Informatiebeveiliging in 2022

Bij Centric Public Sector Solutions wordt hard gewerkt aan de vertrouwensbasis met gemeenten, onder andere door certificering binnen de eigen informatiebeveiliging. Daarnaast wordt het portfolio uitgebreid met twee interessante producten op het gebied van Privacy & Security.

Nils Hoole is Privacy & Security Officer voor Centric Public Solutions, hij licht toe wat 2022 brengt in zijn vakgebied.

Security Awareness

Mensen leren het beste spelenderwijs, vertelt Nils Hoole. “Informatie blijft beter hangen wanneer we het gepresenteerd krijgen in bewegend beeld en geluid.” Daarom werkt Centric nauw samen met ARDA, maker van ‘serious games’. In de categorie ‘gamified security awareness’ spelen mensen online realistische securityscenario’s na. Collega’s gaan bijvoorbeeld samen op zoek naar het datalek in de organisatie. Of ze moeten raadsels rondom gijzelsoftware oplossen om hun bedrijf te redden. “We horen uit klantsessies en gebruikersverenigingen dat er veel behoefte is aan informatie over beveiliging, de risico’s en de maatregelen die genomen kunnen worden. Deze vorm maakt het leuk om erover te leren.” Nils merkt dat het nog steeds nodig is. Centric blijft zelf ook leren en organiseert ook dit jaar weer een privacy- en securityweek voor zijn medewerkers, met opfriscursussen en zeker ook spelen met ARDA.

Crisismanagement

Management en directie volgden in het prille voorjaar een crisismanagementtraining. Dit keer geen hogedruksessie waarin acuut moest worden gereageerd op gespeelde dreiging, maar een bedachtzamere bijeenkomst met ruimte voor reflectie en het uitwerken van scenario’s. Wat te doen als cruciale systeem worden aangevallen? Wie doet wat wanneer systemen zijn gegijzeld door ransomware? “We kunnen iedereen zo’n oefening in scenariodenken aanbevelen,” zegt Nils. “De gebeurtenissen rondom LOG4J maakten duidelijk dat te weinig organisaties een continuïteitsplan hebben. Dat is wel nodig. Ik noem maar iets: we hebben allemaal onze backups op orde, maar weten we ook hoe we ze moeten terugzetten? Formeer een crisisteam dat weet hoe te handelen als er iets gebeurt.” De grootte van de organisatie maakt niet uit. En het plan hoeft ook niet duimendik te zijn. “We kennen de grootste risico’s. Bespreek ze met elkaar, praat over de groepen binnen en buiten de organisatie die het hardst geraakt worden door een digitale aanval, en welke acties nodig zijn om zo snel mogelijk weer aan de slag te kunnen.” En leg de communicatiestrategie vast, adviseert Nils. “In tijden van stress vergeten we dingen. Volg de stappen die je eerder met de organisatie hebt gedefinieerd.”

Nog een laatste tip: bij de vakgroep Informatieveiligheid en Privacy van de Gebruikersvereniging Centric zijn altijd mensen te vinden die interesse hebben in dit onderwerp. Neem contact op met de secretaris voor meer informatie.

Privacy Workspace

In het kader van informatieveiligheid en privacy biedt Centric Public Sector Solutions het eigen product Privacy Workspace. Het is met name bedoeld voor Privacy Officers en FG’s (Functionarissen Gegevensbescherming). De applicatie geeft inzicht in de verwerking van persoonsgegevens binnen aangesloten applicaties, zoals bijvoorbeeld personeelsgegevens of gegevens van inwoners. Nils: “Stel dat een medewerker een kijkje wil nemen in de gegevens van een BN’er of dat een onverlaat om 3 uur ’s nachts toegang probeert te krijgen, dan krijgt de Privacy Officer en/of FG een melding daarvan in het dashboard van de applicatie.”

ISO-certificering

Centric Public Sector Solutions is al een aantal jaar ISO27001-gecertificeerd voor de beheerorganisatie en heeft deze ISO-certificering ook behaald voor de software ontwikkelorganisatie. Dit certificaat toont aan dat het informatiebeveiligingsmanagementsysteem rondom de ontwikkeling van veilige software op orde is. De externe audit was begin dit jaar. Voor Nils was het een ideale manier om in korte tijd alles te leren over informatiebeveiliging in het bedrijf waar hij sinds een jaar werkt. En dan bedoelt hij ook echt alles. Hij legt uit: “Deze ISO-certificering vraagt om het uitschrijven van alle processen rondom secure software development. Ik zit in het projectteam dat contact onderhoudt met de externe auditpartij. Dat betekent dat we alle informatie verzamelen en in kaart brengen: hoe lopen de processen, waar is de informatie belegd, wie heeft toegang tot wat. Maar ook wat het wachtwoordenbeleid is, hoe de test- en ontwikkelomgeving gescheiden is van de productieomgeving. Alles heeft een security-element.”

Nils legt uit dat Centric voor softwareontwikkeling al jaren werkt volgens de ISO-standaard, maar dat certificering duidelijk aantoont dat de informatiebeveiliging op orde is. “Daarbij is certificering steeds vaker een eis in aanbestedingen en verwerkingsovereenkomsten. Vertrouwen is essentieel en we willen gemeenten dat graag geven.” Hij zal ook nauw betrokken zijn bij de jaarlijkse DigiD-audit, later dit jaar. “Gemeenten hebben applicaties waarmee inwoners inloggen op hun systemen. Dan is het belangrijk dat wij als leverancier waarborgen geven dat dit met onze applicaties veilig kan. In oktober gaat het certificaat naar alle gemeenten waarmee zij kunnen aantonen dat ze gebruik maken van een partij die DigiD gebruikt op een manier die betrouwbaar is voor de hele keten.”

Meer weten over Privacy & Security

Privacy Workspace

Arda Security awareness training