Globaal rapport - thema-audit Informatiebeveiliging
Audit Vlaanderen voerde een thema-audit Informatiebeveiliging uit bij 28 lokale besturen. De overkoepelende bevindingen van deze werkzaamheden zijn gebundeld in een globaal rapport. Daarin leest u onder andere:
- Hoe lokale besturen hun informatiebeveiliging aanpakken;
- Welke problemen ze daarbij ervaren;
- Welke verbeteracties mogelijk zijn.
In deze thema-audit evalueerde Audit Vlaanderen in welke mate lokale besturen de integriteit, de vertrouwelijkheid en de beschikbaarheid kunnen garanderen van de informatie waarover zij beschikken of die zij verwerken. De inschatting van de maturiteit van de organisaties gebeurde op basis van interviews, documentanalyse en tests. Via opvolgtests is ook nagegaan in welke mate de geauditeerde besturen de gesignaleerde technische kwetsbaarheden na een redelijke termijn remediëren. In de marge van de thema-audit organiseerde Audit Vlaanderen bovendien een phishingtest voor alle gemeenten, OCMW’s en provincies om het bewustzijn voor internetfraude via phishing te testen.
De thema-audit toont aan dat:
- geauditeerde lokale besturen diverse initiatieven nemen rond informatiebeveiliging;
- belangrijke risico’s desondanks nog onvoldoende beheerst worden;
- burgers, bedrijven en andere overheden bijgevolg te weinig garanties hebben dat hun gegevens veilig zijn bij hun lokale bestuur;
- veel haalbare beschermingsmaatregelen onderbenut blijven;
- meer samenwerking rond bepaalde uitdagingen aangewezen is, onder meer om te vermijden dat telkens het warm water moet worden uitgevonden en om voldoende kennis en expertise te kunnen inzetten.
Om tot een grotere risicoafdekking te komen, zijn mogelijke verbeteracties:
- Bepaal als lokaal bestuur concreet de gewenste IT- en informatiebeveiligingsgaranties;
- Leg de taakverdeling voor het IT-beheer van het bestuur en de verwachte invulling daarvan eenduidig vast;
- Werk samen en wissel horizontaal kennis uit tussen de lokale besturen;
- Organiseer verticaal sectoroverleg voor informatiebeveiliging bij de lokale besturen met alle betrokken leveranciers, bestuursniveaus en ondersteunende organisaties.
Verschillende van de geauditeerde besturen verbeterden de afgelopen jaren stapsgewijs hun informatiebeveiliging. Punctuele inspirerende voorbeelden om zelf stapjes vooruit te zetten, staan hier.
- Samenvatting
- Bijlage 1: De geauditeerde besturen
- Bijlage 2: De geanonimiseerde resultaten
- Bijlage 3: De resultaten van de phishingtest bij de lokale besturen
- Bijlage 4: Enkele voorbeelden van informatiebeveiligingsincicdenten
- Bijlage 5: Enkele voorbeelden van vlot inzetbare oplossingen
- Bijlage 6: Vaststellingen in cijfers
- Bijlage 7: Kwetsbaarheden audit Informatiebeveiliging
-
De toegang tot bijlage 7 is beschermd met gebruikersbeheer. Om de nodige rechten te bekomen dient een medewerker van een lokaal bestuur zich door zijn/haar lokale beheerder eerst te laten registreren bij “overheid.vlaanderen.be”.
-
- Bijlage 8: Presentatie van de bevindingen op diverse fora