IBD Krant 'Praktische Bagage'

De derde editie van de IBD-krant staat in het teken van de IBD-Praktijkdag Work IT Out en voorziet gemeenten van Praktische bagage omtrent het onderwerp informatiebeveiliging en-veiligheid. Deze praktische bagage is afkomstig van de IBD, marktpartijen, kennispartners en van gemeenten zelf en geeft handvatten om informatiebeveiliging binnen gemeenten naar een hoger plan te tillen.

InTervIeW meT LarIssa ZegveLD en nausIka efsTraTIaDes

De waarde van informatie

Gemeente CulemborgYouri Lammerts van Bueren vindt Informatiebeveiliging een vak apart 4

Responsible Disclosurevoor Detlev Cziesso en remco schilderinck de ultieme vorm van burgerparticipatie 6

Informatieveiligheid verder dan de voordeur

Zegveld: Informatieveiligheid hangt nauw samen met het fenomeen in-formatie en de mate waarin men informatie serieus neemt in de da-gelijkse werkzaamheden. Zeker bij gemeenten, waar met veel waar-devolle en privacygevoelige infor-matie gewerkt wordt. en dit geldt niet alleen voor informatie intern. een voorbeeld uit de gemeentelijke situatie is het facebook incident in Haren. Door een foutje van een meisje op facebook beschouwde de halve wereld zich als uitgenodigd

voor haar feestje. De digitale we-reld is inmiddels onlosmakelijk met de fysieke wereld verbonden, met alle kansen en risicos van dien. gemeentelijke bestuurders moe-ten net als op financin sturen vanuit de waarde van informatie en daarmee op informatieveilig-heid. In het voorbeeld van Haren is heel duidelijk geworden dat je als gemeente ook een verantwoorde-lijkheid hebt voor de verspreiding van informatie in de samenleving

en wat dat voor gevolgen kan heb-ben. Dat maakt het extra com-plex.

Informatie is de brandstof waar we mee werken

Zegveld: Ik kan niet vaak genoeg benadrukken dat men zich bewust moet zijn van de waarde van ge-meentelijke informatie. Op die manier kun je het gesprek over informatiebeveiliging en informa-tieveiligheid ook makkelijker aan-gaan. Het is belangrijk om je be-wust te zijn van het feit dat je bij alles wat je doet, met informatie werkt. en vooral ook wat dit voor effect kan hebben op de samen-leving als deze informatie in ver-keerde handen terecht komt. Wat gebeurt er dan met die informatie? efstratiades: Om steeds sneller en digitaler te kunnen werken, worden veel gegevensverstrekkende syste-men aan elkaar gekoppeld. echter, het koppelen van diverse informa-tiestromen, maakt dat informatie nog interessanter en daardoor nog kwetsbaarder wordt. Het is dus be-langrijk dat je daar op een verant-woorde en veilige manier mee om-gaat en je beseft dat dit ook risicos met zich mee kan brengen. Hier is

een bepaalde bewustwording voor nodig binnen gemeenten. en dat is wat wij doen vanuit de IBD. We ma-ken gemeentelijke organisaties be-wust van het feit hoe medewerkers om kunnen gaan met die informatie en bieden hiertoe praktische hand-vatten.

Samen kom je verder

We vragen Zegveld en efstratiades welke factoren volgens hen bijdra-gen aan een informatieveilige ge-meentelijke omgeving. efstratia-des: Inmiddels zijn nagenoeg alle gemeenten, zowel grote als kleine, aangesloten bij de IBD. vragen die wij vanuit gemeenten krijgen zijn bijvoorbeeld: We willen met de BIg aan de slag, maar we hebben te weinig mensen en weten niet waar we moeten starten. kunnen jullie ons daarbij helpen? Wij doen vanuit de IBD uiteraard wat wij kunnen; we brengen gemeenten samen, we zorgen ervoor dat er actief aan de hand van vraagstukken kennis en ervaring uitgewisseld kan worden en reiken praktische handreikingen aan daar waar nodig. Je ziet dat ge-meenten zich steeds bewuster zijn van de verantwoordelijkheid die zij hebben over alles wat er met de

gemeentelijke gegevens gebeurt, ook al zijn er leveranciers bij be-trokken. verantwoordelijkheid kan je namelijk niet uitbesteden, die ligt bij jezelf. Tevens sturen we ook aan op samenwerken, want dat is wat wij als IBD graag willen. en niet alleen wij, maar ook gemeen-ten zelf, vult Zegveld aan. Dat moet ook, want anders kom je niet verder. Op die manier kun je van elkaars krachten en kennis gebruik maken. en dat zie je steeds meer gebeuren. grote gemeenten zijn namelijk vaak verder qua kennis en ervaring dan kleinere gemeenten.

The Internet of Things

Cyberincidenten zijn in 2014 ten op zichtte van 2013 verdrievou-digd. In 2015 zal dit naar verwach-ting nog meer zijn toegenomen. Zegveld: Je bent je hier ook be-wuster van, als ik zie hoe vaak je tegenwoordig in de krant wordt gewaarschuwd voor phishing mails van bijvoorbeeld je bank. een an-der voorbeeld is The internet of Things: het verzamelen en uitwis-selen van gegevens middels het internet. Besef je hierbij dat alles wat aan het internet is gekoppeld, kwetsbaar is. Wees je dus bewust wat de waarde van die informatie is. alles met elkaar koppelen en combineren om te zorgen dat je als gemeente sneller digitaal kan werken, is goed. Dit moet echter wel met een bepaalde bewustwor-ding gebeuren. en dat is onder andere wat wij hier doen met de IBD, bewustwording verhogen op informatiebeveiligingsvlak bij ge-meenten.

efstratiades: vanuit de IBD zien wij een positieve ontwikkeling als het gaat om dit bewustzijn en het delen van kennis en ervaring. een mooi voorbeeld is het melden van voorvallen en incidenten op infor-matiebeveiligingsvlak. Daar waar gemeenten twee jaar geleden nog nauwelijks iets meldden, zien we nu dat gemeenten en ook veel van hun leveranciers, incidenten zelf proactief melden bij de IBD. Ze hebben het vaak ook al zelf op-gelost en melden de oplossing ten

behoeve van kennisdeling met an-dere gemeenten. Deze meldingen kunnen op die manier ook weer bijdragen aan een meer veilige ge-meentelijke kring.

Praktische bagage

Tenslotte geven Zegveld en efstra-tiades nog een tweetal tips mee aan gemeenten als praktische bagage:1. Zegveld: Begin bij jezelf. Denk

na over hoe er in jouw dagelijk-se gemeentelijke werkomgeving wordt omgegaan met informatie en hoe jij zelf omgaat met infor-matie. Hoe ziet je bureau eruit? Hoe ga je om met wachtwoor-den? Probeer eens te bedenken of jij hackbaar bent? Wat zie jij om je heen? Ook in je dagelijkse doen en laten en niet alleen op je werk.

2. efstratiades: We raden gemeen-ten en hun leveranciers altijd aan melding te doen van voor-vallen en incidenten op informa-tiebeveiligingsvlak. Zo leren we niet alleen van elkaar, maar kan de IBD ook proactief andere ge-meenten waarschuwen.

Work IT OutDe eerste landelijke IBD-Praktijkdag tijdens de alert Online week 16

Den Haag - Welke waar-de toegekend wordt aan informatie, bepaalt hoe men met informatievei-ligheid omgaat. Aan het woord is Larissa Zegveld, directeur Kwaliteitsin-stituut Nederlandse Ge-meenten (KING). KING is samen met de VNG initiatiefnemer achter de IBD. We hebben een duo-gesprek met Zegveld en Nausika Efstratiades, hoofd van de IBD.

Larissa Zegveld

WEES jE BEWuST VAN WAT jE DOET EN

WEEG DE RISICOS Af

ZORG DAT jE VAN ELKAARS

KRACHTEN EN KENNIS GEBRuIK mAAKT

InformatIebeveIlIgIngIn beeld

Nausika Efstratiades

PRAKTISCHE

BAGAGE

speciale editie

IBD-Praktijkdag 2015

3Informatiebeveiliging in Beeld 2015 - Editie Praktische Bagage2 Informatiebeveiliging in Beeld 2015 - Editie Praktische Bagage

Het gaat dan om een lek met ern-stige nadelige gevolgen voor de be-scherming van persoonsgegevens of inbreuken die leiden tot een aan-zienlijke kans daarop. Denk hierbij aan diefstal, verlies of misbruik van persoonsgegevens. Dat zegt al-thans de wetswijziging meldplicht Datalekken en uitbreiding boetebe-voegdheid Cbp. meldplicht Datalek-ken en uitbreiding boetebevoegd-heid Cbp is eigenlijk een aanvulling op de Wbp. Het voegt de meldplicht voor dergelijke inbreuken op bevei-ligingsmaatregelen voor persoons-gegevens toe. verder kan het Cbp in meer gevallen een bestuurlijke boete opleggen aan overtreders van privacyregels. konden voor-heen ernstige datalekken nog bin-nenskamers worden gehouden, om zo bijvoorbeeld imagoschade te beperken, nu kan niemand met de nieuw aangenomen wet er meer omheen. Des te meer reden om hier even bij stil te staan in deze krant.

Wat moet ik doen als gemeente?

De meldplicht Datalekken richt zich tot de verantwoordelijke voor de verwerking van persoonsgegevens. De verantwoordelijke is degene die bepaalt welke verwerking er plaatsvindt van welke persoonsge-gevens en voor welk doel. Door de decentralisaties wordt een groei-ende hoeveelheid privacygevoelige informatie door gemeenten ver-werkt. De gemeente is hierbij de verantwoordelijke als het gaat om het beschermen van persoonsge-gevens. als de gemeente gebruik maakt van een leverancier is dat meestal de bewerker van persoons-gegevens, bijvoorbeeld in geval van Cloud-diensten. Dat vraagt gerichte aandacht van gemeenten, ook op het vlak van veiligheid. als verant-woordelijke is een gemeente ver-plicht om passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsge-gevens te beveiligen. Tegen verlies of tegen enige vorm van onrecht-matige verwerking.

Wie meld ik wat?

een inbreuk op de beveiliging hoeft overigens niet altijd te betekenen dat beveiligingsmaatregelen niet afdoende zijn. Zo kunnen gege-vens ook in verkeerde handen zijn gevallen door diefstal van devices

of door menselijke fouten; denk bijvoorbeeld aan het verzenden van gevoelige gegevens naar een onjuist e-mailadres zonder versleu-teling. Het doel van de meldplicht Datalekken is om tot een betere bescherming van persoonsgege-vens te komen. Zo kan een bijdrage geleverd worden aan het behoud en herstel van vertrouwen bij burgers in de omgang met persoonsgege-vens door gemeenten. Wanneer zich een inbreuk voordoet met ern-stige nadelige gevolgen voor de be-scherming van persoonsgegevens of wanneer het gaat om inbreuken die leiden tot een aanzienlijke kans daarop, dient een melding gedaan te worden bij het Cbp. Betrokken burgers moeten overigens ook een melding krijgen als het waarschijn-lijk is dat het lek ongunstige gevol-gen zal hebben voor hun persoon-lijke levenssfeer.

Welke verantwoordelijk-heid ligt bij wie?

veel verantwoordelijken laten de verwerking van hun persoonsgege-vens geheel of gedeeltelijk uitvoe-ren door een zogeheten bewerker. een bewerker verwerkt persoons-gegevens ten behoeve van de ver-antwoordelijke. van verwerking door een bewerker is bijvoorbeeld sprake bij het verwerken van per-soonsgegevens in de Cloud of bij externe hosting van een website waar persoonsgegevens worden verwerkt. als een gemeente per-soonsgegevens laat verwerken door een bewerker, dan moet de gemeente ervoor zorgen dat:

De bewerker voldoende waar-borgen biedt ten aanzien van de naleving van de meldplicht Data-lekken.

De bewerker de maatregelen treft die nodig zijn, zodat de gemeente aan de meldplicht Datalekken kan voldoen.

