In de eerste helft van 2016 voerde V-ICT-OR 41 security audits uit. In 30 besturen ging het om een audit van een gemeentebestuur, in 4 besturen een OCMW-audit, in 6 gevallen is er al samenwerking tussen gemeente en OCMW en ten slotte werd er 1 audit uitgevoerd op provinciaal niveau. De geografische spreiding van de audits werd gegarandeerd, in elke provincie namen minstens 6 besturen deel.
Voor de audit hanteerden we een gefaseerde aanpak, waarbij de richtsnoeren (versie 3) als kapstok dienden. In eerste instantie vulden de besturen een online vragenlijst in, daarna volgde een analyse van het informatieveiligheidsplan en tijdens een bezoek aan het bestuur volgde ten slotte een nazicht van de richtsnoeren. De doorlichting gebeurde in samenwerking met studenten van HoWest.
Uit de doorlichting kwamen volgende aandachtspunten aan bod.
Beleid
In bijna de helft van de besturen stelden we vast dat er (nog) geen informatieveiligheidsplan beschikbaar was.
Organisatie
Naast het ontbreken van een informatieveiligheidsplan, bleken bijna 25% van de deelnemende besturen (nog) niet over een informatieveiligheidsconsulent te beschikken.
Personeelsbeleid
Na inzage in het arbeidsreglement stelden we vast dat bij meer dan de helft van de bezochte besturen geen clausule omtrent de verantwoordelijkheden voor de informatiebeveiliging van persoonsgegevens was opgenomen.
Bedrijfsmiddelen
Ongeveer 2/3 van de bezochte besturen beschikken niet over een lijst met software die is toegestaan. Daarnaast stelden we vast dat het personeel in de besturen nog vaak slordig omgaat met persoonsgegevens.
Fysieke beveiliging
Op vlak van fysieke beveiliging is het grootste knelpunt dat er binnen de besturen vaak geen risico-analyse wordt opgemaakt voor de ruimtes waar persoonsgegevens bewaard worden.
Operationele beveiliging
Op vlak van operationele beveiliging zijn er op basis van onderstaande vaststellingen nog heel wat werkpunten:
- De dienst informatica krijgt in meer dan de helft van de bezochte besturen geen melding van een mogelijke malware besmetting op het netwerk
- In meer dan 70% van de bezochte besturen worden de standaard wachtwoorden van de randapparatuur niet gewijzigd
- De wijze waarop alle software up-to-date gehouden wordt is in 73% van de besturen niet in orde
- In ruim 70% van de bezochte besturen is misbruik van computersystemen mogelijk
- Ten slotte stelden we vast dat er in 75% van de bezochte besturen misbruik wordt gemaakt van software waarvoor de fabrikant niet langer security updates voorziet
Leveranciersrelaties (nieuw in versie 3 van de richtsnoeren)
De meest opvallende vaststelling is dat in 70% van de bezochte besturen geen vertrouwelijkheidsovereenkomst werd afgesloten tussen het bestuur en de externe leverancier.
Op basis van de uitgevoerde analyses bij 41 besturen kunnen we een aantal eerste conclusies naar voren schuiven. De grote interesse voor deze audit toont aan dat besturen wel degelijk bezig zijn met informatieveiligheid. De fysieke beveiliging van de serverruimte staat in de meeste besturen wel op punt.
Daarnaast zien we nog een aantal pijnpunten op basis van deze eerste analyse. We besproken een deel van die pijnpunten in de paragrafen hierboven.
Heeft u nog vragen over informatieveiligheid binnen uw bestuur? Neem gerust contact op of neem een kijkje op onze website!