voldoende gebleken. Ervaring leert dat echte informatieveiligheid pas wordt bereikt als we allemaal, van hoog tot laag, doordrongen zijn van het belang én van de risico’s. Daar zit de echte oplossing. Hoog tijd dus voor een verscherping van het bewustzijn en concrete sturing op informatieveiligheid binnen overheidsorganisaties. Vraag is natuurlijk hoe we het onderwerp informatieveiligheid zo snel als d o o r s a m e n w e r k i n g I N F O R M A TIE V E ILIG H E I D Bestuur &Informatieveiligheid Dienstverlening
-
Upload
dieuwertje-huizer -
Category
Documents
-
view
122 -
download
2
Transcript of Drieluik voor Taskforce BID
Bestuur & Informatieveiligheid Dienstverlening
mogelijk een blijvende plek kunnen geven aan die bestuurstafel. Drie woorden vormen onderdeel van de oplossing: bewustzijn, verandering en verankering. Kortom, naast bewustzijnsopbouw bij bestuur en topmanagement moeten ook concrete sturingsmiddelen worden aangeboden zodat het onderwerp ook echt blijft leven binnen een organisatie. Niet voor niets hebben we om die reden een punt op de horizon gedefinieerd om zo alle acties op informatieveiligheidsvlak scherp te richten; verplichtende zelfregulering per overheidslaag. En dat punt bereiken we alleen maar samen.
De meerwaarDeinformatieveiligheiD is niet vrijblijvenD
Voor ons is de eerste stap naar de oplossing, een stap die even voor de hand liggend is als vaak vergeten: het zoeken naar samenwerking. Alleen door samen te werken kan de oplossing echt meerwaarde genereren voor alle betrokkenen, niet alleen in woord, vooral ook in daad. Uiteraard met behoud van de eigen verantwoordelijkheid voor informatieveiligheid binnen elke overheidslaag. We pakken dat als volgt aan:
In eerste instantie door samen met alle koepel-organisaties per overheidslaag de informatie-veiligheidsfoto scherp te maken. In tweede instantie door uit die foto die zaken op te pakken die over de overheidslagen heen van belang zijn als het gaat om informatieveiligheid. En deze zaken stevig neer te zetten t.b.v. alle overheidslagen en de organisaties daar-binnen. Denk bijvoorbeeld aan trainingen en op-leidingen, maar ook aan het ontwikkelen van een audit framework. Zo kunnen de overheidslagen zelf, vanuit hun eigen verantwoordelijkheid, putten uit een gemeenschappelijk aanbod van middelen.In derde instantie door de betreffende overheids-laag actief te ondersteunen om de ‘witte vlekken’ op de informatieveiligheidsfoto in te vullen.
Zo bouwen we niet alleen optimaal voort op de huidige stand van zaken binnen elke overheidslaag, maar hergebruiken we bovendien de behaalde successen en best practices ten behoeve van andere overheidslagen.
Met als doel deze ervaringen tussen lagen te delen, hiervan te leren en hierdoor te versnellen om het punt op de horizon, verplichtende zelfregulering, per overheidslaag ook met succes te bereiken.
concrete initiatieven
De Taskforce Bestuur en Informatieveiligheid Dienstverlening zet samen met koepelorganisaties concrete acties uit binnen elke overheidslaag.
Hierbij valt te denken aan:
een geharmoniseerd normenkader gebaseerd op NEN 27001 en 27002 ten behoeve van elk van de vijf overheidslagen.een werkende en geaccepteerde systematiek om de voortgang van de implementatie van het normenkader te meten en inzichtelijk te maken. een geharmoniseerd en per laag specifiek ontwikkelde systematiek voor peer-reviewing en self-assessments op informatieveiligheidsvlak.een per laag geharmoniseerd auditkader (single-audit).een voor elke organisatie uitgevoerde visitatie gericht op het vaststellen van de verplichtende zelfregulering.een opleidingen- en trainingenpalet op het vlak van informatieveiligheid ten behoeve van bestuurders en topmanagement.