De bewerker de gemeente tijdig en adequaat informeert over de datalekken waarvan hij kennis krijgt.

eventueel kan de gemeente met de bewerker afspreken dat hij in het geval van een datalek de eer-ste melding aan het Cbp doet. De gemeente kan deze melding ver-volgens nog aanvullen of intrekken. als verantwoordelijke blijft de ge-meente eindverantwoordelijk voor de melding. Dit betekent dat de

gemeente moet zorgen dat de be-werker de gemeente op de hoogte houdt als hij een datalek meldt aan het Cbp.

Welke afspraken maak ik als gemeente?

Waarover dient de gemeente ei-genlijk afspraken te maken met de bewerker? We noemen een aantal punten:

Gaat de bewerker de gemeente daadwerkelijk informeren over alle relevante incidenten?

Gaat de bewerker eventueel zelf meldingen doen aan het Cbp?

Ontvangt de gemeente per inci-dent alle informatie die nodig is?

Hoe gaat de bewerker de ge-meente informeren over inciden-ten?

Wordt de gemeente tijdig genfor-meerd over incidenten?

Wordt de gemeente op de hoogte gehouden van eventuele nieuwe ontwikkelingen met betrekking tot het incident, en van de maat-regelen die de bewerker treft om aan zijn kant de gevolgen van het incident te beperken en herhaling te voorkomen?

Kan de gemeente vaststellen dat zij daadwerkelijk op de hoogte wordt gesteld van alle relevante incidenten, en dat de verstrekte informatie klopt?

Wanneer moet ik melden als gemeente?

Om te beoordelen of een gemeente een datalek moet melden, moet

een gemeente zelf een berede-neerde afweging maken. We geven u drie vragen die bij deze afweging gaan helpen:

1. Is de bescherming van persoons-gegevens doorbroken?

2. Zijn de verwerkte persoonsgege-vens daardoor blootgesteld aan verlies of onrechtmatige verwer-king?

3. Heeft deze blootstelling geleid tot ernstige nadelige gevolgen voor de bescherming van de ver-werkte persoonsgegevens of de privacy van de betrokkenen?

Wat moet ik melden als gemeente?

een melding aan het Cbp omvat een aantal zaken:

De melder van het datalek. Degene met wie het Cbp contact

op kan nemen voor nadere infor-matie over de melding.

Een samenvatting van het inci-dent waarbij de inbreuk op de be-veiliging van persoonsgegevens zich heeft voorgedaan.

Het tijdstip van de inbreuk. De aard van de inbreuk. Het type persoonsgegevens waar-

over het gaat. De gevolgen die de inbreuk kun-

nen hebben voor de persoonlijke levenssfeer van de betrokkenen.

De technische en organisatori-sche maatregelen die de gemeen-te heeft getroffen om de inbreuk aan te pakken en om verdere in-breuken te voorkomen.

Of de gemeente het datalek ge-

meld heeft aan de betrokkenen en zo niet, of de gemeente van plan is dit te gaan doen: - Zo ja, de inhoud van de mel-

ding aan de betrokkenen. - Zo nee, de reden waarom

de gemeente afziet van het melden van het datalek aan de betrokkenen.

als de gemeente het datalek niet meldt aan de betrokkenen kan het Cbp, indien het van oordeel is dat de inbreuk waarschijnlijk ongun-stige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen, van de gemeente verlangen dat zij alsnog een ken-nisgeving doet aan de betrokkenen. als er geen melding wordt gemaakt van het datalek kan dit zelfs be-straft worden met een bestuurlijke boete vanuit het Cbp.

moet een gemeente in alle geval-len een melding aan het Cbp doen in geval van een datalek? nee, er zijn namelijk ook uitzonderingen op de regel. een gemeente hoeft bijvoorbeeld geen melding te doen wanneer zij kan aantonen dat er gepaste technische beschermings-maatregelen zijn genomen, zoals versleuteling van de gegevens of andere technieken die persoons-gegevens ontoegankelijk kunnen maken wanneer een datalek plaats-vindt. Denk bijvoorbeeld aan een remote wipe op een smartphone of tablet of het versleutelen van ge-gevens.

Vanaf 1 januari 2016 treedt een wijziging van de Wet bescherming persoonsgegevens (Wbp) in werking die een meldplicht regelt voor datalekken. Deze meldplicht houdt in dat bedrijven, overheden en andere organi-saties die persoonsgegevens verwerken, datalekken moeten melden aan het College bescherming per-soonsgegevens (Cbp), en in bepaalde gevallen ook aan de betrokkenen.

meLDPLICHT DaTaLekken

Het is niet de vraag f je gehackt wordt, het is de vraag wanneer!

Lees verder op pagina 12

We gaan met van gils in gesprek over informatieveiligheid en de plaats die het onderwerp inneemt in zijn dagelijkse werk als ge-meentesecretaris. van gils: We hebben, voor mijn tijd, met Digi-notar een redelijke crisis gehad. Ineens besef je als gemeente wat het kan betekenen voor je ge-meente als er zich een grootscha-lig incident voordoet. In die zin hoeft niemand hier in amsterdam overtuigd te worden van het be-lang en de noodzaak van het on-derwerp informatieveiligheid. Het onderwerp staat structureel op de agenda. Zo hebben we een Chief Information Officer (CIO) die ver-antwoordelijk is en er is een di-recte rapportagelijn van de CIO naar mij als gemeentesecretaris. uiteraard komt niet alles bij van gils voorbij, maar wel datgene wat spanning in zich heeft en na-tuurlijk principile vragen en/of grote risicos. Op die manier is hij als gemeentesecretaris goed op de hoogte van wat er speelt op informatieveiligheidsvlak binnen zijn gemeente.

Drie decentralisaties

van gils: Op terreinen waarbij we denken dit heeft extra aan-dacht nodig dan zorgen we al-tijd dat we tijd vrij maken. Zo is bijvoorbeeld aangaande de drie decentralisaties gekeken naar wat de impact is op je gemeentelijke informatiehuishouding en ook op je informatieveiligheid. Leveren de decentralisaties nieuwe risicos of wellicht ook nieuwe complexi-

teiten op? Zijn er procedures die aangepast moeten worden, om-dat het wel werkt in het oude model, maar straks niet in het nieuwe model? Informatievoor-ziening en het beveiligen ervan wordt steeds complexer, omdat informatie steeds minder met techniek te maken heeft. Tijden zijn veranderd; de kwetsbaarhe-den werden voorheen alleen ge-zocht (en gedicht) in de techni-sche voorzieningen en het beheer. vroeger was informatieveiligheid relatief eenvoudig te toetsen: heb je je lades op slot? Zijn de archief-kasten dicht? en zijn belangrijke documenten in brandvrije kasten opgeborgen? nu zie je steeds minder een verschil tussen wat binnen en buiten is als het gaat om je gemeentelijke informatie-voorziening. Zo werk je met veel verschillende partijen samen, en met de drie decentralisaties wor-den dat er alleen nog maar meer.

ICT -vraagstuk

Informatieveiligheid wordt vaak als ICT-vraagstuk gezien. volgens van gils is techniek slechts een deel van de uitdaging. Informa-tieveilig handelen heeft immers ook in hoge mate te maken met vragen als: Wie heeft toegang tot

welke informatie? Wie kan waar, wanneer en op welke locatie er-gens bij? Hoe zorgen we ervoor dat informatie niet binnen kringen verspreid wordt als dit niet echt nodig is? en, zijn we scherp op hoe we informatie vastleggen? er zit nog heel veel ambachtelijkheid in het onderwerp en daarnaast ook veel gedragscomponenten. Laten mensen hun telefoons, iPads slin-geren? gooien we papier in dichte bakken? Is je beveiliging van je gebouw zo dat mensen zich vrij

kunnen bewegen? allemaal zaken die er toe doen en die in de dage-lijkse hectiek nog weleens naar de achtergrond verdwijnen.

Risicoanalyse

Binnen de gemeente amsterdam is elk ICT-project verplicht om met risicoanalyses te werken. ge-meenten hebben veel processen. Om te achterhalen wat de belang-rijkste processen zijn, moet je in-zicht krijgen in die processen. Om dit inzicht te krijgen heeft amster-dam een risicoanalyse uitgevoerd. Hierbij hebben we gekeken naar de echte kritische zaken. Dat zijn voor ons verstoringen in je beta-lingsverkeer of in je burgergege-vens en uitkeringen, kortom de vitale processen voor gemeenten. Deze mogen nooit down gaan. Dus daar zitten we bovenop. Dat is geen rocket science. voor elke gemeente zijn deze kritieke pro-cessen ongeveer hetzelfde. Dat betekent dat het ook belangrijk is om te kijken naar andere ge-meenten en partijen, en naar hoe het daar ageregeld is. De Dienst Belastingen kijkt naar hoe kwets-baar ons waarderingssysteem is, de Dienst Werk en Inkomen kijkt naar hoe het eigenlijk zit met onze uitkeringssystemen. Hierbij zou-den we als overheidspartijen nog meer door dezelfde bril moeten kijken en hetzelfde normenkader moeten hanteren. en gebruik je gezond verstand. niet alles hoef je te protocolleren en heel inge-wikkeld te maken. Heb je er oog voor, heb je er aandacht voor, test je weleens? als je een incident elders ziet, denk dan h als het daar kan gebeuren kan het ons ook overkomen. Hoe is het eigen-lijk bij ons georganiseerd? neem hierin als gemeente een leer- en reflectiehouding aan en zit er ac-tief boven op. uiteraard moet je afwegingen maken. Je kunt niet

alles 100% afdichten. kritiek zijn de primaire processen en zaken waarbij financile belangen, ge-heimhouding, privacy/veiligheid, et cetera een rol spelen. Hier hoort een meer toegespitst be-veiligingsniveau bij. en wat vooral belangrijk is, leg het niet alleen vast in een informatiebeveili-gingsplan, maar zorg dat het ook daadwerkelijk wordt uitgevoerd. aldus van gils.

Privacy impactanalyse

We hanteren portfoliomanage-ment heel strak. Dat doen we door het Project Portfolio management (PPM-proces). Daarin komen alle vragen en stukken systematisch aan de orde, zodat je kunt toet-sen of er geen onveilige ICT de organisatie binnenkomt. We ne-men er de tijd voor en zetten de juiste expertise in om dit goed te doen. Tenslotte hecht amster-

dam veel waarde aan de Privacy Impactanalyse. kijk niet alleen maar naar de technische kant, maar ook naar wat het betekent voor de privacy. kortom, voldoen we als gemeente aan alle eisen en waarborgen we deze ook?

arJan van gILs, gemeenTe amsTerDam

Risicoanalyse bijde gemeente AmsterdamAmsterdam - Eind 2014 sprak de Taskforce BID met Arjan van Gils, gemeentesecretaris en algemeen directeur van de gemeente Amsterdam over het onderwerp informatiebeveiliging binnen de gemeen-te. Het destijds verschenen interview in de Toolkit Gemeentesecretarissen van de Taskforce BID, biedt u handvatten uit de praktijk om informatieveiligheid krachtig vorm te geven.

WE ZOuDEN ALS OVERHEIDSPARTIjEN

NOG mEER DOOR DEZELfDE BRIL

mOETEN KIjKEN EN HETZELfDE NORmEN-

KADER mOETEN HANTEREN

GEBRuIK jE GEZOND VERSTAND. NIET ALLES HOEf jE TE

PROTOCOLLEREN EN HEEL INGEWIKKELD

TE mAKEN

Amsterdam

Arjan van Gils

Dit interview is afkomstig uit de Toolkit van deTaskforce die

in 2014 is uitgekomen

Tips voor collega-gemeentesecretarissen:

Beschouw het onderwerp Informatieveiligheid als een steeds belangrijker en regulier normaler productiemiddel en beleg het bij iemand.

