Dit is de rapportage betreffende de stand van zaken van de informatiebeveiliging (IB) binnen de gemeente Dordrecht. In 2020 is de termijn van het vorige informatiebeveiligingsbeleid (IBB) verstreken. Het is daarom noodzakelijk om dit beleid te herijken en vast te stellen. Op het moment van schrijven van deze rapportage is dit onder handen werk. Naar verwachting zal het nieuwe beleid na de zomer vastgesteld worden. Naast beveiligingsbeleid is er in 2020 voor de gemeente Dordrecht ook een lokaal Informatiebeveiligingsplan (IBP) opgesteld. In dit plan geven we concrete invulling aan de richtlijnen die in het beleid worden vastgesteld.
IB plan
Onze inspanningen op het gebied van informatiebeveiliging zijn dit jaar tweeledig.
Ten eerste zetten we in op het in kaart brengen van de zogenaamde kroonjuwelen van de gemeente en de analyse van mogelijke kwetsbaarheden rondom deze kroonjuwelen. De kroonjuwelen zijn de belangrijkste processen, applicaties, bezittingen die de hoogste prioriteit moeten krijgen als het gaat om (informatie-) beveiliging. Er is veel impliciete kennis over deze kroonjuwelen aanwezig in de organisatie. Deze kennis gaan we dit jaar expliciet maken. Bij het in kaart brengen van deze risico's doen we ook aanbevelingen om risico's te mitigeren. Waar mogelijk nemen we onmiddellijk maatregelen om risico's weg te nemen. We nemen de clustermanager als ingang voor de gesprekken voor deze inventarisatie. Hij of zij heeft overzicht over een deel van de organisatie en kan ons wijzen op de belangrijkste processen in het betreffende cluster en ons in contact brengen met de specialisten op de werkvloer. Zodra het hele landschap in kaart gebracht is, kan vervolgens in het clustermanagers overleg over de clusters heen geprioriteerd worden welke aanbevelingen als eerste opgepakt moeten worden.
Het tweede speerpunt is het vergroten van het beveiligingsbewustzijn. In het afgelopen jaar heeft naar schatting 90% van de nieuwe medewerkers de workshop rondom beveiliging en privacy gevolgd. Dit is een goed resultaat. Onder de bestaande medewerkers is het bereik echter veel lager. Een beperkt aantal teams heeft, op hun eigen verzoek, een op hun situatie afgestemde workshop gekregen. Voor de komende periode zetten we in op het verbreden van de aandacht voor beveiliging en privacy bij de bestaande werknemers. We streven ernaar om alle (bestaande) medewerkers periodiek te attenderen op informatieveiligheid. Naast de noodzaak om de werkvloer bewust te maken c.q. houden van de noodzaak om zorgvuldig met gegevens om te gaan, is het ook van groot belang om het management bewust te maken van mogelijke risico's die er spelen in hun deel van de organisatie. Om deze reden zullen we in de tweede helft van 2020 speciale aandacht van de clustermanagers en teamleiders vragen voor hun aandeel in het bevorderen van informatiebeveiliging en privacy. Zij zijn immers naast gebruiker ook leidinggevende en in veel gevallen eigenaar van processen en systemen.
ENSIA
In de collegeverklaring verklaart het college dat de gemeente Dordrecht op 31 december 2019 in opzet (inrichting en beschrijving) en bestaan (implementatie) geheel voldoet aan de beheersingsmaatregelen die nodig zijn voor de informatieveiligheid. Vorig jaar voldeden wij nog niet op alle onderdelen aan deze normen. Wij hebben hierom onder andere alle voor de auditor benodigde bewijsstukken formeel uitgewerkt en vastgelegd. En deze binnen onze processen in detail ingeregeld.
Registratie en melding van datalekken
Sinds de ingang van de Meldplicht Datalekken per 1 januari 2016 wordt bij alle informatiebeveiligingsincidenten tevens getoetst of er sprake kan zijn/is van een eventueel datalek. Een mogelijk datalek wordt nader onderzocht en de resultaten worden in de incidentmelding geregistreerd. In het geval van een (vermoed) datalek wordt dit door SCD-JKC binnen de verplichte 72 uur gemeld bij de Autoriteit Persoonsgegevens. Tot 10 juni 2020 zijn er binnen de gemeente Dordrecht tien datalekken gemeld. Bij de helft van dit aantal betreft het incidenten waarbij post of e-mail verkeerd zijn verzonden.
Registratie van informatiebeveiligingsincidenten
Sinds 2015 worden alle gemelde informatiebeveiligingsincidenten, binnen de reguliere registratieprocessen van het Serviceloket geregistreerd. Er zijn dit jaar tot 10 juni 2020 in totaal 33 incidenten geregistreerd waarvan de meeste een beperkte omvang hadden. Ongeveer 75% van deze meldingen gaat over spam- en phishingsmails.