InformatIeveIlIgheId
do
or samenwerking
IN
FORMATIEVEILIGHEID
Bestuur & Informatieveiligheid Dienstverlening
“De menselijke factor is het grootste veiligheidsrisico”
Henri Lenferink, burgemeester van Leiden
Bent u zichals bestuurder bewust van deze risico’s op informatieveiligheidsvlak binnen uw gemeente?
Bestuur & Informatieveiligheid Dienstverlening
Informatieveiligheid een een uitdaging van ons allemaal!
W. van Pruisenweg 1042595 AN Den Haag
T (070) 888 77 77F (070) 888 78 88
Minister Plasterk heeft per 13 februari 2013 voor een periode van twee jaar de Taskforce Bestuur en Informatieveiligheid Dienstverlening in het leven geroepen. Mede op advies van de Onderzoeksraad Voor Veiligheid. Doel van de Taskforce als het gaat om informatieveiligheid is tweeledig. Enerzijds samen met de koepelorganisaties binnen de overheid versnelling te weeg brengen op het vlak van bewustzijn. Anderzijds concrete middelen te ontwikkelen om sturing op informatieveiligheid door bestuur en topmanagement binnen de overheidslagen mogelijk te maken. Punt op de horizon na twee jaar is verplichtende zelfregulering per overheidslaag.
De uitDaging informatieveiligheiD is meer Dan techniek alleen.
We leven in een samenleving waarin informatie door alle technologische ontwikkelingen steeds vaker digitaal wordt vastgelegd en gedeeld. Een positieve ontwikkeling, want zo kunnen we steeds makkelijker tijd-, plaats- en apparaatonafhankelijk allerlei informatie ontsluiten. Maar helaas niet zonder risico. De steeds groter wordende afhankelijkheid van deze informatiesystemen leidt bijna automatisch tot allerlei veiligheidsvraagstukken die de betrouwbaarheid, de beschikbaarheid en de correctheid van deze informatie raken. Zeker als het gaat om overheidsorganisaties. En al helemaal als het gaat om die overheidsorganisaties waarbij de veiligheid van gegevens de kern van de dienstverlening omvat. Hier zijn de risico’s voor de continuïteit van de dienstverlening helaas zelfs voelbaar geworden.Incidenten als Diginotar, Lektober en Dorifel illus-treren deze risico’s het meest pakkend. Welke vorm de informatie ook heeft en op welke manier deze
ook wordt gedeeld of verzonden, informatie dient altijd passend beveiligd te zijn. Kortom, in dit digitale tijdperk is gerichte aandacht voor informatieveiligheid onmisbaar geworden.
De oplossinginformatieveiligheiD vereist een plek aan De bestuurstafel.
De afgelopen jaren is veel in gang gezet om de informatieveiligheid binnen overheidsorganisaties en -lagen te verbeteren. Vooral op technisch vlak. Toch is aandacht voor alleen de technische kant van informatieveiligheid helaas niet voldoende gebleken. Ervaring leert dat echte informatieveiligheid pas wordt bereikt als we allemaal, van hoog tot laag, doordrongen zijn van het belang én van de risico’s. Daar zit de echte oplossing. Hoog tijd dus voor een verscherping van het bewustzijn en concrete sturing op informatieveiligheid binnen overheidsorganisaties. Vraag is natuurlijk hoe we het onderwerp informatieveiligheid zo snel als
do
or samenwerking
IN
FORMATIEVEILIGHEID
Bestuur & Informatieveiligheid Dienstverlening
Zo sprak Henri Lenferink, burgemeester van Leiden en portefeuillehouder informatievoorziening in het Veiligheidsberaad in de Special Informatieveiligheid, uitgebracht in oktober 2013. Een Special vervaardigd op initiatief van de Taskforce BID. Incidenten rond informatieveiligheid kunnen grote gevolgen hebben. Naast hackers met kwade bedoelingen kunnen incidenten ook ontstaan door onzorgvuldigheid van medewerkers. Verkeerd omgaan met inlognamen en wachtwoorden, onbedoeld verspreiden van gevoelige informatie via privémail of USB-sticks, printen van gevoelige documenten op onbeheerde printers. Het zijn allemaal voorbeelden uit de dagelijkse praktijk die duiden op het belang van voldoende bewustzijn bij het werken met gevoelige informatie.
