Informatiebeveiliging gemeente Nieuwegein1 Informatiebeveiliging bij de gemeente Nieuwegein.

of 37 /37
Informatiebeveiliging gemeente Nieuwegein 1 Informatiebeveiligi ng bij de gemeente Nieuwegein

Embed Size (px)

Transcript of Informatiebeveiliging gemeente Nieuwegein1 Informatiebeveiliging bij de gemeente Nieuwegein.

  • Dia 1
  • Informatiebeveiliging gemeente Nieuwegein1 Informatiebeveiliging bij de gemeente Nieuwegein
  • Dia 2
  • Wat vindt u? Wat is uw beeld van informatiebeveiliging? Waar denkt u dan aan? Wat zijn dat, kwetsbaarheden, bedreigingen en maatregelen? En waar komen die dingen vandaan? Informatiebeveiliging gemeente Nieuwegein2
  • Dia 3
  • Wat is informatiebeveiliging? Onfeilbare informatiebeveiliging bestaat niet Informatiebeveiliging gemeente Nieuwegein3
  • Dia 4
  • Wat is informatiebeveiliging? Dit werkt niet Informatiebeveiliging gemeente Nieuwegein4
  • Dia 5
  • Wat is informatiebeveiliging? Dit wilt u niet Informatiebeveiliging gemeente Nieuwegein5
  • Dia 6
  • Wat is informatiebeveiliging? Toch wilt u dit voorkomen Informatiebeveiliging gemeente Nieuwegein6
  • Dia 7
  • Wat is informatiebeveiliging? En anders dit wel Informatiebeveiliging gemeente Nieuwegein7
  • Dia 8
  • Wat is informatiebeveiliging? Want dit wilt u niet meemaken Informatiebeveiliging gemeente Nieuwegein8
  • Dia 9
  • Wat is informatiebeveiliging? Wat dan wel? Het beheren van risico's waaraan informatie bloot staat: Niet het uitsluiten van risico's! Risico's ontstaan tijdens het genereren, opslaan, verwerken, bewerken en uitwisselen van informatie Een (kwaliteits-)proces dat alle delen van de organisatie raakt: Mensen, procedures en techniek Informatiebeveiliging gemeente Nieuwegein9
  • Dia 10
  • Maar in de kern gaat het om iets veel eenvoudigers Informatiebeveiliging zorgt voor gefundeerd vertrouwen in uw gegevens en processen Informatiebeveiliging gemeente Nieuwegein10
  • Dia 11
  • Hoe gaan we dat bereiken? Afspraken maken: Beleid Procedures Werkinstructies Maatregelen nemen die realisatie en controle van die afspraken faciliteren: We willen immers geen papieren tijger! Aantonen dat de afspraken worden nageleefd: Maak het zichtbaar, anders is er geen grond voor vertrouwen Informatiebeveiliging gemeente Nieuwegein11
  • Dia 12
  • Dit is een flinke klus Standaard voor informatiebeveiliging: ISO 27001:2007 normatieve beschrijving beheersdoelstellingen ISO 27002:2007 best practices voor beheersmaatregelen Bestaat uit 11 domeinen, 39 beheersdoelstellingen en 133 beheersmaatregelen Is een conceptuele beschrijving, moet dus nog vertaald worden naar de best passende werkwijze voor de eigen organisatie Kortom het implementeren van informatiebeveiliging is lastig: Zelfs organisaties die een heel team hebben dat zich hiermee fulltime bezig houdt hebben er moeite mee Informatiebeveiliging gemeente Nieuwegein12
  • Dia 13
  • Maak het niet moeilijker dan nodig is Wees pragmatisch en durf keuzes te maken: Simpel boven complex Goed genoeg boven perfect Kosten in verhouding tot baten Ga niet onnodig zelf het wiel uitvinden: Gebruik de baselines van KING Kies voor standaardoplossingen Kijk naar wat anderen met succes hebben gedaan Informatiebeveiliging gemeente Nieuwegein13
  • Dia 14
  • Incidenten En dan nog zullen er incidenten blijven: Complex geheel: Veel componenten met veel relaties en veel verschillende gebruikers Veel ruimte voor fouten: Menselijke fouten: Onwetendheid Slordigheid Bewuste overtredingen Technologische fouten: Apparatuur Software Informatiebeveiliging gemeente Nieuwegein14
  • Dia 15
  • Incidenten En dan nog zullen er incidenten blijven: Veranderingen in behoefte aan beveiliging: In de organisatie Vanuit de omgeving Nieuwe technologische mogelijkheden: Bring Your Own Device Het Nieuwe Werken Cloud Hacktechnieken Informatiebeveiliging gemeente Nieuwegein15
  • Dia 16
  • Analogie met verkeer Complex geheel: Veel en verschillende soorten weggebruikers Veel verschillende technologische hulpmiddelen Veel ruimte voor fouten: Slecht aangegeven gevaarlijke situaties Foute interpretatie verkeersregels Onoplettendheid Bewuste overtredingen Falende vervoersmiddelen Informatiebeveiliging gemeente Nieuwegein16
  • Dia 17
  • Analogie verkeer Dus maken we verkeersregels om alles in goede banen te leiden Maar die kunnen tekort schieten Dus moeten we naleving ervan bewaken En ze bijstellen wanneer nodig En er duidelijk over communiceren naar de weggebruikers Informatiebeveiliging gemeente Nieuwegein17
  • Dia 18
