19 augustus 2021

Gemeenten: zo maak je je IT veilig vanaf de basis

Gemeenten liggen de laatste tijd onder vuur vanwege rapporten over gebrekkige beveiligingAan de ene kant hebben gemeenten een duidelijk maatschappelijk belang. Ze beheren zeer veel gevoelige persoonsgegevens en moeten een voorbeeldrol innemen in de bescherming hiervan. Aan de andere kant is het niet helemaal terecht dat zij er zo worden uitgelicht, want zoals de Informatiebeveiligingsdienst zegt zou de maatschappij als geheel een been moeten bijtrekken.  

Het staat vast dat gemeenten net als het bedrijfsleven voor cyberuitdagingen staan. Mocht het fout gaan, dan is er bij gemeenten direct een calamiteit waarop het crisismanagementteam van de gemeente op dient te acteren: de bedrijfsvoering kan worden platgelegd en de data van burgers kan op grote schaal worden gebruikt. Wat kan een gemeente doen om zijn securitymaatregelen te verbeteren? 

Cybercrime is een businessmodel geworden

De ontwikkeling van digitale aanvallen gaat zo snel dat het voor de leek niet meer is bij te houden. De aanvallen van criminelen worden steeds geavanceerder. Iedere succesvolle ransomware-aanval betekent een extra investering in de beschikbare middelen van criminelen. Security is meer dan ooit een fulltime job, maar binnen veel organisaties – niet alleen gemeenten – groeien de beveiligingsmaatregelen niet snel genoeg mee met de mogelijkheden van criminelen. 

Deze uitdaging is gelukkig niet onoverkomelijk. Door gerichte maatregelen te treffen kunnen gemeenten veel weerbaarder worden tegen cyberdreigingen dan ze nu zijn. Deze maatregelen zijn gericht op twee sleutelaspecten: beleid en infrastructuur. 

"Het is niet altijd te verwachten dat wethouders met IT in hun portfolio ook security experts zijn, maar bij gemeenten zou er wel minstens één persoon moeten rondlopen die dat wél is: de CISO."

Beveiliging begint bij beleid

Als de toename aan cyberaanvallen iets duidelijk heeft gemaakt, dan is het wel dat security al lang geen pure IT-aangelegenheid is. Het is een kritiek strategisch vraagstuk. Cybersecurity zou daarom op de agenda van iedere B&W moeten staan. Dat betekent ook dat daar de nodige IT-kennis aanwezig moet zijn. Het is niet altijd te verwachten dat wethouders met IT in hun portfolio ook security experts zijn, maar bij gemeenten zou er wel minstens één persoon moeten rondlopen die dat wél is: de CISO. De kennis van deze persoon wordt niet optimaal benut als hij wordt beperkt tot een adviserende rol in de dagelijkse gang van zaken. Voor een optimaal beveiligingsbeleid moeten gemeenten de CISO dan ook een leidinggevende rol op strategisch niveau toekennen, om daadkrachtig met een eigen budget op te kunnen treden. 

Pas wanneer security een beleidsstuk wordt, druppelt dit door naar alle ondergelegen lagen van de gemeente en wordt beveiliging integraal onderdeel van de bedrijfsvoering. Daarmee staat de deur open voor regelmatige trainingen en structurele verbeteringen voor het patch- en testbeleid. Zo houden gemeenten reguliere medewerkers alert op bijvoorbeeld phishing mails, en IT-medewerkers alert op het dichten van mogelijke gaten in de beveiliging. De kaders van een gedegen beveiligingsbeleid zijn omschreven in richtlijnen zoals de Baseline Informatiebeveiliging Overheid (BIO). 

"De weg naar een veilige infrastructuur kan er intimiderend uitzien, maar deze moet worden afgelegd nu criminelen zich steeds vaker richten op het digitale domein."

Secure by design

Alertheid op securitygebied is belangrijk binnen alle lagen van de organisatie, maar daarnaast moet natuurlijk de beveiliging van de infrastructuur staan als een huis. En zoals bij ieder huis begint dit met een solide fundering: ‘security by design’. Bij deze aanpak worden alle processen, applicaties en systemen al vanaf de ontwerpfase gecontroleerd op zwakheden. Hierdoor is de beveiliging in latere stadia veel beter te beheersen. Een goed voorbeeld van security by design is de aanbreng van een strenge scheiding tussen applicaties zoals een website en de database, waar de voor hackers zeer waardevolle gegevens zijn opgeslagen. Via een website zou een bezoeker namelijk nooit toegang moeten kunnen verkrijgen tot de database.  

Ten slotte is het belangrijk ervoor te waken dat de IT-infrastructuur zowel in de private als public cloud aan de hoogste compliancy-eisen voldoet. Bij Solvinity zorgen wij ervoor dat de omgevingen in ons beheer voldoen aan onder andere ISO 27001- en SOC 2-normen – waarbij we de laatstgenoemde ook standaard garanderen voor het beheer van de Azure public cloud. 

Wil jij verder in gesprek? Neem contact op met onze Business Managers Pieter Kuijer (06-22888801 / pieter.kuijer@solvinity.com) en Anil Ozdemir (06-82119991 / anil.ozdemir@solvinity.com).

Gemeenten na corona 5 focuspunten voor IT

Ontdek de vijf belangrijkste focuspunten voor gemeenten die snel een duurzame verandering in gang willen zetten in hun IT-strategie.

Lees ook

Meer