Snel naar content
visualisatie van een digitale wereld

Onze kijk op informatiebeveiliging in 2022

Nieuw voor 2023

Onze kijk op informatiebeveiliging en Privacy in 2023

We hebben inmiddels onze kijk op informatiebeveiliging en Privacy in 2023 geschreven.

Lees het nieuwste artikel

Het gebruik van data neemt nog steeds toe. Persoonlijke informatie wordt steeds belangrijker en gegevens worden meer en meer gekoppeld. Dat heeft zijn voor- en nadelen, maar één ding is zeker, het blijft daarmee een interessante markt voor cybercriminelen. Daarom is het van belang de juiste maatregelen te nemen en te ‘oefenen’, zodat je voorbereid bent op een eventuele cyberaanval.

Monitoring geeft inzicht

Vorig jaar hebben we aangekondigd dat interne monitoring een opmars zou gaan maken en dat is uitgekomen. De eerste SIEM-projecten zijn gestart en we zien dat een dergelijk systeem effect heeft. Monitoring geeft inzicht! Zo is in de media te lezen dat diverse medewerkers van de GGD zijn aangeklaagd voor onrechtmatige inzage van dossiers. Meer gemeenten en organisaties gaan daarom inzetten op monitoring.

Continue kleine leermomenten

Veel organisaties hebben jaarlijks een actie met e-learning om bewustzijn op informatiebeveiliging te verbeteren. Het effect van een éénmalige actie is echter beperkt en we zien dat CISO’s en FG’s hun acties al meer aan het spreiden zijn. In deze onzekere tijd met COVID-maatregelen sluit e-learning goed aan op de belevingswereld van de medewerker, op afstand en wanneer het uitkomt. De eenmalige campagnes en acties met een beperkt effect zullen steeds minder worden, maar een aanpak gericht op ‘bewustwording’ zal het gehele jaar door  toenemen. Leveranciers van e-learning zullen hierop inspelen met producten met kleine leermomenten.

Integraal in Control

De onderwerpen informatiebeveiliging, privacy en financiën staan nu nog los van elkaar. Terwijl deze drie aspecten allemaal ten dienste staan van de burger en jouw klant. Goed financieel beheer en een systeem van interne controle hebben veel raakvlakken met informatiebeveiliging. Betrouwbare systemen leveren namelijk betrouwbare informatie op.

Er ontstaat dan ook een behoefte aan een integrale oplossing om in control te komen. Concerncontrollers zullen dan ook inzicht willen hebben in de mate waarin de organisatie scoort op diverse vlakken.  De controller moet gefaciliteerd  worden zoals als een piloot, zodat hij vanuit zijn cockpit de relatie kan leggen tussen budget en maatschappelijk effect, kwaliteit en risico’s.

Aanpassing ENSIA-stelsel

Timeline informatiebeveiliging, privacy en auditing 2021

Whitepaper

Timeline informatiebeveiliging, privacy en auditing 2021

Download gratis de timeline informatiebeveiliging, privacy en auditing 2021 met alle belangrijke deadlines. In de Timeline staan belangrijke data van verplichte audits zoals ENSIA, SUWI en DigiD. Daarnaast vind je alle deadlines ten aanzien van de regels en verordeningen van de BIO, AVG, PNIK, BRP, BGT, BRO, SUWI, Rodin en KIDO.

Download whitepaper

Wellicht wordt  het ENSIA-stelsel herzien. De BIO gaat uit van risicogericht werken maar de ENSIA gaat daar tot op heden niet van uit. Het invullen van lange lijsten met vragen over niet altijd even relevante onderwerpen, moeten we niet willen. Het wordt tijd dat ENSIA ook gaat kijken naar de risicovolle onderwerpen. De Jeugdzorg is veel risicovoller is dan de Basisregistratie adressen en gebouwen. De WMO is op haar beurt veel spannender dan de BRO.

Wachtwoorden zijn uit de tijd

Wachtwoorden zijn niet meer van deze tijd, maar toch zitten we eraan vast. Er zijn nieuwe ontwikkelingen om authenticatie in te bouwen in hardware, zodat je alleen maar vanaf een bepaald device toegang kan krijgen. Intel is bezig met een nieuwe ontwikkeling om chips hiervoor uit te rusten. Maar het chiptekort is ook in 2022 weer een uitdaging.

DigiD normenkader

Het DigiD normenkader is afgeleid van de NCSC-webrichtlijnen en die zijn op hun beurt weer afgeleid van de OWASP-top 10. In 2021 is de OWASP-top 10 geactualiseerd. Bij de beveiliging van een website is het servercertificaat een belangrijk onderdeel. Het is dan ook vreemd dat norm B.04 van de NCSC-webrichtlijnen niet is opgenomen in het normenkader. Het beheer van een certificaat is dan namelijk ook best belangrijk. Daarnaast wordt het hoog tijd dat we eens gaan kijken naar de werking van DigiD.

