Het belang van informatiebeveiliging wordt steeds belangrijker in een steeds verder digitaliserende wereld. Gemeente Dordrecht ziet dit belang en er wordt dan ook veel gedaan om toenemende dreigingen het hoofd te bieden. Voortbordurend op het jaar 2023 is inspanning verricht op zowel het versterken van de bewustwording als het voorbereiden op een potentiële IT-crisissituatie. Dit doen we omdat, ondanks dat bewustwording risico’s verkleint, we desondanks toch zo goed mogelijk voorbereid willen en moeten zijn op een mogelijk incident. Door het treffen van technische en organisatorische beveiligingsmaatregelen versterken wij onze dijken en voldoen we aan wet- en regelgeving. Echter, 100% zekerheid op het uitsluiten van risico’s bestaat niet. Het is aan het lijnmanagement om risico’s te beperken of te accepteren.
Bewustwording
Een van de belangrijkste pijlers voor een goede informatiebeveiliging is en blijft bewustwording. Hiermee beperken we de risico’s op, bijvoorbeeld, phising. We hebben hiervoor een doorlopende bewustwordingscampagne gelanceerd, we geven nieuwe medewerkers een training en er is een e-learning. Dit alles doen we in samenwerking met privacy. De bewustwordingscampagne is erop gericht om het tastbaar en praktisch te maken voor de medewerkers. Een van de manieren waarop we dit doen, is door iedere maand een ander thema te belichten. Daarnaast krijgen medewerkers iedere week een mail met een concrete casus, met uitleg.
ENSIA audit 2023
De ENSIA 2023 (Eenduidige Normatiek Single Information Audit – terugkerende jaarlijkse audit/zelfevaluatie) heeft dit jaar bevindingen opgeleverd. Dat betekent dat er volgens de auditor enkele zaken niet op orde waren. De bevindingen hebben we grotendeels opgelost. Voor de zaken die nog niet zijn opgelost is er een verbeterplan opgesteld. Ook is er op managementniveau extra aandacht en capaciteit gecommitteerd om deze verbeteringen goed te verankeren in de organisatie.
Bedrijfscontinuiteit
Informatiebeveiligingsrisico’s zijn onmogelijk volledig te mitigeren. Over het algemeen geldt: hoe meer we risico’s beperken, hoe meer we ook de mogelijkheden van onze ICT functionaliteiten beperken, en hoe meer geld we kwijt zijn aan het nemen van maatregelen. De gevolgen van risico’s zijn echter wel te verminderen. Een van de manieren waarop we dat doen is door een bedrijfscontinuiteitsmanagement in te regelen. We hebben onze bedrijf-kritische processen in kaart gebracht. En we zijn nu bezig om specifieke plannen op te stellen om bij uitval van die bedrijf-kritische processen, bijvoorbeeld door een hack, de processen toch zo snel mogelijk weer doorgang te kunnen laten vinden.
Europese Wetgeving: NIS2
Recent is er nieuwe wetgeving vanuit de EU aangenomen op het gebied van informatiebeveiliging: de NIS2 (Network and Information Security). Deze wetgeving is van toepassing op (onder andere) overheden, brengt nieuwe verplichtingen met zich mee en gaat later dit jaar officieel in. Met de nieuwe verplichtingen komen ook nieuwe en extra werkzaamheden. Ook komt er toezicht en kunnen er boetes worden uitgedeeld bij het niet naleven van de verplichtingen die de wetgeving voorschrijft. Het voldoen aan de wetgeving gaat veel vragen van onze organisatie als geheel. We zijn momenteel bezig om een plan van aanpak op te stellen om dit in goede banen te leiden.