Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director

Voorzitter ISACA Belgium vzw

Lid van Vlaamse Toezichtcommissie (VTC)

September 2017

Praktijkgerichte aanpak van

informatieveiligheid:

hoe overeenstemmen met GDPR?

1. Wanneer heb je een

goed informatieveiligheidsbeleid

met aandacht voor privacy?

Opstellen van een informatie-veiligheidsplan !!! Eenzelfde kader voor alle organisaties:

Richtsnoeren informatieveiligheid CBPL http://www.privacycommission.be/sites/privacycommission/files/documents/Richtsnoeren_CBPL_V%202%200_3.pdf

! risico-analyse ! continue bewustmaking (“awareness”) ! voldoende middelen voorzien ! stappenplan: meerjaren-planning ! contract met alle verwerkers

(software-leveranciers, (onder)aannemers met toegang tot informatie)

1. Wanneer heb je een

goed informatieveiligheidsbeleid

met aandacht voor privacy?

Informatieveiligheidsplan: Risico inschatting 1. Beleid 2. Organisatie: intern + externe partijen 3. Personeelsbeleid 4. Bedrijfsmiddelen: informatie classificatie 5. Toegang tot persoonsgegevens 6. Cryptografie 7. Fysieke beveiliging 8. Operationele beveiliging 9. Communicatiebeveiliging 10. Aanschaffen, ontwikkelen en onderhouden toepassingen & informatie-

systemen 11. Leveranciersrelaties 12. Incidenten 13. Continuïteit 14. Naleving

1. Wanneer heb je een

goed informatieveiligheidsbeleid

met aandacht voor privacy?

Belgische Gids voor Cyberveiligheid https://www.b-ccentre.be/wp-content/uploads/2014/05/B-CCENTRE-BCSG-NL.pdf

De gids is bedoeld als praktisch instrument voor het bedrijfsleven, maar kan

zeker ook zijn nut bewijzen in een overheidscontext. Het is een technologie-

neutrale en beknopte handleiding die verhelderend wil zijn voor het

management en die zo ook bruikbaar is voor de CISO.

1. Wanneer heb je een

goed informatieveiligheidsbeleid

met aandacht voor privacy?

1. Wanneer heb je een

goed informatieveiligheidsbeleid

met aandacht voor privacy?

1. Wanneer heb je een

goed informatieveiligheidsbeleid

met aandacht voor privacy?

Principes + Visie + Beleid + Richtsnoeren

Processen & Procedures

Organisatie Risicobeheer &

Controle

Informatie & Data

Architectuur Diensten,

Infrastructuur, Toepassingen

Cultuur, Ethiek & Gedrag

Kennis & Competenties

Communicatie & Rapportering

2. Wat is de functie & de invulling van de information security officer (CISO) & de

“data protection officer” (DPO)?

2. Wat is de functie & de invulling van de information security officer (CISO) & de

“data protection officer” (DPO)?

2. Wat is de functie & de invulling van de information security officer (CISO) & de

“data protection officer” (DPO)?

2. Wat is de functie & de invulling van de information security officer (CISO) & de

“data protection officer” (DPO)?

Informatieveiligheid niet alleen persoonsgegevens maar ook

o andere vertrouwelijke informatie

o beschikbaarheid & betrouwbaarheid van informatie voor de werking van de organisatie, voor uitwisseling met andere organisaties en overheden

o ook informatie op papier!!!

CISO = DPO mag

mogelijkheden

oIntern (niet ICT verantwoordelijke of directeur of jurist!)

oExtern (niet software-leverancier!)

oPer groep (minimum aantal uren per

maand)

16 uur per maand!

2. Wat is de functie & de invulling van de information security officer (CISO) & de

“data protection officer” (DPO)?

„Positie van de functionaris voor gegevensbescherming” a) naar behoren en tijdig wordt betrokken bij alle

aangelegenheden die verband houden met de bescherming van persoonsgegevens;

b) toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid;

c) onafhankelijk werken en geen instructies ontvangt met betrekking tot de uitvoering van die taken.

d) rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.

e) kan andere taken en plichten vervullen zonder belangenconflict.

2. Wat is de functie & de invulling van de information security officer (CISO) & de

“data protection officer” (DPO)?

