INFORMATIEVEILIGHEID OMDAT HET MOET INFORMATIEVEILIGHEID OMDAT HET KAN (LOONT)

Transcriptie

1 Kennisdag Cybersecurity - 10 februari Lamot Informatieveiligheid essentieel onderdeel van informatiebeheersing INFORMATIEVEILIGHEID OMDAT HET MOET INFORMATIEVEILIGHEID OMDAT HET KAN (LOONT) Frederik Leyssens Domein ICT Security (frederik.leyssens@v-ict-or.be) 1 / 196

2 V-ICT-OR zet door op Informatieveiligheid! Doelstellingen 2015: 1 Bewustzijn 2 Opleiding en advies 3 Uitwisseling van kennis en ervaring 4 Referentiekader 2 / 196

3 Informatieveiligheid opnieuw bekeken Uitgangspunt: Een betrouwbare informatievoorziening is essentieel voor het goed functioneren van de processen binnen het lokaal bestuur. Informatieveiligheid is uiteindelijk het proces dat deze betrouwbare informatievoorziening borgt! In tijden van toenemende informatisering en digitalisering is het opnemen van informatiebeveiliging als kwaliteitscriterium voor een gezonde bedrijfsvoering niet langer een keuze maar bittere noodzaak. Bovendien leidt het invoeren van een informatieveiligheidsproces bijna steeds tot een meer performantie en efficiënte bedrijfsvoering Informatieveiligheid = essentieel onderdeel van organisatiebeheersing 3 / 57

4 Organisatiebeheersing en informatieveiligheid Bij de uitbouw of optimalisatie van organisatiebeheersing moeten volgende principes voorop staan: Organisatiebeheersing is verankert in de processen en loopt continue Security & Privacy by design (cyclus) Organisatiebeheersing is een zaak van iedereen (bewustzijn & -wording) Niet enkel de ICT afdeling! Organisatiebeheersing verschaft redelijke zekerheid Beheersing van de risico s 4 / 57

5 Organisatiebeheersing Thema 10: ICT Uit de Leidraad ICO Organisatiebeheersing (ICS) Een goede ICT voldoet aan deze doelstellingen rond organisatiebeheersing: 1. De organisatie heeft eigen beleidskeuzes gemaakt voor haar ICT-beleid zodat de beleidsdoelstellingen gerealiseerd worden en de dienstverlening geoptimaliseerd wordt. 2. De ICT-diensten zijn kwaliteitsvol. 3. De organisatie gaat veilig om met het beheer van de informatie in het algemeen en ICT in het bijzonder. 4. De organisatie neemt maatregelen zodat bij onverwachte gebeurtenissen de werking van de ICT-systemen gewaarborgd is. 5. Uitgaven en rapporten rond ICT worden grondig opgevolgd. 6. De ICT wordt regelmatig beoordeeld op haar degelijkheid en de mate waarin ze voldoet aan de realisatie van de beleidsdoelstellingen 5 / 57

6 Organisatiebeheersing en informatieveiligheid Bescherming van persoonsgegevens geldt in de meeste domeinen van organisatiebeheersing HRM: personeelsgegevens ICO : klantgegevens, cookies, sociale media CUL: deontologie, bewustzijn, sociale media FAM: infrastructuur, toegang, bewaking ICT: processen en systemen Besluit: Informatieveiligheid en privacy kunnen worden meegenomen bij het maken van plannen in de verschillende domeinen en zo een onderdeel vormen van organisatiebeheersing 6 / 57

7 Organisatiebeheersing en informatieveiligheid Uit de Leidraad Interne Controle Organisatiebeheersing (ICS) Uitgangspunt: Belanghebbendenmanagement Doelstellingen, proces en risicobeheer Bepalen de inhoud 4 Basisdoelstellingen: Effectiviteit (doeltreffend) Kwaliteit (beantw. a/d verwachtingen) Efficiëntie (rendement) Integriteit (eerlijk en betrouwbaar) Bepalen de outcome Werken rond 7 basisthema s/afdelingen ORG HRM CUL FAM FIM ICO - ICT Volgens de management controle cyclus: Plan Do Check Act - Cyclus (Verandermanagement) Model voor organisatiebeheer is ook toepasselijk voor informatieveiligheid 7 / 57

