In 2023 is de meeste aandacht besteed aan het voldoen aan de landelijke afspraken, onderzoeken van kwetsbaarheden van het netwerk, het beheer van de BIO maatregelen (Baseline Informatiebeveiliging Overheid), de bewustwording van informatiebeveiliging en privacy en de verantwoording (accountability) op diverse niveaus.
Voldoen aan landelijke afspraken
Elke gemeente, waterschap, provincie en rijk dient verantwoording af te leggen ENSIA (Eenduidige Normatiek Single Information Audit). Behalve de verantwoording over enkele kernapplicaties is verantwoording afgelegd over BIO maatregelen, Suwi en DigiD. Een externe IT auditor checkt de bewijzen. Gemeente Katwijk voldoet aan de eisen.
Onderzoek kwetsbaarheden netwerk en systemen
Om de informatiebeveiliging van ons netwerk en onze systemen te controleren laten we regelmatig kwetsbaarheden- en pentesten uitvoeren. Het is van belang het netwerk en onze systemen veilig te houden om de data van burgers, personeel en bedrijfsvoering te beschermen tegen de toenemende dreigingen van buitenaf. In 2023 hebben we ook een Mystery Guest verschillende gemeentelijke locaties laten bezoeken om zwakke plekken in onze fysieke beveiliging bespreekbaar te maken. Dit heeft interessante inzichten opgeleverd en de gevonden aandachtspunten zijn snel opgepakt.
Onderzoek informatiebeveiliging organisatie
Het aantal (high impact/high risk) dreigingen van buitenaf neemt toe, ook de nationale en Europese wet- en regelgeving op het gebied van informatiebeveiliging neemt sterk toe. Dat vraagt steeds meer inzet van capaciteit en middelen om het weerstandsniveau van onze organisatie en de verantwoording op pijl te houden. We hebben daarom in 2023 een onafhankelijk extern onderzoek laten uitvoeren naar de bestaande informatiebeveiliging organisatie en advies gevraag voor aanpassingen om aan alle geldende wet- en regelgeving te kunnen voldoen. Met dit advies is een onderbouwd voorstel aan het bestuur gedaan om de geadviseerde aanpassingen aan onze informatiebeveiliging organisatie door te voeren.
Bewustwording informatiebeveiliging en privacy
Een belangrijk hulpmiddel bij het actueel houden van de bewustwording op het gebied van informatiebeveiliging en privacy is het gebruik van nanolearning. Elke medewerker met een bureaufunctie krijgt elke 3 weken een kort lesje in zijn mailbox. We zien de deelname steeds verder toenemen. Over de resultaten wordt gerapporteerd. Verder sturen wij meerdere keren per jaar willekeurige phishing testberichten om iedereen 'scherp' te houden.
Accountability
Niet alleen via de ENSIA wordt verantwoording afgelegd aan de directie, het college en het bestuur, maar ook in het maandelijkse portefeuille overleg.
Vooruitkijkend
In 2024 hopen we de aanpassingen in de informatiebeveiliging organisatie te kunnen doorvoeren.