Je wilt als gemeente heel veel informatie beschikbaar stellen en je wilt dat interne gebruikers toegang hebben tot deze in-formatie. Daar zit spanning op. Om te voorkomen dat hier mis-bruik van gemaakt wordt, moet je afgewogen keuzes maken. Zeg niet standaard het moet altijd super veilig zijn waardoor het heel gebruiksonvriendelijk wordt of heel bewerkelijk en kostbaar is. Wees je bewust dat je daar in kunt kiezen.

maak van risicomijdend gedrag de slag naar risicomanagend gedrag. niets is meer 24 uur per dag onder alle omstandig-heden door alle medewerkers veilig te maken en te houden: besef dat en durf hierin gezamenlijk verantwoorde keuzes te maken.

Zoek de gemeentelijke samenwerking op als het gaat over informatieveiligheid. veel bedreigingen komen van buitenaf (cybercrime) en zijn een landelijk en vaak mondiaal probleem. Zo werken wij in amsterdam sinds Diginotar nauw samen met onder meer de g4-gemeenten en de Informatiebeveiligings-dienst voor gemeenten (IBD) van de VNG.

reduceer de complexiteit.

54 Informatiebeveiliging in Beeld 2015 - Editie Praktische Bagage Informatiebeveiliging in Beeld 2015 - Editie Praktische Bagage

Mijn naam is Arie Hartog en ik ben directeur van Key2control. Sinds drie jaar leveren wij onze Information Security Management System (ISMS) webapplicatie aan steeds meer Nederlandse gemeenten, groot en klein. Ons ISMS maakt onderdeel uit van het Key2control Governance, Riskmanagement & Compliance (GRC) platform. Dit GRC

platform biedt gemeenten de mogelijkheid om structureel te werken aan een gentegreerd, gemeentebreed, intern beheersingssysteem. Andere themas die het Key2control platform ondersteunt zijn o.a. privacybescherming, integriteit, inkoop- en aanbesteding, tax control, contractmanagement.

Bij gemeenten is informatiebeveiliging, samen met privacy en integriteit, een belangrijke randvoorwaarde voor een succesvolle uitvoering van gemeentelijke taken. Niet alleen vanuit weten regelgeving, maar vooral vanuit het vertrouwen dat belanghebbenden zoals burgers, bedrijfsleven en medewerkers moeten kunnen hebben in een zorgvuldige lokale overheidsorganisatie.

Key2control ondersteunt de CISO/IB cordinator op zijn twee belangrijkste taken; het verkrijgen van mandaat van zijn directie, de verdeling van verantwoordelijkheden en rollen en daarmee het verkrijgen van commitment van zijn collegas. Dit doen wij doordat ons ISMS de planning, uitvoering en monitoring van de benodigde beheersmaatregelen borgt in de organisatie. Medewerkers worden daardoor direct betrokken bij het proces van informatiebeveiliging, hetgeen leidt tot een sterk verbeterde bewustwording. Leidinggevenden krijgen een instrument dat hen beter in staat stelt hun verantwoordelijkheid te nemen op het integrale informa-tiebeveiligingsproces.

Op de IBD-Praktijkdag hebben wij samen met Remco Rekoert, informatiebeveiligingsfunctionaris van de gemeente Edam-Volendam, een presentatie verzorgd over ISMS. Hierbij heeft Remco aandacht besteed aan hoe het ISMS Control Framework bijdraagt aan het aantoonbaar in control zijn op het informatiebeveiligings-proces en aan het verbinden van alle betrokkenen in zijn gemeente Edam-Volendam.

Mijn tip voor de CISO/IB cordinator:Geef de (papieren) tijger tanden door het borgen van je informatiebeveiligingsplannen in de organisatie. Bespreek je plannen vroegtijdig met het betrokken lijnmanagement en verzamel hiermee interne ambassadeurs voor je plan.

Arie Hartog

Youri Lammerts van Bueren is sinds 1 juli 2014 adviseur Infor-matiebeveiliging voor de gemeen-

ten Culemborg, geldermalsen en Tiel. Door de decentralisatie van overheidstaken naar gemeenten, wordt het voor gemeenten steeds belangrijker om het informatiebe-veiligingsbeleid op orde te hebben. We vroegen Lammerts van Bueren hoe hij vanuit zijn rol tegen het onderwerp informatiebeveiliging aankijkt. Informatiebeveiliging is eigenlijk het waarborgen van de bedrijfsvoering en de gemeente-lijke dienstverlening door middel

van de producten van de BIg. In mijn rol als adviseur informatiebe-veiliging voor de drie gemeenten geef ik integraal vorm aan infor-matiebeveiliging aan de hand van deze BIg. Het doel dat ik daarbij voor ogen houd is dat iedereen moet kunnen blijven werken; we willen met informatiebeveiliging

niet beperken, maar juist veilig fa-ciliteren, legt Lammerts van Bue-ren uit. Dichttimmeren heeft geen zin. er moet een goede balans zijn tussen veiligheid en je werk kun-nen blijven doen.

maak een plan

Het veilig faciliteren begint bij het opstellen van een plan, vervolgt Lammerts van Bueren. Daarbij is het van belang om te weten welke stappen je wilt zetten. maar ook wanneer, waarom en voor wie? en welke doelen je daaraan stelt. al deze keuzes bundel je vervolgens in een plan. Lammerts van Bueren merkt op dat het tijdens het op-stellen van een dergelijk plan be-langrijk is om alle lagen in je orga-nisatie mee te nemen in de keuzes die je maakt. Op deze manier laat je zien wat voor impact het goed beveiligen van informatie heeft en wat je ermee wilt bereiken. name-lijk, het bewust en veilig omgaan met de gevoelige informatie die gemeenten onder hun hoede heb-ben. In feite zorg ik er niet voor

dat het hier veiliger wordt, maar is mijn rol eigenlijk ervoor te zorgen dat iedereen daar een steentje aan

bijdraagt. anderen moeten het vei-liger maken, dat is mijn uitdaging.

full time focus

een uitdaging die Lammerts van Bueren elke dag heeft. voorheen was de informatiebeveiliging on-dergebracht bij drie verschillende ambtenaren. Daarnaast was infor-matiebeveiliging, naast alle ande-re dagelijkse taken, een deeltaak van deze ambtenaren. Lammerts van Bueren: gezien de urgentie van het onderwerp is er vanuit de

samenwerking gekozen voor een volledige full time focus op het in-formatiebeveiligingsbeleid van de drie gemeenten. niet gek, want informatiebeveiliging is geen on-derwerp dat je er zomaar even bijdoet. Het is een vak apart en vereist een serieuze aanpak. als bijkomend voordeel van een full time focus noemt Lammerts van Bueren de mogelijkheid tot spe-cialisatie op het onderwerp, wat uiteindelijk de kwaliteit weer ten goede komt.

Krachten bundelen

De wil om de kwaliteit binnen ver-schillende afdelingen te verhogen hebben de colleges B&W van de drie gemeenten doen besluiten om begin juli 2015 hun hand-tekening te zetten onder de ge-meenschappelijke regeling (GR)

Bedrijfsvoeringsorganisatie West-Betuwe (BWB). In deze gemeen-schappelijke regeling hebben de drie gemeenten afspraken vast-gelegd over de samenwerking op bedrijfsvoering vlak. naast het verbeteren van de kwaliteit brengt een samenwerking ook voordelen op kostenvlak met zich mee vult Lammerts van Bueren aan. als ik een procedure voor gemeente a opstel dan kan ik die ook gebrui-ken voor gemeente B en C. alle

gemeenten moeten namelijk aan dezelfde normen voldoen. Dus qua proces kun je veel dingen harmo-niseren en gelijk trekken. Door het hergebruiken worden er geen dingen dubbel gedaan, wat tijd en geld bespaart. Daarnaast wordt er een sterke onderhandelingspositie gecreerd, waardoor goedkoop in-gekocht kan worden.

YOurI LammerTs van Bueren, gemeenTe CuLemBOrg

Informatiebeveiliging doe je er niet zomaar even bijWest-Betuwe Informatiebeveiliging is geen onder-werp dat je er zomaar even bijdoet. Het is een vak apart en vereist een serieuze full time aanpak aldus Youri Lammerts van Bueren, adviseur Informatiebevei-liging voor de gemeenten Culemborg, Geldermalsen en Tiel. De IBD gaat in gesprek met Lammerts van Bueren over de Bedrijfsvoeringsorganisatie West-Betuwe die sinds 1 juli 2014 bestaat. Hij spreekt niet alleen over de voordelen van een samenwerking tussen gemeen-ten op informatieveiligheidsvlak, maar ook over hoe hij concreet invulling geeft aan zijn rol als adviseur Infor-matiebeveiliging.

Youri Lammerts van Bueren

ER mOET EEN GOEDE BALANS ZIjN

TuSSEN VEILIGHEID EN jE WERK KuNNEN

BLIjVEN DOEN

HET VEILIG fACILITEREN BEGINT BIj HET OPSTELLEN

VAN EEN PLAN

DuS quA PROCESKuN jE VEEL DINGEN HARmONISEREN EN GELIjK TREKKEN

Culemborg

De gemeentelijke dienstverlening wordt steeds meer digitaal ingericht en wordt meer en meer integraal onderdeel van de gemeentelijke bedrijfsvoering. Informatiebeveiliging is daardoor belangrijker dan ooit. Zowel voor de gemeente in de rol van informatieverstrekker als voor de (software)leverancier die de informatiestromen faciliteert. Daarom ben ik, Ren Pronk, als hoofd softwareontwikkeling bij Seneca dagelijks bezig met het onderwerp informatieveiligheid.

Vanuit Seneca helpen we gemeenten om werkprocessen te ondersteunen n te versnellen. Zo kunnen onze klanten sneller inspelen op de behoeften. Bij het voorzien in die behoeften van burgers en bedrijven is er een continu spel tussen het bieden van gebruiksgemak en (informatie)veiligheid. Met het bieden van online formulieren wordt bijvoorbeeld het gebruiksgemak voor burgers en bedrijven enorm verhoogd; ze kunnen gericht informatie ophalen n achterlaten. Maar tijdens deze processen worden vaak ook persoonsgegevens en andere privacygevoelige informatie uitgewisseld. De invoer van digitale dienstverlening vraagt dus de volle aandacht van zowel gemeenten als leveranciers.

Doel van Seneca is om de zorgen van gemeenten op dit punt te beperken. Met E-loket 4 van Seneca ontwikkelen gemeenten hun

eigen formulieren, zonder de tussenkomst van een IT-afdeling. Seneca zorgt voor opslag en beveiliging van gegevens en is daarvoor TPM gecertificeerd. Hierdoor hebben overheden de zekerheid dat aan alle beveiligingseisen is voldaan. Deze eisen bestaan niet alleen uit technische, maar ook uit organisatorische aspecten. Het overhandigen van de TPM aan de eigen auditor, bespaart een gemeente veel geld n zorgen!

Als leverancier van content management oplossingen vindt Seneca informatiebeveiliging cruciaal. Met onze oplossingen kan de gemeente actuele, relevante en consistente informatie aanbieden; online, aan de balie en vanuit het Klant Contact Centrum. Hamvraag is, hoe ontsluit je de juiste informatie, op het juiste moment bij de juiste persoon op een veilige manier? Dat is de uitdaging van Seneca.

Als tip wil ik gemeenten meegeven:Stel hoge eisen aan je Cloud-leverancier. Denk hierbij aan zaken als certificering, security officer en protocollen. En belangrijk; vraag naar toetsing door een onafhankelijke partij. Daarnaast is het belangrijk om informatiebeveiliging te integreren in je bedrijfsproces; selecteer een vertrouwenspersoon, wantrouw berichten uit de pers en communiceer pas na overleg met je leverancier en de IBD.

Informatieveiligheid en Seneca

Ren Pronk

Tips van Lammerts van Bueren voor collega-gemeenten:

Begin tijdens het opstellen van een informatiebeveiligingsbeleid klein, zodat je de regie houdt.

gebruik de IBD-producten van de BIg. Zorg eerst dat alle generieke maatregelen op orde zijn en begin daarna pas aan de specifieke maatregelen.

en tot slot, zorg voor een volledige focus!

