Globaal rapport - thema-audit Informatiebeveiliging

Door de toenemende digitalisering is informatiebeveiliging cruciaal. Er komt heel wat bij kijken om die beveiliging – digitaal én organisatorisch – voldoende te kunnen garanderen. Audit Vlaanderen evalueerde tussen eind 2016 en midden 2018 de maturiteit rond informatiebeveiliging bij een reeks gemeenten en OCMW’s alsook bij één provincie.

 
Voorblad globaal rapport thema-audit informatiebeveiliging
Globaal rapport

Audit Vlaanderen voerde een thema-audit Informatiebeveiliging uit bij 28 lokale besturen. De overkoepelende bevindingen van deze werkzaamheden zijn gebundeld in een globaal rapport. Daarin leest u onder andere:

  • Hoe lokale besturen hun informatiebeveiliging aanpakken;
  • Welke problemen ze daarbij ervaren;
  • Welke verbeteracties mogelijk zijn.
 
Aanpak

In deze thema-audit evalueerde Audit Vlaanderen in welke mate lokale besturen de integriteit, de vertrouwelijkheid en de beschikbaarheid kunnen garanderen van de informatie waarover zij beschikken of die zij verwerken. De inschatting van de maturiteit van de organisaties gebeurde op basis van interviews, documentanalyse en tests. Via opvolgtests is ook nagegaan in welke mate de geauditeerde besturen de gesignaleerde technische kwetsbaarheden na een redelijke termijn remediëren. In de marge van de thema-audit organiseerde Audit Vlaanderen bovendien een phishingtest voor alle gemeenten, OCMW’s en provincies om het bewustzijn voor internetfraude via phishing te testen.

Vaststellingen

De thema-audit toont aan dat:

  • geauditeerde lokale besturen diverse initiatieven nemen rond informatiebeveiliging;
  • belangrijke risico’s desondanks nog onvoldoende beheerst worden;
  • burgers, bedrijven en andere overheden bijgevolg te weinig garanties hebben dat hun gegevens veilig zijn bij hun lokale bestuur;
  • veel haalbare beschermingsmaatregelen onderbenut blijven;
  • meer samenwerking rond bepaalde uitdagingen aangewezen is, onder meer om te vermijden dat telkens het warm water moet worden uitgevonden en om voldoende kennis en expertise te kunnen inzetten.

Om tot een grotere risicoafdekking te komen, zijn mogelijke verbeteracties:

  • Bepaal als lokaal bestuur concreet de gewenste IT- en informatiebeveiligingsgaranties;
  • Leg de taakverdeling voor het IT-beheer van het bestuur en de verwachte invulling daarvan eenduidig vast;
  • Werk samen en wissel horizontaal kennis uit tussen de lokale besturen;
  • Organiseer verticaal sectoroverleg voor informatiebeveiliging bij de lokale besturen met alle betrokken leveranciers, bestuursniveaus en ondersteunende organisaties.
Goede praktijken

Verschillende van de geauditeerde besturen verbeterden de afgelopen jaren stapsgewijs hun informatiebeveiliging. Punctuele inspirerende voorbeelden om zelf stapjes vooruit te zetten, staan hier.

Rapportonderdelen die u ook afzonderlijk kan downloaden