Jaarstukken 2022 vastgesteld 1-6-2023 door Verenigde Vergadering

3.6.2 Informatievoorziening

Doel

Een betrouwbare, wendbare en efficiënte informatievoorziening. Zorg dragen voor een betrouwbaar informatiebeleid, architectuur, (geo-)informatievoorziening en een centrale regie op functioneel beheer en gegevensbeheer en betrouwbare ICT-diensten.

Wat hebben we gedaan aan activiteiten

In 2022 is er meer ruimte gekomen om naast de aandacht voor cybersecurity ook weer IV-projecten voor de business op te pakken. Verder is gestart met het inrichten van de toekomstbestendige informatievoorziening in overeenstemming met het ontwerp uit 2021. De implementatie hiervan is een meerjarig traject; hieronder staan de behaalde resultaten beschreven.

Informatiebeveiliging en privacy
In het afgelopen jaar zijn er stevige stappen gezet ter verbetering van de cyberveiligheid van Delfland. Het VIB-project (verbetering informatiebeveiliging) is inmiddels afgerond en lopende projecten zijn overgedragen aan de organisatie. Door onder meer het VIB-project hebben we in 2022 veel verbeteringen gerealiseerd. Zo wordt de cyberweerbaarheid van Delfland regelmatig beoordeeld en wordt er structureel (maandelijks) gerapporteerd aan de directie over de staat van informatiebeveiliging vanuit het SOC (Security Operations Center). Risico’s in de digitale omgeving worden structureel geïdentificeerd, geanalyseerd en beoordeeld door middel van het nieuwe ICT Security-risicoregister. Vanuit dit register wordt tevens informatie verstrekt aan het centrale risicomanagementplatform van Delfland.

De volgende beveiligingsmaatregelen zijn ingericht:

  • geautomatiseerde scanning (identificatie) van kwetsbaarheden in de ICT-omgeving;
  • MAC-filtering, waardoor uitsluitend bekende apparatuur toegang krijgt tot het netwerk van Delfland;
  • Privileged Access Management, waarmee toegang voor beheerders beter gereguleerd wordt;
  • verbeterde logging en monitoring en inrichting van een centrale SOC-afdeling, die helpt bij het constateren van en reageren op incidenten;
  • een structurele, jaarlijks terugkerende, externe pentest.

Waar de dreigingen in het digitale domein blijven toenemen, is ook de capaciteit op informatiebeveiliging vergroot. Dit geldt voor zowel de afdeling ICT als op andere plekken in de organisatie, zoals procesautomatisering (PA) bij operationele afdelingen en de afdeling Concern Control en Auditing (CCA). Dit geeft ons de handvatten om in 2023 belangrijke vervolgstappen te zetten ter verbetering van het beveiligingsprofiel.

Het ondersteunen bij en toetsen van projecten is belangrijk om ervoor te zorgen dat veranderingen geen negatief effect op de informatiebeveiliging hebben. Om de ondersteuning en toetsing te realiseren zijn verschillende procesafspraken gemaakt. Zo worden informatiebeveiligingsprincipes vanuit Architectuur vastgesteld en geborgd in de Design Authority. De Information Security Officer toetst of er adequaat en volledig over informatiebeveiliging is nagedacht en of er geen verhoogde risico’s optreden. Ook de Architect toetst of projecten in lijn zijn met de architectuurprincipes.

In 2022 is door onder meer voorlichtingsbijeenkomsten, e-learning, de cursus ‘Veilig werken met Office 365’, presentaties van ARDA en aandacht vanuit het management gewerkt aan vergroting van de bewustwording van medewerkers ten aanzien van informatiebeveiliging en privacy. We hebben deelgenomen aan diverse (landelijke) crisisoefeningen, waarvan de resultaten benut zijn voor verdere aanscherping van incident- en calamiteitenprocessen op het vlak van cyberincidenten.

