Informatiebeveiliging voor overheidsorganisaties

Transcriptie

1 Solviteers Informatiebeveiliging voor overheidsorganisaties 6 6 Informatiebeveiliging voor overheidsorganisaties Pragmatisch stappenplan Whitepaper Solviteers

2 Solviteers Informatiebeveiliging voor overheidsorganisaties 1 6 Informatiebeveiliging voor overheidsorganisaties Informatie is voor iedere organisatie van groot belang. Zeker voor organisaties in het openbaar bestuur is het van belang dat deze informatie op een goede manier beveiligd is. De mogelijkheden om informatie te creëren, op te slaan en te gebruiken zijn enorm toegenomen. De samenwerking met ketenpartners vormt nieuwe informatiestromen die een extra uitdaging met zich meebrengen als het gaat om beveiliging. Het is belangrijk dat informatie op de juiste momenten beschikbaar is. De informatie moet volledig en juist zijn. En de informatie moet toegankelijk zijn voor die personen voor wie de informatie is bedoeld. Dat is waar informatiebeveiliging om draait: beschikbaarheid, integriteit en vertrouwelijkheid. Wat zou er in uw organisatie gebeuren indien informatie in verkeerde handen komt omdat deze niet goed beveiligd is? Informatiebeveiliging is een breed begrip en kent vele facetten. De implementatie van een goed informatiebeveiligingsbeleid is een complex project. Als kapstok voor overheidsorganisaties is de afgelopen jaren een Baseline voor informatiebeveiliging voor zowel het rijk als voor gemeenten uitgewerkt. De leden van de Vereniging Nederlandse Gemeenten (VNG) hebben zich gecommitteerd om informatiebeveiliging op te nemen in de collegeprogramma s. Ook hebben de leden zich uitgesproken om de Baseline informatiebeveiliging te implementeren. Implementatie Baseline informatiebeveiliging Informatie wordt beveiligd door het nemen van maatregelen en het toepassen van procedures. Dit kunnen technische maatregelen zijn, maar ook beleidsmatige, organisatorische of bouwkundige maatregelen. De uitvoering of naleving van deze maatregelen ligt op verschillende plaatsen binnen de organisatie, zowel bij inhoudelijke afdelingen als bij ondersteunende diensten. Dit pragmatische stappenplan geeft handvaten voor de implementatie of de verbetering van informatiebeveiliging in uw organisatie. Daarnaast gaat het in op een aantal relevante aandachtspunten die wij in de praktijk regelmatig tegenkomen. Pragmatische routekaart invoering Baseline informatiebeveiliging Hackers, technische ontwikkelingen en wet- en regelgeving staan niet stil. Informatiebeveiliging dient daarom een dynamisch proces te zijn. Het raakt de gehele organisatie, ketenpartners en klanten. Het is daarmee ook een ingewikkeld proces met vele facetten. Wij adviseren de implementatie van informatiebeveiliging als een project te starten. De deliverables van dit project moeten vervolgens in een plan-do-check-act cyclus worden ingebed in de organisatie. 1 Commitment van bestuur en management De implementatie van informatiebeveiligingsbeleid vergt commitment van het bestuur en het management van uw organisatie. Indien zij het belang onderstrepen, dit kenbaar maken en ondersteunen, helpt dit bij de invoering. Informatiebeveiliging moet een integraal onderdeel worden van de bedrijfsvoering van de gehele organisatie. Om informatie te beveiligen is het belangrijk dat er richtlijnen en procedures worden opgesteld en nageleefd door alle medewerkers van de organisatie. Indien dit gedragen wordt door het management, vergroot dit de acceptatie en de bereidwilligheid in de organisatie. Naast commitment is het ook belangrijk dat bestuur en management de benodigde middelen en medewerkers vrijmaken. Tenslotte heeft het management een belangrijke rol in de besluitvorming alsmede in de uitvoering van een aantal deliverables. 2 Benoemen projectleider en invullen projectstructuur De invoering of het herijken van informatiebeveiligingsbeleid kan het best projectmatig worden aangepakt. Dit start bij het omschrijven van een projectopdracht en doel, het aanstellen van een projectleider en het toewijzen van middelen. Vervolgens wordt er een projectstructuur ingericht. Het is hierbij van belang om een goede vertegenwoordiging van de organisatie op te nemen in de projectstructuur zonder dat dit ten koste gaat van de slagvaardigheid. De projectgroep zou kunnen bestaan uit een afvaardiging vanuit I&A, Facilitaire zaken, P&O en daarnaast de hoofden vanuit een aantal sectoren of diensten.

