Informatieveiligheid & DPO
In de huidige tijd is digitale veiligheid een essentieel onderdeel geworden van het veiligheidsbeleid van lokale besturen, aangezien cyberaanvallen een dagelijkse dreiging vormen. Voor advies en ondersteuning op dit gebied kunnen lokale besturen zich wenden tot het team informatieveiligheid van Haviland.
Bij Haviland blijven we ons inzetten voor een veilige en betrouwbare informatiesamenleving, waarbij de bescherming van zowel de IT-systemen van onze partners als daaruit voortvloeiend de gegevens van hun inwoners centraal staat. Dit omvat niet alleen de vele persoonsgegevens van inwoners die besturen beheren, maar ook de digitale omgevingen van bijvoorbeeld scholen en de IT-systemen van veiligheidsdiensten zoals politie en brandweer. De impact van een cyberaanval op dergelijke organisaties kan immens zijn, met talrijke voorbeelden als bewijs.
Ons cyberteam doet er dan ook alles aan om de digitale verdediging van lokale besturen zo robuust mogelijk te maken en de bewustwording van hun medewerkers op scherp te stellen. Mocht er toch een aanval plaatsvinden, dan is het essentieel om de schade tot een minimum te beperken en te zorgen voor een doeltreffend 'business continuity plan'. “Hope for the best, plan fort he worst” is daarbij de aangewezen tactiek, aangezien het niet de vraag is of je als organisatie wordt aangevallen, maar eerder wanneer.
Hieronder lees je meer over de concrete acties en aandachtspunten waar ons team cyberveiligheid in 2023 extra op heeft ingezet.
Patchbeleid
‘Patchen’ verwijst naar het proces van het aanbrengen van wijzigingen in software om fouten te corrigeren, beveiligingslekken te dichten of nieuwe functies toe te voegen. Het doel is om de software te verbeteren door specifieke problemen aan te pakken en de algehele prestaties en beveiliging ervan te waarborgen.
Essentieel is een patchbeleid te hebben waardoor patches niet of te laat kunnen geïnstalleerd worden. Het geeft duidelijkheid over de rollen en verantwoordelijkheden voor het installeren van patches.
Door hieromtrent afspraken vast te leggen verlaagt de kans om slachtoffer te worden van een cybercrime aanzienlijk. Ook bij de implementatie van dergelijk beleid staan de medewerkers van Haviland steeds ter beschikking van de aangesloten organisaties via de dienst informatieveiligheid.
De cloud
Verder werd er net zoals voorgaande jaren blijvend ingezet op beveiliging van de cloudomgeving, meestal Office365, omdat we merken dat dit een favoriet doel van cybercriminelen blijft. Vanwege het gemak waarmee informatie gedeeld kan worden, verspreiden medewerkers ook soms per abuis te veel informatie. Inzet op beveiliging via de nodige identiteitscontroles, geautomatiseerde acties bij verdachte loginpogingen en een beleid rond het verspreiden van informatie uit de cloud dat de organisatie ook technisch afdwingt, blijft noodzakelijk.
Training en bewustwording
Er zijn verschillende trainingen en bewustwordingsinitiatieven georganiseerd om het bewustzijn van medewerkers over gegevensbescherming en informatieveiligheid te vergroten. Deze inspanningen hebben geleid tot een verbeterde naleving en proactieve betrokkenheid van alle medewerkers bij het veilig omgaan met informatie.
Aanbevelingen en verbeteringen
Op basis van onze ervaringen en analyse van het afgelopen jaar, stellen we enkele aanbevelingen voor ter verbetering van onze informatieveiligheid en gegevensbeschermingspraktijken. Dit omvat onder meer het versterken van het bewustzijn, het verbeteren van de incidentrespons en het blijven monitoren van nieuwe dreigingen en technologische ontwikkelingen.
Het verwerkingsregister
Het blijven inzetten op het updaten van het verwerkingsregister. Het verwerkingsregister is een levend document dat regelmatig moet worden bijgewerkt om veranderingen in de verwerking van persoonsgegevens weer te geven. Het biedt transparantie en helpt organisaties om hun verplichting op het gebied op het gebied van gegevensbescherming na te komen.
NIS2
In 2023 is Haviland begonnen aan de voorbereidingen om de nieuwe voorschriften van de NIS2-richtlijn te implementeren bij de lokale besturen. Deze richtlijn is zoals de naam al doet vermoeden de opvolger van de oorspronkelijke NIS-richtlijn en heeft als doel een hoog gezamenlijk niveau van cyberveiligheid binnen de Europese Unie te bewerkstelligen. De NIS-2 richtlijn is reeds in werking getreden en moet worden omgezet in nationale wetgeving door België in 2024.
Gemeenten en intercommunales beheren vaak kritieke sectoren, bijvoorbeeld afvalverwerking en drinkwatervoorziening. Hierdoor is het belangrijk om naast het nemen van preventieve maatregelen ook plannen op te stellen om na een incident de dienstverlening zo goed mogelijk te kunnen laten doorgaan. Dit gebeurt aan de hand van het “business continuity plan”, dat op maat van elk bestuur wordt gemaakt.