Voor onze BIO-doelstellingen (Baseline Informatiebeveiliging Overheid) lagen we eind 2022 op koers met onze ambitie om conform de landelijke streefniveaus van de waterschappen voor informatiebeveiliging en privacy te werken. De landelijke waterschapaudit BIO/AVG (Algemene Verordening Gegevensbescherming) is in januari 2022 uitgevoerd. Aan de hand van het resultaat van deze audit is een project gestart om de verbeterpunten te implementeren om verder te groeien in volwassenheid conform de afspraken gemaakt in Unie-verband binnen de Baseline Basis op orde. De invoering van de verbeterpunten is in volle gang in lijn met de beoogde ambitieniveaus van Delfland. Sommige verbeterpunten zijn vertraagd en sommige verlopen volgens planning. Deze doelstellingen betreffen een ingevoerd en werkend managementsysteem voor informatiebeveiliging en privacy (PDCA-cyclus) waarbij risicomanagement een belangrijke basis is. Hierbij worden de activiteiten gefocust op de bescherming van onze belangrijkste systemen (de zogenaamde kroonjuwelen) en de belangrijkste persoonsgegevens. Andere doelstellingen betreffen bedrijfscontinuïteitsbeheer, verbeteren kennis en gedrag van medewerkers, verbeteren van leveranciers- en contractmanagement en informatiebeveiliging en privacy onlosmakelijk onderdeel uit te laten maken van vernieuwingen en wijzigingen. Met betrekking tot de werking van de PDCA-cyclus is in 2022 een start gemaakt met het maken van ambtelijke afdelingsjaarplannen en decentraal risicomanagement op zowel directie- als afdelingsniveau waarin de hierboven genoemde doelstellingen zijn opgenomen en geconcretiseerd.

Voor de uitvoering is een groot deel van de benodigde rollen en verantwoordelijkheden voor informatiebeveiliging, security en privacy ingevuld: verdere invoering SOC dienstverlening voor geheel Delfland (KA en PA) binnen ICT, security coördinatoren en security specialisten binnen de afdeling ICT. In 2023 wordt de werving van nog twee information security officers (ISO) gestart. Enerzijds om afdelingsmanagers te ondersteunen bij het halen van hun jaarplan doelen op het gebied van informatiebeveiliging, anderzijds voor de borging van het managementsysteem en deze verder in te voeren ter ondersteuning van de CISO.

Er zijn in 2022 vier datalekken (incidenten met betrekking tot persoonsgegevens) afgehandeld. In één geval is melding gedaan bij de Autoriteit Persoonsgegevens. Een aantal datalekken vormde aanleiding tot het aanscherpen van procedures en werkwijzen bij de afdelingen. Er worden dagelijks tientallen aanvallen gedetecteerd en afgeslagen, maar er hebben zich geen security-incidenten voorgedaan die de betrouwbaarheid van onze dienstverlening hebben beïnvloed.

Naar aanleiding van de landelijke waterschapaudit BIO/AVG, die in januari 2022 is uitgevoerd, hebben de CISO en FG verschillende self assessments binnen de organisatie uitgevoerd, waarbij de voortgang van het implementeren van de aanbevelingen uit deze audit is getoetst.

Wendbare informatievoorziening
In 2022 is een WOO-coördinator (Wet Open Overheid) aangesteld en actief ingezet om als spin in het web alle WOO-verzoeken te ontvangen, informatie te verzamelen en antwoord te formuleren. In december 2022 kwamen de eerste verzoeken, deze zijn naar tevredenheid afgerond. Voor het anonimiseren (lakken) van privacygevoelige gegevens in de verschillende documenten is een laktool aangeschaft. De implementatie en training van de medewerkers is in 2022 gestart.

In 2022 is verder gewerkt aan de verbetering van de IV-organisatie. Er is een Informatiemanager aangetrokken die onder meer helpt een aantal basisprocessen rondom portfoliomanagement en functioneel beheer verder vorm te geven. We zijn bezig onze IV-organisatie aansluitend de Information Technology Infrastructure Library ITIL (voor beheer), MoP (voor portfoliomanagement) en andere door Het Waterschapshuis vastgestelde en overeengekomen standaarden in te richten. In het programma ‘Basis IV op orde’ zijn de belangrijkste verbeterpunten benoemd en belegd binnen de organisatie. Er is een externe partij aangetrokken om ons te helpen bij de verdere uitwerking en inbedding van deze punten.

Het in 2021 geïmplementeerde nieuwe zaaksysteem voor het vergunningenteam en het KCC, is van groot belang bij de implementatie van de Omgevingswet en de aansluiting op het digitaal stelsel (DSO). In 2022 is het ontwikkelproces verbeterd, waardoor configuratie van nieuwe zaaktypen versneld is. Delfland is klaar voor de Omgevingswet. Het uitstel hiervan geeft voor Informatievoorziening geen complicaties.

Ook is in 2022 is een belangrijke stap gezet naar meer digitale samenwerking in de cloud met Microsoft 365/Teams door migratie van alle afdelingen van fysieke netwerkschijven naar Teams en investeringen in opleidingen. In 2022 zijn mobiele telefoons van Samsung vervangen, voor de vervanging van andere devices, zoals I-phones, laptops en tablets wordt in 2023 een plan opgesteld.

We hebben in 2022 met omliggende waterschappen en het Waterschapshuis samenwerkingsmogelijkheden verkend, onder andere op het gebied van het Security Operations Centre. In 2023 kan worden onderzocht hoe dit verder gestalte kan krijgen.