8 Organisatiebeheersing Leidraad / 57

9 Organisatiebeheersing Bevraging (voorbeeld) 9 / 57

10 Werken met de Leidraad: Aanpak Methodiek Werk per doelstelling: - beleid, diensten, veiligheid, continuïteit, uitgaven evaluatie Identificeer het risico: - (312) Ex-collega s hebben nog toegang tot informatie. Bepaal mogelijke oorzaken: Geen procedure voor het wegnemen van rechten bij uitdienstneming De organisatie beantwoordt nog niet aan de richtsnoeren Vat samen in probleemgebieden: - Ontbrekende policies Bepaal impact op de organisatie en winst na remediëring > ranking Zoek naar handreiking & best practices: - voorbeeld policies Definieer de beheersmaatregel: - Er is een degelijk uitgebouwd rechtenbeheer Plan en wijs toe op basis van ranking 10 / 57

11 Informatieveiligheid - raamwerk Raamwerk voor Informatieveiligheid 3 niveaus Algemene bedrijfsvoering & beleid Strategisch Beleid Definitie van het informatieveiligheidsbeleid Tactisch Operationeel Plan Bewustzijn Adoptie Uitwerking van organisatorische en technische richtlijnen Beschrijving van procedures en werkinstructies 11 / 57

12 Informatieveiligheid - raamwerk Raamwerk voor Informatieveiligheid: Fase I Strategische leidraad Goedkeuring Bestuur Tactische leidraad Richtsnoeren KSZ - VTC Operationele leidraad v-ict-or iso-tool Veiligheidsconsulent Veiligheidsteam/cel Acties Maatregelen Initiële Beleidsnota As-is Initieel Veiligheidsplan Initieel Set Gedragsregels Minimum Norm Situatie: As-is Situatie: To-be 12 / 57

13 Informatieveiligheid strategische leidraad Strategische leidraad: (vervolg) Doelgroep: College van burgemeester en schepenen Secretaris gemeente/ocmw Basisprincipes: College en de secretaris hebben de eindverantwoordelijkheid voor informatieveiligheid binnen het bestuur. Standaard is informatie steeds vertrouwelijk binnen het departement (classificatie norm) Departementen onderling beschouw elkaar als vertrouwde partners (het Schengen - principe). Wanneer een hoger niveau van informatieveiligheid is vereist, gaat daar steeds een risicoanalyse aan vooraf 14 / 57

14 Informatieveiligheid strategische leidraad Strategische leidraad: (vervolg) Deliverables: De beleidsnota informatieveiligheid (Information Security Policy). De beleidsnota omvat o.m. o de strategische uitgangspunten en randvoorwaarden die het lokaal bestuur hanteert o het algemeen doel van het beleid o de inrichting van de informatieveiligheidsfunctie(s) o het toewijzen van verantwoordelijkheden betreffende informatiesystemen aan de respectievelijke lijnmanagers o de gestelde betrouwbaarheidseisen en normen o de frequentie waarmee het beleid word geëvalueerd en bijgestuurd o de maatregelen getroffen ter bevordering van het algemeen bewustzijn binnen de organisatie 15 / 57

15 Informatieveiligheid tactische leidraad Tactische leidraad: (vervolg) Doelgroep: Informatieveiligheidsconsulent Informatieveiligheidscel bestaande uit de informatieveiligheidsconsulent, hoofd personeel, hoofd ICT, de preventieadviseur, de verantwoordelijke interne controle en de secretaris. Basisprincipes: Informatieveiligheid is en blijft de verantwoordelijkheid van het lijnmanagement Men maakt standaard gebruik van de controlepunten en maatregelen die gedefinieerd zijn binnen de ISO norm De juridische grondslag voor informatieveiligheid ligt bij de wet- en regelgeving zoals de wet ter bescherming van de persoonlijke levenssfeer (privacy wet) en de wet betreffende de veiligheid van sociale gegevens (kruispuntbankwet) 17 / 57

16 Informatieveiligheid tactische leidraad Tactische leidraad: (vervolg) Basisprincipes (vervolg): De nadruk ligt op begeleiding en faciliteren eerder dan op inperken van de mogelijkheden Het voornaamste uitgangspunten voor de tactische leidraad zijn enerzijds het risicomanagement en anderzijds het bewustzijn en verantwoord gedrag van de medewerkers. Verder ligt de focus op de beveiliging van gegevens eerder dan op puur netwerk-beveiliging 18 / 57

