#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?

Maat: px

Weergave met pagina beginnen:

Download "#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?"

Veerle Bakker
5 jaren geleden
Aantal bezoeken:

1 #vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging? Gunther Schryvers, Audit Vlaanderen Lies Van Cauter, Audit Vlaanderen.

2 Informatiebeveiliging bij lokale besturen: een uitdaging 20/09/2018

3 I. Audit Vlaanderen

4 Missie Partner van de organisatie... Onafhankelijk Objectief Bekwaam... bij het beheersen van financiële, wettelijke en organisatorische risico s... Evaluatie van het systeem van organisatiebeheersing Sensibilisering en kennisdeling... om een toegevoegde waarde te creëren bij de uitbouw van een efficiënte, effectieve, integere en kwaliteitsvolle organisatie 4

5 Onafhankelijke partner Aansturing door 2 auditcomités Auditcomité Vlaamse administratie Auditcomité lokale besturen 4 onafhankelijken 4 onafhankelijken 3 personen aangeduid door de Vlaamse Regering 2 VVSG 1 VVP Minister van Binnenlands Bestuur: waarnemer Werkterrein: De Vlaamse administratie: 50-tal entiteiten (sinds 2001) De lokale besturen > 800 entiteiten (sinds 2014) 5

6 II. Thema-audit informatiebeveiliging bij lokale besturen

7 Doelstellingen Beschikbaarheid: informatie moet toegankelijk zijn -zowel nu als in de toekomst- wanneer het bedrijfsproces dat vereist. Integriteit: de accuraatheid, de volledigheid en de geldigheid van informatie mag niet (on)opzettelijk worden gewijzigd. Vertrouwelijkheid: gevoelige informatie dient beschermd te worden tegen niet geautoriseerde bekendmaking. 7

8 Aanpak en reikwijdte ISO27000-reeks en richtsnoeren KSZ; Klankbordgroep; Gespreide steekproef 27 OCMW s en of gemeenten + 1 provincie; Doorlichting organisatorische maatregelen én technische testen; Phising-testen: 221 gemeenten, 197 OCMW s, 5 provincies. Van einde 2016 tot halverwege

9 Informatiebeveiliging Controleprogramma van de audit Informatiebeveiligingsbeleid Beleid en organisatie Bewustzijn.Technisch beheer Logisch toegangsbeheer Continuïteit Incidentenbeheer Rollen en verantwoordelijkheden Leveranciersrelaties Naleving Veilig personeel (bij en na indiensttreding) Omgang met digitale en papieren informatiedragers Cryptografie Fysieke beveiliging Beveiliging van de IT-omgeving Netwerkbeveiliging Acquisitie, ontwikkeling en onderhoud van informatiesystemen Veilig personeel (bij en na uitdiensttreding) Beheer van bedrijfsmiddelen en classificatie van informatie Toegangsbeveiliging Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Informatiebeveiligingsincidenten beheren 9

10 Maturiteitsmodel Gewogen maturiteit per controletopic 0 Onbestaand 1 Ad-hocbasis 2 Gestructureerde aanzet 3 Gedefinieerd 4 Beheerst systeem (= niveau 3 + ) 10

11 Geanonimiseerde resultaten 11

12 1 De belangrijkste onbeheerste risico s 1. Afspraken maken en verantwoordelijkheden toewijzen; 2. Technische beveiliging van de IT-omgeving; 3. Toegangs- en gebruikersrechten; 4. Continuïteit en omgaan met incidenten; 12

13 Afspraken maken en verantwoordelijkheden toewijzen Verwachtingen tegenover IT-verantwoordelijken; Personeel, de tijd en de middelen ingezet voor IT; Software- en IT-dienstenleveranciers; Informatieveiligheidsconsulenten; Medewerkers en mandatarissen. 13

14 Technische beveiliging van de IT-omgeving Werk aan de winkel; Actualiseren van systeemsoftware; Sterke wachtwoorden; Versleuteling; Netwerksegmentatie; Kwetsbaarheidsscans. 14

15 Toegangs- en gebruikersrechten Verouderde toegangsrechten; Te ruime gebruikersrechten; Gepaste beschermingsmaatregelen. 15

16 Continuïteit en omgaan met incidenten De IT-dienst verzekert de basiscontinuïteit; Vertrouwen op een goede afloop bij calamiteiten; Informatiebeveiligingsincidenten onder de radar; Logging. 16

17 2 Kleine en middelgrote onbeheerste risico s 1. Bewustzijn en sensibilisering; 2. Fysieke beveiliging. 17

18 Bewustzijn en sensibilisering Werving en indiensttreding; Organisatiebrede sensibilisering; De concretisering van het bewustzijn naar praktijk. 18

19 Fysieke beveiliging Beheer van sleutels en badges; De beveiliging van fysieke documenten; Bescherming serverruimte. 19

20 3 Hoe besturen kunnen werken aan informatiebeveiliging Vier mogelijke acties richting verbetering 20

21 Mogelijke acties richting verbetering Weloverwogen sourcingstrategie en organisatie van IT 21

22 Mogelijke acties richting verbetering Eenduidige taakverdeling tussen bestuur en IT-dienstenleveranciers om samen de puntjes op de i te zetten 22

23 Mogelijke acties richting verbetering Meer samenwerking tussen besturen onderling 23

24 Mogelijke acties richting verbetering Meer samenwerking met alle betrokken partijen 24

25 Vragen/bedenkingen/ Goede praktijken die inspiratie kunnen bieden vindt u hier: 25

26 Bedankt!

Vergelijkbare documenten

Thema-audit Informatiebeveiliging bij lokale besturen

Thema-audit Informatiebeveiliging bij lokale besturen I. Audit Vlaanderen Missie Partner van de organisatie... Onafhankelijk Objectief Bekwaam... bij het beheersen van financiële, wettelijke en organisatorische