Lessons learned: DigiD ICT

Lessons learned: DigiD ICTbeveiligingsassessment 2013
In 2013 vond bij veel organisaties die webapplicaties met DigiDautorisatie gebruiken het eerste ICT-beveiligingsassessment plaats. De
uitvoering van deze assessments hebben geleid tot een reeks nieuwe
inzichten. Inzichten die u kunnen helpen bij het oplossen van deficiënties
over 2013 en bij de voorbereidingen voor het assessment over 2014.
“We zien dat veel organisaties pas in een laat stadium zijn gestart
met de voorbereidingen op het DigiD ICT-beveiligingsassessment.
Als je dan tegen problemen aanloopt, is er vaak onvoldoende tijd
om de nodige maatregelen te treffen. Uiteindelijk heeft dat bij een
aantal gemeenten geleid tot het niet halen van de norm.” aldus
Raymond de Keijzer, manager IT Advisory
Goede voorbereiding
Een belangrijke les is dan ook dat een goede voorbereiding leidt
tot rust in het proces. Voor alle betrokken partijen. Raymond de
Keijzer: “Bij klanten die tijdig zijn gestart hebben we met behulp
van een quick scan in kaart kunnen brengen welke
beheersmaatregelen niet effectief waren. Daarna was er nog
voldoende tijd om die maatregelen aan te pakken, zodat
uiteindelijk het assessment positief kon worden afgerond.”
Plan van aanpak
Organisaties die de normen niet gehaald hebben, krijgen van
Logius de opdracht om binnen korte tijd een plan van aanpak op
te leveren, waaruit blijkt hoe deze deficiënties weggewerkt gaan
worden. Vervolgens dient een auditor vast te stellen dat met deze
maatregelen aan de gestelde normen wordt voldaan. Raymond de
Keijzer: “We hebben een aantal gemeenten al geholpen bij het
opstellen van zo’n plan van aanpak. Zo hebben we onder andere
een tool ontwikkeld waarmee zij snel een
informatiebeveiligingsbeleid en –plan kunnen opstellen. Deze tool
kan hen veel tijd en energie besparen om de deficiëntie op de
norm informatiebeveiliging te verhelpen.”
www.bakertillyberk.nl/itadvisory
“Goede
voorbereiding leidt
tot rust in het
proces.”
Informatiebeveiliging
Uit een analyse van de assessments in 2013 blijkt namelijk dat
70% van de organisaties de norm informatiebeveiliging niet haalt.
Waar organisaties logische toegangsbeveiliging en change
management goed op orde hebben, is dat het tegenovergestelde
bij informatiebeveiliging. Slechts 30% van de organisaties voldoet
aan de norm.
Assessment 2014
Het ICT-beveiligingsassessment moet jaarlijks worden uitgevoerd.
Dat betekent dat de meeste organisaties vóór december 2014
opnieuw het rapport aan Logius dienen aan te bieden. Vooralsnog
zal het normenkader niet wijzigen voor het assessment van 2014.
Raymond de Keijzer: “Naar aanleiding van onze ervaringen in
2013 is ons belangrijkste advies om tijdig te beginnen en nu dus
alvast aan de slag te gaan met de voorbereidingen voor 2014!”
Let op:
 Het assessment over 2013 is 1 jaar geldig
 Opgeloste deficiënties uit het assessment 2013 moeten
opnieuw worden getoetst en aangeboden bij Logius
 Start tijdig met het assessment voor 2014
 Het normenkader voor het assessement van 2014 is gelijk
aan het normenkader in 2013
 Neem in het contract met de leverancier van de
webapplicatie op dat zij verantwoordelijk zijn voor een
schone TPM.
Meer weten?
De specialisten van Baker Tilly Berk IT Advisory vertellen u graag
meer over het DigiD ICT-beveiligingsassessment. Zij kunnen u
helpen bij het oplossen van deficiënties in uw assessment over
2013 of met u meedenken over de noodzakelijke voorbereidingen
voor het ICT-beveiligingsassessment over 2014.
Logische toegangsbeveiliging
Voldoet
Voldoet niet
Opslag van gegevens
Voldoet
Voldoet niet
Informatiebeveiliging
Voldoet
Voldoet niet
ing. Raymond de Keijzer RE
Manager IT Advisory
[email protected]
(010) 253 59 00
Kees van Diepen RE
Partner IT Advisory
[email protected]
(010) 253 59 00
www.bakertillyberk.nl/itadvisory

Download Report