Informatieveiligheid en Key2control


Cziesso realiseert zich dat informa-tieveiligheid over veel meer gaat dan alleen ICT. Hij geeft aan dat het onderwerp steeds belangrijker wordt door het toenemend aantal gevoelige gegevens dat wordt vast-gelegd. Daarnaast neemt de com-plexiteit van de ICT alleen maar toe. Cziesso: als wethouder voel ik me verantwoordelijk voor het veilig beheren van de gegevens van apeldoornse burgers en be-

drijven. Dat de gemeenteraad het onderwerp goed oppikt en het col-lege van B&W aanspreekt op hun verantwoordelijkheid op dit dossier vind ik een positieve ontwikkeling. Ook schilderinck geeft aan een toe-name te zien in de aandacht voor informatieveiligheid. Het wordt steeds belangrijker om betrouw-bare dienstverlening te kunnen garanderen. Daarnaast komt er een steeds grotere druk op de een-heid te staan om te bewijzen dat de veiligheid goed op orde is, legt schilderinck uit. een mooie trig-ger om de professionaliteit van de hele eenheid Informatievoorziening naar een hoger plan te tillen, aldus schilderinck. De sleutel tot succes

Op de vraag wat naar hun mening de sleutel tot succes is, als het gaat om een onderwerp als informatie-beveiliging binnen gemeenten ant-woordt Cziesso: Dat is heel een-voudig namelijk bewustwording en betrokkenheid van de hele organi-satie. Dus dan heb ik het niet alleen over de werkvloer, maar zeker ook over het management, bestuur en de gemeenteraad. Het onderwerp

moet regelmatig terugkeren, ook op de politieke agenda. In apeldoorn zijn we ook steeds vaker hierover in gesprek met de raad, soms op ei-gen initiatief maar vaak ook omdat de raad er zelf om vraagt.

schilderinck: Ik onderschrijf dat. Tot nu toe was het zo dat er mis-schien wel te veel op de techniek werd vertrouwd. Helaas kun je niet alles regelen met techniek en procedures, het belang van infor-matieveiligheid moet bij iedereen in de organisatie tussen de oren

gaan zitten. Qua techniek zie je op dit gebied dat er een wedloop aan de gang is, waarbij we steeds alert

moeten blijven en ons ook moeten realiseren dat kwetsbaarheden in software er gewoon bij horen. Het is dus zaak om er voor zorgen dat we op tijd en goed genformeerd zijn over deze kwetsbaarheden en ze adequaat oppakken.

Responsible Disclosure beleid. Wat houdt dat precies in?

De gemeente apeldoorn hecht veel waarde aan de beveiliging van haar systemen. reden voor de ge-meente om in juli 2015 een Digi-tale klokkenluidersregeling oftewel het responsible Disclosure beleid in te voeren. een responsible Dis-closure beleid geeft een ethische hacker duidelijkheid over hoe een

Apeldoorn - We reizen af naar Gelderland waar we een duo-gesprek hebben bij de gemeente Apeldoorn. We spreken met Detlev Cziesso en Remco Schilderinck over het onderwerp informa-tiebeveiliging en het pas ingevoerde Responsible Disclosure beleid. Detlev Cziesso is sinds 3,5 jaar wethouder bij de ge-meente Apeldoorn en is verantwoordelijk voor ICT en Informatieveilig-heid binnen de gemeente. Remco Schilderinck is sinds 2013 manager van de Eenheid Informatie-voorziening. Binnen deze Eenheid valt ook de CIO-office, waarbinnen de informatiebeveiliging is belegd.

Detlev Cziesso

Remco Schilderinck

DeTLev CZIessO en remCO sCHILDerInCk, gemeenTe aPeLDOOrn

Responsible Disclosure; ultieme vorm van burgerparticipatie

KPN verbindt onze samenleving door veilig en betrouwbaar diensten te verlenen. Wij helpen graag met de invoering van de BIG om burgers en hun gemeenten sterker te maken. (Jaya Baloo, Chief Information Security Officer (CISO) bij KPN)

kPn is een cruciaal onderdeel van de vitale infrastructuur in nederland en heeft daarmee een maatschappelijke verantwoordelijkheid om constant veiligheid en kwaliteit te bieden. kPn wil samenwerken met gemeenten; kennis delen is een noodzakelijke voorwaarde voor digitale veiligheid.

Apeldoorn

gemeente zal omgegaan met de door de hacker gevonden kwets-baarheden in de ICT-systemen. schilderinck: We maken hiermee aan de buitenwereld duidelijk waar ze kwetsbaarheden kunnen melden en wat de spelregels zijn aangaan-de de melding.

De belangrijkste spelregel van het responsible Disclosure beleid is dat de kwetsbaarheid niet openbaar gemaakt mag worden voordat de gemeente de kans heeft gekre-gen om maatregelen te nemen. Zo voorkomen we dat anderen mogelijk misbruik gaan maken van de gevonden kwetsbaarheid, geeft Cziesso aan. In het beleid wordt ook duidelijk gemaakt waar de grenzen liggen. Zo is gemeente apeldoorn blij met constructieve input van de buitenwereld maar willen zij zeker geen illegale activi-teiten uitlokken. Het doel van het responsible Disclosure beleid is

volgens schilderinck, het verbete-ren van de bescherming van de ge-gevens van onze burgers en bedrij-ven. We scannen zelf maandelijks onze omgeving op kwetsbaarheden en laten dit ook nog eens regelma-tig door gespecialiseerde bedrijven doen. Desondanks realiseren we ons dat we in de veiligheidswed-loop alle hulp kunnen gebruiken die beschikbaar is. Cziesso vult aan: we zien het responsible Disclosure beleid als een manier om ethische hackers uit te nodigen een bijdrage te leveren aan de veiligheid van de apeldoornse IT-omgeving. Het is dus eigenlijk een ultieme vorm van burgerparticipatie.

Beloning voor hackers

Cziesso: We zijn inderdaad de eer-ste gemeente die hackers beloont. Het doel hiervan is om ethische hackers duidelijk te maken dat we hun input echt waarderen. ge-meente apeldoorn hoopt hiermee dat meer mensen hun best gaan doen om kwetsbaarheden te gaan zoeken en te melden. Dat het be-lonen werkt blijkt uit het feit dat in de eerste twee weken na publicatie al bijna 20 meldingen binnen geko-men zijn. Ook de IBD merkt aan het aantal vragen over een responisble Disclosure beleid dat de belangstel-ling op dit onderwerp toeneemt.

Mijn naam is Peter Rietveld. Sinds 2006 werk ik bij Traxion als trekker, lead, van de aandachtsgebieden Situational Awareness, Pentesten en Cryptografie. Lead zijn betekent vooral het cordineren van en sturing geven aan kennisontwikkeling en business development. Traxion concentreert zich op vraagstukken rondom de besturing van de informatiebeveiligingsinspanning enerzijds en het oplossen van toegangsvraagstukken anderzijds.

Door de aanhoudende reeks incidenten op informatie-beveiligingsvlak besteden organisaties op een steeds hoger niveau aandacht aan IT Security. Dat moet ook wel om de data van alledag goed te kunnen beveiligen. Desondanks blijft de hamvraag voor veel organisaties; wat moeten we als organisatie doen op informatiebe-

veiligingsvlak en wat doen we al? Deze security-vraag is niet alleen meer gericht op de operationele kant, maar is steeds meer van strategische aard. We noemen dit bij Traxion Situational Awareness.

De opkomst van Situational Awareness betekent niet dat er geen operationele vraagstukken meer zijn. De praktische vragen zijn bovenal domein overschrijdende beveiligingsvragen zoals: hoe kunnen medewerkers en klanten van de ene organisatie bij systemen van een andere organisatie? En moeten we hier dan een sterke authenticatie gebruiken of kan het ook met zogenaamde social accounts? Dus door in te loggen met Facebook en Google Authenticator. Op deze gebieden treedt Traxion actief op als Security Integrator.

Tijdens onze presentie op de IBD-Praktijkdag hebben we het fenomeen Situational Awareness besproken. We hebben daarbij antwoord gegeven op de centrale vraag; hoe bepaal je je koers als gemeente en wat moet je als gemeente echt zelf kunnen?

Als praktische bagage wil ik gemeenten de volgende tips meegeven:- Ook bij security geldt; regeren is vooruitzien. Oftewel, zorg dat je niet

verdrinkt in de dagelijkse operatie van beveiliging en blijf zelf nadenken en vragen stellen.

- Reserveer een vaste dag per week om je te verdiepen in de uitdagingen die nog komen. Alles lijkt super dringend maar dat is lang niet altijd zo.

- Werk samen, ga niet in een ivoren toren zitten. Vrijwel alle organisaties hebben dezelfde vraagstukken en om het wiel zelf uit te vinden is de capaciteit in de markt de komende paar jaar niet beschikbaar.

Peter Rietveld

Informatieveiligheid en Traxion

RESPONSIBLE DISCLOSuRE BELEID

IS EIGENLIjK EEN uLTIEmE VORm VAN BuRGER-

PARTICIPATIE

ALS WETHOuDER VOEL IK mE VERANT-WOORDELIjK VOOR

HET VEILIG BEHEREN VAN DE GEGEVENSVAN APELDOORNSE

BuRGERS EN BEDRIjVEN

Tips voor de invoering van een Responsible Disclosure beleid vanuit Apeldoorn:

als je als gemeente een responsible Disclosure beleid wilt invoe-ren, zorg dan dat je er klaar voor bent op het moment van publi-catie. Zoals gezegd kwamen er binnen de eerste twee weken al 20 meldingen binnen. Het is dan wel zaak om het incidentproces goed op orde hebben en capaciteit vrij maken om de meldingen te onderzoeken en eventueel snel op te lossen.

Benadruk dat je alleen versleutelde informatie wil ontvangen. Je wil natuurlijk niet dat informatie over kwetsbaarheden via een on-veilig kanaal wordt verzonden en alsnog op straat komt te liggen. Informeer de gemeenteraad over het voornemen en neem de eventuele reacties van de raad mee in het opstellen van je beleid.

En tot slot nog enkele tips als praktische bagage voor collega-gemeenten op het bredere gebied van informatiebeveiliging/veiligheid:

Wees zo transparant mogelijk richting bestuur en gemeenteraad over informatieveiligheid. Zeg niet dat je 100% veilig bent en dat er nooit eens iets mis gaat, maar deel ook informatie over inciden-ten die hebben plaatsgevonden. Organiseer je interne draagvlak goed. Zorg dat het geen ICT-feestje blijft en dat ook de businesskant van de organisatie zich bewust wordt van hun eigen verantwoordelijkheid op dit gebied.