3 Solviteers Informatiebeveiliging voor overheidsorganisaties Uitvoeren informatiebeveiligingsanalyse (waar staan we?) Stap 3 is het uitvoeren van een informatiebeveiligingsanalyse. Een dergelijke analyse maakt duidelijk waar de organisatie staat als het gaat om informatiebeveiliging. Als leidraad kan voor de informatiebeveiligingsanalyse gebruikt gemaakt worden van de Baseline Informatiebeveiliging Gemeenten. Over de verschillende hoofdgroepen als organisatorische maatregelen, fysieke beveiliging, personele beveiliging en beheer van ICT-middelen worden in de Baseline ruim 250 maatregelen benoemd. Per maatregel kan worden aangegeven in hoeverre deze al genomen is. Zowel opzet als bestaan moet kunnen worden aangetoond. Opzet wil zeggen dat kan worden aangetoond dat de maatregel is opgelegd of van toepassing is. Bestaan wil zeggen dat volgens de maatregel wordt gewerkt. De uitkomst van deze analyse geeft weer welke maatregelen moeten worden genomen en welke procedures dienen te worden gevolgd om volledig aan de eisen van de Baseline te voldoen. Een aantal van de maatregelen is eenvoudig te realiseren en dekken tegelijkertijd een aantal grote risico s af. Dit vormen quick wins. Maar ook de mate van risico die een organisatie loopt bij het niet doorvoeren van een maatregel geeft richting aan de prioriteiten. 4 Vaststellen risicobereidheid (wat vinden we acceptabel?) Volgens best practices in risicomanagement is het noodzakelijk om de risicobereidheid te kennen en risico s af te wegen tegen deze bereidheid. Het is niet mogelijk om een veiligheidsniveau van 100% te creëren. Een veiligheidsniveau van 100% is te kostbaar en niet werkbaar. Ook is het niet realistisch om alle maatregelen en procedures in één keer te willen implementeren. Het is van belang vast te stellen welke criteria gebruikt worden voor de beoordeling van risico s. Voorbeelden van criteria die hiervoor gebruikt kunnen worden zijn de impact op de organisatie en de waarschijnlijkheid dat een situatie optreedt. Met een risico-afweging op basis van deze criteria kan vervolgens worden vastgesteld welke risico s acceptabel zijn en welke niet. Op de risico s die onaanvaardbaar zijn, worden maatregelen en procedures getroffen. De afweging of een risico wel of niet aanvaardbaar is, moet door het management (de proceseigenaar) worden vastgesteld. De uitkomst van deze analyse geeft richting aan de volgorde en de prioriteiten die aan de vervolgactiviteiten worden gegeven. van de informatiebeveiligingsanalyse en de norm die door de Baseline wordt gesteld, kan het om een behoorlijk aantal activiteiten gaan, die bovendien een aanzienlijke doorlooptijd kunnen hebben. Een aantal voorbeelden van mogelijke maatregelen die moeten worden getroffen: - het beschrijven en invoeren van een goedkeuringsproces van vernieuwing van ICT-voorzieningen; - zorgen dat alle medewerkers kennis hebben van informatiebeveiligingsbeleid en -procedures die voor hun functie relevant zijn, bijvoorbeeld door dit in trainingen te verwerken; - het inrichten van gescheiden omgevingen voor Ontwikkeling, Test en/of Acceptatie en Productie (OTAP); - in contracten met externe partijen aanbrengen van regels inzake escalatieprocedures, geheimhouding en borging indien gebruik wordt gemaakt van onderaannemers; - het organiseren van audits op de ingevoerde maatregelen. De ervaring leert dat het belangrijk is de verschillende te nemen veiligheidsmaatregelen in een projectenkalender op te nemen. Door deze projectenkalender volgens een gestructureerde en planmatige manier door te voeren, bewaakt u de voortgang, samenhang en de prioriteiten en boekt u snel resultaten. 7 Periodiek evalueren en bijstellen (check & act) Technische innovaties, uitgangspunten, risicobereidheid en andere randvoorwaarden waarop het informatiebeveiligingsbeleid is gefundeerd, wijzigen continu. Ook is het van belang om te monitoren of de maatregelen en procedures daadwerkelijk worden nageleefd en het doel dienen. Tenslotte is het belangrijk dat informatiebeveiliging door alle geledingen binnen de organisatie wordt meegenomen bij nieuwe projecten en in bestaande bedrijfsvoering. Genoeg redenen om het beveiligingsplan te evalueren en te actualiseren. Door hierover te rapporteren, bijvoorbeeld gekoppeld aan de jaarlijkse Planning & Control-cyclus in de organisatie, zorgt u er voor dat informatiebeveiliging de aandacht krijgt en op de agenda staat van de verschillende niveaus binnen de organisatie. 5 Opstellen informatiebeveiligingsplan (plan) De informatiebeveiligingsanalyse en de risico-bereidheid vormen samen de leidraad voor de maatregelen en procedures die getroffen moeten worden. Deze worden vastgelegd in een informatiebeveiligingsplan. Het vormt daarmee de basis van een planmatige aanpak voor de implementatie en borging van de informatiebeveiliging in de organisatie. De te nemen maatregelen en procedures worden op basis van prioriteit gepland. Maatregelen met een grote impact, lange doorlooptijd of die aanzienlijke investeringen met zich meebrengen worden in een projectenkalender opgenomen. Het informatiebeleidsplan moet worden vastgesteld door het bestuur van de organisatie. 6 Uitvoeren maatregelen informatiebeveiligingsplan (do) Het vastgestelde informatiebeleidsplan met daarin de projectenkalender moeten worden uitgevoerd en gemonitord. De regie hierover wordt gevoerd door de Chief Information Security Officer (CISO). Afhankelijk van de afstand tussen de uitkomst

