Inloggen Geen profiel? Registreer hier.

[opinie] Aan strategie rond informatieveiligheid ontbreekt het niet, operationeel zijn er samenwerkende handen te kort!

24/10/2022

Dat digitalisering - ook nieuwe risico’s voor de veiligheid (van onze informatie waar we mee aan de slag gaan) introduceerde (binnen de lokale besturen) is een olifant die al eventjes in de kamer huist.

De informatie van (en over) onze burgers en ondernemers op een correcte manier behandelen is niet alleen een plicht van een overheid, het is ook een werkopdracht. Het vormt echt niet alleen een werkstuk – of probleem zoals je wil - bij digitale informatie, ook bij klassieke analoge verwerking verliezen we hier te snel de aandacht. Zo blijkt althans uit meerdere praktijk voorvallen.

In de conversatie omtrent hoe een lokaal bestuur zich dient te confirmeren hebben we al eventjes geen behoefte meer aan lokale ondersteuning die zich louter als een auditeur gaan gedragenbovenop de reeds uitgevoerde audits bij lokale overheden. Zonder verkeerd begrepen te worden, zijn we uiteraard voorstander van audits – en we juichen deze van Audit Vlaanderen absoluut toe – maar we kennen ondertussen de situatie en die is op zijn zacht gezegd voor verbetering vatbaar.

Audits zijn het begin van het verhaal, het echte werk start daarna en daar wringt het schoentje!

De hele discussie zit echter al eventjes vast tussen audits met minder goede resultaten, verhoogde aandacht bij incidenten of calamiteiten en het dan met centrale overheidsmiddelen ter beschikking stellen van wat generieke en downloadbare zelf in te vullen formulieren om een papieren veiligheid – of schijnveiligheid – nog meer in de hand te gaan werken. De cirkel is dan snel rond met opnieuw te gaan vertellen dat het anders moet. Er is op vandaag geen grote stok achter de deur – en laat ons dit nodig hebben om mensen en organisaties in beweging te krijgen, liefst zonder blokkerend te werken en met een degelijke uitvoering op het terrein en geen “papieren” schijnveiligheid.

Dezelfde discussie vinden we trouwens ook in Nederland, waar staatssecretaris Alexandra van Huffelen in een brief aan de Tweede Kamer meldt dat ze de Baseline Informatiebeveiliging Overheid (BIO) wettelijk verplicht wil gaan maken voor overheden. Hiermee zullen ministeries, gemeenten, provincies en waterschappen wel zelf verantwoordelijk blijven voor hun informatieveiligheid maar opnieuw het toezicht op informatieveiligheid geïntensiveerd zal worden.

Tomato, Tomatoe, … what’s in the name?

Als organisatie zetten we al eventjes in op een behoorlijk, generiek en makkelijk op te volgen stappenplan dat in de praktijk wordt omgezet, die niet alleen getoetst maar ook uitgevoerd wordt onder mandaat en met betrokkenheid van beleid en bestuur. Het ontbreekt niet aan mogelijke toetslijstjes in Vlaanderen en België en alleen al het gesprek rond wat is nu een goede vragenlijst duurt al jaren en iedereen doet maar wat.

We steken onze hand uit om hier iets collectief rond op te zetten en we geven er meteen gratis de tool bij voor lokale overheden. Kan het sneller en eenvoudiger? Doorpakken nu aub met wat ons betreft de twee basiselementen als het gaat over de bescherming van onze (persoons)gegevens ...

a) als het gaat om gegevensbescherming, dient de Algemene Verordening Gegevensbescherming (AVG) als uitgangspunt voor de bescherming van persoonsgegevens

en b) kijken we naar informatiebeveiliging binnen de overheid, dan is de ISO 27k – zonder iedereen aan certificatie te laten denken – een zeer goede lijst waar voldoende zachte afkooksels van circuleren.


Naast het “verplichte nummertje” om over een functionaris gegevensbescherming te moeten beschikken – die vaak geoutsourced wordt -, zou elk lokaal bestuur minstens een interne ambtenaar gegevensbescherming moeten hebben die deze materie operationeel opvolgt en meedenkt samen met de DPO’s. De veiligheidscel is een voorbeeld hiervan, maar ook hier merken we teveel uitgestelde echolalia van regeltjes zonder zelf mee te denken hoe het dan wel kan opgelost worden. We merken in deze een zeer goede geest en houding onder de DPO’s, maar ook hen ontbreekt het vaak aan voldoende technische inzichten om samen met de organisaties aan oplossingen te denken.

Voor alles is technisch een oplossing, maar we moeten ze samen zoeken. We denken hier in de eerste plaats aan de zoektocht naar goede technische oplossingen ter bescherming van de aangehaalde gegevens maar ook aan oplossingen om met meer geavanceerde technologieën - zoals public versus private cloud – overweg te kunnen en waar we door differentiatie perfect aan de juiste classificatie van de gegevens kunnen gaan werken.

-/-

Wie meer info wenst over de voortgang van dit dossier binnen onze denktank security kan terecht bij security@v-ict-or.be