Paragrafen

Paragraaf Weerstandsvermogen en Risicobeheersing

9.

Risico’s informatieveiligheid

Risico

De informatievoorziening kan de vertrouwelijkheid, beschikbaarheid en integriteit van informatie onvoldoende borgen.
NB: De operationele techniek voor bediening en elektronische aansturing van mechanische en/of industriële objecten (zoals bruggen, pompen, gemalen, verkeersinstallaties) is op dit moment belegd bij DBI en maakt nog geen onderdeel uit van deze paragraaf.

Oorzaken

Mogelijke oorzaken voor risico’s in de informatievoorziening zijn:

  • Onvoldoende waarborgen in de processen (binnen en buiten de afdeling I&A)
  • Technische tekortkomingen in de ICT-infrastructuur en informatiesystemen
  • Kwetsbaarheid voor cybersecurity-incidenten
  • Onvoldoende aandacht van medewerkers

Gevolg(en)

De dienstverlening kan stilvallen, maar ook de bescherming van persoonsgegevens loopt gevaar. Gevolgen van het gebruik van onjuiste informatie kan leiden tot verkeerde besluitvorming.
Onvoldoende informatiebescherming kan leiden tot financiële- en reputatieschade en schade aan bedrijfseconomisch belang.

Achtergrond-informatie

Binnen de provincie wordt steeds meer datagedreven gewerkt. Dit betekent dat besluiten op data worden gebaseerd en daarmee is betrouwbare informatie cruciaal voor het functioneren van onze organisatie. Onze bedrijfsvoering kan substantieel geschaad worden als knelpunten optreden in de informatievoorziening of informatiebescherming. GS en PS worden periodiek vertrouwelijk geïnformeerd over (optredende) risico’s met betrekking tot informatieveiligheid.

Maatregelen

  • Regelmatig onderzoeken uitvoeren en ethische hackers inzetten.
  • Risicomanagement binnen de operationele processen van de afdeling I&A.
  • Regelmatig risicoanalyses-uitvoeren op de bedrijfsprocessen. Risicobeheersing organiseren en uitvoeren.
  • Communicatie en bewustwording (ook een risicobeperkende maatregel) op het gebied van informatieveiligheid en privacy heeft inmiddels een continu karakter.

Status risico

Door de afdeling Informatisering en Automatisering worden vanuit technisch oogpunt al vele maatregelen getroffen om geconstateerde technische risico’s te beheersen. Op het organisatorische -, bedrijfsproces en gebruikersvlak wordt nu een stap gezet om risico’s vanuit deze benadering te beheersen. Deze maatregelen maken onderdeel uit van een integraal pakket aan maatregelen op het gebied van informatieveiligheid conform ISO27001 norm en de Baseline informatiebeveiliging overheid.
Een aantal bijzonderheden uit het jaar 2020:

  • Door de wereldwijde kwetsbaarheid in de Citrix software heeft de provincie het thuiswerken in januari 2020 twee weken uitgeschakeld. Dit was lastig voor medewerkers, maar heeft niet geleid tot uitval van provinciale dienstverlening.
  • Datalekken die zich voordoen worden volgens een vastgesteld protocol beoordeeld, waarna dit al dan niet gemeld wordt aan de Autoriteit Persoonsgegevens. In 2020 heeft de provincie drie meldingen bij de Autoriteit Persoonsgegevens gedaan.
  • IPO/BIJ12 werkt als uitvoeringsorganisatie in opdracht van de twaalf provincies. Provincies maken gebruik van gemeenschappelijke applicaties en informatiesystemen die bij BIJ12 zijn ondergebracht. In 2020 zijn er kwetsbaarheden geconstateerd in de beveiliging van een aantal van deze systemen. In januari 2021 heeft BIJ12 uit voorzorg een aantal ICT-systemen tijdelijk van buitenaf onbereikbaar gemaakt. BIJ12 heeft de situatie ook pro forma gemeld bij de Autoriteit Persoonsgegevens.
  • Tijdens de coronacrisis zijn er geen materiële risico’s opgetreden. Er is geen uitval van dienstverlening geweest en het thuiswerken en digitaal vergaderen is goed gefaciliteerd.
Deze pagina is gebouwd op 09/28/2021 09:33:10 met de export van 09/27/2021 13:29:55