9. | Risico’s informatieveiligheid |
|---|
Risico | De informatievoorziening kan de vertrouwelijkheid, beschikbaarheid en integriteit van informatie onvoldoende borgen.
NB: De operationele techniek voor bediening en elektronische aansturing van mechanische en/of industriële objecten (zoals bruggen, pompen, gemalen, verkeersinstallaties) is op dit moment belegd bij DBI en maakt nog geen onderdeel uit van deze paragraaf. |
|---|
Oorzaken | Mogelijke oorzaken voor risico’s in de informatievoorziening zijn: - Onvoldoende waarborgen in de processen (binnen en buiten de afdeling I&A)
- Technische tekortkomingen in de ICT-infrastructuur en informatiesystemen
- Kwetsbaarheid voor cybersecurity-incidenten
- Onvoldoende aandacht van medewerkers
|
|---|
Gevolg(en) | De dienstverlening kan stilvallen, maar ook de bescherming van persoonsgegevens loopt gevaar. Gevolgen van het gebruik van onjuiste informatie kan leiden tot verkeerde besluitvorming.
Onvoldoende informatiebescherming kan leiden tot financiële- en reputatieschade en schade aan bedrijfseconomisch belang.
Datalekken of het niet voldoen aan wet- en regelgeving op het gebied van de bescherming van persoonsgegevens kan leiden tot een boete van de Autoriteit Persoonsgegevens tot een hoogte van ten hoogste € 20.000.000 en tot schadeclaims van betrokkenen. |
|---|
Achtergrond-informatie | Binnen de provincie wordt steeds meer datagedreven gewerkt. Dit betekent dat besluiten op data worden gebaseerd en daarmee is betrouwbare informatie cruciaal voor het functioneren van onze organisatie. Onze bedrijfsvoering kan substantieel geschaad worden als knelpunten optreden in de informatievoorziening of informatiebescherming. GS en PS worden periodiek vertrouwelijk geïnformeerd over (optredende) risico’s met betrekking tot informatieveiligheid. |
|---|
Maatregelen | - Regelmatig onderzoeken uitvoeren en ethische hackers inzetten.
- Risicomanagement binnen de operationele processen van de afdeling I&A.
- Regelmatig risicoanalyses-uitvoeren op de bedrijfsprocessen, zowel op het gebied van informatieveiligheid als op het gebied van de bescherming van persoonsgegevens. Risicobeheersing organiseren en uitvoeren.
- Communicatie en bewustwording (ook een risicobeperkende maatregel) op het gebied van informatieveiligheid en privacy heeft inmiddels een continu karakter.
|
|---|
Status risico | Door de afdeling Informatisering en Automatisering worden vanuit technisch oogpunt al vele maatregelen getroffen om geconstateerde technische risico’s te beheersen. Op het organisatorische -, bedrijfsproces en gebruikersvlak wordt nu een stap gezet om risico’s vanuit deze benadering te beheersen. Deze maatregelen maken onderdeel uit van een integraal pakket aan maatregelen op het gebied van informatieveiligheid conform ISO27001 norm en de Baseline Informatiebeveiliging Overheid.
Recente gebeurtenissen bij andere publieke en private organisatie laten zien dat de kans op dit risico reëel is. De gevolgschade is sterk afhankelijk van het type informatie dat in het geding is en hoe deze informatie in handen van derden is gekomen. Kwantificering is derhalve zeer lastig. Op basis van een nadere analyse wordt bepaald wat de omvang is van dit risico; vooralsnog blijft het als PM opgenomen. |
|---|
