Gemeentebrede informatieveiligheid Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

John van der Sluis B.pm Erik Versterre MBA MIM 5 maart 2015

Hoe op een eenvoudige manier naar gemeentebrede informatieveiligheid?

Gemeentelijke informatieveiligheid - Doel workshop

De ‘best practices’ en succesfactoren om te komen tot een gemeentebrede borging van informatieveiligheid

Gemeentelijke informatieveiligheid - De verkenning

Een korte verkenning van het onderwerp

Gemeentelijke informatieveiligheid - De verkenning: de naam en definitie

Informatiebeveiliging?

of

Informatieveiligheid? • Informatiebeveiliging doe je om informatieveiligheid te bereiken

• Een gemeente heeft tot doel de informatieveiligheid te verhogen en het

middel hiervoor is informatiebeveiliging

• Informatieveiligheid geeft beter invulling aan het ‘niet’ technische karakter

Gemeentelijke informatieveiligheid - De verkenning: de wettelijke (audit/zelfevaluatie) verplichtingen

BAG

SUWI

BRP / WD

DigiD

BAG

SUWI

BRP / WD

DigiD

Gemeentelijke informatieveiligheid - De verkenning: de nieuwe visie op de gemeentebrede aanpak

Financiën DMS

Vergunningen WOZ

Beheersystemen

Mail

Office

Sociaal domein

• € 2.700.000 verduisterd bij gemeente • Misbruik GBA gegevens door Wethouder • € 380.000 Euro verduisterd door medewerker • Emailverkeer stadhuis plat door PostNL-virus • Gemeenten nemen loopje met persoonsgegevens • Gemeente maakt 188 miljoen euro over in plaats van 1,88 miljoen euro • € 950.000 Euro verduisterd door financieel medewerker gemeente • Kabelbreuk bij gemeentehuis (geen ICT, telefoon, mail) • Gemeentehuis volledig afgebrand • Onrechtmatige inzage van persoonsgegevens door wethouders en ambtenaren • 600 overleden mensen aangeschreven en privacygevoelige informatie op internet • DigiD (DigiNotar) veel gemeenten niet bereikbaar via website • Gemeente website lekt paspoorten en BSN-nummers • Gemeente ICT voorzieningen uitgevallen door uitbraak XDocCrypt-Dorifel virus • Door DDoS aanval overheid websites onbereikbaar • Gemeente netwerk uitgevallen door phishing mail • Vertrouwelijke stukken gemeente op straat na diefstal IPad

Gemeentelijke informatieveiligheid - De verkenning: de noodzaak

• Het verschijnen van de Baseline Informatiebeveiliging Nederlandse Gemeenten (mei 2013 VNG/King)

• Een set met heldere richtlijnen voor gemeenten om ten aanzien van de veiligheid van de informatiehuishouding ‘in control’ te komen.

• Buitengewone VNG ledencongres (29 november 2013) resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’.

• Convenant ‘Informatieveiligheid Gemeenten’ (12 februari 2015) door Vereniging van Gemeentesecretarissen, Vereniging Directeuren Publieksdiensten, de Nederlandse Vereniging voor Burgerzaken, DataLand, IMG100.000+, de Federatie van Algemene Middelenmanagers bij de Overheid, de VIAG, de Vereniging van Griffiers, de Vereniging van Nederlandse Gemeenten en het Kwaliteitsinstituut Nederlandse Gemeenten/de Informatiebeveiligingsdienst voor gemeenten

Gemeentelijke informatieveiligheid - De verkenning: de bestuurlijke ontwikkelingen

• De vraag is niet meer of de gemeente start met gemeentebrede

informatieveiligheid, maar hoe en wanneer de gemeente start?

• Wat zijn de succesfactoren?

1. Een doeltreffende aanpak (mensen en processen) 2. ……….… 3. ………………..……… 4. ………………..……………………… 5. Een ondersteunende tool (middelen)

Gemeentelijke informatieveiligheid

Wat is die doeltreffende aanpak?

Erik Versterre

Stap 2Gemeentebrede Risico-analyse

+Informatiebeveiligingsplan

Stap 1Informatie-beveiligings-

beleid

Stap 3Compact

Plan van Aanpak

Stap 4Uitwerken en verbinden van de deelgebieden

BRP/WD SUWI BAG DigiD

Plan

Do

Check

Act

Een korte blik op de succesfactoren

STAP 1: Het informatiebeveiligingsbeleid

1. Verkrijgen commitment 2. Formuleren gemeentebrede uitgangspunten 3. Inrichten governance organisatie

Een doeltreffende aanpak

Erik Versterre

Stap 2Gemeentebrede Risico-analyse

+Informatiebeveiligingsplan

Stap 1Informatie-beveiligings-

beleid

Stap 3Compact

Plan van Aanpak

Stap 4Uitwerken en verbinden van de deelgebieden

BRP/WD SUWI BAG DigiD

STAP 2: Het informatiebeveiligingsplan

1. Herkenbare ‘foto’ huidige situatie 2. Gemeenschappelijke risicoweging 3. Bepalen waarde informatie

Een doeltreffende aanpak

Erik Versterre

Stap 2Gemeentebrede Risico-analyse

+Informatiebeveiligingsplan

Stap 1Informatie-beveiligings-

beleid

Stap 3Compact

Plan van Aanpak

Stap 4Uitwerken en verbinden van de deelgebieden

BRP/WD SUWI BAG DigiD

STAP 3: Het compacte actieplan

1. Prioritering verbeterpunten 2. Aansluiten bij capaciteit en ambitie 3. Commitment

Ondersteunende tool (ISMS)

De ondersteunende tool

• GRC tool als Information Security Management System (ISMS) • Governance • Riskmanagement • Compliance

• Alle plannen, formats, procedures, rapportages en bijlagen centraal toegankelijk

• Integraal (BRP/WD, SUWI, BAG, DigiD en BIG) ingericht

• Meerdere gebruikers per gemeente mogelijk

• Mutaties (bv wetswijzigingen) eenvoudig door te voeren

Wat doet BMC | informatieveiligheid?

Een online omgeving waarbinnen de samenhang van alle deelgebieden informatieveiligheid is geborgd

21

BMC Informatieveiligheid biedt u de volgende elementen:

Volledige ontzorging op gemeentebrede informatieveiligheid inclusief de gebieden BRP/WD, BAG, SUWI, DigiD

Partnership met de grootste aanbieder van informatieveiligheidsproducten op de gemeentelijke markt

Ontzorgen van het onderhoud op documenten

Vaste adviseurs die u en uw organisatie goed kennen

Opleiding en ondersteuning van uw medewerkers

Vragen en opmerkingen

Einde presentatie