Informatiebeveiliging gemeente Nieuwegein1 Informatiebeveiliging bij de gemeente Nieuwegein.

Informatiebeveiliging gemeente Nieuwegein 1

Informatiebeveiliging bij de

gemeente Nieuwegein


Wat vindt u?

•Wat is uw beeld van informatiebeveiliging?•Waar denkt u dan aan?•Wat zijn dat, kwetsbaarheden, bedreigingen en maatregelen?•En waar komen die dingen vandaan?


Wat is informatiebeveiliging?

•Onfeilbare informatiebeveiliging bestaat niet



•Dit werkt niet



•Dit wilt u niet



•Toch wilt u dit voorkomen



•En anders dit wel



•Want dit wilt u niet meemaken



•Wat dan wel?•Het beheren van risico's waaraan informatie bloot staat:•Niet het uitsluiten van risico's!•Risico's ontstaan tijdens het genereren, opslaan, verwerken, bewerken

en uitwisselen van informatie•Een (kwaliteits-)proces dat alle delen van de organisatie raakt:•Mensen, procedures en techniek


Maar in de kern gaat het om iets veel eenvoudigers

• Informatiebeveiliging zorgt voor gefundeerd vertrouwen in uw gegevens en processen


Hoe gaan we dat bereiken?

•Afspraken maken:•Beleid•Procedures•Werkinstructies

•Maatregelen nemen die realisatie en controle van die afspraken faciliteren:•We willen immers geen papieren tijger!

•Aantonen dat de afspraken worden nageleefd:•Maak het zichtbaar, anders is er geen grond voor vertrouwen


Dit is een flinke klus

•Standaard voor informatiebeveiliging:•ISO 27001:2007 → normatieve beschrijving beheersdoelstellingen•ISO 27002:2007 → best practices voor beheersmaatregelen

•Bestaat uit 11 domeinen, 39 beheersdoelstellingen en 133 beheersmaatregelen

•Is een conceptuele beschrijving, moet dus nog vertaald worden naar de best passende werkwijze voor de eigen organisatie

•Kortom het implementeren van informatiebeveiliging is lastig:•Zelfs organisaties die een heel team hebben dat zich hiermee fulltime bezig houdt hebben er moeitemee


Maak het niet moeilijker dan nodig is

•Wees pragmatisch en durf keuzes te maken:•Simpel boven complex•Goed genoeg boven perfect•Kosten in verhouding tot baten

•Ga niet onnodig zelf het wiel uitvinden:•Gebruik de baselines van KING•Kies voor standaardoplossingen•Kijk naar wat anderen met succes hebben gedaan


Incidenten

•En dan nog zullen er incidenten blijven:•Complex geheel:

•Veel componenten met veel relaties en veel verschillende gebruikers

•Veel ruimte voor fouten:•Menselijke fouten:

• Onwetendheid• Slordigheid• Bewuste overtredingen

•Technologische fouten:• Apparatuur• Software


Incidenten

•En dan nog zullen er incidenten blijven:•Veranderingen in behoefte aan beveiliging:•In de organisatie•Vanuit de omgeving

•Nieuwe technologische mogelijkheden:•Bring Your Own Device•Het Nieuwe Werken•Cloud•Hacktechnieken


Analogie met verkeer

•Complex geheel:•Veel en verschillende soorten weggebruikers•Veel verschillende technologische hulpmiddelen

•Veel ruimte voor fouten:•Slecht aangegeven gevaarlijke situaties•Foute interpretatie verkeersregels•Onoplettendheid•Bewuste overtredingen•Falende vervoersmiddelen


Analogie verkeer

•Dus maken we verkeersregels om alles in goede banen te leiden•Maar die kunnen tekort schieten•Dus moeten we naleving ervan bewaken•En ze bijstellen wanneer nodig•En er duidelijk over communiceren naar de “weggebruikers”


Informatiebeveiliging is nooit perfect

•Is het erg als informatiebeveiliging, al dan niet opzettelijk, faalt?•Ja, als het vertrouwen daardoor geschaad wordt•Ja, als de impact op de bedrijfsvoering/maatschappij groot is•Nee, als men ziet dat u gedaan hebt wat u kon doen