4 Solviteers Informatiebeveiliging voor overheidsorganisaties 3 6 Hoe te voorkomen dat informatiebeveiliging een technisch feestje wordt? Te vaak wordt informatiebeveiliging gezien als een technisch project. De verantwoordelijkheid wordt gelegd bij ICT. Hierbij komt de nadruk te liggen op de veiligheid van het ICT-netwerk als drager en facilitator van informatie. Cruciaal is echter de wijze waarop er met informatiebeveiliging wordt omgesprongen in het dagelijks handelen van medewerkers. De rol die medewerkers hebben in informatiebeveiliging wordt vaak onderschat. Informatiebeveiligheidsbeleid moet gaan leven door er aandacht aan te schenken richting medewerkers. Het moet gedragen worden door het management. Procedures en werkinstructies die noodzakelijk zijn voor een adequate vorm van informatiebeveiliging gaan pas werken wanneer medewerkers deze zien als hun eigen manier van werken. Het is daarom van belang om managers en medewerkers een rol te geven in de implementatie van informatiebeveiliging. Hoe om te gaan met informatiebeveiliging tussen ketenpartners en samenwerkingsverbanden? De overheid wisselt steeds meer digitale gegevens uit met ketenpartners of met samenwerkingsverbanden. Denk hierbij aan samenwerkingen op het gebied van belastingen (waarbij één organisatie de uitvoering verricht voor een aantal aangesloten gemeenten) of sociale zaken (waarbij de gemeente steeds meer de regisseur wordt die vertrouwt op signalen van andere partijen in het sociale domein). Er wordt aan ketenpartners toegang verleend tot een deel van de eigen informatie. Of er wordt vertrouwd op de ICT-voorzieningen van derden waarvan gebruik wordt gemaakt. Het is noodzakelijk dat u de risico s identificeert en noodzakelijke maatregelen toepast. Uiteraard moet dit gebeuren voordat er toegang wordt verleend aan een ketenpartner of voordat er wordt aangesloten op een voorziening van een ketenpartner. Een aantal aspecten die aandacht behoeven: - bij het besluit te gaan samenwerken met een ketenpartner dient de beveiliging van informatie aantoonbaar mee te zijn genomen in de afweging; - voorafgaand aan uitbesteding of samenwerking moet worden vastgesteld welke toegang de ketenpartner nodig heeft om het doel van de samenwerking te realiseren. Hierbij moet worden afgewogen welke beveiligingsmaatregelen noodzakelijk zijn; - indien er sprake is van uitwisseling van informatie moet worden bepaald wat de waarde, vertrouwelijkheid en gevoeligheid van die informatie is. Welke maatregelen moeten worden genomen om de beschikbaarheid, vertrouwelijkheid en integriteit te waarborgen? - indien ketenpartners persoonsgegevens verwerken kan het noodzakelijk zijn dat er op basis van de Wet Bescherming Persoonsgegevens een bewerkersovereenkomst wordt afgesloten; - de beveilingsmaatregelen en de rapportage hierover dient in een contract tussen u en de ketenpartner te worden vastgelegd. Denk hierbij ook aan de mogelijkheden om de werking van de maatregelen vast te stellen middels een audit en de wijze waarop toezicht is geregeld.

