28 oktober 2021

Verslag online Ronde Tafel ‘Informatiebeveiliging’ voor gemeenten – Deel II

Solvinity en Quarant brachten woensdagochtend 13 oktober de I&A-verantwoordelijken van gemeenten en experts online bijeen voor de Ronde Tafel ‘Informatiebeveiliging: breng je organisatie en techniek in balans’. Deze bijeenkomst werd beoordeeld met een gemiddeld cijfer 8,8. 

In het eerste deel van het verslag hebben we de belangrijkste resultaten van het vooronderzoek onder de deelnemers besproken en de aanbevelingen vanuit de praktijkcasus van Hof van Twente. In dit deel kun je meer lezen over de belangrijkste inzichten die op zijn gedaan tijdens de break-outsessies en aanbevelingen vanuit Solvinity en Quarant over wat gemeenten nú kunnen doen om hun informatiebeveiliging naar een hoger plan te tillen.

Informatiebeveiliging: breng je organisatie en techniek in balans – Deel II

Na het presenteren van de belangrijkste resultaten uit het vooronderzoek door gastheren van de Ronde Tafel Rob van Ewijck (Business Manager bij Solvinity) en Wim Hoekstra (Partner bij Quarant) en het verhaal van Jaap de Jonge, beleidsmedewerker informatievoorziening bij Hof van Twente, over de hack in 2020 en het herstel bij de gemeente, brak het moment aan om vooruit te kijken: wat kunnen gemeenten nú doen om hun informatiebeveiliging naar een hoger plan te tillen?

In een aantal korte deelpresentaties vanuit Solvinity en Quarant werd de organisatie van informatiebeveiliging belicht vanuit drie verschillende hoeken die hierop van invloed zijn: techniek, mens en organisatie. Izak-Jan van den Nieuwendijk, cloud security-expert bij Solvinity, ging in op de belangrijkste technische maatregelen en hoe security in een public cloud eruit kan zien. Wim Hoekstra (Partner bij Quarant) en Rob van Ewijck (Business Manager bij Solvinity) deelden hun visie op de organisatorische en menselijke aspecten van informatieveiligheid.

Hierna ging de groep uiteen in breakoutrooms. Dit gaf hen de kans om in een kleiner comité met experts en collega-gemeenten verder te discussiëren en ervaringen te delen. 

Informatiebeveiliging is van iedereen. Security awareness is dus nodig op alle niveaus: niet alleen bij de eindgebruikers, maar ook bij het bestuur en de IT-afdeling.

Adviezen en ‘lessons learned’

De belangrijkste inzichten in de drie kernthema’s:

Techniek – Met technische maatregelen kun je de kans op én de impact van een hack dramatisch verkleinen. Maak van je IT-omgeving een politiestaat, waarbij ‘zero trust’ het uitgangspunt is. Verder is het van belang om de omgeving te segmenteren en de segmentovergangen te ‘hardenen’ (Security by Design). Zorg voor adequate beveiliging van alle toegang (multifactorauthenticatie), strenge monitoring van (verdachte) systeemactiviteit en meer back-ups op meer plekken en meer media (3-2-1). Minimaliseer risico’s en verhoog de kwaliteit door zoveel mogelijk te automatiseren.

Mens – De mens is nog vaak de zwakste schakel. Zorg dus voor bewustzijn in je organisatie en maak security onderdeel van de taakomschrijving. Rob: “Informatiebeveiliging is van iedereen. Security awareness is dus nodig op alle niveaus: niet alleen bij de eindgebruikers, maar ook bij het bestuur en de IT-afdeling.” Zorg dat het bestuur een voorbeeldrol inneemt en het belang van security uitdraagt naar de organisatie. Laat daarnaast de IT-afdeling security opnemen in al zijn processen en oefen incidenten. Denk daarbij ook aan een communicatie- en actieplan mocht het toch mis gaan: wanneer stress een rol speelt, kan een helder plan om op terug te vallen je reddingsboei zijn. Investeer tot slot over de gehele linie in kennis, implementatie, digitale vaardigheden en training. In dat licht biedt Solvinity een praktische en gratis thuiswerkmodule aan: Security-Awareness-as-a-Service.

