Voorheen worstelde voornamelijk de afdeling Burgerzaken met het op orde krijgen van de informatiebeveiliging. Echter, door de ontwikkeling van de BAG en de SUWI speelt het onderwerp informatiebeveiliging binnen gemeenten een steeds meer integrale rol en vormt het onderwerp inmiddels een essentieel onderdeel van vele gemeentelijke bedrijfsprocessen. Terwijl informatie steeds vaker digitaal wordt opgeslagen en wordt gedeeld met binnengemeentelijke en buitengemeentelijke afnemers, blijft de gemeente volledig verantwoordelijk voor het gebruik hiervan volgens de regels, zoals onder andere is vastgelegd in de wet GBA en BAG. Een gemeentebrede aanpak kan ervoor zorgen dat niet alleen aan alle wet- en regelgeving wordt voldaan, maar dat eveneens een solide basis wordt gelegd waardoor de veiligheid van informatie een onlosmakelijk onderdeel van de gemeentelijke bedrijfsprocessen wordt.

Het integreren van informatiebeveiliging in de operationele taken, de P&C-cyclus en het rechtmatigheidskader is door gebrek aan capaciteit en kennis vaak een probleem. BMC kan u helpen bij deze problemen en een integrale aanpak daarvan.

Niet alleen harde maar ook zachte controls
Voor een gedegen aanpak is het van belang om rekening te houden met een aantal bedrijfskundige factoren. Via het onderstaande schema hebben we de verschillende elementen van informatiebeveiliging en hun onderlinge relatie in beeld gebracht.

Organisatie, processen en techniek worden ook wel 'harde controls' genoemd. Deze aspecten zijn met voldoende kennis en een gemiddelde inspanning vaak goed in te richten. We hebben het dan over beleid, functiebeschrijvingen, procedures en technische maatregelen. Deze aspecten zijn noodzakelijk, maar ze zorgen er niet per definitie voor dat het niveau van informatiebeveiliging ook daadwerkelijk omhoog gaat.

Wanneer de getroffen maatregelen niet aansluiten bij de personele en culturele aspecten, zullen de beperkingen van de harde maatregelen aan het licht komen. Uit verschillende onderzoeken (o.a. Gartner) blijkt dat ruim 70% van de security-incidenten wordt veroorzaakt door de inrichting van de interne organisatie. Veel voorkomende zaken zijn het noteren en delen van wachtwoorden, de wiggen tussen verbindingsdeuren en het openlijk laten liggen van vertrouwelijke informatie.

Het is voor een organisatie dus minstens zo belangrijk om op grond van de personele en culturele aspecten, de 'zachte controls', actie te ondernemen. Bewustzijn is belangrijk, maar het is zeker niet de enige factor die hierbij van belang is. BMC heeft een programma ontwikkeld dat meerdere personele, culturele en organisatie aspecten aandacht geeft.

Drie niveaus
Het integrale beveiligingsplan van BMC bestaat uit een drietal niveaus. Op het hoogste niveau bevindt zich het integraal informatiebeveiligingsbeleid. Dit beveiligingsbeleid vormt de paraplu voor alle onderliggende gebieden, zoals de GBA, de BAG en de SUWI. Maar het kan eveneens voor vele andere gebieden gelden, zoals een DMS en financiële of personele informatiesystemen. Dit integraal informatiebeveiligingsbeleid heeft een doorlooptijd van ongeveer 4 tot 5 jaar. Op de tweede laag bevindt zich de risico-inventarisatie en het daaruitvolgende stappenplan. Dit plan bevat de route waarlangs verbeteringen kunnen worden bereikt. Voor deze fase is een speciaal programma ontwikkeld waarin - samen met de organisatie - zowel de ‘harde' als de ‘zachte' aspecten ten aanzien van informatiebeveiliging verder worden ontwikkeld. Als laatste wordt per deelgebied een concreet operationeel beveiligingsplan opgeleverd dat voldoet aan alle wettelijke eisen, maar waarbij eveneens verankering binnen de gemeentelijke organisatie is meegenomen.

De rol van BMC
Vanuit de jarenlange ervaring van BMC op het gebied van beveiliging rond de GBA heeft BMC digitale beveiligingsplannen ontwikkeld voor de aansluitfase van de BAG en de SUWI. Daarnaast hebben we oplossingen voor de Wmo en uw financiële en personele pakketten.

Binnen beveiligingstrajecten zijn verschillende scenario's mogelijk. We kunnen het volledige traject verzorgen en we kunnen u ondersteunen bij de verschillende stappen in het plan. We kunnen taken volledig van u overnemen, en we kunnen een rol spelen bij het coachen en begeleiden van de specialisten in de organisatie.