Informatieveiligheid gaat over gedrag, cultuur en bewustwording van risicos en hangt nauw samen met het waarborgen van privacy.

enschede werkt veel samen met andere partijen in allerlei domei-nen. Zo ook binnen het sociaal do-mein. Daarom is het extra belang-rijk dat de gemeente voorzichtig omspringt met gegevens en het uitwisselen hiervan, om de privacy van inwoners en ondernemers te borgen. Door de toenemende di-gitalisering is het zorgvuldig om-gaan met gegevens van inwoners en bedrijven voor gemeenten van groot belang. een goede borging van informatieveiligheid, zorgt voor een betere betrouwbaarheid van de informatievoorziening en een grotere continuteit van de gemeentelijke bedrijfsvoering. Bovendien is een goede informa-tievoorziening noodzakelijk voor het slagen van de decentralisaties in het sociaal domein. Wethouder eelco eerenberg, raadslid marijke van Hees en gemeentesecretaris marcel meijs vertellen over hoe de gemeente het informatiebevei-ligingsbeleid heeft vormgegeven.

als college van B&W zien wij het belang in van structurele aan-dacht voor informatieveiligheid en waarborgen van privacy, ook in de keten, vertelt eelco eerenberg,

wethouder van de gemeente en-schede. met de decentralisaties zijn veel taken op ons af geko-men en ligt er veel privacyge-voelige informatie bij ons. Het is daarom belangrijk dat deze ge-gevens in veilige en vertrouwde handen zijn, ook als we gegevens uitwisselen met ketenpartners. Daarnaast is het belangrijk dat met de gegevens zorgvuldig en bewust door professionals in het sociaal domein wordt omgegaan. Dat verwacht de inwoner immers van ons. Daarom hebben we als gemeente enschede mee gedaan aan de zogeheten Living Labs; een proeftuin waarin we samen met ketenpartners de informatie-voorziening hebben ontwikkeld. Hierbij is ook aandacht besteed aan de informatieveiligheids-en privacyrisicos die kunnen ont-staan bij het uitwisselen van in-formatie. volgens eerenberg gaat het daarbij niet alleen om tech-niek: Techniek is een middel en natuurlijk moeten we dat goed be-veiligen. maar daarnaast gaat het vooral ook om gedrag, cultuur, de bewustwording van risicos rond het uitwisselen van informatie en de afspraken die je hierover met elkaar maakt. In 2013 heeft het College ingestemd met de Base-line Informatiebeveiliging neder-landse Gemeenten (BIG). Begin januari 2015 heeft het College het beleid rond gegevensverwerking en Privacy in het sociaal domein vastgesteld.

vanuit de gemeenteraad hebben de raadsleden ook aandacht voor informatieveiligheid en alles wat hierbij komt kijken. Zo ook ma-rijke van Hees, gemeenteraads-lid namens de PvDa en daarvoor wethouder in de gemeente en-schede. Ik vind het belangrijk dat de gemeente vertrouwelijk omgaat met de gegevens van de burgers. als het gaat over de vraag hoe om te gaan met clin-tgegevens, is het heel belangrijk om na te denken over de eisen die we daaromheen formuleren, vertelt van Hees. Tegelijkertijd hebben we met de weerbarstige

werkelijkheid te maken dat het sociaal domein nog niet helemaal is gedecentraliseerd, maar dat er wel een heleboel informatie over burgers in allerlei systemen zit en wordt gedeeld. In mijn periode als wethouder heb ik dit punt regel-matig op de landelijke agenda van vng, kIng en departementen ge-zet. Lokaal heb ik de samenwer-king met het (regionale) bedrijfs-

leven gezocht en ook gevonden. vanuit de gemeenteraad controle-ren we of we hier als gemeente op de juiste manier mee omgaan. Daarbij kijken we verder dan de gemeentelijke organisatie zelf. Ook de ketenpartners waar de ge-meente nauw mee samenwerkt, moeten de informatieveiligheid en de privacy kunnen garanderen.

als gemeentesecretaris van en-schede is marcel meijs blij dat het bestuur en de gemeenteraad van de gemeente enschede het belang inzien van structurele aandacht voor informatieveiligheid, ook in de keten. volgens meijs zorgt een goede borging van informatievei-ligheid voor een betere betrouw-baarheid van de informatievoor-ziening en een grotere continuteit van de gemeentelijke bedrijfsvoe-ring. Bovendien is een goede in-formatievoorziening noodzakelijk voor het slagen van de decentra-lisaties in het sociaal domein. met het Living Lab Oost- nederland hebben wij als gemeente het ini-tiatief genomen om met meer-dere grote en kleine gemeenten de informatievoorziening samen te ontwikkelen. Wij zijn voortdu-rend op zoek naar samenwerkin-gen met andere partijen en ke-tenpartners. We werken dan ook met veel verschillende organisa-ties samen, vertelt meijs. Zo ook binnen het sociaal domein, waar door de decentralisaties veel ta-ken van gemeenten in complexe netwerken van aanbieders worden uitgevoerd. De gemeente blijft in dit netwerk van ketens eindver-antwoordelijk, ook voor de infor-matieveiligheid en de privacy. Het is onze ambitie om toe te werken naar een integrale benadering met n klant, n dossier en n con-tact. Dat veronderstelt volgens meijs samenwerken. samenwer-ken vereist informatie delen en daarmee is er ineens een groot veiligheids- en privacyissue dat we met elkaar moeten zien te tac-

kelen. Om die reden kijken we in Enschede ook naar (aanvullende) eisen die nodig zijn, bovenop de eisen die zijn gesteld in het kader van de BIg, aldus meijs. In dat kader is de rol van Security Offi-cer ingevuld. met het oog op toe-komstige regelgeving uit europa wordt nu ook de rol van de func-tionaris gegevensbescherming verder geprofessionaliseerd.

eeLCO eerenBerg, marIJke van Hees & marCeL meIJs,gemeenTe ensCHeDe

Informatieveiligheidbezien vanuit de kerngezichten van Gemeente EnschedeEnschede - In mei 2015 zijn er op initiatief van Taskforce BID en de VNG verschillende interviews verschenen onder de noemer Gezichten op Infor-matieveiligheidsvlak. Zo is er destijds een inter-view geweest met Eelco Eerenberg, marijke van Hees en marcel meijs van gemeente Enschede. Hun kijk informatieveiligheid binnen het gemeentelijk domein, biedt u inspiratie en handvatten voor eigen omgeving.

EnschedeEelco Eerenberg

marcel meijs

marijke van Hees

Dit interview is afkomstig uitde Gezichten op Informatie-veiligheidsvlak van de VNG die in 2015 zijn uitgekomen

Informatiebeveiliging en privacy zijn weliswaar verschillend, maar overlappen elkaar wel deels. Informatieveiligheid krijgt pas echt vorm wanneer Information Security Management en Privacy Management hand in hand gaan. Dat is precies wat we nastreven vanuit Informatiebeveiliging Gemeenten. (Renco Schoemaker, adviseur informatieveiligheid)

Informatiebeveiliging gemeenten adviseert en ondersteunt gemeenten bij het implementeren van de Baseline Informatiebeveiliging nederlandse gemeenten en het naleveren van de privacywetgeving (Wbp en Meldplicht Datalekken). Met een achterliggend partnernetwerk zijn we altijd in staat de kennis en capaciteit te bieden die nodig is.

IBD-Praktijkdag Work IT OutTijdens de Alert Online week op 5 november 2015 heeft de IBD haar eerste landelijke IBD-Praktijkdag voor gemeenten georganiseerd. Samen met kennis-partners en marktpartijen. De IBD-Praktijkdag vormt een logisch verbindend moment in de serie initiatie-ven die de IBD sinds haar oprichting op 1 januari 2013 heeft genitieerd. Deze initiatieven zijn veelal regionaal van opzet om de bereikbaarheid van de IBD in den lande te vergroten. 5 november 2015, bijna drie jaar na haar oprichting, was een mooi moment om deze regionale kracht deze keer landelijk te bundelen op de eerste IBD-Praktijkdag.

Leuk om te weten is dat de naam van de IBD-Praktijkdag, Work IT Out, niet zomaar gekozen is. Het is namelijk een knipoog naar het werkveld ICT en het kernon-derwerp van de IBD: informatie-beveiliging. Daarnaast staat het voor de letterlijke vertaling Werk je IT-informatiebeveiligingsbeleid uit middels de verkregen hand-vatten en praktijkvoorbeelden op de Praktijkdag. Tot slot staat Work IT Out voor het zelf ont-

dekken van je eigen aanpak, wat figuurlijk een intensieve work out is.

De IBD-Praktijkdag heeft plaats-gevonden onder de bezielende leiding van dagvoorzitter alexan-der meijer, gemeentesecretaris van de gemeente amstelveen.

De dag stond in het teken van in-spireren en voeden van gemeen-ten door middel van het delen van

kennis en praktijkervaringen op informatieveiligheids- en informa-tiebeveiligingsvlak. er was volop ruimte voor (opnieuw) ontmoe-ten, informatieve momenten en inspiratiemogelijkheden middels speeddates met markt- en ken-nispartijen.

Tijdens de lunch en de netwerk-borrel hebben gemeentelijke deelnemers, deel kunnen nemen aan de zogenaamde speeddate-sessies met marktpartijen en ken-nispartners. Deze hebben plaats-gevonden door middel van een speeddatecarrousel van steeds 15 minuten per keer. De dag is afgesloten met een netwerkbor-rel waar vele nieuwe contacten gelegd zijn. Deelnemers zijn naar huis gegaan met een hoop prakti-sche bagage en inspiratie voor de toekomst.

Mijn naam is Christian Prickaerts en ik ben werkzaam bij Fox-IT als Manager Security Service. Vanuit deze afdeling ondersteunen wij 24/7 organisaties bij de detectie van cyberdreigingen.

Ransomware is op dit moment erg hot als het gaat om dreigingen. De schade voor organisaties varieert, maar de praktijk wijst uit dat deze vaak groter is dan men zelf initieel vermoedt. Fox-IT biedt dienstverlening aan die niet alleen gericht is op het gebied van preventie en detectie, maar ook op respons. Vroege detectie en snelle respons is van groot belang bij het minimaliseren van eventuele schade als gevolg van bijvoorbeeld een ransomware-uitbraak. Daarnaast verzamelen wij actief intelligence over cyberdreigingen, waarmee

een organisatie beter zicht krijgt op het cyberlandschap en de ontwikkelingen van specifieke dreigingen binnen het cyberdomein.

Gedurende de Fox-IT-sessie op de IBD-Praktijkdag zijn wij samen met Kees Wassenaar, CISO van de gemeente Den Haag, ingegaan op het creren van een pragmatische aanpak van het informatiebeveiligingsvraagstuk. Een aanpak die vanuit ons altijd gericht is op het behalen van zichtbare resultaten. Hierbij is het belangrijk om duidelijke keuzes te maken en de gezamenlijke inzet tussen Fox-IT en gemeenten te formuleren. Zodat je vervolgens de resultaten kunt analyseren om vast te stellen of de aanpak effectief is of aangepast moet worden.

Als tips wil ik gemeenten meegeven:Kennis is de sleutel; voor organisaties is educatie van werknemers een must om beter en efficinter te kunnen acteren als het op informatiebeveiliging aan komt. Ook zorgt het voor een breed veiligheidsbewustzijn. Als tweede tip: deel ervaringen en wees transparant. Een effectieve aanpak van cybercriminaliteit vraagt om betere samenwerking. Binnen de branche, over een hele keten heen en tussen publieke en private partijen.

Christian Prickaerts

Informatieveiligheid en Fox-IT

Lees verder op pagina 14

Work IT Out

maarssen


Wanneer je als gemeente naar de IBD-Helpdesk belt, dan is de kans groot dat je gerben de Jong aan de telefoon krijgt als eerste aan-spreekpunt. De Jong is sinds dit jaar werkzaam bij de IBD en is de eerste man op de IBD-Help-desk, ook wel de sjaak genoemd. sjaak is de bijnaam voor de dage-lijkse hoofdverantwoordelijke van de IBD-Helpdesk. Zijn dagelijkse werkzaamheden bij de Helpdesk bestaan voornamelijk uit het be-antwoorden van telefoontjes, e-mails en daar waar nodig geeft hij uiteraard ook inhoudelijk ad-vies. kees Hintzbergen is vanaf de oprichting van de IBD betrok-ken bij de IBD-Helpdesk. Hij is bij de IBD begonnen om de Baseline Informatiebeveiliging, de BIg, te schrijven voor gemeenten. uitein-delijk heeft hij ook de eerste do-cumentatie voor de IBD-Helpdesk geschreven. sinds de komst van De Jong houdt hij zich iets min-der op de voorgrond bezig met de Helpdesk en meer met een aantal projecten, waaronder het project eenduidige normatiek Single Information Audit (ENSIA) in opdracht van het ministerie van Binnenlandse Zaken en konink-rijksrelaties (BZK). Last but not least hebben we gerard Heimans. Heimans was voorheen ook werk-zaam bij de gemeente apeldoorn

en werkt al ruim 2,5 jaar voor de IBD. Hij houdt zich bezig met alle soorten vragen die gesteld worden aan de telefoon en specifiek ook vragen ten behoeve van het aan-sluitproces van gemeenten. We vragen de mannen wat volgens hen de sleutel tot succes is als het gaat om informatiebeveiliging. De Jong: Bewustwording en commit-ment vanuit het bestuur. als je dit hebt, dan kan je als CIsO succes gaan boeken. Heimans vult aan: een veilige omgeving om inciden-ten te melden zonder dat je daar gelijk op wordt afgerekend. maar ook ondersteuning van informa-tie functionarissen voor het hoger management en uiteraard een goede aansluiting bij de IBD!

