´Uiteindelijk is iedereen informatiebeveiliger!´

We willen niet dat gegevens zomaar op straat komen te liggen. Zoals bij veel zaken is de mens een cruciale factor. Hoe gaan wij zelf met informatie om en hoe kunnen we dit verbeteren?

Samen met de ‘Information Security Officers’ bij de clusters en stadsdelen coördineert Marco (Chief Information Security Officer (CISO)) voor Amsterdam de informatiebeveiliging. Daarbij werken ze toe naar de landelijke ‘Baseline Informatiebeveiliging voor Gemeenten’ (BIG). Marco: “Amsterdam heeft in het verleden als één van de eerste gemeenten informatiebeveiliging serieus aangepakt, maar deze landelijke norm is nieuw. In de BIG staan de beveiligingsmaatregelen die elke gemeente moet treffen. Zoals op het gebied van ICT, waar wij al veel maatregelen hebben getroffen. Onze e-mail en internetverbindingen worden bijvoorbeeld permanent bewaakt en daarmee voorkomen we dat veel virussen en spam-berichten in de mailbox terecht komen. Maar alles tegenhouden kunnen we niet. Zo worden er iedere dag lekken ontdekt in software, waar we dan uiteraard iets aan doen.“

Bewust omgaan met informatie

Het is niet te voorkomen dat er soms wat fout gaat. Gestolen telefoons, achtergelaten printjes bij de printer, een verloren USB-stick of virussen via een populaire website. “We kunnen veel doen in de techniek en in processen en procedures, maar uiteindelijk is de manier waarop ruim 13.000 collega’s omgaan met informatie minstens zo belangrijk. Voor ons allemaal geldt, wees je bewust van risico’s! 100% veiligheid is onmogelijk. Door bijvoorbeeld de snelle ontwikkelingen ontstaan nieuwe risico’s en daar reageren we uiteraard op. Wat enorm helpt, is als alle collega’s alert zijn. Om dat te stimuleren gaan we in 2017 extra aandacht geven aan wat je als ambtenaar zelf kunt doen om veilig om te gaan met informatie,” aldus Marco.

Sleutelrol

“De gemeente Amsterdam heeft in 2015 een plan vastgesteld voor de implementatie van de BIG. Doordat we nu door de reorganisatie meer 1Amsterdam zijn, kunnen we makkelijker generieke beveiligingsmaatregelen nemen. Denk aan het beveiligen van de standaard werkplek en het verbeteren van het toegangsbeheer tot onze gebouwen. De clusters en stadsdelen hebben in kaart gebracht welke maatregelen zij zelf nog moeten regelen. De informatiebeveiligers bij de clusters hebben een sleutelrol; zij weten wat er gebeurt in de stad en binnen de organisatie, kunnen risico’s signaleren en het management adviseren over te nemen maatregelen.”

Werken aan betere beveiliging: workshops

Jaap de Munnik, adviseur privacy- en informatiebeveiliging stadsdelen: “Bij de stadsdelen zijn onder andere workshops Informatiebeveiliging georganiseerd met medewerkers uit verschillende disciplines: vergunningen, handhaving en toezicht, business control en bestuur en organisatie. We bekijken de huidige situatie en de gewenste situatie. We bespreken hoe zij in de dagelijkse praktijk omgaan met (gevoelige) gegevens. Denk aan persoonsgegevens van bewoners en medewerkers, financieel-administratieve gegevens, gegevens van openbare orde en veiligheid, medische en zorggegevens. Nieuw aan deze aanpak is dat we uitgaan van de kennis van de medewerkers en dat zij vanuit hun dagelijkse praktijk weten waar risico’s aanwezig zijn. In het verleden keek een auditor aan de hand van een checklist hoe de beveiliging op papier is geregeld. Met deze aanpak kunnen we gerichte maatregelen treffen om de risico’s zo klein mogelijk te maken en krijgen medewerkers tekst en uitleg over actuele ontwikkelingen in de informatiebeveiliging.”

Wat kun je zelf doen? Een aantal voorbeelden:

• Wees alert op phishing berichten.

• Voer geen vertrouwelijke gesprekken op een openbare plek.

• Maak geen gebruik van openbare Wifi-verbindingen die je niet kent.

• Stuur geen werkgerelateerde mail door naar een privé mailaccount.

• Let op je telefoon en pas de pincode aan en gebruik een

• langere pincode dan 4 cijfers.

Bij wie kan ik terecht?

Elk cluster heeft information security officers. Bij hen kan je terecht voor vragen, maar ook om signalen en tips uit de organisatie door te geven. Op intranet kan je zien wie jouw information security officers zijn en vind je meer informatie over informatiebeveiliging.

Kijk ook op intranet