Basiskennis informatiebeveiliging op basis van ISO27001 en ...
Informatiebeveiliging gemeenten
-
Upload
vuongkhanh -
Category
Documents
-
view
223 -
download
1
Transcript of Informatiebeveiliging gemeenten
Informatiebeveiliging gemeenten KPN logische partner bij invoering en uitvoering
2
3
Informatiebeveiliging is en blijft een hot issue, want de digitalisering neemt nog steeds toe. Ook binnen gemeenten. Sinds de decentralisaties in het sociale domein een feit zijn, is een integrale informatievoorziening tussen alle ketenpartners cruciaal. Daarmee is een betrouwbare, beschikbare en correcte informatie huishouding voor gemeenten nog essentiëler dan voorheen. De Baseline Informatiebeveiliging Gemeenten helpt daarbij. KPN is een logische partner bij de invoering en de uitvoering ervan. We leggen uit waarom.
Gemeenten beheren van oudsher veel privacygevoelige
informatie. Het gebruik ervan groeit door nieuwe samen-
werkingen en ontwikkelingen zoals Digitaal 2017, de
decentralisaties, en tijd- en plaatsonafhankelijk werken.
De combinatie van beheren en gebruiken van gegevens
vraagt om grote zorgvuldigheid. Alleen dan kunnen
gemeenten goed functioneren en krijgen ze het ver-
trouwen van de burgers. Daarbij is toegankelijke en
betrouwbare informatie essentieel voor ‘behoorlijk’
bestuur. Toenemende wet- en regelgeving op het gebruik
van (privacygevoelige) informatie maakt van informatie-
beveiliging een strategisch onderwerp dat vraagt om een
integrale visie.
Organisaties die met persoonsgegevens of andere gevoelige
databronnen omgaan, zijn zelf verantwoordelijk voor de
bescherming daarvan.
TrendsDe gevolgen voor de continuïteit van de bedrijfsvoering
en het primaire proces zijn bijzonder ernstig als computers
of telecommunicatiesystemen uitvallen. Daarnaast heeft
het zware gevolgen als gegevens en bestanden op straat
komen te liggen, en dat gezien kan worden als een data-
lek. De kans dat dit gebeurt groeit. We zetten de trends en
ontwikkelingen op een rij:
• Toenemende wet- en regelgeving op het gebruik van
informatie, met onder andere hoge boetes en
persoonlijke aansprakelijkheid voor bestuurders.
• Groeiende cybercriminaliteit: vooral organisaties
die over veel persoonsgegevens beschikken – zoals
gemeenten, zijn een gewild doelwit.
• Steeds meer gegevensuitwisseling via mobiele
apparaten als gevolg van tijd- en plaatsonafhankelijk
werken.
• Centrale rol van gemeenten in het sociale domein
(als gevolg van de decentralisaties) wat de informatie-
uitwisseling – in de hele keten – niet alleen doet
groeien, maar ook veel complexer maakt.
• De nauwere samenwerking tussen de gemeente en
andere overheidsorganisaties op het gebied van
bedrijfsvoering en gemeentelijke processen. Dit vraagt
om het toepassen van een strategie om risico’s af te
dekken.
Deze ontwikkelingen maken gedegen informatiebeveiliging
noodzakelijk.
4
Wet- en regelgeving: de tijd dringt Bestands- en gegevenskoppelingen en verwerking van
deze gegevens tussen gemeenten en andere partijen
zorgen er onder meer voor dat informatieveiligheid en
privacy belangrijker worden. In het verlengde hiervan
werkt Brussel aan een Algemene Verordening Gegevens-
bescherming (AVG). Deze verordening omvat een hele
set nieuwe regels rond privacybescherming. Organisaties
die niet aan deze verordening voldoen, kunnen extreem
hoge boetes krijgen.
Strenge privacyregels dulden geen uitstel van vergaande
informatiebeveiliging.
Zo krijgen de Europese Privacy toezichthouders – in
Nederland is dat het College Bescherming Persoons-
gegevens (CBP) – de bevoegdheid om een boete op
te leggen als organisaties de verordening overtreden.
