Het bewustzijn en de organisatie rondom informatieveiligheid bij gemeenten is gegroeid, maar er mag wel veel meer worden samengewerkt en geleerd van elkaar. Dat is de eindconclusie van de Visitatiecommissie Informatieveiligheid.
In het eindverslag wordt de luchtvaart als voorbeeld gegeven. Daar heerst een cultuur van leren van je fouten, om samen de veiligheid te vergroten.
De Visitatiecommissie Informatieveiligheid werd in het leven geroepen na een besluit op de Buitengewone Algemene Ledenvergadering van de VNG. De commissie bezocht in de afgelopen twee jaar 120 gemeenten met een drieledig doel: de aandacht voor informatieveiligheid vasthouden en versterken, het handelingsperspectief van gemeenten vergroten en toetsen of verplichtende zelfregulering werkt. Op donderdag 28 september publiceerde de commissie haar slotbevindingen.
Zorgen over tempo
De visitatiecommissie bestond uit Frans Backhuijs (burgemeester Nieuwegein), Maarten Ruys (voormalig gemeentesecretaris Groningen) en Wim Blok (directeur Publiekszaken gemeente Leiden en voorzitter van de Vereniging Directeuren Publieksdiensten). Ze voerden gesprekken met de burgemeester of wethouder die informatieveiligheid in portefeuille heeft, de gemeentesecretaris en de CISO (Chief Information Security Officer). Voorafgaand aan dat gesprek vulden gemeenten een uitgebreide vragenlijst in. “We hebben gemerkt dat dát alleen al zorgde voor meer bewustwording bij de gemeenten die wij bezochten”, zegt Frans Backhuijs. Hij heeft een duidelijke ontwikkeling gezien in de afgelopen twee jaar: “Bestuurders beseffen inmiddels het belang van informatieveiligheid. Dat hoeven we niet meer uit te leggen. Het tempo waarin de aandacht toeneemt, baart ons wel zorgen. Er zijn nog steeds bestuurders die informatieveiligheid volledig overlaten aan de ambtelijke organisatie en in de meeste gemeenten is het geen politiek onderwerp.”
‘Net zo essentieel als financiën’
Eén van de aanbevelingen van de visitatiecommissie is om de bestuurlijke betrokkenheid verder te vergroten. Dat gebeurt wanneer bestuurders zich actiever laten informeren over informatieveiligheid en wanneer de CISO in de communicatie meer aansluit bij de belevingswereld van bestuurders. “Een goede verbinding met het bestuur en positionering van de CISO in de organisatie is belangrijk. Niet alleen tijdens een incident, maar structureel. Informatie is voor gemeenten net zo essentieel als financiën en medewerkers. Informatieveiligheid verdient dus dezelfde bestuurlijke aandacht.”
Wat de accountantsverklaring is voor financiën, is ENSIA voor informatieveiligheid
Bewustwording is en blijft een belangrijke factor in informatieveiligheid, zo is een conclusie: “Niet alleen bij de IT-afdeling, maar bij iedereen. Van raadslid tot inhuurkracht.” De invoering van ENSIA gaat gemeenten hierbij helpen, zegt Backhuijs. ENSIA (Eenduidige Normatiek Single Information Audit, een bundeling van audits op het gebied van informatieveiligheid) biedt de gemeenteraad een instrument om te toetsen hoe het met de informatieveiligheid staat, op de gebieden die ENSIA beslaat. “Wat de accountantsverklaring is voor financiën, is ENSIA voor informatieveiligheid. Als gemeenteraden net zoveel aandacht aan ENSIA gaan besteden als ze nu doen aan de accountantsverklaring, dan is ENSIA straks een motor om de informatieveiligheid naar een hoger plan te krijgen.”
Samen leren
Een rode draad in de eindconclusies van de visitatiecommissie is samenwerken en leren van elkaar. Backhuijs: “Je ziet nog wel eens dat gemeenten in een kramp schieten als ze te maken krijgen met een incident. Dat is begrijpelijk, maar je komt alleen maar verder als je hier open over bent, want dan leer je van elkaar. In ons eindverslag geven we de luchtvaart als voorbeeld. Daar heerst een cultuur van leren van je fouten, om samen de veiligheid te vergroten.”
Om goed van elkaar te kunnen leren is een structuur nodig van informele netwerken binnen en buiten de gemeente, stelt de visitatiecommissie. Ze pleit ook voor een meer formele structuur, in de vorm van een nieuw gremium binnen de VNG of een uitbreiding van de taken van de Informatiebeveiligingsdienst voor gemeenten (IBD). Dat zou de samenwerking van gemeenten kunnen ondersteunen én gemeenten erop aanspreken als die hun zaken niet op orde hebben. Backhuijs: “Gemeenten werken vergaand samen. Als één gemeente het niet op orde heeft, dan hebben meer gemeenten daar last van. Ik vind het daarom gerechtvaardigd als gemeenten elkaar aanspreken op risicovol gedrag.” Al met al is de visitatiecommissie positief in haar slotconclusies, omdat de aandacht voor informatieveiligheid en de acties die gemeenten daarop nemen is gegroeid. Zorgen zijn er ook: “De bedreigingen in het informatiedomein worden alleen maar groter. Er moet daarom blijvend worden gewerkt aan meer bestuurlijke aandacht, samenwerken en het uitwisselen van informatie.”
Het volledige eindverslag ts te lezen op de VNG-website over informatieveiligheid.
Tien suggesties
De Visitatiecommissie Informatieveiligheid doet in haar eindverslag tien concrete suggesties voor het verbeteren van de informatieveiligheid in een gemeente:
1. Leg de verbinding tussen informatieveiligheid en privacy, integriteit en dienstverlening.
2. Werk samen in de regio, op bestuurlijk en ambtelijk vlak.
3. Zorg dat de CISO beschikt over een intern netwerk van ambassadeurs in de organisatie.
4. Neem bij alle nieuwe voorstellen een paragraaf op in college- en raadsstukken over de impact op informatieveiligheid.
5. Schoon het applicatielandschap op en laat periodiek applicaties onderzoeken op kwetsbaarheden.
6. Lees (als bestuurder) de maandelijkse monitor van de IBD.
7. Wijs de raadsleden op het belang van informatieveiligheid.
8. Activeer de organisatie met een oefening rond een informatieveiligheidscrisis.
9. Organiseer een bijeenkomst met het college en het lokale bedrijfsleven over informatieveiligheid en leer van elkaar.
10. Organiseer een ‘week van de informatieveiligheid’, maak een ronde door het gemeentehuis en signaleer welke vertrouwelijke informatie rondslingert. Spaar de bestuurders en de gemeentesecretaris niet!