Globaal rapport - tweede thema-audit Informatiebeveiliging

In 2018 verscheen het eerste globaal rapport van de thema-audit Informatiebeveiliging die Audit Vlaanderen uitvoerde bij 28 lokale besturen. Dat initiatief toonde aan dat de informatiebeveiligingsrisico’s onvoldoende beheerst waren. Sindsdien nam niet enkel de digitalisering van de lokale besturen maar ook de problematiek van phishing en/of ransomware aanvallen verder toe. Daardoor vergrootten ook de informatiebeveiligingsrisico’s.

Om te evalueren of de lokale besturen inmiddels vooruitgang hebben geboekt, voerde Audit Vlaanderen in 2020 een tweede thema-audit informatiebeveiliging uit bij 6 andere lokale besturen. De bevindingen zijn gebundeld in het globaal rapport Informatiebeveiliging 2020.

Voorpagina globaal rapport TA Informatiebeveiliging 2020
Klik op de afbeelding om het globaal rapport te openen.
Globaal rapport

Audit Vlaanderen geeft de belangrijkste bevindingen uit de audits weer in een globaal rapport. In dit globaal rapport leest u onder andere:

  • wat de belangrijkste conclusies zijn van deze thema-audit;
  • welke verbeterpunten er zijn voor informatiebeveiliging bij lokale besturen;
  • welke initiatieven er bestaan om als lokaal bestuur zelf verder aan de slag te gaan.
Aanpak

Deze thema-audit Informatiebeveiliging 2020 evalueert in welke mate bij de lokale besturen beheersmaatregelen aanwezig zijn om het gewenste niveau van integriteit, vertrouwelijkheid en beschikbaarheid van informatie te kunnen garanderen.

Deze thema-audit bouwt verder op de belangrijkste onbeheerste risico’s zoals vermeld in het eerste globaal rapport over informatiebeveiliging van 2018 en houdt ook rekening met bijkomende verplichtingen ten gevolge van de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG).

Vaststellingen

De auditresultaten tonen aan dat de geauditeerde lokale besturen de risico’s rond informatiebeveiliging nog onvoldoende beheersen.

De resultaten liggen in lijn met de resultaten van de eerste thema-audit Informatiebeveiliging uit 2018. Hoewel het belang van ICT en daarmee van informatiebeveiliging almaar toeneemt, lijken lokale besturen (voor zover nog niet geauditeerd hieromtrent) tussen 2018 en 2020 geen noemenswaardige vooruitgang te hebben geboekt met de beheersing van deze risico’s.

De geauditeerde lokale besturen blijken wel aan de basisverplichtingen van de AVG te voldoen. Voor de bescherming van persoonsgegevens in de praktijk zijn al inspanningen geleverd maar blijft verdere aandacht aangewezen.

Aan de slag

ICT-veiligheidsaudits met cofinanciering

De Vlaamse overheid besliste in 2020 om lokale besturen ondersteuning te bieden om hen beter toe te laten hun informatiebeveiliging te verbeteren. Zo kunnen lokale besturen naast andere initiatieven ook gebruik maken van cofinanciering voor de inzet van professionele auditfirma’s. Reeds 83 lokale besturen bestelden in 2020 een ICT-veiligheidsaudit met cofinanciering.

Nog tot eind 2021 kan van dit aanbod verder gebruik gemaakt worden om zeer voordelig ondersteuning in te huren om de meest prioritaire risico’s rond cyberveiligheid aan te pakken. Het basisaanbod bevat zowel testen om zwakke plekken te identificeren als de mogelijkheid om samen met experten aan informatiebeveiliging te werken. Eens een bestuur een basisaudit heeft laten uitvoeren, kunnen ook aanvullende auditdiensten worden besteld, bijvoorbeeld om met alle betrokkenen -inclusief managementteam, burgemeester en college- gezamenlijk een simulatie van een ransomware-incident te doorlopen of om werk te maken van een volwaardig bedrijfscontinuïteitsplan, enzovoort. Voor praktische informatie neemt u best contact op met de betrokken auditfirma's.

Goede praktijken en andere inspiratiebronnen

Momenteel blijven vele haalbare beschermingsmaatregelen vaak onderbenut. Het actueel houden van de ICT-systemen, een gedegen wachtwoordbeleid, een goed beheer van alle toegangen en rechten en werk maken van een volwaardig bedrijfscontinuïteitsplan zijn haalbare maatregelen die toch echt verschil maken. De website met goede praktijken voor lokale besturen kan daarvoor als inspiratiebron dienen.

Vanuit verschillende organisaties en op verschillende manieren worden mogelijkheden geboden om samen te werken en kennis te delen over informatiebeveiliging. Onder andere de VVSG en V-ICT-OR ontplooien hiervoor verschillende initiatieven.

Lokale besturen met een betere organisatiebeheersing, beheersen de onderzochte risico’s voor informatiebeveiliging in het algemeen beter. Werk maken van organisatiebeheersing loont dus ook hiervoor.