Je krijgt bijvoorbeeld een boete bij:
• het niet documenteren van de verwerkingen van
persoonsgegevens;
• het niet voldoende beveiligen van persoonsgegevens;
• het niet voldoen aan verzoeken (van burgers) tot
het beter afschermen van persoonsgegevens;
• het niet tijdig melden van datalekken.
Na invoering van de verordening hebben organisaties
nog twee jaar om veranderingen door te voeren.
De Nederlandse overheid loopt – wat betreft het melden
van datalekken – op de AVG vooruit met de wet ‘Meld-
plicht datalekken en uitbreiding boetebevoegdheid CBP’.
Deze uitbreiding op de Wet bescherming persoons-
gegevens betekent dat Nederlandse organisaties vanaf
1 januari 2016 datalekken moeten melden bij het CBP.
Het CBP krijgt daarnaast een grotere bestuurlijke boete-
bevoegdheid. Bij schending van meer algemene
ver plichtingen die de wet stelt aan gebruik en verwerking
van persoonsgegevens, kan het college straks ook een
boete opleggen. Denk aan het niet goed beveiligen
van gegevens. Nu is dat alleen nog bij overtreding van
een administratief voorschrift. De boete is maximaal
€ 810.000 of onder omstandigheden voor een rechts-
persoon 10 procent van de jaaromzet.
Het goed implementeren van de BIG kan voorkomen
dat je een boete krijgt. Er is flink wat werk aan de winkel
voor het college van burgemeester en wethouders.
Het college is verantwoordelijk voor het informatie-
beveiligingsbeleid binnen gemeenten en moet op
basis van landelijke en Europese wet- en regelgeving
hiermee aan de slag. Kortom: de tijd dringt, ook voor
gemeenten!
Visie van KPN op ontwikkelingen bij lokale overhedenLokale overheden staan voor enorme uitdagingen
waarin ICT een belangrijke component vormt. Gemeenten
hebben sinds 1 januari 2015 – door de decentralisaties –
een centrale rol in het sociale domein. Ze zijn de spin in
het web van burgers, zorgverleners en zorginstellingen,
verzekeraars enzovoort. Cruciaal hierbij is veilige
infor matie-uitwisseling in de hele keten. Geen eenvoudige
opgave voor gemeenten – ze hebben hierin de regie –
want de informatie-uitwisseling is met de decentralisaties
in het sociale domein omvangrijker en complexer
geworden.
Gemeenten voeren op dit moment grote veranderingen
door in het sociale domein. Daar hebben gemeenteraad,
bestuur en ambtenaren hun handen vol aan.
Kwetsbaarheid te lijf
Gemeenten zijn kwetsbaar wat hun digitale dienstverlening betreft. Daarom hebben VNG en KING de Baseline
Informatiebeveiliging Gemeenten (BIG) opgesteld. Doel: meer grip op de betrouwbaarheid van de informatie-
voorziening en borging van de informatieveiligheid. Met de BIG hebben bestuur en directie een instrument in
handen waarmee zij kunnen meten of de organisatie de informatiebeveiliging op orde heeft. Gemeenten hebben
zich gecommitteerd aan de invoering van deze baseline. Een complexe en omvangrijke operatie. KPN zit tot in de
haarvaten van het digitale overheidsdomein. Wij beheren al jarenlang de kritische infrastructuur van gemeenten.
Denk aan het Gemnet netwerk. We hebben een lange staat van dienst in het ondersteunen van klanten bij het
ontwikkelen, implementeren en onderhouden van informatiebeveiligingsbeleid en de levering van een compleet
scala aan diensten. Daarmee hebben we de kennis en ervaring in huis die nodig is bij de implementatie van de BIG.
Maar ook bij het ‘onderhoud’: informatiebeveiliging is een continu proces. Onze uitgangspunten: lokale overheden
helpen bij het voldoen aan verplichtingen en ervoor zorgen dat ze altijd en overal veilig kunnen (samen)werken en
gegevens kunnen uitwisselen. Dit doen we vanuit onze kernwaarden: persoonlijk, eenvoud en vertrouwen.