Organisatie – Jaap de Jonge: “De inhoudelijke kennis van en aandacht voor IT-veiligheid waren te gering op bestuurs- en managementniveau. Verder was er een familiecultuur in onze organisatie, en onvoldoende oog voor de risico’s die we lopen.” Wim Hoekstra onderstreepte dan ook het belang van draagvlak en kennis op bestuursniveau. Verder is het van belang om de volwassenheid van de governance te toetsen; zijn alle verantwoordelijkheden wel belegd? Kijk daarom in P&O-sfeer naar je kwetsbaarheid: hoeveel mensen hebben ergens verstand van? Dat kan van binnenuit lastig zijn. Het kan daarom helpen je organisatie eens door externe specialisten te laten bekijken.alle

Stel de juiste en voldoende middelen ter beschikking en geef security een plek op strategisch niveau aan de bestuurstafel.

De tijd van vrijblijvendheid is voorbij

Een lastige kwestie voor gemeenten blijft het organisatievraagstuk: waar beleg je informatiebeveiliging en risicomanagement? Bovendien is het behalve technisch of organisatorisch ook nog vaak een financiële kwestie. Niet overal is budget voor. En bij bestuurders lijkt nog steeds onvoldoende gevoel van urgentie te zijn, ondanks de toename van het aantal incidenten. En is dat gevoel van urgentie er wel, dan denkt nog steeds een groot deel, getuige het vooronderzoek bij deze Ronde Tafel, dat de nieuwe uitdagingen op te lossen zijn door intern het team uit te breiden (zie afbeelding). Met de krapte in de huidige arbeidsmarkt lijkt dat vrijwel onmogelijk. Voor de meeste gemeenten is het bovendien in kennisniveau en technische kwaliteit niet meer bij te benen. Het inschakelen van externe specialisten en doorpakken richting de cloud (het verhaal van Hof van Twente noemde de specifieke kwetsbaarheid van de on-premises omgeving en applicaties) lijken dan voor de hand liggende opties.

Informatiebeveiliging moet in het DNA van de hele organisatie komen:

  • Bestuur – stel de juiste en voldoende middelen ter beschikking en geef security een plek op strategisch niveau aan de bestuurstafel
  • IT-organisatie – richt je processen, sourcingstrategie & techniek in
  • Medewerkers – investeer in next level kennis en vaardigheden, maak security onderdeel van de taakomschrijving
  • Extern – werk intensiever samen en maak (meer) gebruik van kennis en ervaring op de markt, van zowel partners als collega-gemeenten

De tijd van vrijblijvendheid als het gaat om informatieveiligheid is absoluut voorbij. Dat is al jaren de boodschap van Solvinity en Quarant, en de case van Hof van Twente onderschrijft dat nog maar eens op zeer expliciete wijze.

Lees hier deel I terug van het verslag met de belangrijkste resultaten van het vooronderzoek dat vooraf is afgenomen onder de deelnemers van de Ronde Tafel en de aanbevelingen die zijn gedaan vanuit de praktijkcasus van Hof van Twente.

Nieuwsgierig?

Deze bijeenkomst werd beoordeeld met een gemiddeld cijfer 8,8. 

Wil jij er de volgende keer ook bij zijn? Meld je aan voor onze nieuwsbrief.

Wil jij verder in gesprek? Neem contact op met onze Business Managers Pieter Kuijer (06-22888801 / pieter.kuijer@solvinity.com) en Anil Ozdemir (06-82119991 / anil.ozdemir@solvinity.com).

Meld je aan voor de Solvinity Nieuwsbrief

Ontvang het laatste nieuws, blogs, artikelen en events.
Background Icon

Lees ook

Meer