Een dag uit het leven van de Sjaak..

Het eerste waar De Jong zijn dag op de Helpdesk mee start is het versturen van de kwetsbaar-heidswaarschuwingen. vervolgens checkt hij of er incidenten heb-ben plaatsgevonden de afgelopen nacht en controleert hij de IBD-mailbox. De hoeveelheid berich-ten kan per dag verschillen, want het is allemaal afhankelijk van het aantal incidenten dat zich voor-doet. De ene keer zijn het tien telefoontjes en de andere keer

is het n telefoontje. als er zich een incident op informatiebevei-ligingsvlak voordoet dat relevant is voor de hele doelgroep, dan informeren wij als IBD de aange-sloten gemeenten door middel van een mailing aan hun algemeen en vertrouwde Contactpersonen In-formatiebeveiliging. Hierbij geven we vooraf al instructies over wat ze kunnen doen tegen het desbe-treffende incident. Zo is momen-teel bijvoorbeeld ransomware een hot item waar ook veel over wordt gesproken in de media. Bij een ransomware besmetting worden alle gebruikersbestanden waar het virus bij kan versleuteld, zodat de gebruiker deze niet meer kan ope-nen. De gebruiker krijgt een mel-ding dat er eerst geld moet wor-den betaald voordat de bestanden ontdaan worden van de encryptie. alleen degene die het virus heeft gemaakt, heeft toegang tot de sleutel. Je ziet dit momenteel veel gebeuren, ook bij gemeenten. Wat kun je het beste doen in zon geval? Het antwoord volgt in koor: De IBD bellen/mailen en aangifte doen bij de politie! Je mag nooit het losgeld betalen, omdat je daarmee sowieso niet de garantie hebt dat de bestanden vrijgege-ven worden. Bovendien is het ook niet slim om te betalen, omdat je anders meehelpt met het in stand houden van het verdienmodel.

Informatiebeveiliging in beweging

een ontwikkeling die de helpdesk-mannen voor de komende peri-ode verwachten is een toenemend

Den Haag We spreken met de mannen van de IBD-Helpdesk; Gerben de jong, Kees Hintzbergen en Gerard Heimans. Allen adviseur Informatiebeveiliging bij de IBD. Zij helpen gemeenten bij al hun vragen over in-formatiebeveiliging.

Gerben de jong

Kees Hintzbergen

Tips van de Helpdesk:

De Jong: als je iets doet op informatiebeveiligingsvlak dan moet je het wel goed doen, dus niet half. als je een incident hebt, zie het dan positief in. stop het niet weg maar laat zien dat je er wat mee hebt gedaan. Dan wordt je werk ook zichtbaarder. Hintzbergen: Zorg dat je goede afspraken maakt met derde partijen. Durf ook nee te zeggen als het niet ok is. vraag hoe het met de beveiliging is geregeld. Je ziet hier al wel een verandering in maar dit kan nog professioneler. Je mag en moet als gemeente van een leverancier eisen dat zijn spullen in orde zijn. Zorg er als gemeente voor dat je blijft voldoen aan de eisen van de BIg. Heimans vult tenslotte nog aan: Zorg voor een goede firewall, die up to date is.

gerBen De JOng, kees HInTZBergen en gerarD HeImans, IBD-HeLPDesk

HELP, IK HEB EEN INCIDENT!

Mijn naam is Christiaan Ottow, Chief Technology Officer (CTO) bij Pine Digital Security. Als CTO houd ik me bezig met de operationele uitvoer van de projecten voor onze klanten, alsmede met de technische ontwikkeling van eigen diensten en nieuwe producten. Daarvoor is het belangrijk dat ik op de hoogte blijf van ontwikkelingen in de markt en de techniek,

om er zo voor te zorgen dat we als Pine relevant blijven en proactief onze klanten kunnen adviseren over dreigingen en oplossingen.

Ons werkveld volgt grotendeels de algemene ontwikkeling van IT in de maatschappij. Waar IT op nieuwe manieren of in nieuwe gebieden wordt toegepast, ontstaan nieuwe beveiligingsvraagstukken. Een recent voorbeeld daarvan is Internet of Things (IoT): onze fysieke omgeving wordt steeds slimmer, van thermostaten en lampen tot autos. Dit brengt risicos met zich mee waar we nooit eerder mee geconfronteerd zijn. Ransomware is een goed voorbeeld van het volwassen worden van de criminele markt op digitaal gebied. Criminelen zoeken naar manieren om hacking in geld om te zetten. Met ransomware zijn ze daarin geslaagd; het is een manier die goed schaalt en een goede opbrengst heeft vergeleken met bijvoorbeeld spam. Onze dienstverlening richt zich met name op preventie. Wij helpen onder meer gemeenten om veilige software te ontwikkelen en te beheren, om te voorkomen dat incidenten zich voordoen. Voorkomen is nog steeds beter (en goedkoper) dan genezen; vandaar dat we onze aandacht met name richten op ontwikkelaars en beheerders van digitale diensten.

Als tips wil ik gemeenten meegeven:Weet welke risicos je loopt. Dat is het startpunt van goede informatiebeveiliging. Het is belangrijk om goed inzichtelijk te hebben welke informatie zich waar bevindt en hoe die wanneer en aan wie ontsloten wordt.

Tip 2: Zorg voor een gezonde mix van zelf doen en laten doen. Neem je eigen verantwoordelijkheden binnen het inzicht dat je hebt, maar vertrouw daarbuiten op de expertise van partijen die veel ervaring hebben op het vlak van informatiebeveiliging.

Christiaan Ottow

Mijn naam is Martijn Groeneweg, directeur van Overheidsmail en tevens gemeenteraadslid van Dordrecht. Vanuit beide functies ben ik uiteraard betrokken bij het onderwerp informatieveiligheid Een op dit moment veel voorkomende vorm van internetfraude is Phishing. Mensen worden hierbij met een e-mail naar een valse website gelokt, waarna

cybercriminelen inloggegevens van vertrouwelijke accounts proberen te achterhalen. Vanuit de praktijk zie ik dat Phishing mails steeds professioneler worden en bijna niet meer van echt te onderscheiden zijn.

Overheidsmail biedt bescherming tegen deze Phishing mails middels toepassing van e-mail authenticatie. E-mail authenticatie is een mechanisme om de identiteit van een afzender te bepalen. Op basis van de open standaarden DMARC, DKIM en SPF worden Phishing mails uit de mailbox geweerd. Daarnaast zorgen de open standaarden ook voor een optimale aflevering van e-mails (deliverability). Overheidsmail zorgt zowel voor de implementatie als voor het beheer van e-mail authenticatie binnen gemeenten.

Op de IBD-Praktijkdag hebben wij een sessie over Phishing en aanvalssites verzorgd. Daar is duidelijk geworden dat e-mail authenticatie deel uit maakt van de Generieke Digitale Infrastructuur (GDI) en derhalve onmisbaar is voor de digitale basisvoorzieningen waarmee gemeenten hun werk uitvoeren. Naast e-mail authenticatie richt Overheidsmail zich ook op e-mail communicatie binnen de overheid. Het idee van e-mail communicatie is om vanuit sociale wijkteams, stadsbeheer, burger participatie en grote projecten, efficint en duurzaam te communiceren met de inwoners van een gemeente.

Het doel van e-mail communicatie is tweeledig:1 Het vervangen van papieren brieven door e-mail

communicatie, om zodoende 7 euro per inwoner per jaar te besparen.

2 Tegemoet komen in de behoefte van burgers. Gezien het feit dat meerdere onderzoeken aantonen aan dat e-mail het favoriete communicatiekanaal is onder 40% van de burgers.

Tenslotte wil ik gemeenten de volgende twee tips meegeven:1. Besteed aandacht aan open

beveiligingsstandaarden voor e-mail: iedere dag worden bijna 4x meer e-mails verstuurd dan het aantal Facebook/Twitter updates, Google searches en website bezoeken bij elkaar.

2. Kijk ook eens naar de open standaard DNSSEC.

martijn Groeneweg

aantal DDos-aanvallen. De Jong: voor 10 euro koop je al een DDos-aanval. vervolgens bepaal je zelf op welke site dat uitgevoerd moet worden. Je kunt hiermee de website van een bepaalde organisatie een uur plat leggen en daarna is het af-wachten hoelang zon website nog plat ligt vanwege de herstelschade. een zorgwekkende ontwikkeling. Je hebt hier namelijk zelf geen techni-sche kennis voor nodig om het uit te voeren. Je zoekt een website op, je betaalt en zij voeren het voor je uit. Heimans vult aan: en natuur-lijk de meldplicht Datalekken die in gebruik wordt genomen vanaf 1 ja-nuari 2016. als je bijvoorbeeld een usB-stick verliest dan moet je dat al melden. Hier staan hoge sanc-ties op. Hintzbergen verwacht dat als het college van B&W dit gaat melden en er dus daadwerkelijk boetes uitgedeeld gaan worden, de aandacht voor informatiebeveili-ging weer verder toeneemt, ook op

bestuurlijk niveau. (Zie voor meer informatie over dit onderwerp het artikel over meldplicht Datalekken in de krant op pagina 3).

Spin in het web

Waarom is het eigenlijk belang-rijk om contact op te nemen met

de IBD-Helpdesk? Hintzbergen: Wij zijn een onafhankelijke spin in het web. Zo kunnen wij onder andere vrij praten en meldingen op impact inschatten en eventueel breder delen of opschalen. met be-hulp van de ene gemeente kunnen we zo incidenten bij een andere gemeente voorkomen.

Informatieveiligheid en Pine Digital Security

Den Haag

Gerard Heimans

Informatieveiligheid en Overheidsmail


Als directeur van SEGMENT ben ik, Ingrid van Zeeland, elke dag bezig met het onderwerp informatieveiligheid. SEGMENT is een netwerkorganisatie van vakinhoudelijke en veranderkundige professionals voor en door gemeenten. Anders gezegd, is SEGMENT een gemeentebrede opleider. Onze missie luidt: gemeenten leren leren en ondersteunen op actuele themas. We kijken altijd integraal naar het vraagstuk informatiebeveiliging binnen een gemeente en richten daarna de leercyclus in. Deze cyclus bestaat uit plannen met focus, leren en ontwikkelen, implementeren en begeleiden, toetsen en beproeven en bijstellen. Onze corebusiness is iBewustzijn en slim ontzorgen op het thema informatieveiligheid. Zo biedt SEGMENT gemeenten een slimme aanpak voor de implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Maar verzorgen we ook complete iBewustzijn-programmas en CISO-opleidingen.

iBewustzijnInformatieveiligheid is een verantwoordelijkheid van de hele organisatie. Hoe goed de techniek ook is georganiseerd. Als medewerkers de deuren vervolgens open houden voor vreemden, slordig omgaan met wachtwoorden of een Phishing-mail niet herkennen, dan blijft de informatieveiligheid zeer kwetsbaar. Om het onderwerp informatieveiligheid meer in het hart en hoofd van de medewerkers te laten landen heeft SEGMENT een iBewustzijn-programma ontwikkeld voor de overheid. Het programma is veelal op maat gemaakt en kan bestaan uit; workshops voor het bestuur, het management en de medewerkers, e-Learning en kennis- en praktijktesten zoals mystery guests.