5
Het succes van de decentralisaties hangt onder andere
nauw samen met goede informatiebeveiliging in de
keten: een wezenlijke schakel die constant om aandacht
vraagt en daarmee eigenlijk nooit ‘af’ is. De BIG vormt
een praktisch handvat om hier invulling aan te geven.
Het loont om een ervaren partner bij de invoering
ervan te betrekken die weet waar het over gaat, de
gemeentelijke processen begrijpt en gemeenten
makkelijk werk uit handen neemt en ontzorgt.
KPN kent zowel de lokale overheid als de zorgsector
goed. We werken voor gemeenten maar ook voor zieken-
huizen en jeugdzorginstellingen. KPN beheert het
Gemnet netwerk, onder andere als onderdeel van het
Diginetwerk; het toekomstbestendige overheidsnetwerk.
Ook zijn we leverancier van specifieke dienstverlening
voor de overheid. Denk aan de Digitale Deurmat CORV,
berichtenverkeer op basis van Digikoppeling en Beveiligde
E-mail binnen de zorgketen en de lokale overheid.
Deze positie en ervaring geeft ons een grote voorsprong.
Verderop gaan we nader in op onze positie binnen de
lokale overheid.
Samengevat omvat de visie van KPN de volgende
punten:
• Veilige, afgeschermde infrastructuur en informatie-
uitwisseling zijn nodig om de continuïteit in het
proces en de vertrouwelijkheid van gegevens te
waarborgen.
• Gemeenten moeten ‘in control’ zijn bij de privacy-
bescherming van burgers.
• De organisatie van informatiebeveiliging vraagt
om een ketenbrede benadering met eigen
verantwoordelijkheid.
• Goede informatiebeveiliging is afhankelijk van mensen,
ketenprocessen en technologie en vraagt om een
integrale visie op security & privacy.
• Risicomanagement is een belangrijke voorwaarde voor
informatiebeveiliging.
6
KPN dienstverlening in de BIG-bouwstenenDe BIG bestaat uit een strategisch (beveiligingsbeleid) en
een tactisch deel – de normen en maatregelen. Om te
kunnen voldoen aan de baseline, doorlopen gemeenten
vijf fasen (zie figuur). KPN brengt zijn dienstverlening in
deze fasen onder in drie blokken.
• GAP-analyse, impactanalyse, informatie-
beveiligingsplan
Gemeenten moeten de BIG risicogedreven invoeren.
Maar elke gemeente is anders en zit in een andere
fase. KPN kan gemeenten advies op maat geven wat
de volgende onderdelen betreft: GAP- en impact-
analyse, beleidsontwikkeling, het indelen van data in
risicoklassen, risicoanalyse, opstellen van een risico-
plan, procesherindeling. Centrale vraag in deze fase is:
hoe krijgen gemeenten hun informatiebeveiliging
naar een acceptabel niveau?
• Implementeren maatregelen
Implementeren van (BIG-)maatregelen. KPN kan
adviseren over de juiste fasering, maar ook concrete
diensten leveren. Denk aan Beheerde Firewalls,
Beveiligde E-mail, Pen-tests en Security & Compliance
monitoring (SOC/SIEM).
• Bewaken en verantwoorden
KPN kan niet alleen ondersteunen bij het opbouwen
van kennis rond de BIG en het invoeren ervan, maar
we kunnen gemeenten ook ondersteunen bij het
vervolg. Het informatiebeveiligingsplan heeft immers
een hogere doorloopsnelheid dan het strategische
beleidsplan dat vaak voor vier jaar is vastgelegd.
KPN kan een jaarlijkse analyse uitvoeren die duidelijk
maakt waar u als gemeente staat en welke maat-
regelen nodig zijn om te voldoen aan alle eisen.
Dit betekent dat wij samen met u kijken wat er is
veranderd, het beveiligingsplan bijstellen, bijdragen
aan bewustwording rond informatiebeveiliging en
– indien nodig – maatregelen treffen.
