Norea logo

Cybersecurity op orde – 3 tips

Cybersecurity is een onderwerp waar veel organisaties mee worstelen, zo ook de overheid. Norea geeft organisaties in dit artikel 3 tips om cybersecurity op orde te brengen. Dit naar aanleiding van de rapportage van de Algemene Rekenkamer op ‘Verantwoordingsdag’ (woensdag 20 mei 2020). 9 van de 16 onderzochte ministeries en rijksorganisaties hebben de cybersecurity niet (voldoende) op orde. Zo is bijvoorbeeld de cybersecurity bij het Ministerie van Buitenlandse Zaken voor het derde jaar op rij niet op orde. Dit schrijft de Algemene Rekenkamer in haar jaarlijkse rapportage over de jaarverslagen van het Rijk.

Opvallend punt: er zijn achterstanden met de accreditaties voor systemen van de NAVO en de EU waarmee landen onderling informatie uitwisselen. Dit zijn kritische systemen met vertrouwelijke niet-militaire informatie ('gerubriceerde civiele informatie'). De Rekenkamer vindt dat de minister de Tweede Kamer een erg positief beeld van deze situatie schetst en ziet dit als illustratief voor een gebrek aan erkenning van het belang van goede informatiebeveiliging. Overall kwalificeert de Algemene Rekenkamer de tekortschietende cybersecurity bij het ministerie als een zwaarwegende tekortkoming (‘ernstige onvolkomenheid’).

NOREA

Volgens NOREA staat de rijksoverheid niet alleen en is cybersecurity ook daarbuiten een hele opgave.

'Voorzitter Irene Vettewinkel van NOREA: cybersecurity is ‘Chefsache’. Beleidsnotities, beveiligingsplannen, het is allemaal onmisbaar maar niet voldoende. Cruciaal in mijn ogen is dat de leiding van een organisatie de noodzaak van cybersecurity uitdraagt en voorleeft. In woord én daad. Anders zien medewerkers een veilige omgang met informatie al snel als hinderlijke bijkomstigheid. De kwalijke gevolgen halen regelmatig de headlines in de media.'

Drie tips

1. Vraag als eindverantwoordelijke leiding verantwoordingsinformatie over cybersecurity

  • Bepaal als eindverantwoordelijke leiding, beredeneerd vanuit risicoanalyse, het vereiste niveau van cybersecurity. Laat u ook regelmatig informeren over de gerealiseerde cybersecurity en de aanwezige restrisico’s. Onderneem wanneer nodig voortvarend actie ter verbetering. Actualiseer deze keuzes regelmatig.
  • Laat verantwoordingsinformatie over cyberweerbaarheid tenminste omvatten:
    - Huidige restrisico’s op basis van bekende cyberdreigingen.
    - Ontwikkelingen in het cyber-dreigingslandschap.
    - Mate waarin wordt voldaan aan extern en intern gestelde eisen betreffende cybersecurity-maatregelen.
    - Cybersecurity-incidenten.
    - Voortgang van verbeteracties uit het cybersecurity-verbeterplan.

2. Bepaal het tempo van verbeteren van cyberweerbaarheid op basis van risico’s en niet van resources

  • Baseer de keuze van beveiligingsmaatregelen op de cyberdreigingen uit de risicoanalyse.
  • Houd rekening met de te beschermen kroonjuwelen zoals intellectueel eigendom, beschikbaarheid van een dienst, bescherming van persoonsgegevens, en met de belangen van de organisatie, de business partners en de klanten.
  • Besluit over verbeteracties op basis van het te accepteren restrisico en niet op basis van het budget van vorig jaar.

3. Realiseer u dat u als eindverantwoordelijke leiding zelf verantwoordelijk bent en wacht niet op externe controle of toezicht

  • Vraag om regelmatige verantwoordingsinformatie over de veilige inrichting en beheersing van digitaal ontsloten diensten en producten.

Meer informatie: mail naar norea@norea.nl

bron: Algemene Rekenkamer, Resultaten verantwoordingsonderzoek 2019 – Ministerie van Buitenlandse Zaken (20 mei 2020)