De risicoanalyse

Inmiddels is de BIO al twee jaar van kracht en krijgt risicomanagement een steeds grotere rol. Inzicht in het proces is hiervoor een vereiste en gemeenten krijgen dit steeds beter in beeld, dreigingen worden duidelijker en voorgelegd aan de verantwoordelijke. Vanuit daar wordt er steeds “risicogerichter” gewerkt. Waarbij niet alleen de techniek, maar ook de medewerkers worden meegenomen in de analyse.

Ransomware

Ransomware blijft ook in 2022 een van de grootste dreigingen. Niet alleen gericht op de grote bedrijven, maar juist ook bij de (kleine) toeleveranciers die mogelijk een makkelijker doel zijn. Dat maakt iedereen een potentieel doelwit en niemand ziet zijn bedrijfsvoering graag stilvallen. Moet je je verzekeren tegen de gevolgen van een ransomware aanval? Moet je betalen aan criminelen of juist niet? Komt de overheid met wetgeving die betalingen verbiedt?

Een van de bekendste manieren om binnen te komen bij organisaties om ransomware te verspreiden is phishing. Deze aanvallen worden steeds professioneler en ook dat blijft groeien. Er zal meer en beter worden ingespeeld op actualiteit, zoals inspelen op de maatschappelijk ontwrichtende nieuwsberichten, zoals de gevolgen van vaccinaties en het chiptekort in verschillende industrieën. Ook zullen verschillende grote bekende bedrijven in 2022 het slachtoffer worden van phishing en ransomware aanvallen.

Service-organisaties voor WPG-registraties

De gemeenten hebben door de externe audit op de WPG in 2021 ineens in beeld wat er georganiseerd moet worden om aan de normen van de WPG-audit te voldoen. Sommige ondersteunende informatiesystemen zijn al ver in de volwassenheid van het beheer van de WPG-gegevens. De gemeenten zullen in 2022 als gevolg van de inzichten uit de WPG-audit de inrichting en het beheer van de WPG gebruiken om een keuze te maken voor een volwassen ondersteuning door eenservice-organisatie voor WPG.

Verlies van data tegengaan

Cryptolockers blijven een grote bedreiging en tech-bedrijven zijn druk bezig met het vinden van oplossingen om organisaties te beschermen. In 2022 komen er nieuwe producten en oplossingen  om deze bedreiging het hoofd te bieden.

Regie-organisaties

Steeds meer ICT-diensten verhuizen vanuit de eigen gemeente-omgeving naar een service-organisatie. Dit leidt tot SaaS, PaaS of IaaS relaties tussen de gemeente en de service-provider. De gemeente wordt hierdoor meer een regie-organisatie. Dat vraagt andere kwaliteiten en andere aandachtspunten. De vertaling van de IB-beheersmaatregelen naar contracten en het leveranciersmanagement moet in 2022 concreet vorm krijgen, zodat de gemeente scherp in beeld heeft wat er bij de service-organisatie geregeld moét worden en wat er daadwerkelijk gerealiseerd ís.

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Dé valkuilen en tips voor de gemeentelijke ENSIA-audit

Dé valkuilen en tips voor de gemeentelijke ENSIA-audit

Een audit goed voorbereiden? Logisch dat je daar vragen over hebt. Zoals wij kijken naar de ENSIA-audit is het vooral...

Lees verder

Een dag uit het leven van Arjan van Honk, senior BI Developer bij Inergy

Een dag uit het leven van Arjan van Honk, senior BI Developer bij Inergy

Bij Inergy werken ruim 160 collega’s. Hoe zien hun werkdagen eruit? Deze keer geeft Arjan van Honk, Senior BI Developer/Consultant bij Inergy, een kijkje in zijn werkdag. Een BI-developer is iemand die verantwoordelijk is voor het bouwen en onderhouden van data-oplossingen van onze klanten. Lees over zijn dynamische werkdag in Barcelona in deze blog!

Lees verder

Onze kijk op informatiebeveiliging in 2023

Onze kijk op informatiebeveiliging in 2023

Onze auditors doen honderden audits per jaar. Het valt op ons dat een aantal vragen vaak gesteld worden. Of het nu gaat een ENSIA, WPG, SUWI, VIPP of DIGID Audit. Een aantal zaken zetten we graag voor je op een rijtje omdat jij dit ook wil weten.

Lees verder