•Doe dus wat redelijkerwijs van u verwacht mag worden:•Standaard maatregelen voor standaard problemen•Houd de boel goed in de gaten, zodat u het ziet wanneer er iets vreemds gebeurt

•Reageer snel op geconstateerde of gemelde afwijkingen•Communiceer duidelijk over de spelregels


Informatiebeveiliging is nooit perfect

•Maar het blijft vooral mensenwerk

•En een permanent punt van aandacht


Algemene aanpak

•Bedenk welk niveau van beveiliging nodig is voor de eigen bedrijfsprocessen:•Niet meer en niet minder

•Vul dat aan met eisen uit wet- en regelgeving•Wees u bewust van de manieren waarop die bedrijfsprocessen verstoord kunnen worden:•Door fouten•Door vergissingen/slordigheden•Door opzettelijke manipulatie


Algemene aanpak

•Bedenk met welke maatregelen u die risico's zo effectief en efficiënt mogelijk kunt afdekken:•Reduceer risico tot een acceptabel niveau, meer is niet nodig•Kies voor maatregelen die de eigen organisatie kan “behappen”•Let op kosten en baten van de maatregelen:

•Gaat over meer dan alleen geld!

•Maak goede afspraken over spelregels die goed passen bij de gekozen werkwijze:•Beleid, procedures en werkinstructies•Kijk waar uitvoering en bewaking van die afsprakengefaciliteerd kunnen worden door techniek


Algemene aanpak

•Implementeer de gekozen maatregelen•Controleer dat het resultaat past bij de verwachtingen•En maak het resultaat zichtbaar, zodat er een basis voor gerechtvaardigd vertrouwen ontstaat


Aanpak gemeente Nieuwegein

•Hoe gaat de gemeente Nieuwegeindeze puzzel oplossen?

Wat doet de gemeente aan Informatiebeveiliging?

• Beleid• Jaarplan• Actie

Beleid

Strategisch informatiebeveiligingsbeleid samen met IJsselstein en Montfoort:

• 7 strategische spelregels, de “piketpaaltjes”

1. Informatiebeveiliging zit in ons DNA

We borgen de veiligheid van informatie door beveiligingsmaatregelen op een natuurlijke manier in te bedden in de processen en activiteiten van de organisatie en het handelen van medewerkers.

Je bent je er van bewust dat jouw handelen en gedrag in het werk de

belangrijkste beveiligingsmaatregel is Je bent extra alert als je met vertrouwelijke informatie werkt.

2. We sluiten aan op bestaande standaardenWaar mogelijk maken we bij de realisatie van de informatiebeveiliging gebruik van (landelijke) standaarden of veelgebruikte, bewezen oplossingen.

We sluiten ons aan bij de IBDDe gemeente werkt met de Baseline Informatiebeveiliging Nederlandse

gemeenten We werken op basis van risicoanalysesTwitter je veel of ben je regelmatig op Facebook te vinden? Zorg dat je de

gemeentelijke richtlijnen met betrekking tot het gebruik van Social media goed kent.

Zorg dat je binnen een beveiligde omgeving werkt

3. Informatiebeveiliging is van iedereen

Informatiebeveiliging is een onlosmakelijk onderdeel van het proces en hoort bij de taken en verantwoordelijkheden van elke manager en medewerker. Bewustzijn en zorgvuldig handelen zijn de belangrijkste beveiligingsmaatregelen.

Niet alleen de procesverantwoordelijke, of je leidinggevende is

verantwoordelijk, jij bent zelf verantwoordelijk Je signaleert potentiele veiligheidsrisico’s in jouw proces en

draagt actief bij aan het verbeteren van de informatiebeveiliging

4. De gemeente blijft eindverantwoordelijk

De gemeente voert de regie over de dienstverlening. Met alle samenwerkingspartners maakt de gemeente afspraken over de beschikbaarheid, de integriteit en de vertrouwelijkheid van de onderlinge informatiestromen. Samenwerkingspartners die geen veilige verbinding garanderen met de gemeente, sluiten niet aan op de informatie-infrastructuur van de gemeente

Maak heldere afspraken met samenwerkingspartners op het gebied

van informatie-uitwisseling en informatiebeveiliging. Denk goed na voordat je voldoet aan een informatieverzoek van een

samenwerkingspartner. Stuur vertrouwelijke informatie niet zomaar via de mail.

