Voorspellingen 2021 informatiebeveiliging privacy
21.12.2020

8 voorspellingen voor 2021: van risicomanagement en een audit op de BIO tot toetsing op werking en ransomeware

Het was het jaar van de Baseline Informatiebeveiliging Overheid (BIO), thuiswerken door de coronacrisis, het Citrix incident en ransomeware aanvallen op publieke organisaties. Veel gemeenten zijn nog sneller gedigitaliseerd. Het werk moest doorgaan, dat stond voorop. Daarmee is de security naar de tweede, derde of zelfs vierde plaats verschoven. De manier waarop gemeente omgaan met security moet in het komende jaar veranderen. Wat heeft 2021 in petto voor jou als privacy of security expert? Joost van Bree en Ronald Driehuis van SafeHarbour zetten uiteen welke ontwikkelingen zij voorspellen voor het komende jaar. Maak je borst maar nat: informatiebeveiliging en privacy staan in 2021 verre van stil. Een ding is zeker: het wordt het jaar van de volgende stap.

1. Netwerk monitoring als speerpunt

Dit jaar werden meerdere publieke organisaties gehackt. Niet vreemd. Je bent als organisatie immers net zo sterk beveiligd als je meest zwakke plek. De vraag is dan wie eerder weet waar die zwakke plek zit. De hacker of jij? De techniek ontwikkelt zich continu, maar hackers worden ook steeds slimmer en zitten niet stil. 2021 is geen jaar van de wonden likken of de schouders op te halen en te denken: ‘dat overkomt onze organisatie toch niet’. De noodzaak en bewustwording zijn op een dermate niveau dat Netwerk monitoring een speerpunt is geworden. Denk hierbij aan SIEM oplossingen zoals wordt genoemd in de BIO. Of wellicht is op korte termijn een SAM oplossing die in realtime de netwerk metadata analyseert veel realistischer, omdat de implementatie hiervan een stuk eenvoudiger is.

2. Management aan zet

Voorheen was het mogelijk om weg te komen door te zeggen dat het wel goed zat. Door het gebruik van wat technische- en vaktermen ben je al snel geloofwaardig. Waar je eerst liet zien dat ‘het wel goed zat’ is het tegenwoordig de realiteit om via de collegeverklaringen te bewijzen dat alles op orde is! Tell me. Show me. Prove me. Het komende jaar maken organisaties stappen in het inrichten van de organisatie, zodat zij de prestaties van hun financiën en informatiebeveiliging kunnen aantonen voor de auditor. Het management is nu aan zet om het voortouw te nemen en moet daarbij de omslag maken van micromanagement naar het inrichten van de control aspecten. Een goede en effectieve inrichting van processen en de interne controle daarop, is een belangrijke voorwaarde. Inzicht brengt overzicht en pas dan kan je als organisatie in control komen.

3. Je kunt er niet meer omheen: risicomanagement

Risicomanagement is meer dan ooit aan de orde van de dag. In het eerste jaar van de implementatie van de BIO lag de nadruk op de GAP analyse. In 2021 kijken wordt er nadrukkelijk naar de aanvullende maatregelen die nodig zijn gekeken. Door het continu identificeren en beoordelen van risico’s binnen jouw organisatie, bepaalt het management wat nodig is om de informatie adequaat te beschermen. Risico’s zijn niet altijd eenvoudig om inzichtelijk te krijgen. In de voorganger van de Baseline Informatiebeveiliging Overheid (BIO): de BIG, stond een set aan regels centraal. In de BIO is dat even anders. De BIO geeft een basis, maar je moet je zelf tot een compleet veiligheidspakket komen met behulp van risicomanagement. Risicomanagement heeft als doel de bedrijfsmiddelen van de organisatie op een goede manier te beschermen. Daarnaast helpt het je om efficiënter en effectiever te zijn in je aanpak. Door uit te gaan van de risico’s in jouw organisatie doe je dat wat nodig is om deze risico’s te beperken. Achterover leunen is er helaas niet bij. Risicomanagement zorgt van een voortdurend leerproces en is cyclisch. Als je weet waar jouw risico’s zitten dan weet je ook waar jij kunt verbeteren. Als je niet verbetert dan blijf je kwetsbaar. Durf breed te kijken naar mogelijke risico’s en betrek andere om verschillende scenario’s uit te denken.

Gelukkig hoef jij dit allemaal niet zelf te verzinnen. Er zijn verschillende methoden die dit makkelijker voor je maken. De Governance, Risk & Compliance tool van SafeHarbour helpt jou bij het uitvoeren van een risicoanalyse. Daarnaast geeft het je inzicht in het beheersen van interne processen, gedragscodes en wet- en regelgeving. Met behulp van IC Control analyseer je samen met het management eenvoudig risico’s binnen de processen van jouw organisatie.