Slimme aanpakVanuit de praktijk is het belangrijk dat gemeenten een GAP-analyse of impactanalyse uitvoeren. Dat is belangrijk om zo geen tijd te verliezen aan het invoeren van maatregelen waarvan het risico nog niet is bepaald. SEGMENT heeft daarom een slimme aanpak ontwikkeld. Wanneer een gemeente een gecombineerde GAP-impactanalyse op de 133 beheermaatregelen zou uitvoeren kan er namelijk veel tijd op de inventarisatie en afwegingsfase bespaard worden. De gemeente kan veel meer focus vooraf aanbrengen door kritisch te kijken welke maatregelen wl en welke maatregelen niet (of nog niet) van toepassing zijn. Daarnaast scheelt het veel tijd als deze maatregelen intelligent worden doorvertaald naar een bijbehorende administratieve organisatie. Deze moet dan wel compleet en integraal zijn. Met integraal bedoel ik alle normenkaders, ook die van Suwinet, BRP, Reisdocumenten, de BAG en DigiD. En alle onderliggende maatregelen en procedures die bij meerdere normenkaders van toepassing zijn. Dan kun je de basis leggen voor een single audit. Voor het toetsen en beproeven hebben we een leertraject voor een gecombineerde interne en externe auditing. Hierbij ondersteunen we de eerste stappen die door een gemeente gezet kunnen worden rondom single auditing.

Ren IJpelaar, expert in Auditing en Security, heeft voor deze slimme aanpak van SEGMENT een standaard ISMS ontwikkeld. In het ISMS is het hele stelsel aan normenkaders rondom informatieveiligheid gentegreerd. Op deze manier kunnen gemeenten binnen afzienbare tijd een compleet en integraal informa-tiebeveiligingsplan neerzetten.

Tijdens de IBD-Praktijkdag hebben wij twee sessies verzorgd waarbij we enerzijds ingegaan zijn op deze slimme, snelle aanpak van SEGMENT in de praktijk. Dit hebben wij aan de hand van een praktijkcase samen met de gemeente Nijmegen gedaan. Anderzijds hebben we de GAP-analyse voor iBewustzijn uitvoerig besproken, samen met de gemeente Dronten.

Als tips wil ik gemeenten meegegeven: 1. Maak n integraal informatiebeveiligingsplan waar alle normenkaders zoals de BIG, BRP, Suwinet, DigiD, BAG en Reisdocumenten

gentegreerd in verwerkt zijn. 2. Werk vanuit dit punt op de onderdelen techniek & organisatie en houding &

organisatie in een Deming cirkel. Dan ben je niet dubbel bezig en maak je meters.

3. Stel n werkgroep samen die vanuit alle hoeken belast is met informatieveiligheid. Kies daarbij n auditpartner (ISO-gecertificeerd) met verstand van single auditing. Daardoor worden de audits op eenduidige wijze genterpreteerd, dat scheelt veel tijd!

Ingrid van Zeeland

Mijn naam is Ad Koppejan en ik ben directeur van Swinth/IvO (Informatieveiligheid Overheid)-partners. Swinth/IvO-partners richt zich op alle aspecten die van belang zijn voor een goede informatieveiligheid binnen de overheid. Ondanks dat gemeenten zich steeds meer bewust worden van het belang van informatieveiligheid

en daar gericht actie op ondernemen, blijft de hamvraag: hoe komt een gemeente tot een gentegreerde en sluitende aanpak die de informatieveiligheid binnen de gemeente ook daadwerkelijk verhoogd? Vanuit Swinth/IvO-partners hebben wij hier een aanpak voor ontwikkeld, conform de BIG. Een aanpak die gemeenten helpt om de informatieveiligheid naar een hoger plan te tillen. Deze aanpak richt zich op de aspecten: Bewustwording, Organisatie en Techniek. Onze visie is namelijk: Informatieveiligheid (I) = Bewustwording (B) x Organisatie (O) x Techniek (T). Kortweg I=BOT. Drie onmisbare bouwstenen voor het waarborgen van informatieveiligheid. Pas als alle drie de aspecten op orde zijn, kan het spreekwoordelijke slot dichtgedraaid worden. Wij noemen dit De BOT-factor. Oftewel het antwoord op de vraag of de hacker bij uw gemeente bot vangt.

De aanpak is ontwikkeld in samenwerking met bedrijven die over een bewezen expertise op het vlak van informatieveiligheid binnen de overheid beschikken. Door het samenwerkingsverband met gespecialiseerde IvO-partners kunnen wij gemeenten, al dan niet op deelgebieden, een brede en gentegreerde ondersteuningsaanpak bieden. Dat doen wij door de dienstverlening van onze partners te integreren en op elkaar af te stemmen op basis van de BIG. Zo ontstaat er voor gemeenten synergie en meerwaarde met als resultaat 1 + 1 = 3. Op de IBD-Praktijkdag hebben wij samen met de Bedrijfsvoeringsorganisa-tie West-Betuwe, een samenwerkingsverband van de gemeenten Culemborg, Geldermalsen en Tiel, laten zien hoe zon gentegreerde aanpak in de praktijk werkt en wat er allemaal bij komt kijken. In de krant leest u op pagina 4 meer over deze Bedrijfsvoeringsorganisatie West-Betuwe.

Om tot een gentegreerd en sluitend informatiebeveili-gingsbeleid te komen wil ik gemeenten ten slotte als tip meegeven: Inventariseer de huidige situatie binnen de gemeente op de drie aspecten van informatieveiligheid; bewustwording, organisatie en techniek (BOT). Richt je vervolgens gelijktijdig en gelijkmatig op het verhogen van alle drie de aspecten. Kortom, verhoog de BOT-factor!

Ad Koppejan

Wat zijn de risicos als ik het als gemeente niet op orde heb?

Op het moment dat een gemeen-te op 1 januari 2016 niet klaar is voor de meldplicht Datalekken is reputatieschade wellicht een veel groter risico dan de bestuurlijke boete die door het Cbp kan wor-den opgelegd bij een datalek. Het verlies van vertrouwen bij burgers in de omgang met persoonsgege-vens door gemeenten dient uiter-aard te worden voorkomen.

Wat moet ik nu regelen als gemeente?

er is een aantal concrete zaken dat een gemeente geregeld dient te hebben om vanaf 1 januari 2016 aan de wetswijziging meld-plicht Datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp te kunnen voldoen.

een gemeente dient achteraf aan-toonbaar te kunnen bewijzen dat op basis van een risicoafweging is nagedacht over de bescherming van persoonsgegevens en pas-sende informatiebeveiliging. een manier om dit te kunnen aanto-nen is dat een baselinetoets BIg wordt uitgevoerd, eventueel ge-volgd door een risicoanalyse, een Privacy Impact Assessment (PIA) en implementatie van de maat-regelen. De basismaatregelen in de BIg zijn veelal passend tenzij er bijzondere persoonsgegevens worden verwerkt. registreer hier-bij (alle) gegevensverzamelingen en vermeld wat er met betrek-king tot informatiebeveiliging is gedaan.

Wie doet wat?

een gemeente dient verantwoor-delijken te benoemen en hun ta-ken, bevoegdheden en verant-woordelijkheden in gemeentelijke beveiligingsprocedures en -beleid vast te leggen. Bijvoorbeeld een Chief Information Security Officer (CISO) of een functionaris voor de gegevensbescherming (FG).

een gemeente dient zorg te dra-gen voor het feit dat persoonsge-gevens bij een datalek door een derde niet kunnen worden gele-zen. Dit geldt voor persoonsgege-vens in transport en in opslag. een mogelijke (gepaste) technische maatregel is de versleuteling van de gegevens of andere technieken die persoonsgegevens ontoegan-kelijk kunnen maken wanneer een datalek plaatsvindt.

Een gemeente dient (aanvullende) afspraken te maken met de be-werkers van persoonsgegevens. De afspraken die een gemeente hierover met de bewerker maakt dienen schriftelijk te worden vast-gelegd in een bewerkersovereen-komst. een mondelinge afspraak tussen de gemeente als verant-woordelijke en de bewerker is niet voldoende.

Hoe leg ik als gemeente zaken vast?

een gemeente dient te zorgen voor passende procedures en techni-sche maatregelen om incidenten te kunnen ontdekken. Om ervoor te zorgen dat bij incidenten tijdig en doeltreffend kan worden ge-handeld. Denk hierbij aan logging en monitoring, het analyseren van de logging en een incidentmanage-ment en responseproces. Hierdoor kan bij een inbreuk op de beveili-ging snel vastgesteld worden:

Of een gemeente een gebeur-tenis die zich heeft voorgedaan moet beschouwen als een data-lek.

Of een gemeente een specifiek datalek moet melden aan het Cbp. mits dit het geval is dient de gemeente de benodigde ge-gevens te verzamelen die nodig zijn om het datalek te melden.

Of een gemeente een specifiek datalek moet melden aan de be-trokkenen.

En wat leg ik vast?

De gemeente dient inzicht te heb-ben in welke documentatie nood-zakelijk is met betrekking tot de meldplicht Datalekken en om compliance aan te kunnen tonen. Ook dient de gemeente een over-zicht bij te houden van alle feiten en gegevens omtrent de aard van datalekken die onder de meldplicht vallen. Hou in het achterhoofd dat na een datalek een civiel- of straf-rechtelijk juridische vervolgproce-dure kan worden gestart door de betrokkenen. Hiervoor is het nood-zakelijk om bewijsmateriaal te ver-zamelen, bewaren en presenteren overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.

Wat doe ik in geval van een datalek?

een gemeente dient een commu-nicatieplan te hebben om direct te kunnen handelen bij een data-lek, zodat de bijna onvermijdelijke reputatieschade die optreedt bij datalekken zoveel mogelijk wordt

beperkt. Belangrijke aspecten in het managen van reputatieschade zijn transparantie, betrouwbaar-heid en direct handelen. Hiervoor is het noodzakelijk om snel een team met specialisten samen te kunnen stellen. Denk hierbij aan een ICT/security-specialist, een jurist en een communicatiedes-kundige.

als laatste en misschien wel be-langrijkste punt dient een ge-meente te zorgen voor bewust-wording bij medewerkers. Ook zij dienen te weten wat datalekken zijn, hoe de incidentmanagement-procedure werkt en wat de gevol-gen kunnen zijn van een datalek voor de gemeente.

Wat moet ik regelen bij een datalek als gemeente?

een gemeente dient per datalek een overzicht bij te houden van in ieder geval feiten en gegevens omtrent de aard van de inbreuk. als het datalek is gemeld aan de betrokkenen, dan neemt de ge-meente ook de tekst van de ken-nisgeving aan de betrokkenen in het overzicht op. Het vastleggen en bewaren van deze gegevens kan ook worden gebruikt om:

Lering te trekken uit het datalek en uit de wijze waarop de ge-meente dit heeft afgehandeld.

Antwoord te kunnen geven op vragen van betrokkenen en an-deren.

Alsnog een melding te kunnen doen van het datalek aan de be-trokkenen, indien de gemeente dit in eerste instantie achterwege heeft gelaten en de omstandig-heden vereisen dat de gemeente dit alsnog dient te doen.

Heeft u nog vragen?

met de invoering van de meldplicht Datalekken komt er veel op een gemeente af. Het is dan ook be-langrijk om uw gemeente hierop goed voor te bereiden. Heeft u na het lezen van dit artikel nog vra-gen? stel ze dan aan de Helpdesk van de IBD!

Vervolg van pagina 3(Meldplicht datalekken)

Informatieveiligheid en Swinth/IvO-partners

Informatieveiligheid en Segment

Bel de IBD-Helpdesk:070 373 8011

VOOR AL uW VRAGEN OVER INfORmATIE-BEVEILIGING


nicolette van Waart is als ge-meentesecretaris samen met ron frerix als directeur bedrijfsvoe-ring ambtelijk eindverantwoor-delijk voor het informatiebevei-ligingsbeleid van de gemeente Doetinchem.