5 Solviteers Informatiebeveiliging voor overheidsorganisaties 4 6 Solviteers De implementatie van de Baseline informatiebeveiliging door provincies en gemeenten heeft een grote impact op de bedrijfsvoering en de onderliggende ICT van provincies en gemeenten. Ook heeft het impact op de wijze waarop ketenpartners en samenwerkingsverbanden gebruik kunnen maken van informatie. Implementatie van de Baseline over de volle breedte vergt een forse inspanning. Een goede inbedding van de Baseline in de organisatie betekent tevens continue aandacht voor de uitvoering van de verschillende maatregelen en een periodieke herijking van de mate van risicobereidheid versus de noodzakelijke maatregelen om de risico s aanvaardbaar te houden. Om te komen tot deze situatie moeten organisaties de komende maanden veel regelen. Dit betreft onder andere het opstellen van een informatiebeveiligingsbeleid en plan en het implementeren van de technische, organisatorische en gedragsaspecten van informatiebeveiliging. Kortom, zaken waarbij Solviteers uw organisatie als geen ander kan ondersteunen. Met onze uitgebreide kennis van de werkprocessen, ICT-infrastructuur én de softwareoplossingen, helpen wij organisaties hun informatiebeveiliging op niveau te brengen en houden. Kijk op: of neem contact met ons op via (030) Informatiebeveiligingsplan opstellen Wij stellen informatiebeveiligingsplannen en continuïteits- en calamiteitenplannen op voor diverse organisaties. Ook ondersteunen wij organisaties met het geven van advies over dergelijke plannen. 6 Informatiebeveiligingsplan uitvoeren Wij leveren advies, ondersteuning en projectleiding bij het plannen en uitvoeren van maatregelen die voortvloeien uit het informatiebeveiligingsplan. Denk hierbij aan het implementeren van de technische, organisatorische en gedragsaspecten van informatiebeveiliging, het opstellen en vaststellen van werkprocessen en het implementeren of toepassen van technische beveiligingsmaatregelen. Voor gespecialiseerde onderdelen hebben wij een netwerk van experts die wij hierbij kunnen inschakelen. 7 Informatiebeveiliging evalueren en bijstellen Door informatiebeveiligingsplannen te beoordelen en te toetsen aan de praktijk, helpen wij organisaties met de periodieke evaluatie van de mate waarin hun informatie beveiligd is. Aan de hand hiervan helpen wij organisaties bij het verbeteren van de informatiebeveiliging. Dienstverlening Solviteers Solviteers helpt organisaties bij iedere stap van de implementatie van de Baseline informatiebeveiliging. 1 Commitment creëren Om bestuurders, managers en medewerkers te informeren over het belang van informatiebeveiliging organiseren wij workshops. Ook worden wij regelmatig gevraagd een business impactanalyse uit te voeren in de startfase van een project. 2 Projectstructuur inrichten Onze projectleiders hebben veel ervaring met leiden van projecten op het gebied van informatiebeveiliging. Daarnaast zijn wij in staat om sleutelpostities op het gebied van informatiebeveiliging op interim basis in te vullen, zoals een interim security officer. 3 Informatiebeveiligingsanalyse uitvoeren De analyse van de mate waarin de informatiebeveiliging voldoet volgens het kader van de Baseline informatiebeveiliging voeren wij uit voor organisaties die daar zelf de capaciteit of de kennis niet voor in huis hebben. 4 Risicoanalyse uitvoeren Diverse organisaties hebben wij ondersteund met de uitvoering van een risicoanalyse. Wij analyseren hierbij de risico s in kritische bedrijfsprocessen, de ICT-infrastructuur en kritische bedrijfsapplicaties. De belangrijkste risico s, bedreigingen en gevolgen brengen wij in kaart, samen met de te nemen beveiligingsmaatregelen om deze te neutraliseren.

6 Solviteers Informatiebeveiliging voor overheidsorganisaties 5 6 De Bouw SZ Houten T: DAADKRACHTIG PRAGMATISCH OPLOSSINGSGERICHT