Paragrafen

Bedrijfsvoering

Informatiebeveiliging   

Door ontwikkelingen op allerlei terreinen staat ook gemeente Almelo aan steeds meer nieuwe bedreigingen bloot. Bedreigingen die we niet alleen met technische hulpmiddelen kunnen afweren maar waar we iedereen bij nodig hebben. Hoe kwetsbaar we zijn voor bedreiging wordt door een groot deel bepaald door ons gedrag.
We werken in een organisatie waarin we de belangen van onze stakeholders vertegenwoordigen. Stakeholders die van ons verwachten dat hun de enorme informatiestroom op een betrouwbare, integere en vertrouwelijke wijze afhandelen.
Op allerlei terreinen zijn er maatregelen genomen om onze betrouwbaarheid, integriteit en vertrouwelijkheid te waarborgen. We kunnen daar uitsluitend succesvol in zijn als we ons van de risico’s bewust zijn en daarnaar handelen. Risico’s uitsluiten kunnen we niet. We kunnen ze wel tot aanvaardbare proporties terugdringen.

Gezien de ontwikkelingen omtrent de innovaties en de vernieuwde wetgevingen is het wenselijk om te gaan naar een bewust en bekwame informatiebeveiligingscultuur, waarin gewerkt kan gaan worden aan een risico gestuurde aanpak van onze bedrijfsvoering. Hierbij wordt het borgen van informatiebeveiliging in de processen een begrip. Hiermee wordt het mogelijk om niet meer alleen het bestaan en opzet aan te kunnen tonen, maar ook de werking van informatiebeveiliging.

Informatiebeveiligingsbeleid en -plan

De inrichting van informatiebeveiliging binnen een organisatie begint bij een volledig aansluitende fundering dat gedragen wordt door de directie en ondersteund wordt door het management. Dit begint bij een beleid dat aansluit bij de visie van de organisatie. Het huidige beleid voldoet niet aan de normen van een goed gedragen en te ondersteunen beleid, daarnaast is een informatiebeveiligingsplan niet aanwezig. Hier zal in 2025 verandering in komen. In 2025 zal een nieuw beleid opgesteld worden dat ondersteund wordt door een gedegen plan.

Actuele ontwikkelingen en focusgebieden 2025:

NIS2 wetgeving is de Europese richtlijn voor netwerk- en informatiebeveiliging, die tot doel heeft de weerbaarheid en samenwerking op het gebied van cyberveiligheid te verhogen. De speerpunten van NIS2 zijn:

  • Eigenaarschap : de verantwoordelijkheid voor de naleving van de NIS2 wetgeving ligt bij de bestuurders van de organisatie, die aanspreekbaar zijn op de beveiliging van hun netwerken en informatiesystemen.
  • Incidentmanagement : NIS2 wetgeving is een Europese richtlijn die de essentiële en belangrijke dienstverleners verplicht om een hoog niveau van cyberbeveiliging te handhaven en te rapporteren over cyberincidenten. De organisatie moet een procedure hebben voor het verplicht melden, analyseren en afhandelen van cyberincidenten aan belanghebbenden en autoriteiten.
  • Business Continuïteit Management : de organisatie moet een Business Continuïteit Management (BCM) plan hebben om de continuïteit van de dienstverlening te waarborgen in geval van een cyberincident of andere verstoringen.
  • Leveranciersmanagement : dit is een aspect van NIS2 wetgeving dat betrekking heeft op de manier waarop de organisatie omgaat met de risico's en eisen die voortvloeien uit de relaties met externe leveranciers van netwerk- en informatiediensten. De organisatie moet ervoor zorgen dat de leveranciers voldoen aan de relevante normen en richtlijnen voor cyberbeveiliging, en dat er passende contractuele afspraken zijn om de verantwoordelijkheden en aansprakelijkheden te verduidelijken in geval van een cyberincident.
  • Awareness : onder awareness wordt verstaan het bewustzijn van de medewerkers en de organisatie over de cyberdreigingen en de maatregelen die genomen moeten worden om de netwerk- en informatiediensten te beschermen en is hiermee dus een belangrijke factor om te voldoen aan de NIS2 wetgeving en om de weerbaarheid en het vertrouwen van de organisatie te vergroten.

Huidige status en planning informatiebeveiliging

De afgelopen half jaar is een totaal van 88 security incidenten gemeld. Hierin is een grote toename te zien in de kwetsbaarheden (vulnerability) die zich momenteel in de systemen bevinden. Hieruit is op te merken dat een juiste inrichting van het project vulnerability management een zeer hoge prioritering vereist. Aangezien gemeente Almelo regelmatig kwetsbaarheden vertoont op haar systemen. Is ervoor gekozen om het jaar 2024 te gebruiken om primair de impact van deze bedreigen en kwetsbaarheden te verkleinen door te focussen op de inrichting van de speerpunten vanuit de NIS2-wetgeving, zoals het inrichten en borgen van incidentmanagement, business continuïteit management, leveranciersmanagement en middels een meerjarige bewustwordingscampagne het kennis- en bewustzijnsniveau van alle medewerkers binnen de organisatie verhogen.
Daarnaast is een begin gemaakt aan de inrichting van een gedegen beveiliging van de IT -landschap, middels projecten zoals het inrichten van, netwerksegmentatie, hardening, vulnerability management en het efficiënt inzetten van de Microsoft E5 modules.

Deze pagina is gebouwd op 03/10/2025 14:35:44 met de export van 03/10/2025 14:33:19