Jaarstukken 2018

Bedrijfsvoering

ICT en Informatiebeveiliging

  1. ICT

De ICT is in de kern sterk afhankelijk van het Shared Service center Syntrophos, dit is de samenwerking tussen Brielle, Nissewaard en Westvoorne op dit gebied. 2018 kenmerkt zich vooral als jaar waarin audits zijn uitgevoerd en belangrijke besluiten zijn genomen gericht op stabilisatie, veiligheid en standaard oplossingen. De uitkomsten en voorgestelde maatregelen worden vanaf november 2018 tot en met juli 2019 geïmplementeerd.

Vanuit het idee om zoveel mogelijk standaard en bewezen technologie in te zetten, is Nissewaard samen met de andere gemeenten op het eiland aangesloten bij Dimpact. Dit is een vereniging van 35 gemeenten om zoveel mogelijk vanuit gemeenschappelijke standaards te werken. Het zaaksysteem, een van de belangrijkste pijlers van de vereniging, wordt door de deelnemende gemeenten van Syntrophos als eerste ingericht. Hierbij wordt het proces meldingen openbare ruimte als eerste product beschikbaar gesteld. Tot slot heeft Syntrophos in 2018 minder verstoringen gekend hetgeen zorgt voor een hogere gebruikers tevredenheid.  De genomen maatregelen hebben in dit licht een eerste positieve uitwerking.

  1. Informatiebeveiliging-beleid uitgangspunten

Een betrouwbare informatievoorziening is essentieel voor het goed functioneren en de rechtmatigheid van de processen bij de gemeente. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Het opnemen van informatiebeveiliging als kwaliteitscriterium voor een gezonde bedrijfsvoering is tegenwoordig niet langer een keuze, het is noodzaak.

De belangrijkste uitgangspunten voor de informatiebeveiliging voor de gemeente Nissewaard zijn:

  • De Baseline Informatiebeveiliging Gemeenten (BIG) is de basis voor het gemeentelijke informatiebeveiligingsbeleid (IBB);
  • De maatregelen die in het kader van het IBB genomen moeten worden, worden jaarlijks uitgewerkt in het Informatiebeveiligingsplan (IBP);
  • Het ambitieniveau van de uit te werken maatregelen zijn passend bij het risico en de classificatie van gegevens en passend bij de taken en verantwoordelijkheden van de betrokken politiek ambtsdragers of ambtelijk medewerkers;
  • Informatiebeveiliging is een verantwoordelijkheid van iedereen;
  • In alle gevallen blijft het college van B&W (en gemandateerd het management) verantwoordelijk voor de beveiliging van de individuele systemen;
  • De gemeente Nissewaard streeft er naar om ‘in control’ te zijn en daarover op professionele wijze verantwoording af te leggen;
  • Verantwoording vindt plaats door middel van de in 2017 geïntroduceerde ENSIA-systematiek.

Samenvattend beeld en resultaten afgelopen periode
Dat het gedrag van de mens het grootste gevaar vormt voor de informatieveiligheid is inmiddels een algemeen aanvaard uitgangspunt. Om die reden heeft ook in 2018 veel nadruk gelegen op het bewust maken van het personeel aangaande de rol die zij hebben in het informatieveilig zijn van de gemeente. Door gebruik te maken van informatievoorziening op het intranet zijn de medewerkers bewust gemaakt van de belangen van informatie en informatieveiligheid voor de gemeente. Daarnaast is de CISO als aanspreekpunt informatieveiligheid laagdrempelig beschikbaar geweest voor de medewerkers.
De acties, samen met een verbeterde controle op inkomend verkeer bij Syntrophos, hebben er in 2018 toe geleid dat er geen enkele ransomware aanval is geslaagd. Ter vergelijking: in 2016 zijn er in totaal 16 geslaagde aanvallen geweest en in 2017 nog 1.

2018 heeft zich verder gekenmerkt door de inwerkingtreding van de AVG. Omdat de rol van functionaris gegevensbescherming (FG) voor dit eerste jaar is vervuld door de CISO was er slechts beperkte capaciteit voor de voltooiing van reguliere CISO taken. Dit heeft er mede toe geleid dat de geldigheid van het informatiebeveiligingsbeleid met 1 jaar verlengd is. Om de beperking in capaciteit op te lossen is de rol van de FG aan het eind van jaar belegd bij een externe partij.

Het ambitieniveau van de gemeente Nissewaard heeft in 2018, net als in 2017,  gelegen op “het voorkomen van beveiligingsincidenten”.  Voor 2018 is dat ook, gezien het uitblijven van grote incidenten op het gebied van informatieveiligheid, inderdaad gelukt. Dit werd mede veroorzaakt door de verbeteringen op het technisch gebied die door onze serviceprovider SSC Syntrophos binnen de netwerkomgeving zijn aangebracht.

Disclaimer
Met alle maatregelen die wij kunnen nemen moeten we ons realiseren dat 100% (informatie)veiligheid niet bestaat. Hoeveel tijd en middelen we als organisatie ook in de informatieveiligheid steken. Het zal altijd mogelijk zijn de maatregelen te omzeilen. Het kat en muis spel van de beveiliger en de misdadiger zal er steeds opnieuw toe leiden dat genomen maatregelen niet voldoende blijken.
Vanwege dit kat-en-muis spel is een belangrijk deel van de genomen maatregelen gericht op het voorkomen van verdere schade en het (snel) herstellen van de functionele omgeving na het optreden van een aanval. Zo kunnen systemen bijvoorbeeld snel worden losgekoppeld van het internet en kunnen beschadigde bestanden op eenvoudige wijze worden hersteld vanuit de back-up voorziening.

Ondanks de genomen mitigerende maatregelen blijft het vooral belangrijk om het ontstaan van schade te voorkomen daarom is continue aandacht voor informatieveiligheid en privacy van het grootste belang.

Collegeverklaring ENSIA inzake informatiebeveiliging DigiD en Suwinet
De effectiviteit van de door ons genomen maatregelen is ook in 2018 getoetst door middel van de (brede) zelfevaluatie informatiebeveiliging: Eenduidige Normatiek Single Information Audit (ENSIA).
Op basis hiervan is ter voldoening aan de verticale controle inzake informatiebeveiliging DigiD en SUWI de collegeverklaring ENSIA opgesteld. Hieruit komt een positief beeld naar voren.

Meerjarenperspectief
Voor 2019 is de verwachting dat er nog meer aandacht zal zijn voor informatiebeveiliging vooral door de wijziging (per 1-1-2020) van het normenkader BIG naar het overheidsbrede normenkader Baseline Informatiebeveiliging Overheid (BIO). Hiertoe zal er in het derde kwartaal van 2019 een nieuw informatiebeveiligingsbeleid gepresenteerd worden. Deze meer op risicoanalyse gebaseerde baseline zal ertoe leiden dat alle door de gemeente gebruikte systemen nader onder de loep genomen worden met als resultaat een nog beter inzicht in de risico’s die er zijn. De te nemen mitigerende maatregelen zullen opgenomen in het informatiebeveiligingsplan wat gepland staat voor het 4e kwartaal van 2019.

ga terug