5. We maken melding van incidenten

Elk incident op het gebied van informatiebeveiliging wordt ten minste gemeld aan de procesverantwoordelijke. Deze rapporteert over de incidenten in de Planning & Control cyclus. Het totale incidentenregister wordt gebruikt om trends te signaleren en dient als input bij de revisie van het beveiligingsplan.We sturen op een cultuur van “veilig” kunnen melden en doen structureel wat met meldingen

Meld het als je: een usb-stick, smartphone, tablet of laptop met vertrouwelijke informatie bent

verloren; een personeelsdossier bent verloren; een kast met vertrouwelijke informatie herhaaldelijk open en onbeheerd aantreft; een vreemd telefoontje hebt gehad van bijvoorbeeld (iemand die zich voordeed als)

journalist of medewerker van een bedrijf en die vroeg naar bepaalde informatie; een verdachte e-mail hebt ontvangen

6. We gaan zorgvuldig om met privacy en vertrouwelijke informatie

De medewerkers van de gemeente gaan integer om met privacygevoelige gegevens en vertrouwelijke informatie. Persoonsgegevens worden adequaat beveiligd. Dit wordt periodiek getoetst.

Wees je ervan bewust dat je geregeld met vertrouwelijke informatie werkt. Ga hier

integer mee om. Laat geen documenten met vertrouwelijke informatie onbeheerd achter. Vernietig documenten met vertrouwelijke informatie zodra je ze niet langer nodig

hebt. Voer overleggen waarin vertrouwelijke informatie besproken wordt in een afgesloten

ruimte. Ruim je bureau op en zorg dat je screensaver aanstaat zodra je je werkplek verlaat.

7. Wettelijke verplichtingen en auteursrechtelijk beschermd materiaal

De gemeente draagt er zorg voor dat medewerkers op de hoogte zijn van de informatiebeveiligingsaspecten binnen hun proces(sen) en dat de gemeente niet in strijd met wet- en regelgeving handelt. Auteursrechtelijk beschermd materiaal wordt niet gekopieerd zonder toestemming van de eigenaar. Dit geldt ook voor programmatuur; voor alle aanwezige software (en gebruikers) zijn geldige licenties beschikbaar.

Download geen illegale bestanden en software. Download geen bestanden en software waarvan de herkomst niet

bekend is. Gebruik zonder toestemming geen afbeeldingen en tekst waarvan

het copyright elders ligt.

Wat doen we hier nu mee?

Het voorgaande is onze “kapstok” om gepland actie te ondernemen, het informatiebeveiligingsplan 2014:

• Afstemming met Portefeuillehouder• Gaat naar Directieteam• Uitgangspunten:

• Gebaseerd op Quick scan en Risicoanalyse• 5 punten/projecten per jaar• Focus op urgentie• Uitsplitsing naar 3 aspecten van Informatiebeveiliging• Samenspel tussen ‘harde’ en ‘zachte’ kant

Aspecten Informatiebeveiliging

Informatiebeveiliging gaat om betrouwbaarheid van de Informatievoorziening:

• Beschikbaarheid (Tijdig, Continu)

• Integriteit (Correct, Volledig, Geldig, Authentiek, Onweerlegbaar)

• Vertrouwelijkheid (Exclusief)

Hard en Zacht– “Harde” kant:

• Opzet• Bestaan• Werking

– “Zachte” kant:• Kennis• Houding• Gedrag

Deze 2 benaderingen kunnen niet zonder elkaar!

Actie• In 2013:

– Maatregelen rond robuustheid infrastructuur– Eerste DigiD Audit– Samenwerking in Regio:

• IJsselstein• Houten• Zeist

• In 2014:– Aansluiting bij IBD– Samenwerking in Regio intensiveren– 3 Decentralisaties (ketensamenwerking)– Vastleggen beleid/processen/procedures (borging)– Uitvoering Jaarplan 2014 met daarin en ook parallel daaraan:– Awareness gebruikers

Informatiebeveiliging gemeente Nieuwegein

Vragen

Informatiebeveiliging gemeente Nieuwegein1 Informatiebeveiliging bij de gemeente Nieuwegein.

Documents

Transcript of Informatiebeveiliging gemeente Nieuwegein1 Informatiebeveiliging bij de gemeente Nieuwegein.