Informatieveiligheid

Ensia-coördinator

Het onderwerp Informatieveiligheid wordt steeds belangrijker door toenemende IT-bedreigingen en acties die daarop moeten worden uitgevoerd door Duo+ om de omgevingen veilig te houden. Zo zijn er steeds scherpere wettelijke eisen vanuit de Baseline Informatiebeveiliging Overheid (BIO) en aanpalende regelingen waaraan de gemeentelijke ICT moet voldoen. De gemeenten en Duo+ moeten aan de Rijksoverheid verantwoording afleggen over het gevoerde informatieveiligheid en de acties die aan de hand daarvan uitgevoerd zijn. Deze verantwoording leggen de gemeenten en Duo+ af door middel van de Ensia. Via dit stelsel leggen de gemeenten gestructureerd verantwoording af over de BAG, BGT, BRO en Suwinet. De audits hiervoor nemen in intensiteit en complexiteit toe. De audits worden getoetst door een externe auditor. Tot nu toe stuurde de CISO het Ensia-proces aan. Dit is door de toegenomen hoeveelheid werk niet meer te combineren. Daarom is uitbreiding van de formatie noodzakelijk. De Ensia-coördinator stuurt voor de 4 DUO-organisities de controle aan. De kosten voor Diemen bedragen € 20.000.

Medewerker informatieveiligheid

Gemeenten worden steeds meer afhankelijk van de digitale omgeving en daardoor wordt informatieveiligheid steeds belangrijker. Een recente 'hackerstest' heeft adviezen voor verbeteringen van de beveiliging opgeleverd die projectmatig zouden moeten worden opgepakt. Aanvullend wordt de hoeveelheid dagelijkse informatiebeveiligings en -beheertaken steeds groter. Te denken valt dan aan het up-to-date houden van systemen, het bewaken van technische signalen, interpreteren van logfiles en hierop acteren wanneer nodig. De huidige beheercapaciteit is onvoldoende om hier in de toekomst goede invulling in te blijven geven.

I&A is voldoende bemenst voor advies en ander 'denkwerk', maar de capaciteit voor daadwerkelijk uitvoeren is onvoldoende in zowel tijd als (beveiligings-)technische achtergrond. De huidige systeembeheerders hebben de handen al vol.

Er is een situatie te ontstaan waar we ook overdag moeten kiezen tussen - niet alle vereiste of anderszins benodigde werkzaamheden (tijdig) uit te voeren, en daarbij risico’s lopen op ‘hacks’; - de functionaliteit van en de toegang tot systemen dusdanig in te perken dat de gebruiksvriendelijkheid sterk wordt verminderd; en/of - functionele onderhoudstaken en verbeteringen terzijde te leggen om benodigde beveiligingswerkzaamheden op te pakken.

Voorstel is de nieuwe functie van medewerker informatiebeveiliging te creëren. Ook wel een 'OpSec Officer' genoemd (Operational Security). Door een specialist aan te nemen kan de kwaliteit worden verhoogd. Ook ontlast het de huidige systeembeheerders die dan meer kunnen focussen op de andere beheertaken. De kosten voor deze nieuwe functie zijn voor Diemen € 35.000 per jaar.