Serieuze zaak

De gemeente Doetinchem wil het de burgers zo gemakkelijk moge-lijk maken en deelt daarom veel informatie. Dit schept uiteraard

de verplichting om zorgvuldig met die gegevens om te gaan, zo-wel op het gebied van privacy als met betrekking tot de kwaliteit en beschikbaarheid van gegevens. Daarom neemt de gemeente Doetinchem informatieveiligheid en informatiebeveiliging zeer se-rieus. eens in de vier jaar ver-nieuwt de gemeente Doetinchem het informatiebeveiligingsbeleid in overleg met het college. Tus-sendoor stelt de gemeente haar beleid bij wanneer dit nodig wordt geacht. Zo voert de gemeente nu jaarlijks analyses uit, waarbij kritisch wordt gekeken naar het huidige beleid en naar verbeter-punten die doorgevoerd kunnen worden. Deze punten leggen we vervolgens vast in een actieplan, vervolgt frerix. Het informatie-beveiligingsbeleid was dus al een feit binnen de gemeente, nog voordat de vng resolutie Infor-matieveiligheid, randvoorwaarde voor de professionele gemeente afgelopen najaar is aangenomen. aan de hand van de resolutie is het beleid wel verrijkt met een aantal punten, vertelt frerix. Ook zijn de operationele produc-ten van de baseline een goed hulpmiddel om te standaardise-ren en daarmee te voldoen aan het veiligheidsniveau dat voor

gemeenten gewenst is. Op deze wijze kunnen we een samenhan-gend kwaliteitsysteem opzetten.

Planning en controlcyclus

De gemeente Doetinchem be-schikt over een security officer die gemeentebreed verantwoordelijk is voor de informatiebeveiliging en informatieveiligheid, en een beveiligingscordinator die ver-antwoordelijk is voor het bewaken van acties die gedurende het jaar worden uitgevoerd rondom infor-matieveiligheid. alle activiteiten met betrekking tot het informa-tiebeveiligingsbeleid zijn opgeno-men in de termijnkalender van de gemeente. frerix: Op basis van een risicoanalyse en afhankelijk-heidsanalyse worden gewenste verbeteringen vastgesteld. De acties die hieruit voortkomen zijn in een vierjarenplan vastgelegd. Ook heeft de gemeente informa-

tieveiligheid opgenomen in de plan- en controlcyclus, waardoor er in het jaarverslag ook aandacht wordt besteed aan informatievei-ligheid. als er tussentijds serieuze beveiligingsincidenten zijn, wordt natuurlijk gebruik gemaakt van tussentijdse rapportages over het informatiebeveiligingsbeleid. Op deze wijze is informatieveiligheid in de hele organisatie verankerd en is de verantwoording belegd.

Risicobewustzijn

Omdat de menselijke factor het grootste veiligheidsrisico vormt, wordt er in het informatiebevei-ligingsbeleid van de gemeente Doetinchem ook ruimschoots aandacht besteed aan het risi-cobewustzijn van de medewer-kers. We hebben in een digitale leeromgeving een kennistoets in-gezet, om te zorgen dat alle me-dewerkers ook daadwerkelijk we-ten wat de spelregels zijn en water concreet van een medewer-ker zelf wordt verwacht. Infor-

matieveiligheid is meer dan al-leen een ICT-aangelegenheid. Te vaak denken medewerkers dat wel en onderschatten ze hun ei-gen rol, vervolgt frerix. Ook heeft de gemeente inzichtelijk gemaakt welke functionarissen primair omgaan met privacy-gevoelige informatie, zoals de gebruikers van suwinet. Deze functionarissen hebben allemaal een zogenaamde verklaring om-trent gedrag voor moeten leggen. Dit wil de gemeente ook invoeren voor bijvoorbeeld de systeembe-heerders. Het is steeds lastiger te bepalen voor welke groepen functionarissen deze regeling ook moet gelden. Om die reden gaat de gemeente haar systemen clas-sificeren. Dan hebben we goed inzicht in welke systemen priva-cygevoelige informatie bevatten en welke groepen medewerkers daarmee werken en dus een ver-klaring moeten aanleveren, ver-telt frerix.

Hoewel we al heel wat stap-pen hebben gezet vindt frerix dat geen reden om stil te blijven staan. We worden steeds afhan-kelijker van het digitale netwerk. Dat betekent dat we op een ande-re manier naar informatie moeten kijken en dat we goede gemeen-schappelijke afspraken moeten maken over vraagstukken als hoe om te gaan met informatie, hoe zorg te dragen voor de toegan-kelijkheid van informatie, maar ook de privacy van onze burgers te respecteren, ook in allerlei sa-menwerkingsverbanden en het waarborgen van de continuteit van onze diensten. niet alleen omdat weten regelgeving ons dit oplegt, maar vooral omdat we zelf voorbereid willen zijn op wat komen gaat. er staat ons wat dat betreft nog genoeg te wachten!

nICOLeTTe van WaarT en rOn frerIX, gemeenTe DOeTInCHem

Informatieveiligheidsbeleid en-plan bij de gemeente DoetinchemDoetinchem - Eind 2014 sprak de Taskforce BID met Nicolette van Waart en Ron frerix over het infor-matieveiligheidsbeleid en informatieveiligheidsplan binnen de gemeente Doetinchem. Het interview, over de inbedding van informatieveiligheid in plan- en controlcyclus, is destijds verschenen in de Toolkit Ge-meentesecretarissen van de Taskforce BID en biedt u inzicht in hoe u uw eigen informatieveiligheidsbeleid en informatieveiligheidsplan kunt invullen.

DE GEmEENTECLASSIfICEERT HAAR

SYSTEmEN. DAARDOOR HEBBEN WE GOED INZICHT IN WELKE

SYSTEmEN PRIVACY-GEVOELIGE

INfORmATIE BEVATTEN EN WELKE

GROEPEN mEDE-WERKERS DAARmEE

WERKEN.

Doetinchem

De Glazen Ruimte

Nicolette van Waart

Ron frerix

Dit interview is afkomstig uitde Toolkit van deTaskforce die

in 2014 is uitgekomen

Tips voor collega-ge-meentesecretarissen:

Zorg ervoor dat informa-tieveiligheid en informa-tiebeveiliging onderdeel is van je planning en control-cyclus.

maak inzichtelijk welke groepen medewerkers met privacygevoelige informa-tie werken.

Besteed extra aandacht aan bewustzijn van mede-werkers die voor hun func-tie veel met privacygevoe-lige informatie werken.

Vervolg van pagina 9(Meldplicht datalekken)

Hetprogramma

1 2 3 4Tijdens deze sessies werd er door de IBD aandacht gegeven aan de vijf stappen van de BIg.

In deze parallellijn werden specifieke technische informatiebeveiligings-aspecten verder uitgediept.

In deze parallellijn werd door middel van concrete praktijk-cases van marktpartijen in combinatie met gemeenten inzicht gegeven in hun ervaringen en uitwerkingen op informatiebeveiligingsvlak.

De vijf stappen uit de BIG- stap 1:valkuilen en beren op de weg, hoe gaat u hiermee om als CIsO?

Bewustwording & informatieveiligheid

money for nothing, hackers for free; uw IT, ransomware en hackers

kritische partners, samen veilig

De vijf stappen uit de BIG- stap 3:Implementeren van de maatregelen, zelf opnieuw het wiel uitvinden of synergie met wat er al is?

Datalekken mensenwerk! DDos, ontmoet je tegenstander. een dag uit het leven van een DDos dienstverlener.

Informatiebeveiliging duurzaam borgen in de gemeente edam-volendam

De vijf stappen uit de BIG- stap 2:Hoe kom ik tot een informatiebeveiligingsplan?

Privacy & informatiebevei-liging binnen het sociaal domein is net als je handen wassen!

Phishing en aanvalssites focus met slimme aanpak n een iBewust management

De vijf stappen uit de BIG- stap 4:Hoe stel ik vast of de IB-maatregelen van mijn ge-meente effectief zijn en hoe rapporteer ik hierover?

Cloud Computing & informatiebeveiligingHelp, ik heb een lek! Wat nu?

Het ISMS: wat is het (niet) en wat kan je er mee?

gaP-analyse voor iBewustzijn

De vijf stappen uit de BIG- stap 5:Hoe draagt u zorg voor de gemeentelijke verantwoor-ding over het informatiebeveiligingsbeleid? (ENSIA)

auditing binnen de keten nationaal respons netwerk (NRN)

Informatieveiligheid vraagt om gentegreerde aanpak richting mens, organisatie en techniek

IBD Traxion Pine Digital Security fox-IT met

gemeente Den Haag

IBD BmC|implementatie KPN Lokale Overheid

Key2Control met gemeente

Edam-Volendam

IBDfAmO & Gemeente

Vlaardingen OverheidsmailSEGmENT met

gemeente Nijmegen

IBD SenecaInformatiebeveiliging

GemeentenSEGmENT met

gemeente Dronten

IBD Dynasec NCSC

Swinth met gemeenten Culemborg,

Geldermalsen en Tiel

ParallellijnWork IT Out




On the move Ready to Learn Time to Explore join the club

Informatieveiligheids-aspecten werden in deze sessie in beeld gebracht door gemeenten en marktpartijen.

Efficinte ketenbeheersing voor de BIG, BIR, WAS en overige standaarden is cruciaal voor optimale informatieveiligheid en kwaliteit van dienstverlening. (Bart Riegman Director Services van Dynasec)

Dynasec levert governance, risk en Compliance software voor de gemeentelijke markt en haar volledige keten van zorgverleners tot waterschappen. Hierbij zijn templates met risicos, controls en compliance standaarden compleet gentegreerd opgenomen zodat u snel en aantoonbaar In Control bent.

Privacy en informatiebeveiliging zijn twee handen op 1 buik. (Paul Turion, afdelingshoofd Facilitair VIA bij de gemeente Vlaardingen)

De famO is de vereniging van middelen managers in overheidsdienst en maakt zich sterk voor goede informatiebeveiliging binnen de overheid.

TIjDENS HETPROGRAmmA LAG HET ACCENT VOORAL OP DENKEN EN DOEN

16 Informatiebeveiliging in Beeld 2015 - Editie Praktische Bagage

COLOfON

InformatIebeveIlIgIng In beeld is een uitgave over Informatie-beveiliging bij gemeenten

COPY, reDaCTIe en vOrmgevIng: sonja kok, marlies schamperen annelieke van den Berg

reDaCTIeaDres:Informatiebeveiligingsdienst voor Gemeenten (IBD)T 070 373 8011E [email protected] www.IBDgemeenten.nl

Wat meijer heel belangrijk vindt aan het onderwerp informatieveiligheid is het aspect beschikbaarheid. aan de ene kant is de informatie waar we mee werken vertrouwelijk, te-gelijkertijd zijn wij als gemeente een organisatie die heel veel infor-matie beschikbaar moet stellen. er zit dus een link tussen enerzijds de vertrouwelijkheid en anderzijds de beschikbaarheid van onze informa-tie. Je hebt als gemeente de juiste ICT-voorzieningen nodig die dit al-lemaal mogelijk maken. We werken daarom met heel veel verschillende marktpartijen en applicaties, die continu gegevens met elkaar uit-wisselen, 7 dagen per week, 24 uur per dag. Het is uiteraard belangrijk dat de koppeling tussen die ver-schillende organisaties vlekkeloos verloopt.

meijer vindt de oprichting van de IBD en ook een dag als de IBD-Praktijkdag erg belangrijk. Lande-lijke voorzieningen en initiatieven die het onderwerp informatievei-

ligheid voor gemeenten als focus hebben zijn belangrijk om stappen vooruit te kunnen zetten. alleen zo kun je optimaal en slim gebruik maken van de bij gemeenten, ken-nispartners en marktpartijen aan-wezige kennis. Dat werkt positief uit voor het gemeentelijk domein, voor zowel grote als kleine gemeen-ten. en daar is de IBD-Praktijkdag een mooi voorbeeld van. Hiermee maakt de IBD als landelijke voor-ziening haar belofte waar. met deze Praktijkdag wordt tegemoet geko-

men aan de behoefte van gemeen-ten aan concrete handvatten voor specifieke informatieveiligheids-themas. aangesloten zijn bij de IBD

IBD Krant 'Praktische Bagage'

Documents

Transcript of IBD Krant 'Praktische Bagage'