Informatiebeveiliging is en blijft ook in 2024 een cruciaal onderwerp. De dreiging voor informatiebeveiliging wordt jaarlijks groter en de mate van ICT-ondersteuning die een gemeente vraagt wordt ook jaarlijks meer. In 2023 heeft Hardenberg haar strategisch informatiebeleid opgesteld. Als onderdeel hiervan maken we jaarlijks een informatiebeveiligingsplan met de stappen die we dat jaar willen zetten. Het plan voor 2024 wordt nog opgesteld, maar de volgende aspecten zullen hierin in ieder geval een belangrijke rol spelen:
- Cloud – Als gemeente is het vrijwel onmogelijk om het complexe ICT landschap dat nodig is volledig zelf te beheren en veilig te houden. ICT leveranciers zijn hier over het algemeen veel beter in en hebben meer expertise in huis om de veiligheid te borgen. Mede is de visie van ICT dat alle ICT zoveel mogelijk naar de Cloud gaat. Bij voorkeur bij de leverancier die het levert, maar als dat niet mogelijk is in een eigen Microsoft Cloud.
- Architectuur – Informatiebeveiliging start met het goed kennen van je informatielandschap. In 2023 zijn we gestart met werken onder architectuur, maar de inspanning is nog vooral gericht op het uitwerken van de nieuwe architectuur na de ontvlechting met Ommen. In 2024 brengen we het ICT-landschap verder in kaart met haar sterktes en zwaktes. Het kennen van je ICT-landschap vermindert het beveiligingsrisico bij wijzigingen.
- Monitoring – In 2023 is het proces voor dreigingen voor informatiebeveiliging vastgesteld. Dit proces start met goede monitoring van potentiële risico’s. Monitoring gebeurt doormiddel van 5 instrumenten:
- Een jaarlijks pentest van ons ICT landschap;
- Landelijke informatiebeveiligingsdienst;
- Signalen vanuit Microsoft Defender (onze firewall en virusscanner);
- SIEM/SOC dienst;
- Meldingen van datalekken en via security.txt.
De dreigingen die met deze 5 instrumenten gesignaleerd worden, worden in risico-klassen geclassificeerd en op basis hiervan direct opgepakt, ingepland of meegenomen in lopende projecten.
- Informatiemanagement en dataeigenaarschap – Het optuigen van informatiemanagement helpt Hardenberg om bewuster keuzes te maken bij nieuwe ontwikkelingen in ons informatielandschap. Informatiemanagement helpt ons om een goede balans te houden tussen de complexiteit van ons landschap en het voorzien in de automatiseringsbehoefte van teams. Vanuit informatiemanagement moet ook dataeigenaarschap beter ingericht worden. Dataeigenaars zijn de teams of concerns die bepaalde data beheren en vaak ook primair gebruiken. Dataeigenaars kunnen data classificeren om te bepalen wie welke data mag muteren, wie welke data mag raadplegen en hoe streng we data moeten beveiligen. Hiermee verminderen we de kans op datalekken en ander oneigenlijk gebruik.
- Bewustwording – Bewustwording stond in 2023 hoog op de agenda en zijn op tactisch niveau keuzes gemaakt in dit jaar, zoals het aanwijzen van security officers binnen vakteams. Operationeel moet in 2024 nog een vervolg gegeven worden aan de bewustwording om te zorgen dat iedereen die werkt met gevoelige data ook weet hoe hij of zij hiermee om moet gaan.