Gemeenten staan net als andere organisaties voor grote uitdagingen op het gebied van informatieveiligheid. U bent zich ongetwijfeld steeds meer bewust van de maatschappelijke en politieke risico’s die incidenten als DigiNotar, Lektober en Dorifel met zich meebrengen voor uw gemeente. Of van schade die ontstaat door onzorgvuldig handelen van bijvoorbeeld uw medewerkers. Voor u als bestuurder raakt informatieveiligheid direct uw kerntaken. Dat vraagt dagelijks om aandacht, om úw aandacht. Continuïteit van uw gemeentelijke dienstverlening en het vertrouwen van uw burgers staan centraal als het om informatieveiligheid gaat. Zeker nu de landelijke politiek digitale overheidsdienstverlening als speerpunt heeft gekozen. Het is dan ook belangrijk om informatieveiligheid binnen uw gemeente goed te regelen en te verankeren.
Risico’sInformatieveiligheid is meer dan techniek alleen. In onze digitale samenleving kunnen we steeds makkelijker tijd-, plaats- en apparaatonafhankelijk allerlei informatie
het gebied van de eigen informatiebeveiliging. Dit wordt onderschreven door alle koepelorganisaties, ook door de Vereniging van Nederlandse Gemeenten (VNG).
Resolutie
Hoe is dit nu uitgewerkt voor gemeenten? De VNG, heeft met medewerking van de Informatiebeveili-gingsdienst voor gemeenten (IBD), de Taskforce BID
en veel gemeenten een Resolutie opgesteld. In deze Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ geven gemeenten aan dat zij verder werken aan informatieveiligheid. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) vormt hierbij hét gemeentelijke normenkader.
BuRgemeesteRs en wethoudeRs aan zet
De Taskforce BID wil in de komende periode in nauwe samenwerking met haar gemeentelijke partners werken aan het verwezenlijken van de afspraken uit de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’. U als burgemeester of wethouder vervult daarin een cruciale rol. Als bestuurder
ontsluiten. Maar helaas niet zonder risico. Risico’s die ontstaan door incidenten als een cyberaanval of door onzorgvuldig handelen van uw medewerkers hebben vooral invloed op de dienstverlening binnen uw gemeente. In een enkel geval kan ook de fysieke veiligheid in het geding raken. Zo kwam een jaar geleden een gemeentelijk zwembad in het nieuws, omdat via een lek op de website verschillende systemen op afstand bedienbaar bleken. Het is dus van belang dat elke gemeente maatregelen treft om de informatieveiligheid te borgen in de eigen organisatie.
VeRplichtende zelfReguleRing Gemeenten werken om die reden steeds meer samen in regionaal verband, en ook met ketenpartners in bijvoorbeeld het sociale domein. De ketting is ook hier zo sterk als de zwakste schakel. Daarom is het van groot belang dat alle partijen meedoen. Als gemeenten hierin achterblijven zullen ook ketenpartners terughoudend zijn in de overdracht van taken. De Taskforce Bestuur en
Informatieveiligheid Dienstverlening (Taskforce BID) gaat daarom uit van een vorm van Verplichtende Zelfregulering als het om informatieveiligheid gaat; elke overheidslaag, waaronder de gemeentelijke overheidslaag, is verantwoordelijk voor regulering, toetsing en afspraken op
wilt u graag zicht houden op de belangrijkste risico’s en kwetsbaarheden van uw gemeentelijke organisatie en welke maatregelen nodig zijn om deze risico’s het hoofd te bieden en daarin gerichte keuzes te maken. Wilt u de verantwoordelijkheid voor informatieveiligheid kunnen dragen, dan dient uw ambtelijke organisatie ‘in control’ te zijn op dit vraagstuk. Dit reikt verder dan het afwerken van een checklist of het aanpassen van systemen:
