Nieuws
image

Gemeente Haarlem heeft informatiebeveiliging nog niet volledig op orde

dinsdag 29 november 2022, 09:39 door Redactie, 5 reacties

De gemeente Haarlem heeft de eigen informatiebeveiliging nog niet volledig op orde. Met name als het gaat om gebruikersrechten en gebruikersrollen moeten er nog stappen worden gezet. Ook ontbreken vastgelegde kaders, processen en procedures voor het omgaan met it en is er geen vastgesteld protocol voor cyberincidenten. Dat blijkt uit onderzoek dat accountantskantoor Deloitte uitvoerde (pdf).

Volgens Deloitte heeft de gemeente dit jaar verschillende acties uitgevoerd om de betrouwbaarheid en continuïteit van systemen te versterken, zoals het opnemen van prioriteiten van toegangsrechten, toegang van beheerders en het versterken van beheersprocessen. "Wij merken op dat ten tijde van de interimcontrole niet alle bevindingen, met name op gebruikersrechten en gebruikersrollen, zijn opgepakt. De bestaande systemen waar onze it-bevindingen op toezien bieden onvoldoende functionaliteit om deze op te lossen", aldus Deloitte.

Het accountantskantoor stelt vast dat de gemeente Haarlem nog geen it-strategie en visie heeft vastgelegd omtrent de inzet, risico's en beheersing van it. "Wel wordt momenteel een it-visie uitgewerkt. Uit onze interviews blijkt dat het college het belang rondom it-risico's en beheersing beperkt uit. Op basis van de bestaande it-governance structuur stellen wij vast dat het college niet periodiek geïnformeerd wordt over de stand van zaken rondom it-gebruik, de (overige) risico's en beheersing daarvan", zo staat in de managementsamenvatting van Deloitte.

De gemeente laat wel jaarlijks penetratietesten uitvoeren, waaruit kwetsbaarheden naar voren zijn gekomen. "Wij adviseren toe te zien op de opvolging van de bevindingen", zo luidt het advies van het accountantskantoor. Dat raadt de gemeente verder aan om een ‘open meldcultuur’ te stimuleren en periodiek te communiceren over de kernpunten van het informatiebeveiligingsplan en privacybeleid.

Reacties (5)
29-11-2022, 11:23 door Anoniem
Waarom is dit nieuws? Dit klinkt als iedere willekeurige gemeente.
29-11-2022, 11:40 door Anoniem
Door Anoniem: Waarom is dit nieuws? Dit klinkt als iedere willekeurige gemeente.

So true!
29-11-2022, 14:16 door _R0N_
Door Anoniem: Waarom is dit nieuws? Dit klinkt als iedere willekeurige gemeente.

De gemeente laat wel jaarlijks penetratietesten uitvoeren, waaruit kwetsbaarheden naar voren zijn gekomen

Dat is al meer dan de meeste gemeenten doen
29-11-2022, 17:29 door Anoniem
Als ik dat rapport zo lees, gaat het voornamelijk om processen. Dat betekent nog niet dat de systemen inherent onveilig zijn. Tja, ze zullen nog geen zero-trust architectuur neergezet hebben. Maar als er ieder jaar testen gedaan worden, zal er geacteerd worden op de uitkomsten van die testen (waarom zou je testen als je de uitslag al weet, omdat je vorig jaar al niets gedaan hebt).
Bestaan er organisaties waar wel alles in orde is? Zou Deloitte alles op orde hebben?
01-12-2022, 14:38 door Anoniem
Ik vind het onbegrijpelijk dat dit in de media verschijnt. Organisaties laten dergelijke onderzoeken uitvoeren omdat ze hun kwetsbaarheden inzichtelijk willen maken. Met de kennis van het onderzoek kunnen ze dan vervolgens de juiste maatregelen nemen om de gevonden kwetsbaarheden te elimineren of de tenminste de risico's te verlagen. Het is natuurlijk niet de bedoeling dat het bedrijf wat het onderzoek heeft gedaan de resultaten van het onderzoek in de media publiceert. Ik ben zelf werkzaam als zelfstandige in de security en zal NOOIT informatie over mijn klanten publiek maken. Als ik een dergelijk onderzoek zou willen laten uitvoeren zou ik op basis van dit artikel absoluut NIET voor Deloitte kiezen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure