Globaal rapport - tweede thema-audit Informatiebeveiliging
In 2018 verscheen het eerste globaal rapport van de thema-audit Informatiebeveiliging die Audit Vlaanderen uitvoerde bij 28 lokale besturen. Dat initiatief toonde aan dat de informatiebeveiligingsrisico’s onvoldoende beheerst waren. Sindsdien nam niet enkel de digitalisering van de lokale besturen maar ook de problematiek van phishing en/of ransomware aanvallen verder toe. Daardoor vergrootten ook de informatiebeveiligingsrisico’s.
Om te evalueren of de lokale besturen inmiddels vooruitgang hebben geboekt, voerde Audit Vlaanderen in 2020 een tweede thema-audit informatiebeveiliging uit bij 6 andere lokale besturen. De bevindingen zijn gebundeld in het globaal rapport Informatiebeveiliging 2020.
Audit Vlaanderen geeft de belangrijkste bevindingen uit de audits weer in een globaal rapport. In dit globaal rapport leest u onder andere:
- wat de belangrijkste conclusies zijn van deze thema-audit;
- welke verbeterpunten er zijn voor informatiebeveiliging bij lokale besturen;
- welke initiatieven er bestaan om als lokaal bestuur zelf verder aan de slag te gaan.
Deze thema-audit Informatiebeveiliging 2020 evalueert in welke mate bij de lokale besturen beheersmaatregelen aanwezig zijn om het gewenste niveau van integriteit, vertrouwelijkheid en beschikbaarheid van informatie te kunnen garanderen.
Deze thema-audit bouwt verder op de belangrijkste onbeheerste risico’s zoals vermeld in het eerste globaal rapport over informatiebeveiliging van 2018 en houdt ook rekening met bijkomende verplichtingen ten gevolge van de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG).
De auditresultaten tonen aan dat de geauditeerde lokale besturen de risico’s rond informatiebeveiliging nog onvoldoende beheersen.
De resultaten liggen in lijn met de resultaten van de eerste thema-audit Informatiebeveiliging uit 2018. Hoewel het belang van ICT en daarmee van informatiebeveiliging almaar toeneemt, lijken lokale besturen (voor zover nog niet geauditeerd hieromtrent) tussen 2018 en 2020 geen noemenswaardige vooruitgang te hebben geboekt met de beheersing van deze risico’s.
De geauditeerde lokale besturen blijken wel aan de basisverplichtingen van de AVG te voldoen. Voor de bescherming van persoonsgegevens in de praktijk zijn al inspanningen geleverd maar blijft verdere aandacht aangewezen.
Goede praktijken en andere inspiratiebronnen
Momenteel blijven vele haalbare beschermingsmaatregelen vaak onderbenut. Het actueel houden van de ICT-systemen, een gedegen wachtwoordbeleid, een goed beheer van alle toegangen en rechten en werk maken van een volwaardig bedrijfscontinuïteitsplan zijn haalbare maatregelen die toch echt verschil maken. De website met goede praktijken voor lokale besturen kan daarvoor als inspiratiebron dienen.
Vanuit verschillende organisaties en op verschillende manieren worden mogelijkheden geboden om samen te werken en kennis te delen over informatiebeveiliging. Onder andere de VVSG en V-ICT-OR ontplooien hiervoor verschillende initiatieven.
Lokale besturen met een betere organisatiebeheersing, beheersen de onderzochte risico’s voor informatiebeveiliging in het algemeen beter. Werk maken van organisatiebeheersing loont dus ook hiervoor.