Stand van zaken Informatiebeveiliging
Het belang van informatiebeveiliging wordt steeds belangrijker in een steeds verder digitaliserende wereld. Ook gemeente Dordrecht ziet dit belang en er wordt dan ook veel gedaan om toenemende dreigingen het hoofd te bieden.
Voortbordurend op het jaar 2022 is inspanning verricht op zowel het versterken van de bewustwording als het voorbereiden op een IT-crisissituatie. Dit doen we omdat bewustwording risico's verkleint maar we desondanks toch zo goed mogelijk voorbereid moeten zijn op een mogelijk incident. Door het treffen van technische en organisatorische beveiligingsmaatregelen versterken wij onze dijken en zijn wij compliant aan wet- en regelgeving. Echter bestaat 100% zekerheid op het uitsluiten van risico’s niet. Het is aan het lijnmanagement om risico’s te beperken of te accepteren, op basis van de adviezen van IB-adviseurs.
Bewustwording is een onmisbaar onderdeel voor het inrichten van de IB-organisatie. Dit geldt ook voor 2023. Bewustwording blijft een aandachtspunt binnen informatiebeveiliging. In dit kader is onder andere het Altijd Alert-programma voor onze medewerkers gelanceerd. Hierin wordt extra informatie beschikbaar gesteld via ons sociaal intranet en krijgen medewerkers op regelmatige basis updates en bewustwordingsmomenten aangeboden. In de loop van het jaar volgt een flyer-/postercampagne voor het melden van beveiligingsincidenten. Dit zal in samenwerking met Privacy opgepakt worden. Ook wordt dit jaar de toegang tot de panden extra gecontroleerd en geëvalueerd door een opschoning van de toegangstags. En is er extra aandacht voor de beveiliging van zogenaamde slimme devices zoals camera’s.
Wat betreft het voorbereiden op een IT-crisissituatie zijn er verschillende interventies ondernomen. Er zijn maatregelen getroffen om zowel het crisisproces als de organisatie op orde te brengen. Daarnaast zijn wij bezig om 'bedrijfscontinuïteitmanagement' te actualiseren waarbij het ook van belang is om voor elk bedrijfskritisch proces een bedrijfscontinuïteitsplan op te stellen. Wij hebben onze bedrijfskritische processen (processen die niet langer dan 48 uur eruit mogen liggen) in kaart gebracht. We zijn begonnen om deze plannen op te stellen om voor elk proces een veilige bedrijfsvoering te kunnen borgen, en een herstel van de dienstverlening na een calamiteit mogelijk te kunnen maken. Dit project zal zeker tot in 2024 doorlopen. Daarnaast is een eerste crisisoefening (‘Crisis Game’) gespeeld. Het is de bedoeling dat er soortgelijke crisisoefeningen worden uitgevoerd voor alle bedrijfskritische processen zodat direct duidelijk is wat al goed gaat en waar nog verbetering nodig is. Daarnaast is er vanuit informatiebeveiliging ook aandacht aan het compliant maken van onze nieuwe digitale werkruimte aan de wettelijke vereisten. De juiste licenties hiervoor zijn aangeschaft en worden nu door KPN, onze ICT-partner ingeregeld.
De ENSIA over het jaar 2022 is zonder bevindingen afgerond. Dit houdt in dat de gemeente Dordrecht voldoet aan de beheersingsmaatregelen die door externe toezichthouders zijn gesteld rondom onze informatieveiligheid.