  • Informatiebeveiliging is nooit perfect Is het erg als informatiebeveiliging, al dan niet opzettelijk, faalt? Ja, als het vertrouwen daardoor geschaad wordt Ja, als de impact op de bedrijfsvoering/maatschappij groot is Nee, als men ziet dat u gedaan hebt wat u kon doen Doe dus wat redelijkerwijs van u verwacht mag worden: Standaard maatregelen voor standaard problemen Houd de boel goed in de gaten, zodat u het ziet wanneer er iets vreemds gebeurt Reageer snel op geconstateerde of gemelde afwijkingen Communiceer duidelijk over de spelregels Informatiebeveiliging gemeente Nieuwegein18
  • Dia 19
  • Informatiebeveiliging is nooit perfect Maar het blijft vooral mensenwerk En een permanent punt van aandacht Informatiebeveiliging gemeente Nieuwegein19
  • Dia 20
  • Algemene aanpak Bedenk welk niveau van beveiliging nodig is voor de eigen bedrijfsprocessen: Niet meer en niet minder Vul dat aan met eisen uit wet- en regelgeving Wees u bewust van de manieren waarop die bedrijfsprocessen verstoord kunnen worden: Door fouten Door vergissingen/slordigheden Door opzettelijke manipulatie Informatiebeveiliging gemeente Nieuwegein20
  • Dia 21
  • Algemene aanpak Bedenk met welke maatregelen u die risico's zo effectief en efficint mogelijk kunt afdekken: Reduceer risico tot een acceptabel niveau, meer is niet nodig Kies voor maatregelen die de eigen organisatie kan behappen Let op kosten en baten van de maatregelen: Gaat over meer dan alleen geld! Maak goede afspraken over spelregels die goed passen bij de gekozen werkwijze: Beleid, procedures en werkinstructies Kijk waar uitvoering en bewaking van die afspraken gefaciliteerd kunnen worden door techniek Informatiebeveiliging gemeente Nieuwegein21
  • Dia 22
  • Algemene aanpak Implementeer de gekozen maatregelen Controleer dat het resultaat past bij de verwachtingen En maak het resultaat zichtbaar, zodat er een basis voor gerechtvaardigd vertrouwen ontstaat Informatiebeveiliging gemeente Nieuwegein22
  • Dia 23
  • Aanpak gemeente Nieuwegein Hoe gaat de gemeente Nieuwegein deze puzzel oplossen? Informatiebeveiliging gemeente Nieuwegein23
  • Dia 24
  • Wat doet de gemeente aan Informatiebeveiliging? Beleid Jaarplan Actie
  • Dia 25
  • Beleid Strategisch informatiebeveiligingsbeleid samen met IJsselstein en Montfoort: 7 strategische spelregels, de piketpaaltjes
  • Dia 26
  • 1. Informatiebeveiliging zit in ons DNA We borgen de veiligheid van informatie door beveiligingsmaatregelen op een natuurlijke manier in te bedden in de processen en activiteiten van de organisatie en het handelen van medewerkers. Je bent je er van bewust dat jouw handelen en gedrag in het werk de belangrijkste beveiligingsmaatregel is Je bent extra alert als je met vertrouwelijke informatie werkt.
  • Dia 27
  • 2. We sluiten aan op bestaande standaarden Waar mogelijk maken we bij de realisatie van de informatiebeveiliging gebruik van (landelijke) standaarden of veelgebruikte, bewezen oplossingen. We sluiten ons aan bij de IBD De gemeente werkt met de Baseline Informatiebeveiliging Nederlandse gemeenten We werken op basis van risicoanalyses Twitter je veel of ben je regelmatig op Facebook te vinden? Zorg dat je de gemeentelijke richtlijnen met betrekking tot het gebruik van Social media goed kent. Zorg dat je binnen een beveiligde omgeving werkt
  • Dia 28
  • 3. Informatiebeveiliging is van iedereen Informatiebeveiliging is een onlosmakelijk onderdeel van het proces en hoort bij de taken en verantwoordelijkheden van elke manager en medewerker. Bewustzijn en zorgvuldig handelen zijn de belangrijkste beveiligingsmaatregelen. Niet alleen de procesverantwoordelijke, of je leidinggevende is verantwoordelijk, jij bent zelf verantwoordelijk Je signaleert potentiele veiligheidsrisicos in jouw proces en draagt actief bij aan het verbeteren van de informatiebeveiliging
  • Dia 29
  • 4. De gemeente blijft eindverantwoordelijk De gemeente voert de regie over de dienstverlening. Met alle samenwerkingspartners maakt de gemeente afspraken over de beschikbaarheid, de integriteit en de vertrouwelijkheid van de onderlinge informatiestromen. Samenwerkingspartners die geen veilige verbinding garanderen met de gemeente, sluiten niet aan op de informatie-infrastructuur van de gemeente Maak heldere afspraken met samenwerkingspartners op het gebied van informatie-uitwisseling en informatiebeveiliging. Denk goed na voordat je voldoet aan een informatieverzoek van een samenwerkingspartner. Stuur vertrouwelijke informatie niet zomaar via de mail.
