Zicht op risico’s binnen de informatievoorzieningen

Zicht op risico’s binnen de informatievoorzieningen

Wil je meer zicht krijgen op de mogelijke risico’s binnen informatievoorzieningen in overheidsorganisaties en weten hoe je deze kunt verminderen of voorkomen? Lees dan snel verder! 
 

Kleine incidenten, grote gevolgen

Het versturen van een document naar het verkeerde e-mailadres, een fout in de toegangsrechten van een gedeelde map of een onontdekt lek in een systeem. Het lijken kleine fouten, maar ze kunnen grote gevolgen hebben. Zo konden veel Nederlandse overheidsorganisaties begin 2020 thuis niet aan het werk door kwetsbaarheden in de software Citrix. In september werd een Veiligheidsregio getroffen door ransomware en is de kantoorautomatisering voor onbepaalde tijd stilgelegd. Door dit soort incidenten blijkt hoeveel effect risico’s op het gebied van informatiebeveiliging kunnen hebben. Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021/2022 schetst een beeld van de risico’s en gevolgen:
 

Veel werkprocessen zijn afhankelijk van systemen

Als systemen niet gebruikt kunnen worden en werkprocessen daardoor stil komen te liggen, loopt de bedrijfscontinuïteit gevaar en is soms zelf de dienstverlening voor burgers tijdelijk niet beschikbaar. Daarbij kunnen ook de alledaagse processen ontwricht worden. Bijvoorbeeld door een storing in het computersysteem dat verkeerslichten aanstuurt of een systeem dat zorgt voor de toegangsregeling in een gebouw. 
 

Integriteit van gegevens

Sommige incidenten kunnen ertoe leiden dat de integriteit van gegevens niet meer gewaarborgd is. Denk aan een incident waarbij iemand zonder toestemming heeft ingelogd op het account van een medewerker met heel veel toegangsmogelijkheden. Toegangsmogelijkheden waarmee deze persoon gegevens kon wijzigen, wissen of toevoegen, onterechte facturen kon goedkeuren of vergunningen kon verstrekken. 
 

Financiële schade en een slecht imago

Ook leiden dergelijke incidenten tot financiële schade. De dienstverlening wordt stilgelegd, er moet forensisch onderzoek gedaan worden en de ICT-omgeving moet hersteld worden. Soms volgt er ook nog een boete voor het onzorgvuldig omgaan met de privacy van burgers. Door fouten in de informatiebeveiliging kunnen niet alleen gegevens over de eigen bedrijfsvoering, maar ook vertrouwelijke informatie over burgers in verkeerde handen komen. Het vertrouwen in de overheid wordt daarmee aangetast en dat leidt tot imagoschade. 
 

Tips om de risico’s te verminderen

Volgens de Informatiebeveiligingsdienst zijn er verschillende handelingen die kunnen helpen bij het verminderen van de risico’s op het gebied van informatiebeveiliging: 

  • Risicomanagement 

Bekijk periodiek welke risico’s er zijn binnen elk werkproces en tref maatregelen om deze risico’s terug te brengen naar een acceptabel niveau. 

  • Oefenen en voorbereiden

Wees voorbereid op incidenten. Bedenk wel scenario’s zich kunnen voordoen, welke personen er dan ingeschakeld moeten worden en welke stappen er nodig zijn om het incident op te lossen.

  • Veilige gereedschappen

Zorg dat veilig werken gemakkelijk en snel gaat. Bekijk wat medewerkers daarvoor nodig hebben en faciliteer die functionele behoeften. En beloon medewerkers als ze net dat stapje extra zetten om de veiligheid te waarborgen.

  • Een open cultuur

Zorg ervoor dat medewerkers niet het gevoel krijgen dat zij afgerekend worden op fouten. Zij moeten zich veilig voelen om onveilige situaties, incidenten en ongelukken te melden en de kans krijgen om ervan te leren. 

  • De basis op orde

De Informatiebeveiligingsdienst schat in dat 99% van alle technische incidenten voorkomen kan worden als organisaties de basis op orde hebben. Dat wil zeggen een veilig ingerichte ICT-omgeving, goed toegangsbeheer en blijven monitoren wat er gebeurt, zodat je afwijkingen snel kunt signaleren. 
 

Aan de slag met de informatiebeveiliging in jouw organisatie

Meer lezen over de risico’s en het voorkomen hiervan? Het volledige Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2021/2022 vind je hier. Wil je graag met deze informatie aan de slag in de praktijk, maar weet je niet goed hoe? Dan kunnen wij je helpen met een van onze opleidingen of trainingen over informatiebeveiliging. Als je wilt weten welke opleiding of training in jouw situatie het meest relevant is, kun je contact opnemen met een van onze opleidingsadviseurs via 035 - 7 604 850 of info@bestuursacademie.nl.