Privacy & Informatiebeveiliging Gemeente Utrecht. Hier komt tekst Segment. Utrecht.nl

Transcriptie

1 Privacy & Informatiebeveiliging Gemeente Utrecht Hier komt tekst Segment Hier Oktober komt 2017 ook tekst

2 Welkom in Utrecht!

3 Datagebruik in de Gemeente Utrecht 1. Geprint is dit een stapel papier: 1400 Tb Opslag Van Utrecht Geprint naar 5 de keer zon Van Utrecht afstand tot zon Amsterdam - aarde Van Utrecht tot Singapore verzonden e- 2 miljoen mails per rmaand Hoeveel mails sturen wij per maand: 141 verzonden e- mails per maand 170 Tb/maand Data verkeer Data verkeer van smartphones KWh datacenter Consumption of households 901 servers 201 databases Vergelijkbaar met hardware van 70 MKB Allemaal data en informate waarmee we publieke waarde (kunnen) creëren. 3. Hoeveel unieke bezoekers hebben 12 wij x maandelijks per maand op utrecht.nl? Galgenwaard bezoekers per maand

4 Omgeving. Globaal, Iot, Data, Social, Cloud / PrivacyShield, Fakenews, E-Democratie

5 De onzekere toekomst op dit vakgebied kent een aantal zekerheden: Versnelde verandering is de enige constante

6 Informatiebeveiliging in cijfers Waarde Schade Begroting gemeente 2 Miljard Data: 1 Miljard (EFF: inwoners) ICT : 60 miljoen / jr datalek: max 1.3 Mln per geval productieverlies door storingen, hackers, virus : ca per dag (uitval en extra inzet) ID fraude: 2500 a 5000 per geval (PWC 2012) Huidige uitgaven informatiebeveiliging Gartner norm ca 8%: Utrecht 2% 1 CISO, 1 Privacy Functionaris, 15 DISO s

7 Strategische doelen informatiebeveiliging WOO openstellen, AVG: veilig waar nodig: IB maakt het veilig mogelijk Laag in de organisatie: IB is van iedereen. Decentraal waar kan, Centraal waar handig Veilige experimenten IoT, Big Data, BlockChain: IB maakt transparant

8 Doelen Informatiebeveiliging: Realiseren kernwaarden Collegeakkoord mbt Informatie 1) Betrouwbaarheid 2) Vertrouwen Gelijk aan Architectuur principes (NORA) BP09 en BP08; Informatiebeveiliging realiseert kernwaarden B,I,V (C,O);

9 Voorjaarsnota Informatiebeveiliging Ontwikkelingen Versterk digitale positie van stad door informatie ethisch verantwoord te gebruiken en te beschermen Coalitieakkoord: Betrouwbaar en vertrouwde ICT, borg Privacy voor burgers en medewerkers; Afname weerstandvermogen ICT -Audits: Gemeenten prominent afhankelijk van Informatiesystemen tgv digitalisering, decentralisaties, ketensamenwerkingen. -Toename cyberdreiging (hackers, virus, phishing) en privacy risico s - Toename complexiteit ketensamenwerkingen Wetgeving Bescherming Persoonsgegevens (WBP); meldplicht datalek kan leiden tot boetes a 1.2 Mln per geval indien beveiliging niet aantoonbaar is geregeld Gewenste doorbraken - Betrouwbare dienstverlener voor burger en bedrijf - Kans op datalekken verminderen Dit realiseren we door: - Doelmatigheid van Informatiebeveiliging te besturen via risicobeheer - Verhogen bewustwording - Verantwoording Informatiebeveiliging in P&C - Ondersteun regie op leveranciers, externe (cloud en saas) voorzieningen - Verhoog inspanning informatiebeveiliging binnen organisatieonderdelen (decentrale beveiliger) - Via slimme roadmap autorisaties versterken en vereenvoudigen toegang tot informatie - Beveilig bestandsuitwisseling - Verhoog het weerstandsvermogen ICT

10 Globale aanpak Informatiebeveiliging Route 1.Centraal voldoen aan BIG en risicobeheersing 2.De-centraal voldoen aan BIG (7 themas) 3.Te verbeteren 4.Uitdagingen