4. ENSIA-audit: van opzet en bestaan naar werking

Als sinds het bestaan van ENSIA in 2017 is er het voornemen om in de ENSIA-audit naast opzet en bestaan ook te toetsen op werking. Dit gaat in 2021 gebeuren. Naast het toetsen of het beleid en de procedures aanwezig én actueel zijn (opzet) en of deze procedures en het beleid tenminste één keer aantoonbaar gevolgd worden (bestaan), wordt ook gekeken naar werking. Wordt er daadwerkelijk zo gewerkt als is afgesproken en vastgelegd? Als organisatie ben je alleen veilig wanneer je altijd conform afspraken werkt. Met de stap naar werking wordt jouw gemeente getoetst op het aantoonbaar in control zijn. Je stelt daarmee vast of de opzet is gevolgd én of er een evaluatie heeft plaatsgevonden gedurende het jaar. Hoe kun je jouw organisatie voorbereiden op de verantwoording op de werking? Dat kan met een beknopte GAP-analyse (wat moeten we doen om de werking ook aan te kunnen tonen?) of een ENSIA-audit waarin één of twee normen alvast op werking getoetst worden.

5. BIO Audit

De BIO heeft als doel om het niveau van informatiebeveiliging en privacybescherming te verhogen. Het is dan ook een logisch stap om met de ENSIA verantwoording deze lijn te volgens. We verwachten dan ook dat de kernaspecten van het ISMS in de Collegeverklaring over 2021 en daarmee de audit worden meegenomen. De logische kernaspecten zijn dan:

  • Het informatiebeveiligingsbeleid;
  • De risicoanalyse;
  • Het informatiebeveiligingsplan.

Vanuit deze basis kunnen we komende jaren doorpakken naar andere onderwerpen. Ieder hoofdstuk van de BIO kent namelijk wel een aantal kernaspecten waardoor gemeenten getrapt kunnen doorgroeien naar het niveau van certificering.

6. Ransomeware: To pay or not to pay?

We hebben gezien dat de business case voor de universiteit Maastricht opging om de hackers €200.000 (in Bitcoin) te betalen. Ook de gemeente Hof van Twente staat voor een groot dilemma. Betaal je de hackers om de geblokkeerde en gestolen data terug te krijgen of begin je opnieuw? Een ding is zeker: Ransomware (of gijzelsoftware) blijft ook in 2021 een van de grootste uitdagingen! Ransomware blijft een dermate serieuze bedreiging vanwege het verdienmodel. Het kost een kleine moeite en kan veel opleveren. Er hoeft maar één medewerker te zijn die op de verkeerde link klikt en het kan al te laat zijn. Je hoort de zin “het is niet de vraag OF maar wanneer je gehackt wordt” vaker voorbij komen. De BIO richt steeds meer op risicomanagement. Wees voorbereid op het slechte en stem daar je maatregelen op af. Zorg dat je een plan hebt klaar liggen met daarin uitgewerkt hoe te reageren op een dergelijke situatie, welke stappen je zet en wie je daarvoor nodig hebt. En oefen! Speel het scenario door met belanghebbende en scherp je plan aan. Zorg dat je voorbereid bent.

7. Thuiswerken

Een van de dingen die ook na de Covid-pandemie zal blijven; thuiswerken of werken op afstand. Dit jaar is er in een noodvaart het mobiel werken verder uitgerold. Het komende jaar is het tijd voor de volgende stap: het beleid en maatregelen aanpassen op de nieuwe situatie, omdat steeds meer medewerkers thuis of op afstand werken.

8. De flexibele CISO

Als CISO bij een gemeente of andere overheidsorganisatie ben je adviseur. Om je heen gebeurt van alles: medewerkers hebben en gebruiken eigen middelen, applicaties verdwijnen in de Cloud en het netwerkverkeer vindt niet alleen tussen 9.00 en 17.00 uur plaats. Als CISO moet je hierin flexibel zijn om je aan te passen deze nieuwe werkelijkheid en nieuwe omgevingen om te beveiligen. Immers blijft de technologie zich ontwikkelen, het management blijft eigen(wijze) keuzes maken en gebruikers blijven gebruikers. Afstemming zoeken met het management, de gebruikers niet uit het oog verliezen, de techniek afstemmen op de wensen en de security by design waarborgen.

Heb jij ook een voorspelling die niet mag ontbreken? Wij horen deze graag van je! Stuur deze op naar info@safeharbour.nl.