4 Het vraagt om bewustwording van de risico’s van informatieveiligheid bij bestuur en topmanagement.
4 Het vraagt om verankering van informatieveiligheid in uw organisatie.
4 Het vraagt om zicht krijgen in en zicht houden op hoe informatieveilig uw organisatie is. Als bestuurder is het belangrijk dat u de juiste stuurvragen weet te stellen; welke kaders zijn van toepassing op uw gemeente en worden deze ook zo toegepast? Vinden er periodieke evaluaties van het beleid en de beveiligingsmaatregelen plaats? Hoe is de informatieveiligheid in uw organisatie georganiseerd en waar liggen de verantwoordelijkheden?
4 Het vraagt om het verankeren van regels over veilig en zorgvuldig gebruikmaken van gegevens in uw organisatie.
samenweRking
De Taskforce BID heeft afgesproken met het Nederlands Genootschap van Burgemeesters (NGB), de Wethoudersvereniging en de provinciale afdelingen van de VNG om in het komende jaar gezamenlijk burgemeesters en wethouders te ondersteunen op het thema informatieveiligheid. Dit doen wij onder andere middels Learn en Share bijeenkomsten en het aanbieden van een digitale Zelftest Informatieveiligheid en verschillende sturingsinstrumenten.
InformatIeveIlIgheId een uitdaging van ons allemaal!
concRete initiatieVen
De Taskforce BID zet samen met het NGB, de Wethoudersvereniging en de VNG concrete acties uit om u als burgemeester of wethouder te ondersteunen op het informatieveiligheidsvlak.
Hierbij kunt u denken aan:
4 Learn and share bijeenkomsten Deze bijeenkomsten zijn bedoeld om verdere opvolging te geven aan de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’. Tijdens deze bijeenkomsten gaan we vooral in op de vraag hoe u als burgemeester of wethouder om kunt gaan met het steeds aan belang winnende vraagstuk van informatieveiligheid.
4 Digitale zelftest Met deze online test krijgt u een beter beeld van de verschillende aspecten van informatieveiligheid. Hoe kunt u daar als burgemeester of wethouder op sturen?
4 Sturingsinstrumenten De Taskforce BID ontwikkelt in samenwerking met het NGB, de Wethoudersvereniging en de VNG sturingsinstrumenten die u kunt toepassen om te sturen op Informatieveiligheid.
4 Opleidingsaanbod Samen met het NGB en de Wethoudersvereniging ontwikkelt de Taskforce BID een module informatieveiligheid binnen het bestaande opleidingsaanbod van het NGB en de Wethoudersvereniging, zoals een confrontatieworkshop of bijvoorbeeld een risicobewustzijnssessie.
do
or samenwerking
IN
FORMATIEVEILIGHEID
Bestuur & Informatieveiligheid Dienstverlening
“als je als over-heIdsbestuurder je InformatIeveIlIgheId
nIet voldoende op orde hebt, dan zal dat je belemmeren
In de dIenst-verlenIng”
Henk WesseLing, bestuurLijk Hoofd taskforce bid
“elke gemeente dIent voorbereId te
zIjn op rIsIco’s dIe bIjvoorbeeld een ddos-aanval met zIch meebrengt en
zou zIjn organIsatIe daarop moeten
InrIchten”franc WeerWind,
burgemeester van veLsen
“de menselIjke factor Is het
grootste veIlIgheIdsrIsIco”