11 1) Centraal Voldoen aan BIG Beleid en Organisatie Maatregel: Mankracht, Taken en rollen bij OO Besturen van P&IB (Governance), Budget cyclus Maatregel: Risico analyses (BIA,PIA), Rapportages, Indicator Controle en naleving Maatregel: Externe Cloud en ketens, Externe Verwerking, Personeel, Audits Techniek en Informatie Maatregel: Classificatie van informatie, Beheer identiteiten, veilig informatie transport, BYOD, standaarden en normen

12 2) De-centraal Voldoen aan BIG, BRP, SUWI Gap Analyse bij alle organisatieonderdelen Start: 7 Thema s in Actieplan, getoetst door Audit Bewustwording Beleid Organisatie van Informatiebeveiliging en personeel Risicoanalyses en PIA s Autorisaties Logging en Monitoring Incidentafhandeling Huidige stand: ISMS, 133 normen

13 3) Te verbeteren Governance en organisatie: professionaliseren van besturing P&IB Volwassenheidsniveau verhogen van besturing P&IB (CMM3); Inrichting verantwoording naar college en raad via ENSIA over BIG Decentraal betrekken IRM in resultaatgesprekken (jaarplan, aanspreekpunt DISO) Decentraal versterken met DISO s: werken aan opleiding, kennis en kunde. Verbeteren aansluiten op planning en begrotingscyclus dmv transparante rapportages over voortgang BIG & risico s; Verder versterken onderlinge relaties RM, JZ, Contol, Audit, IRM; Informatie : Omdenken van systemen, naar informatie en doel van verwerking Gegevenslandschap in kaart brengen en documentatie rond gegevensverzamelingen (AVG); Leanen en integreren van risico analyses (PIA, BIA) in governance Regie op autorisaties (project Identity Management) en bedrijfscontinuïteit; Kennis en bewustwording in organisatie over P&IB irt tot risico s; Strategie en implementatierichtlijnen verbeteren IoT, Cloud, BlockChain, BigData;

14 4) Uitdagingen Nationaal: imago verbeteren tav Privacy bij gemeenten; Omschakelen van systeemdenken (IT) naar informatie denken (I); Reduceren complexiteit van gegevensverzamelingen, koppelingen en ketens, irt tot eigenaarschap, verantwoordelijkheden, en context van verwerking; Regie op interne en externe leveranciers; Eenduidigheid en Lean risico beheer (Menu kaart ipv risicoanalyse); Aantoonbaar maken van handelen binnen de kaders van wet- en regelgeving bij gegevensverwerkingen; Cybercrime blijft toenemen; beheersen van impact vraagt nadruk op bedrijfscontinuïteit

15 CASES

16 CASES OO doet een risicoanalyse op een applicatie. Beschikbaarheid beoordeelt men als Midden, behalve 1x per maand, dan is het Hoog. Wat is jouw advies?

17 CASES Organisatie heeft een Saas applicatie gekocht, als part-of-the-deal. Wat is jouw advies? En wat als het MS365 is?

18 CASES Een hacker heeft een pijnlijk lek gevonden -de kroonjuwelen-, en de pers vraagt voor 4 uur een reactie, maar je bent net bezig met een majeure beschikbaarheidscalamiteit. Wat is je reactie.

19 CASES Via de site HaveIbeenPwned blijkt dat je Dropbox en Google account zijn gehacked. Wat ga je doen.

20 CASES Utrecht staat 4e op de wereldranglijst van botnets. Wat is er aan de hand?

21 CASES Autorisaties in een applicatie: App is ingericht per zaaktype (horizontaal), dus autorisaties zijn ingericht op doelbinding en beperking van rechten. Daarnaast heeft de app autorisaties voor bepaalde functionaliteiten per OO. Dat leidt ertoe dat een gebruiker geen zaken kan vinden buiten de geautoriseerde zaaktypen, waardoor klanten verkeerd worden voorgelicht en de gebruiker niet goed kan werken. Ga je iedereen alle rechten geven? Wat is je advies.

22 CASES Directie legt de hand op de knip. Je budgetaanvraag voor opzetten van IB wordt gehalveerd, en daarna opnieuw gelabeld. Lege handen dus. Wat ga je doen?

23 CASES De raad van bestuur is niet van plan met de veilige applicatie te gaan werken die je aan het implementeren bent, want lastig. Daarmee wilde je juist de schaduw-it terugdringen en datalekken voorkomen. Wat ga je doen?

24 CASES Imago Privacy en Informatiebeveiliging: complex en het mag niet Leidt tot schaduw IT en onbegrip gebruikers Hoe ga je daarmee om?

25 Volg de bakens, en succes!