Social engineering en de Limburgse gemeenten: onderzoek naar het informatiebeveiligingsniveau bij de Limburgse gemeenten tegen social engineering aanvallen

摘要

Er is onderzocht in hoeverre de NORA (Nederlandse Overheid Referentie Architectuur) bescherming biedt tegen social engineering, in hoeverre het informatiebeveiligingsbeleid van Limburgse gemeenten gebaseerd is op de NORA en of de gebruikte beveiligingsmaatregelen daadwerkelijk bescherming bieden tegen social engineering. Op basis van literatuurstudie is een referentiemodel opgesteld waarin is vastgelegd hoe beveiligingsmaatregelen uit de Code voor Informatiebeveiliging bescherming bieden tegen social engineering. Dit referentiemodel is als basis gebruikt voor empirisch onderzoek via interviews met twee auteurs van de NORA en vijf gemeenteambtenaren en een enquête onder 23 Limburgse gemeenten.Het onderzoek toont aan dat de NORA bescherming biedt tegen social engineering. Het informatiebeveiligingsbeleid bij de Limburgse gemeenten is overwegend gebaseerd op best practices uit ITIL Security Management (57%), gevolgd door de NORA (50%), COBIT (14%) en andere theorieën (43%). Uit de literatuur blijkt dat de meest effectieve beveiligingsmaatregel tegen social engineering bestaat uit opleiding, training en bewustmaking. Deze maatregel is ook in de Code voor Informatiebeveiliging opgenomen. Echter, slechts 50% van de respondenten heeft een dergelijke opleiding of training gevolgd. De beveiligingsmaatregelen uit de Code voor Informatiebeveiliging zijn bij het merendeel van de gemeenten onvoldoende doorgevoerd. Er is onvoldoende gebleken of de gebruikte beveiligingsmaatregelen daadwerkelijk hebben beschermd tegen social engineering.