Veiligheid vraagt om handen die van aanpakken houden

Vorige week stonden de media vol met berichten over de veiligheid van de computersystemen in Rotterdam. Rotterdam zou al jaren een groot risico lopen omdat de systemen niet goed zijn beveiligd . De precieze inhoud van het rapport ‘In onveilige handen’ zelf, trok veel minder aandacht. Dat is jammer, want we denken dat de conclusies voor veel gemeenten interessant zijn.

Beleid versus praktijk

Uit het onderzoek blijkt dat de gemeente de informatieveiligheid op papier wel goed heeft geregeld, maar bij de uitvoering steken laat vallen. De rekenkamer noemt onder andere de volgende problemen in het rapport:

• onvoldoende beveiliging van digitale informatiesystemen voor aanvallen van binnenuit;
• onvoldoende fysieke beveiliging van kantoorlocaties;
• onvoldoende ‘social & security awareness’ bij medewerkers;
• de PDCA-cyclus wordt niet gevolgd;
• beveiligingsmaatregelen zijn niet gebaseerd op een systematische risicoanalyse;
• de voorgeschreven dataclassificatie is niet juist en niet volledig.

Techniek en medewerkers

Uit het onderzoek blijkt maar weer eens dat techniek, beleid en borging belangrijk zijn voor informatieveiligheid, maar houding en gedrag van medewerkers minimaal net zo veel. De Baseline Informatiebeveiliging Gemeenten (BIG) is een goed uitgangspunt, maar moet ook geborgd worden in de praktijk. Het college, MT en de medewerkers moeten beschikken over voldoende digitale vaardigheden en de juiste houding en gedrag. Daarnaast zijn voldoende capaciteit en een PDCA-cyclus belangrijk.