Post on 09-Jun-2020
Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director
Voorzitter ISACA Belgium vzw
Lid van Vlaamse Toezichtcommissie (VTC)
September 2017
Praktijkgerichte aanpak van
informatieveiligheid:
hoe overeenstemmen met GDPR?
1. Wanneer heb je een
goed informatieveiligheidsbeleid
met aandacht voor privacy?
Opstellen van een informatie-veiligheidsplan !!! Eenzelfde kader voor alle organisaties:
Richtsnoeren informatieveiligheid CBPL http://www.privacycommission.be/sites/privacycommission/files/documents/Richtsnoeren_CBPL_V%202%200_3.pdf
! risico-analyse ! continue bewustmaking (“awareness”) ! voldoende middelen voorzien ! stappenplan: meerjaren-planning ! contract met alle verwerkers
(software-leveranciers, (onder)aannemers met toegang tot informatie)
1. Wanneer heb je een
goed informatieveiligheidsbeleid
met aandacht voor privacy?
Informatieveiligheidsplan: Risico inschatting 1. Beleid 2. Organisatie: intern + externe partijen 3. Personeelsbeleid 4. Bedrijfsmiddelen: informatie classificatie 5. Toegang tot persoonsgegevens 6. Cryptografie 7. Fysieke beveiliging 8. Operationele beveiliging 9. Communicatiebeveiliging 10. Aanschaffen, ontwikkelen en onderhouden toepassingen & informatie-
systemen 11. Leveranciersrelaties 12. Incidenten 13. Continuïteit 14. Naleving
1. Wanneer heb je een
goed informatieveiligheidsbeleid
met aandacht voor privacy?
Belgische Gids voor Cyberveiligheid https://www.b-ccentre.be/wp-content/uploads/2014/05/B-CCENTRE-BCSG-NL.pdf
De gids is bedoeld als praktisch instrument voor het bedrijfsleven, maar kan
zeker ook zijn nut bewijzen in een overheidscontext. Het is een technologie-
neutrale en beknopte handleiding die verhelderend wil zijn voor het
management en die zo ook bruikbaar is voor de CISO.
1. Wanneer heb je een
goed informatieveiligheidsbeleid
met aandacht voor privacy?
1. Wanneer heb je een
goed informatieveiligheidsbeleid
met aandacht voor privacy?
1. Wanneer heb je een
goed informatieveiligheidsbeleid
met aandacht voor privacy?
Principes + Visie + Beleid + Richtsnoeren
Processen & Procedures
Organisatie Risicobeheer &
Controle
Informatie & Data
Architectuur Diensten,
Infrastructuur, Toepassingen
Cultuur, Ethiek & Gedrag
Kennis & Competenties
Communicatie & Rapportering
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
Informatieveiligheid niet alleen persoonsgegevens maar ook
o andere vertrouwelijke informatie
o beschikbaarheid & betrouwbaarheid van informatie voor de werking van de organisatie, voor uitwisseling met andere organisaties en overheden
o ook informatie op papier!!!
CISO = DPO mag
mogelijkheden
oIntern (niet ICT verantwoordelijke of directeur of jurist!)
oExtern (niet software-leverancier!)
oPer groep (minimum aantal uren per
maand)
16 uur per maand!
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
„Positie van de functionaris voor gegevensbescherming” a) naar behoren en tijdig wordt betrokken bij alle
aangelegenheden die verband houden met de bescherming van persoonsgegevens;
b) toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid;
c) onafhankelijk werken en geen instructies ontvangt met betrekking tot de uitvoering van die taken.
d) rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.
e) kan andere taken en plichten vervullen zonder belangenconflict.
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
„Taken van de functionaris voor gegevensbescherming”
a) Verwerker informeren en adviseren over verplichtingen;
b) toezien op naleving van deze verordening met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
c) advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan;
d) met de toezichthoudende autoriteit samenwerken;
e) optreden als contactpunt voor de toezichthoudende autoriteit;
2. Wat is de functie & de invulling van de information security officer (CISO) & de
“data protection officer” (DPO)?
Belgische Gids voor Cyberveiligheid
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
Continu bewustmaking van personeel,
leveranciers en klanten
Voorbeeld: wachtzinnen - Strikt persoonlijk => dus niet doorgeven
- Degelijk = hoe langer hoe beter, niet gemakkelijk te raden
- Regelmatig wijzigen (vb. 1x/jaar)
- Niet volledig opschrijven
- Niet automatisch opslaan in browsers
- Verschillende wachtzinnen voor verschillende toepassingen
- wachtzin generatoren gebruiken
(LastPass, Dashlane, KeePass, 1Password)
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
https://privacypatterns.org/patterns/
Waar wordt alle data bijgehouden?
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
Hoe wordt alle data bijgehouden?
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
https://www.owasp.org/index.php/Security_by_Design_Principles
1. Minimalizeer “aanvalgebied”
2. Security by default
3. Least privilege
4. Defense in depth
5. Misluk op veilige manier
6. Vertrouw niets
7. Scheiding van functies
8. Vermijd “security by obscurity”
9. Hou informatieveiligheid zo eenvoudig mogelijk
10. Los veiligheidsproblemen en incidenten correct op
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
http://docs.oasis-open.org/pbd-se/pbd-se-annex/v1.0/cnd01/pbd-se-annex-v1.0-cnd01.html
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
PRIVACY
BY
DESIGN
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
Communicatie & opslag van data in
“the cloud”?
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
o Gratis beoordelingstool van Smals: Cloud Security model
om het beveiligingsniveau van een aangeboden
clouddienst te evalueren.
o https://www.smalsresearch.be/tools/cloud-security-model-nl/
Dropbox for business Dropbox free
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
3. Hoe zet je een veiligheidsplan met aandacht voor privacy
om in de realiteit?
http://appsvc.wolterskluwer.be/gdpr
4. Wat moet je doen
bij informatie-incidenten,
zoals hacking of gegevenslekken?
Aanbeveling van de privacycommissie
omtrent datalekken (Januari 2013) http://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_01_2013.pdf
4. Wat moet je doen
bij informatie-incidenten,
zoals hacking of gegevenslekken?
4. Wat moet je doen
bij informatie-incidenten,
zoals hacking of gegevenslekken?
http://www.cybersecuritycoalition.be/cyber-security-incident-management-guide/
Informatieveiligheid is
een zaak van iedereen!
Besluit
http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_en.htm
https://www.privacycommission.be/nl/nieuws/algemene-verordening -gegevensbescherming-privacycommissie-lanceert-themadossier-en
https://www.ksz-bcss.fgov.be/nl/veiligheid-en-privacy/general-data-protection-regulation
http://shop.wolterskluwer.be/shop/nl_BE/navigation/10/Naar-een-ge-ntegreerde-privacybescherming-in-de-onderneming?p=BPYUSHIBI17001
Contact gegevens
Mr. Marc Vael
ISACA BELGIUM vzw
Koningsstraat 109 b5
1000 Brussel
www.isaca.org/privacy
0473 99 30 31
marc@vael.net
http://www.linkedin.com/in/marcvael
@marcvael