„Taken van de functionaris voor gegevensbescherming”

a) Verwerker informeren en adviseren over verplichtingen;

b) toezien op naleving van deze verordening met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

c) advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan;

d) met de toezichthoudende autoriteit samenwerken;

e) optreden als contactpunt voor de toezichthoudende autoriteit;

2. Wat is de functie & de invulling van de information security officer (CISO) & de

“data protection officer” (DPO)?

Belgische Gids voor Cyberveiligheid

3. Hoe zet je een veiligheidsplan met aandacht voor privacy

om in de realiteit?

Continu bewustmaking van personeel,

leveranciers en klanten

Voorbeeld: wachtzinnen - Strikt persoonlijk => dus niet doorgeven

- Degelijk = hoe langer hoe beter, niet gemakkelijk te raden

- Regelmatig wijzigen (vb. 1x/jaar)

- Niet volledig opschrijven

- Niet automatisch opslaan in browsers

- Verschillende wachtzinnen voor verschillende toepassingen

- wachtzin generatoren gebruiken

(LastPass, Dashlane, KeePass, 1Password)

3. Hoe zet je een veiligheidsplan met aandacht voor privacy

om in de realiteit?

3. Hoe zet je een veiligheidsplan met aandacht voor privacy

om in de realiteit?

https://privacypatterns.org/patterns/

Waar wordt alle data bijgehouden?

3. Hoe zet je een veiligheidsplan met aandacht voor privacy

om in de realiteit?

Hoe wordt alle data bijgehouden?

3. Hoe zet je een veiligheidsplan met aandacht voor privacy

om in de realiteit?

3. Hoe zet je een veiligheidsplan met aandacht voor privacy

om in de realiteit?

https://www.owasp.org/index.php/Security_by_Design_Principles

1. Minimalizeer “aanvalgebied”

2. Security by default

3. Least privilege

4. Defense in depth

5. Misluk op veilige manier

6. Vertrouw niets

7. Scheiding van functies

8. Vermijd “security by obscurity”

9. Hou informatieveiligheid zo eenvoudig mogelijk

10. Los veiligheidsproblemen en incidenten correct op

3. Hoe zet je een veiligheidsplan met aandacht voor privacy

om in de realiteit?

http://docs.oasis-open.org/pbd-se/pbd-se-annex/v1.0/cnd01/pbd-se-annex-v1.0-cnd01.html

3. Hoe zet je een veiligheidsplan met aandacht voor privacy

om in de realiteit?

PRIVACY

BY

DESIGN

3. Hoe zet je een veiligheidsplan met aandacht voor privacy

om in de realiteit?

Communicatie & opslag van data in

“the cloud”?

3. Hoe zet je een veiligheidsplan met aandacht voor privacy

om in de realiteit?

o Gratis beoordelingstool van Smals: Cloud Security model

om het beveiligingsniveau van een aangeboden

clouddienst te evalueren.

o https://www.smalsresearch.be/tools/cloud-security-model-nl/

Dropbox for business Dropbox free

3. Hoe zet je een veiligheidsplan met aandacht voor privacy

om in de realiteit?

3. Hoe zet je een veiligheidsplan met aandacht voor privacy

om in de realiteit?

http://appsvc.wolterskluwer.be/gdpr

4. Wat moet je doen

bij informatie-incidenten,

zoals hacking of gegevenslekken?

Aanbeveling van de privacycommissie

omtrent datalekken (Januari 2013) http://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_01_2013.pdf

4. Wat moet je doen

bij informatie-incidenten,

zoals hacking of gegevenslekken?

4. Wat moet je doen

bij informatie-incidenten,

zoals hacking of gegevenslekken?

http://www.cybersecuritycoalition.be/cyber-security-incident-management-guide/

Informatieveiligheid is

een zaak van iedereen!

Besluit

http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_en.htm

https://www.privacycommission.be/nl/nieuws/algemene-verordening -gegevensbescherming-privacycommissie-lanceert-themadossier-en

https://www.ksz-bcss.fgov.be/nl/veiligheid-en-privacy/general-data-protection-regulation

http://shop.wolterskluwer.be/shop/nl_BE/navigation/10/Naar-een-ge-ntegreerde-privacybescherming-in-de-onderneming?p=BPYUSHIBI17001

Contact gegevens

Mr. Marc Vael

ISACA BELGIUM vzw

Koningsstraat 109 b5

1000 Brussel

www.isaca.org/privacy

0473 99 30 31

marc@vael.net

http://www.linkedin.com/in/marcvael

@marcvael