Tussenrapportage CISO

Deze tussenrapportage biedt een overzicht van de stand van zaken rond informatiebeveiliging binnen de gemeente Almelo. Het doel is om de directie te informeren over de huidige voortgang van security projecten, de bijkomende werkzaamheden, de effectiviteit ervan, en de richting van onze toekomstige ontwikkelingen, zoals voldoen aan  de NIS2-wetgeving (Cyber Security Wetgeving).
Gezien de ontwikkelingen omtrent de innovaties en de vernieuwde wetgevingen is het wenselijk om te gaan naar een bewust en bekwame informatiebeveiligingscultuur, waarin gewerkt kan gaan worden aan een risico gestuurde aanpak van onze bedrijfsvoering. Hierbij wordt het borgen van informatiebeveiliging in de processen een begrip. Hiermee wordt het mogelijk om niet meer alleen het bestaan en opzet aan te kunnen tonen, maar ook de werking van informatiebeveiliging.

Beleid
De inrichting van informatiebeveiliging binnen een organisatie begint bij een volledig aansluitende fundering dat gedragen wordt door de directie en ondersteund wordt door het management. Dit begint bij een beleid dat aansluit bij de visie van de organisatie. Het huidige beleid voldoet niet aan de normen van een goed gedragen en te ondersteunen beleid. Daarnaast is een informatiebeveiligingsplan niet aanwezig. Hier zal in 2025 verandering in komen. In 2025 zal een nieuw beleid opgesteld worden dat ondersteund wordt door een gedegen plan.

Kwetsbaarheden
De afgelopen half jaar is een totaal van 88 security incidenten gemeld. Hierin is een grote toename te zien in de kwetsbaarheden (vulnerability) die zich momenteel in de systemen bevinden. Hieruit is op te merken dat een juiste inrichting van het project vulnerability management een zeer hoge prioritering vereist. Aangezien gemeente Almelo regelmatig kwetsbaarheden vertoont op haar systemen, is ervoor gekozen om het jaar 2024 te gebruiken om primair de impact van deze bedreigen en kwetsbaarheden te verkleinen door te focussen op de inrichting van de speerpunten vanuit de NIS2-wetgeving. Voorbeelden zijn het inrichten en borgen van incidentmanagement, business continuïteit management, leveranciersmanagement en middels een meerjarige bewustwordingscampagne het kennis- en bewustzijnsniveau van alle medewerkers binnen de organisatie verhogen.
Daarnaast is een begin gemaakt aan de inrichting van een gedegen beveiliging van de IT -landschap, middels projecten zoals het inrichten van, netwerksegmentatie, hardening, vulnerability management en het efficiënt inzetten van de Microsoft E5 modules.

Aandachtspunten
Om dit allemaal te kunnen bereiken zijn een aantal aandachtpunten gedefinieerd die belemmerend kunnen werken voor de inrichting van informatiebeveiliging binnen de organisatie. De meest belangrijke zijn:

• Onvoldoende risico gebaseerde aanpak van informatiebeveiliging door het ontbreken van een duidelijke governancestructuur omtrent informatievoorziening. Ad-hoc aanpak is nog de dominante cultuur.
• Het ontbreken van een PDCA-cyclus  om de inrichting van informatiebeveiliging te borgen in de processen.
• Om in de toekomst te voldoen  aan nieuwe wetgeving en andere ontwikkelingen is meer expertise, capaciteit en budget benodigd om de weerbaarheid van de organisatie op het gebied van informatiebeveiliging te waarborgen en te verhogen. Het budget en de capaciteit voor informatiebeveiliging zijn momenteel niet toereikend om de weerbaarheid van de organisatie naar een hoger en acceptabel niveau te tillen.
• Het niet hebben ingericht van leveranciersmanagement is zorgelijk, aangezien de gemeente Almelo hierdoor (financiële- en beveiligings) risico’s loopt die niet eerder in kaart zijn gebracht.
• Voor het bewustzijnsniveau van de medewerkers van gemeente Almelo is de afgelopen jaren te weinig aandacht geweest. Hierdoor is het kennisniveau op het gebied van informatiebeveiliging niet op het gewenste peil. Dit geldt voor de medewerkers in alle lagen in de organisatie. Het onderwerp informatiebeveiliging werd geassocieerd met de woorden lastig, angst en problematisch.