Testen en oefenen ter bevordering van informatiebeveiliging: 6 aanbevelingen
Een onderzoek naar testen en oefenen bij provincies, gemeenten en waterschappen
Testen en oefenen zijn belangrijke componenten van informatiebeveiliging. Ze zijn nodig om inzicht te krijgen in kwetsbaarheden in de ICT en de organisatie als geheel, en dragen bij aan het versterken van de effectiviteit van de informatiebeveiliging. In opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties onderzochten ICTU en De Haagse Hogeschool hoe gemeenten, provincies en waterschappen omgaan met het testen en oefenen van hun informatiebeveiliging en welke knelpunten zij daarbij ervaren. Dit artikel biedt een beknopt overzicht van de bevindingen van dit onderzoek.
Informatiebeveiliging bij medeoverheden
Gemeenten, provincies en waterschappen zijn actief bezig met het versterken van hun informatiebeveiliging. Dit blijkt onder meer uit het grote aantal initiatieven, projecten en programma’s dat tijdens het onderzoek naar voren kwam. De invoering van de Baseline Informatiebeveiliging Overheid, het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen) speelt hierbij een centrale rol. Vaak ligt de nadruk vooral op de implementatie van nieuwe informatiebeveiligingsmaatregelen. Veel minder aandacht was en is er voor het evalueren en indien mogelijk verbeteren van de reeds genomen maatregelen.
Verbeterpunten aanpakken
En dat is zonde, stelt onderzoeker Emiel Kerpershoek van het lectoraat Cyber Security and Safety: “Testen en oefenen zijn essentiële onderdelen van professionele informatiebeveiliging. Toch wordt er in de praktijk nog onvoldoende gebruik van gemaakt. Door te testen wordt duidelijk waar de zwakke punten van de informatiebeveiliging zitten en door te oefenen wordt de uitvoering van informatiebeveiligingsmaatregelen verbeterd. Beide aspecten zijn onmisbaar.
Aanbevelingen
Op basis van het onderzoek doen we de volgende aanbevelingen om het testen en oefenen bij medeoverheden te stimuleren:
- Gebruik testen en oefenen om aan te tonen in hoeverre overheidsinstanties voldoen aan de NIS2-richtlijn.
De Europese Unie wil met de NIS2-richtlijn de cyberweerbaarheid verhogen van organisaties die cruciaal zijn voor het functioneren van onze samenleving. Vanaf oktober 2024 moeten ook overheden aan deze richtlijn voldoen. Om dit aan te tonen, moeten ze rapporteren over de inrichting van hun informatiebeveiliging. Hier kunnen zij test- en oefenresultaten voor benutten. - Regel eigenaarschap voor informatiebeveiliging in de organisatie.
Door heldere afspraken te maken over wie verantwoordelijk is voor de informatiebeveiliging van processen en systemen (en daarmee ook voor het testen en oefenen), voelen systeem- en proceseigenaren zich hier meer verantwoordelijk voor. - Maak informatiebeveiliging een integraal onderdeel van afdelingsjaarplannen.
Zorg ervoor dat de proces- en systeemeigenaren informatiebeveiliging, en het daarvoor benodigde testen en oefenen, opnemen in hun reguliere jaarplannen. Planmatig en risico-gestuurd testen en oefenen is nodig voor effectieve informatiebeveiliging. - Werk samen met andere overheidsinstanties om de beschikbare menskracht en expertise voor testen en oefenen beter in te zetten.
Een tekort aan personeel en expertise kan een belemmering vormen voor testen en oefenen. Voor instanties met beperkte middelen kan samenwerking met andere organisaties een waardevolle oplossing zijn, bijvoorbeeld door het delen van een fulltime Chief Information Security Officer. - Gebruik audits als middel om informatiebeveiliging op de bestuurlijke agenda te krijgen.
Audits, maar ook de inzet van accountants en toezichthouders, kunnen bijdragen aan het vergroten van het gevoel van urgentie voor informatiebeveiliging bij het senior management. Dit kan bijvoorbeeld worden bereikt door gedetailleerde onderbouwing van informatiebeveiliging te vragen in auditrapporten, bij inspecties, of als voorwaarde voor de goedkeuring van financiële verslagen. - Ondersteun Chief Information Security Officers bij het agenderen van informatiebeveiliging bij de directie en het bestuur.
Maak hierbij gebruik van bestaande kennisproducten en samenwerkingsmogelijkheden met kennispartners zoals de Informatiebeveiligingsdienst voor gemeenten en het Centrum voor Informatiebeveiliging en Privacy.
Meer informatie
Wil je meer weten over het onderzoek? Lees erover in het adviesrapport ‘Testen en oefenen van informatiebeveiliging door gemeenten, waterschappen en provincies’.