Technologie moet op drie niveaus veilig zijn: de fysieke veiligheid in onze openbare ruimte, de persoonlijke veiligheid van het individu en de veiligheid van sociale groepen. Goede beveiliging gaat niet alleen over bescherming tegen kwaadwillenden, maar bijvoorbeeld ook over onvolkomenheden in veiligheidsprocessen en over veiligheidsbewustzijn onder medewerkers. Daarom is het van belang dat bij innovatie veiligheidsmaatregelen worden getroffen op het niveau van de organisatie, werkprocessen, technische infrastructuur en software.
- Maak informatiebeveiliging onderdeel van het proces.
- Werk aan bewustwording van veiligheidsprincipes.
1. Maak informatiebeveiliging onderdeel van het proces
Kwetsbaarheden in technologie kunnen ernstige gevolgen hebben. Een cyberaanval op de deltawerken kan bijvoorbeeld de algemene veiligheid in gevaar brengen. Maar onveilige technologie kan ook leiden tot persoonlijke inbreuken, bijvoorbeeld via ongemerkte beïnvloeding van besluitvorming. Niet alleen de technologie moet veilig zijn, maar ook de manier van werken. Je kunt er bijvoorbeeld voor zorgen dat elke ‘module’ (een proces, gebruiker of programma) alleen toegang krijgt tot de informatie en bronnen die noodzakelijk zijn voor het legitieme doel.
Normen en handreikingen voor informatiebeveiliging
Baselines Informatiebeveiliging beschrijven wat overheidsorganisaties moeten doen om hun informatiebeveiliging op orde te houden. Op dit moment bestaan er voor de verschillende lagen van de overheid nog aparte baselines informatiebeveiliging. Vanaf 1 januari 2020 is er een overkoepelende baseline voor de overheid van kracht: de Baseline Informatiebeveiliging Overheid (BIO). Daarnaast zijn er specifieke producten en diensten voor informatiebeveiliging beschikbaar:
Concepten om veiligheid direct mee te nemen in ontwerp
Met de uitgangspunten van het concept Security by Design zet je veiligheid al tijdens de ontwerpfase van een technologie centraal. Hiermee maak je het gebruikers makkelijk om veilig gebruik te maken van die technologie. Er zijn diverse instanties en bedrijven die Security by Designconcepten en/of -principes hebben geformuleerd.
Normen, handreikingen en concepten
Bio-overheid.nl Het portal voor de BIO. Hier vindt u best practices rond de BIO. Gebruik bijvoorbeeld de verwijzingsmatrix voor het zoeken van handreikingen bij onderdelen van de BIO. Download ook de BIO-Self Assessment (BIO-SA) en zie wat het volwassenheidsniveau is van de organisatie in het volgen van de BIO en wat je nog te doen hebt om verder te komen. Ministerie van BZK en CIP
Concepten voor ontwerp
Tools
2. Werk aan bewustwording van veiligheidsrisico’s
Menselijke fouten zijn nog steeds de belangrijkste bron van veiligheidsincidenten. Bewustzijn van veiligheidsrisico’s kan fouten voorkomen, maar honderd procent veiligheid bestaat niet. Daarom is het belangrijk om het risico op fouten bespreekbaar te maken en te bepalen hoe je gemaakte fouten nog kunt corrigeren. Wanneer een bestand met medische gegevens bijvoorbeeld per ongeluk naar een verkeerd mailadres wordt verstuurd, is dat moeilijk te herstellen. Zo’n vergissing is menselijk, maar kan het vertrouwen van de burger in de overheid ernstig schaden.
Instrumenten om te werken aan veiligheidsbewustzijn
Het veiligheidsbewustzijn van medewerkers is belangrijk voor zowel het ontwerp- en implementatieproces als voor het gebruik van een innovatie. Online zijn vele instrumenten te vinden die hierbij kunnen helpen. Een deel hiervan richt zich specifiek op managers en bestuurders.