Informatiebeveiliging
In 2024 is de meeste aandacht besteed aan het versterken van de informatiebeveiliging organisatie, het doorvoeren van een Cloud-transitie, onderzoeken van kwetsbaarheden in het netwerk, het implementeren van de BIO maatregelen (Baseline Informatiebeveiliging Overheid), de bewustwording over informatiebeveiliging en privacy en de verantwoording (accountability) op diverse niveaus.
Voldoen aan landelijke afspraken
Elke gemeente, waterschap, provincie en rijk dient jaarlijks verantwoording af te leggen via de ENSIA (Eenduidige Normatiek Single Information Audit). Behalve de verantwoording over enkele kernapplicaties is verantwoording afgelegd over BIO (Baseline Informatiebeveiliging Overheid) maatregelen, Suwi en DigiD. Een externe IT auditor checkt de bewijzen. Gemeente Katwijk voldoet aan de gestelde eisen.
Onderzoek kwetsbaarheden netwerk en systemen
Om de informatiebeveiliging van ons netwerk en onze systemen te controleren laten we regelmatig kwetsbaarheden- en pentesten uitvoeren. Het is van belang het netwerk en onze systemen veilig te houden om de data van burgers, personeel en bedrijfsvoering te beschermen tegen de toenemende dreigingen van buitenaf. In 2024 hebben we een test uitgevoerd van ons Incident Response Plan om onszelf en onze procedures onder druk bij een grote calamiteit te testen. Dit heeft interessante inzichten en verbeterpunten opgeleverd om door te voeren. Ook in 2025 gaan we onszelf en onze procedures opnieuw testen.
Implementatie nieuwe wet- en regelgeving
Het aantal hoog-risico dreigingen en kwetsbaarheden van buitenaf neemt toe, ook de nationale en Europese wet- en regelgeving op het gebied van informatiebeveiliging neemt sterk toe. Om te kunnen voldoen aan wetgeving als de Cbw (Cyberbeveiligingswet) en de BIO2 zal de vraag om inzet van capaciteit en middelen in de organisatie toenemen om het weerstandsniveau van onze organisatie en de bijbehorende verantwoording op pijl te houden.
Bewustwording informatiebeveiliging en privacy
Een belangrijk hulpmiddel bij het actueel houden van de bewustwording bij medewerkers op het gebied van informatiebeveiliging en privacy is het gebruik van nanolearning. Elke medewerker met een bureaufunctie krijgt elke 3 weken een lesje aangeboden in zijn mailbox, we zien de deelname aan de lesjes stabiel blijven. Over de resultaten van de nanolearning wordt aan de directie en de portefeuillehouder gerapporteerd. Om iedereen ‘scherp’ te houden sturen wij meerdere keren per jaar willekeurige phishing test-berichten en rapporteren wij over de uitkomsten daarvan.
Accountability
Niet alleen via de ENSIA wordt verantwoording afgelegd aan de directie, het college en het bestuur, maar ook in het maandelijkse overleg met de gemeentesecretaris en de portefeuillehouder.
Vooruitkijkend
In 2025 hopen we alle functies van onze informatiebeveiliging organisatie in te kunnen vullen en ons beleid en werkprocessen te actualiseren.