Rob van Ewijck Business Development Manager
19 augustus 2021

Gemeenten: zo maak je je IT veilig vanaf de basis

Gemeenten liggen de laatste tijd onder vuur vanwege rapporten over gebrekkige beveiligingAan de ene kant hebben gemeenten een duidelijk maatschappelijk belang. Ze beheren zeer veel gevoelige persoonsgegevens en moeten een voorbeeldrol innemen in de bescherming hiervan. Aan de andere kant is het niet helemaal terecht dat zij er zo worden uitgelicht, want zoals de Informatiebeveiligingsdienst zegt zou de maatschappij als geheel een been moeten bijtrekken.  

Het staat vast dat gemeenten net als het bedrijfsleven voor cyberuitdagingen staan. Mocht het fout gaan, dan is er bij gemeenten direct een calamiteit waarop het crisismanagementteam van de gemeente op dient te acteren: de bedrijfsvoering kan worden platgelegd en de data van burgers kan op grote schaal worden gebruikt. Wat kan een gemeente doen om zijn securitymaatregelen te verbeteren? 

Cybercrime is een businessmodel geworden

De ontwikkeling van digitale aanvallen gaat zo snel dat het voor de leek niet meer is bij te houden. De aanvallen van criminelen worden steeds geavanceerder. Iedere succesvolle ransomware-aanval betekent een extra investering in de beschikbare middelen van criminelen. Security is meer dan ooit een fulltime job, maar binnen veel organisaties – niet alleen gemeenten – groeien de beveiligingsmaatregelen niet snel genoeg mee met de mogelijkheden van criminelen. 

Deze uitdaging is gelukkig niet onoverkomelijk. Door gerichte maatregelen te treffen kunnen gemeenten veel weerbaarder worden tegen cyberdreigingen dan ze nu zijn. Deze maatregelen zijn gericht op twee sleutelaspecten: beleid en infrastructuur. 

"Het is niet altijd te verwachten dat wethouders met IT in hun portfolio ook security experts zijn, maar bij gemeenten zou er wel minstens één persoon moeten rondlopen die dat wél is: de CISO."
Beveiliging begint bij beleid

Als de toename aan cyberaanvallen iets duidelijk heeft gemaakt, dan is het wel dat security al lang geen pure IT-aangelegenheid is. Het is een kritiek strategisch vraagstuk. Cybersecurity zou daarom op de agenda van iedere B&W moeten staan. Dat betekent ook dat daar de nodige IT-kennis aanwezig moet zijn. Het is niet altijd te verwachten dat wethouders met IT in hun portfolio ook security experts zijn, maar bij gemeenten zou er wel minstens één persoon moeten rondlopen die dat wél is: de CISO. De kennis van deze persoon wordt niet optimaal benut als hij wordt beperkt tot een adviserende rol in de dagelijkse gang van zaken. Voor een optimaal beveiligingsbeleid moeten gemeenten de CISO dan ook een leidinggevende rol op strategisch niveau toekennen, om daadkrachtig met een eigen budget op te kunnen treden. 

Pas wanneer security een beleidsstuk wordt, druppelt dit door naar alle ondergelegen lagen van de gemeente en wordt beveiliging integraal onderdeel van de bedrijfsvoering. Daarmee staat de deur open voor regelmatige trainingen en structurele verbeteringen voor het patch- en testbeleid. Zo houden gemeenten reguliere medewerkers alert op bijvoorbeeld phishing mails, en IT-medewerkers alert op het dichten van mogelijke gaten in de beveiliging. De kaders van een gedegen beveiligingsbeleid zijn omschreven in richtlijnen zoals de Baseline Informatiebeveiliging Overheid (BIO). 

"De weg naar een veilige infrastructuur kan er intimiderend uitzien, maar deze moet worden afgelegd nu criminelen zich steeds vaker richten op het digitale domein."
Secure by design

Alertheid op securitygebied is belangrijk binnen alle lagen van de organisatie, maar daarnaast moet natuurlijk de beveiliging van de infrastructuur staan als een huis. En zoals bij ieder huis begint dit met een solide fundering: ‘security by design’. Bij deze aanpak worden alle processen, applicaties en systemen al vanaf de ontwerpfase gecontroleerd op zwakheden. Hierdoor is de beveiliging in latere stadia veel beter te beheersen. Een goed voorbeeld van security by design is de aanbreng van een strenge scheiding tussen applicaties zoals een website en de database, waar de voor hackers zeer waardevolle gegevens zijn opgeslagen. Via een website zou een bezoeker namelijk nooit toegang moeten kunnen verkrijgen tot de database.  

Ten slotte is het belangrijk ervoor te waken dat de IT-infrastructuur zowel in de private als public cloud aan de hoogste compliancy-eisen voldoet. Bij Solvinity zorgen wij ervoor dat de omgevingen in ons beheer voldoen aan onder andere ISO 27001- en SOC 2-normen – waarbij we de laatstgenoemde ook standaard garanderen voor het beheer van de Azure public cloud. 

Meedenken?

De weg naar een veilige infrastructuur kan er intimiderend uitzien, maar deze moet worden afgelegd nu criminelen zich steeds vaker richten op het digitale domein. Gelukkig hoef je deze weg niet alleen te begaan. Op 13 oktober organiseert Solvinity samen met Quarant een online Ronde Tafel over Informatiebeveiliging bij gemeenten. Wil je samen met collega’s en experts sparren over best practices en inzichten verkrijgen over hoe je de IT binnen je eigen organisatie beter kunt beveiligen? Schrijf je dan gratis in!  

Lukt het je die dag niet bij de Ronde Tafel aanwezig te zijn, maar wil je wel graag meer weten over informatiebeveiliging? Neem dan gerust contact met mij op!

Rob van Ewijck: 06 11 91 28 72 / rob.vanewijck@solvinity.com

 

Online Ronde Tafel Gemeenten

Informatiebeveiliging: breng je organisatie en techniek in balans

Woensdag 13 oktober 2021 organiseren wij een online ronde tafel om gemeenten verder te helpen bij hun digitale transformatie, ditmaal rondom het thema Informatiebeveiliging. Klik hieronder voor meer informatie en meld je aan!

Lees ook

Meer