  • Dia 30
  • 5. We maken melding van incidenten Elk incident op het gebied van informatiebeveiliging wordt ten minste gemeld aan de procesverantwoordelijke. Deze rapporteert over de incidenten in de Planning & Control cyclus. Het totale incidentenregister wordt gebruikt om trends te signaleren en dient als input bij de revisie van het beveiligingsplan. We sturen op een cultuur van veilig kunnen melden en doen structureel wat met meldingen Meld het als je: een usb-stick, smartphone, tablet of laptop met vertrouwelijke informatie bent verloren; een personeelsdossier bent verloren; een kast met vertrouwelijke informatie herhaaldelijk open en onbeheerd aantreft; een vreemd telefoontje hebt gehad van bijvoorbeeld (iemand die zich voordeed als) journalist of medewerker van een bedrijf en die vroeg naar bepaalde informatie; een verdachte e-mail hebt ontvangen
  • Dia 31
  • 6. We gaan zorgvuldig om met privacy en vertrouwelijke informatie De medewerkers van de gemeente gaan integer om met privacygevoelige gegevens en vertrouwelijke informatie. Persoonsgegevens worden adequaat beveiligd. Dit wordt periodiek getoetst. Wees je ervan bewust dat je geregeld met vertrouwelijke informatie werkt. Ga hier integer mee om. Laat geen documenten met vertrouwelijke informatie onbeheerd achter. Vernietig documenten met vertrouwelijke informatie zodra je ze niet langer nodig hebt. Voer overleggen waarin vertrouwelijke informatie besproken wordt in een afgesloten ruimte. Ruim je bureau op en zorg dat je screensaver aanstaat zodra je je werkplek verlaat.
  • Dia 32
  • 7. Wettelijke verplichtingen en auteursrechtelijk beschermd materiaal De gemeente draagt er zorg voor dat medewerkers op de hoogte zijn van de informatiebeveiligingsaspecten binnen hun proces(sen) en dat de gemeente niet in strijd met wet- en regelgeving handelt. Auteursrechtelijk beschermd materiaal wordt niet gekopieerd zonder toestemming van de eigenaar. Dit geldt ook voor programmatuur; voor alle aanwezige software (en gebruikers) zijn geldige licenties beschikbaar. Download geen illegale bestanden en software. Download geen bestanden en software waarvan de herkomst niet bekend is. Gebruik zonder toestemming geen afbeeldingen en tekst waarvan het copyright elders ligt.
  • Dia 33
  • Wat doen we hier nu mee? Het voorgaande is onze kapstok om gepland actie te ondernemen, het informatiebeveiligingsplan 2014: Afstemming met Portefeuillehouder Gaat naar Directieteam Uitgangspunten: Gebaseerd op Quick scan en Risicoanalyse 5 punten/projecten per jaar Focus op urgentie Uitsplitsing naar 3 aspecten van Informatiebeveiliging Samenspel tussen harde en zachte kant
  • Dia 34
  • Aspecten Informatiebeveiliging Informatiebeveiliging gaat om betrouwbaarheid van de Informatievoorziening: Beschikbaarheid (Tijdig, Continu) Integriteit (Correct, Volledig, Geldig, Authentiek, Onweerlegbaar) Vertrouwelijkheid (Exclusief)
  • Dia 35
  • Hard en Zacht Harde kant: Opzet Bestaan Werking Zachte kant: Kennis Houding Gedrag Deze 2 benaderingen kunnen niet zonder elkaar!
  • Dia 36
  • Actie In 2013: Maatregelen rond robuustheid infrastructuur Eerste DigiD Audit Samenwerking in Regio: IJsselstein Houten Zeist In 2014: Aansluiting bij IBD Samenwerking in Regio intensiveren 3 Decentralisaties (ketensamenwerking) Vastleggen beleid/processen/procedures (borging) Uitvoering Jaarplan 2014 met daarin en ook parallel daaraan: Awareness gebruikers
  • Dia 37
  • Vragen Informatiebeveiliging gemeente Nieuwegein