Bedrijfsvoering

Als organisatie in control zijn en blijven
Onze organisatie is volop bezig met digitalisering en data gedreven werken. Deze data is erg belangrijk voor de dienstverlening van onze organisatie. Passende beschikbaarheid, integriteit en vertrouwelijkheid moeten wij kunnen garanderen.

Nieuwe wetgeving en de continue dreiging maakt dat wij als organisatie de veiligheidseisen als programma moeten coördineren binnen onze organisatie.
Dit heeft te maken met:

• Bewustwording
• Beleid
• Proces
  • Risicomanagement
  • Bedrijfscontinuïteit
• Continue verbetering

In control zijn en blijven
Om te toetsen hoe wij er als organisatie voor staan voeren wij audits uit. Zowel intern als extern. Deze zijn met name gericht op de betrouwbaarheid, integriteit en beschikbaarheid van (IT-)processen en (IT-)producten gemoeid met financiën.
Naast de audit die door de accountant wordt uitgevoerd is de ENSIA-audit (Eenduidige Normatiek Single Information Audit) van belang. Deze audit heeft tot doel de informatieveiligheid bij gemeenten verder te professionaliseren. De gemeente voert een zelfevaluatie uit op de informatiebeveiligingsomgeving.
In het jaarverslag komt een verklaring van het college over de informatieveiligheid. De informatie wordt gebruikt voor de verantwoording richting gemeenteraad en de diverse verantwoordingslijnen richting departementen. Zie ook de paragraaf Informatiebeveiliging.
Het strategisch informatiebeveiligingsbeleid is inmiddels uitgewerkt. Processen voor informatiebeveiliging worden geactualiseerd. Hiermee zetten wij stappen om in 2025 en naar de toekomst de informatieveiligheid van onze gemeente te moderniseren en te waarborgen.

Informatiebeveiliging
Informatiebeveiliging is en blijft ook in 2025 een cruciaal onderwerp. De dreiging voor informatiebeveiliging wordt jaarlijks groter en de mate van ICT-ondersteuning die een gemeente vraagt wordt ook jaarlijks meer. In 2023 heeft Hardenberg haar strategisch informatiebeleid opgesteld. Als onderdeel hiervan maken we jaarlijks een informatiebeveiligingsplan met de stappen die we dat jaar willen zetten. Het plan voor 2025 wordt nog opgesteld, maar de volgende aspecten zullen hierin in ieder geval een belangrijke rol spelen:

1. Cloud – Als gemeente is het vrijwel onmogelijk om het complexe ICT-landschap dat nodig is volledig zelf te beheren en veilig te houden. ICT-leveranciers zijn hier over het algemeen veel beter in en hebben meer expertise in huis om de veiligheid te borgen. De visie van ICT is dat alle ICT zoveel mogelijk naar de Cloud gaat. Bij voorkeur bij de leverancier die het levert, maar als dat niet mogelijk is in een eigen Microsoft Cloud.
2. Architectuur – Informatiebeveiliging start met het goed kennen van je informatielandschap. In 2023 zijn we gestart met werken onder architectuur, maar de inspanning is nog vooral gericht op het uitwerken van de nieuwe architectuur na de ontvlechting met Ommen. In 2025 brengen we het ICT-landschap verder in kaart met haar sterktes en zwaktes. Het kennen van je ICT-landschap vermindert het beveiligingsrisico bij wijzigingen.
3. Monitoring – In 2024 is het proces voor dreigingen voor informatiebeveiliging vastgesteld. Dit proces start met goede monitoring van potentiële risico’s. Monitoring gebeurt doormiddel van 5 instrumenten:
   1. Een jaarlijks pentest van ons ICT-landschap;
   2. Landelijke informatiebeveiligingsdienst;
   3. Signalen vanuit Microsoft Defender (onze firewall en virusscanner);
   4. SIEM/SOC dienst;
   5. Meldingen van datalekken en via security.txt.

De dreigingen die met deze 5 instrumenten gesignaleerd worden, worden in risico-klassen geclassificeerd en op basis hiervan direct opgepakt, ingepland of meegenomen in lopende projecten.

4. Informatiemanagement en data-eigenaarschap – In het kader van informatiebeveiliging is er een direct tot informatiemanagement en data-eigenaarschap (zie tevens de separate deelparagraaf hierover). Het optuigen van informatiemanagement helpt Hardenberg om bewuster keuzes te maken bij nieuwe ontwikkelingen in ons informatielandschap. Informatiemanagement helpt ons om een goede balans te houden tussen de complexiteit van ons landschap en het voorzien in de automatiseringsbehoefte van teams. Vanuit informatiemanagement moet ook data-eigenaarschap beter ingericht worden. Data-eigenaars zijn de teams of concerns die bepaalde data beheren en vaak ook primair gebruiken. Data-eigenaars kunnen data classificeren om te bepalen wie welke data mag muteren, wie welke data mag raadplegen en hoe streng we data moeten beveiligen. Hiermee verminderen we de kans op datalekken en ander oneigenlijk gebruik.
5. Bewustwording – Bewustwording stond in 2024 hoog op de agenda en zijn op tactisch niveau keuzes gemaakt in dit jaar, zoals CISO- inside in het leidinggevendenoverleg. Bewustwording wordt ook in 2025 structureel onder de aandacht gebracht, door leuke acties maar ook door serieuze sprekers en beleidstukken.
6. Risicomanagement- In 2024 is een uitgebreide GAP- analyse uitgevoerd. Waar staan wij nu als organisatie en wat wordt er gezien de wetgeving de komende jaren van ons verwacht. Na de GAP analyse is gekeken naar de risico’s die wij lopen. Aan de hand hiervan wordt in 2025 en verder een meerjarenplan uitgewerkt om in control te zijn en te blijven op informatieveiligheid.
7. Bedrijfscontinuïteit- Dit gaat over de weerbaarheid van onze organisatie tijdens een crisis. Door de digitalisering worden wij steeds afhankelijker van leveranciers, toeleveranciers, elektriciteit, internet enz. Ook dan moeten wij als organisatie weerbaar zijn en onze inwoners weer kunnen voorzien van onze dienstverlening. Door te oefenen met scenario’s van cyberaanvallen zijn we voorbereid om eventuele cyberincidenten.