KPN en informatieveiligheidDe historie van KPN gaat ver terug. In 1852 stonden we
als staatsbedrijf aan de wieg van de nationale telegrafie-
verbindingen. We maakten een organische groei door
en ruim 160 jaar later is KPN een cruciaal onderdeel van
de vitale infrastructuur in Nederland. KPN heeft daarmee
de maatschappelijke verantwoordelijkheid om constant
veiligheid en kwaliteit te bieden. Dat zit in ons DNA.
KPN wil samenwerken met gemeenten. Kennis delen is een
noodzakelijke voorwaarde voor digitale veiligheid.
Diensten van KPN
KPN levert de volgende (vitale) diensten:
• 112-netwerk
• Noodnet
• Gemnet
• Berichtenuitwisseling op basis van
Digikoppeling
• Suwi-mail, Beveiligde E-mail in het sociaal
domein
• C2000, het landelijke communicatiesysteem
voor de hulpverleningsdiensten
• E-zorg
• Toegang tot Diginetwerk
• PKIoverheid en eHerkenning
7
Juist vanwege deze wezenlijke positie zit KPN geregeld
aan tafel bij stakeholders. We ondersteunen de BIG en
door het ondertekenen van het leveranciersaddendum
– een aanvulling op het bestaande KING-convenant –
heeft KPN zich geconformeerd aan de strikte
veiligheidseisen.
KPNKPN gaat graag aan de slag met en voor gemeenten.
Binnen KPN werken mensen met gespecialiseerde kennis
over informatiebeveiliging. Zij weten wat er leeft bij
gemeenten. Onze consultants Lokale Overheid zijn op de
hoogte van de ontwikkelingen in bijvoorbeeld het sociale
domein en zij snappen welke politieke gevoeligheden er
bestaan. Daarnaast hebben we IT-specialisten in dienst
met relevante kennis voor gemeenten en bieden we een
uitgebreid pallet aan beheerde informatiebeveiligings-
oplossingen.
Vertrouwelijkheid, integriteit en beschikbaarheid staan aan
de basis van onze dienstverlening.
Onze eigen informatiebeveiliging heeft voortdurend
onze aandacht: KPN hanteert voor de beveiliging van zijn
diensten, organisatie en infrastructuur de internationaal
erkende standaard voor informatiebeveiliging ISO 27001
en ISO 27002 als richtlijn. We houden ons informatie-
beveiligingsniveau hoog doordat we regelmatig in- en
externe audits en controles laten uitvoeren. Als leverancier
en serviceprovider van ICT-, data- en telecommunicatie-
diensten hebben we vertrouwelijkheid, integriteit en
beschikbaarheid hoog in het vaandel.
Tot slotDe wereld van lokale overheden verandert in snel
tempo: van bezuinigingen en decentralisaties tot een
groeiend takenpakket, van bewegen naar de cloud en
standaardisatie tot Het Nieuwe Werken. Om steeds
maximaal aan te sluiten bij de uitdagingen waar lokale
overheden voor staan, investeren we in innovatie. Het
Nieuwe Samenwerken, verbetering van dienstverlening
aan burgers & bedrijven en digitale veiligheid. KPN weet
wat er speelt en denkt mee. Door kennis en ervaring
te combineren met technologie en slagkracht kunnen
onze klanten rekenen op een toekomstvaste oplossing.
Succesvol vernieuwen doen we samen. Hoe snel de
ontwikkelingen ook gaan en wat de nieuwe manier van
werken en leven ook wordt.
ContactgegevensKPN Lokale Overheid
Maanplein 110
2516 CK Den Haag
(+31) (0)70 - 343 69 00
www.kpn.com/lokaleoverheid
Voldoen aan de baseline KPN Dienstverlening
GAP analyse
Impactanalyse
Risicomanagement Centrale vraag: hoe krijgen gemeenten hun informatiebeveiliging naar een acceptabel niveau?
Informatiebeveiligingsplan t.o.v. de BIG
Implementeren maatregelen
• Advies• Concrete diensten
Bewaken en verantwoorden
• Jaarlijkse analyse• Beveiligingsplan bijstellen
kpn.com/lokaleoverheid