26 maart 2015: Verslag workshop ‘Informatieveiligheid: Business as usual?!’

door Minny Aarten - 0 reacties

Op 26 maart jl.  vond in de middag de workshop ‘Informatieveiligheid: Business as usual?!’ plaats in het nieuwe gebouw van de Dienst Sociale zaken en Werk van de Gemeente Groningen, gelegen aan  het NS-station Europapark met een fraai uitzicht op het in ontwikkeling zijnde Europapark.

De workshop begon met een presentatie van Michel Wekema, concernfunctionaris Informatiebeveiliging van de gemeente Groningen en de provincie Groningen. Hij ging in op de toenemende relevantie van informatiebeveiliging binnen gemeenten. Onder andere als gevolg van ontwikkelingen binnen de overheid om meer digitale diensten aan te bieden en door de eisen die gesteld worden aan bescherming van persoonsgegevens om als een betrouwbare overheid te functioneren.

Michel Wekema gaf ons een duidelijk beeld van de aspecten die er bij informatieveiligheid een rol spelen. Informatie moet ‘beschikbaar’ zijn om de diverse diensten te kunnen uitvoeren, denk bijv. aan paspoortuitgifte en verstrekken van uitkeringen. Er moet ‘vertrouwelijk’ met informatie worden omgegaan. Dit om te voorkomen dat informatie over bijv. Jeugdzorg, Basis registratiepersonen, vergunningen en subsidie, op straat komt te liggen. En de informatie die de Gemeente gebruikt, bijv. voor WOB-verzoeken en publicatiebesluiten, dient ‘betrouwbaar’ te zijn. Om aan al deze eisen te kunnen voldoen wordt de zogeheten  ‘Baseline Informatiebeveiliging Gemeenten (BIG)’ gehanteerd.

Vervolgens ging Wekema in op een cruciaal aspect binnen de informatieveiligheid: het informatieveilig handelen van de medewerker, in het omgaan met social media, in het gebruik van de Cloud, tijdens het werken op kantoor en als onderdeel van het Nieuwe Werken. Essentieel hierbij wordt de rol van het management genoemd om dit uit te dragen, te stimuleren en te faciliteren.

Binnen de gemeente Groningen heeft men de afgelopen jaren al diverse stappen gezet om als een informatieveilige gemeente te functioneren. Het komend jaar heeft men diverse acties gepland om hier verder in te ontwikkelen, zoals een nulmeting, een mistery guest ronde, een hacktest, vergroten beveiligingsbewustzijn en een clean desk beleid.

Na de presentatie volgde een korte ronde van vragen en uitwisseling van ervaringen.

Vervolgens gaf Lourens Dijkstra van Insite Security een korte uitleg over de ‘game Alcatraz’ die door hen is ontwikkeld als een nulmeting Awareness van informatieveiligheid binnen een organisatie. Na het spelen van de game en de hieraan verbonden rapportage krijgt de organisatie zicht op de huidige stand van zaken t.a.v. de verschillende aspecten van informatiebeveiliging en kan het van daaruit de gewenste verbeteringen aanpakken. Na de uitleg hebben we vervolgens in twee groepen de verkorte route van de game gespeeld. Dit hield in dat we aan de hand van een aantal stellingen over informatieveiligheid op de gebieden Organisatie, Management en Medewerker onze eigen organisatie gingen beoordelen met een cijfer op de huidige stand van zaken en een na te streven cijfer voor de gewenste situatie. Na ca. een uur het spel te hebben gespeeld, werd plenair in het kort de ervaringen met het spel uitgewisseld. Dijkstra heeft toegezegd de resultaten van het spelverloop voor beider groepen in een rapportje uit te werken en deze de deelnemers te doen toekomen.

Het algehele beeld van deze workshop is dat zowel de presentaties als het spel ons op een praktische manier kennis heeft laten maken met de aspecten die met informatieveiligheid te maken hebben. En het heeft ons een aantal concrete handvatten gegeven om mee verder te kunnen.

Als één ding duidelijk is geworden deze middag dan is het wel dat informatiebeveiliging meer is dan techniek.

 

0 reacties