17 Informatieveiligheid tactische leidraad Tactische leidraad: (vervolg) Deliverables: Het informatieveiligheidsplan (Information Security Plan) verwijzing naar het beleidskader voor informatieveiligheid (zie de beleidsnota - onderwerp van de strategische leidraad) overzicht van de informatieveiligheidsorganisatie met opsomming van de basisverantwoordelijkheden van de diverse betrokkenen samenvatting van de basisregels informatiebeveiliging voor elk van de hoofddomeinen van de ISO norm het activiteitenplan met opsomming van acties en maatregelen genomen of te nemen over een periode van 3 jaar. Een gedetailleerde risicoanalyse (voortschrijdend) Opsomming van bedreigingen en genomen of te nemen maatregelen met opgave van ingeschatte schade, impact, kans op voorkomen en kost voor oplossing of remediëring voor elke van de hoofddomeinen van de ISO norm 19 / 57

18 Informatieveiligheid tactische leidraad Tactische leidraad: (vervolg) Deliverables: Periodiek rapport incidentenbeheer. Opsomming van incidenten en genomen of te nemen maatregelen per incidenten categorie Overzicht van het incident response beleid en de overeenkomstige beheersprocedure Meldingsprocedure met escalatiematrix 20 / 57

19 Informatieveiligheid operationele leidraad Operationele leidraad ter ondersteuning Scope: Omvat aanvullende beleidsinstrumenten zoals procedures, handreikingen, adviezen, sjablonen en voorbeelden. Deze elementen geven een meer gedetailleerd antwoord op de vraag hoe bepaalde facetten van het informatieveiligheidsbeleid kunnen worden geïmplementeerd en specifieke maatregelen kunnen worden doorgevoerd. 21 / 57

20 Informatieveiligheid operationele leidraad Operationele elementen ter ondersteuning (vervolg) Doelgroep: Verantwoordelijken voor de implementatie van het veiligheidsbeleid binnen het bestuur alsook de afdeling Basisprincipes: De documenten zijn ter beschikking gesteld door diverse lokale besturen en tot stand gekomen uit de dagelijkse praktijk. Een review board zorgt voor bewaking van kwaliteit en stroomlijning van inhoud en vorm. Deliverables: Voorbeelden van (detail) policies, procedures en beleidsdocumenten Checklists & templates Presentaties voor bewustwording Sjablonen voor rapportage, e.d. 22 / 57

21 Informatieveiligheid tactische leidraad Operationele leidraad: (vervolg) Deliverables: Policies Information Security Policy (Beleidsplan) Inventaris Internet & Verwerking van gegevens Bewustzijn Samenwerken met derden Scheiding van omgevingen Fysieke toegang Schade door brand, water, enz. Toegang tot informatiesystemen Toegang op afstand Beveiliging mobiele media Detectie van inbreuken Bescherming tegen malware Back-up Logging Calamiteitenbeheer 23 / 57

22 Informatieveiligheid De richtsnoeren Richtsnoeren informatieveiligheid van persoonsgegevens binnen lokale besturen Zijn zowel van toepassing voor persoonsgegevens binnen een sociale context (OCMW) als een niet-sociale context (gemeente) Toepassingsgebied: - steden en gemeenten - instellingen behorend tot het netwerk van de sociale zekerheid (OCWM) - integratie van OCMW en Gemeente Doelstelling: De Richtsnoeren vormen een leidraad voor het implementeren van de ISMS-beheerscyclus (Information Security Management System) die de kwaliteit van het informatieveiligheidsproces op langere termijn zal borgen en verbeteren. 24 / 57

23 Informatieveiligheid - richtsnoeren Richtsnoeren informatieveiligheid van persoonsgegevens binnen lokale besturen (vervolg) De richtsnoeren zijn afgeleid van de minimale informatieveiligheidsnorm van de Kruispuntbank voor de Sociale Zekerheid (KSZ) gebaseerd op de wet van 8 december 1992 (de Privacywet) ter bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens Gebaseerd op de internationale ISO norm voor informatieveiligheid met 12 controlepunten De richtsnoeren voorzien op basis van het e-govdecreet in de aanstelling van een informatieveiligheidsconsulent die optreedt als initiatiefnemer en drijvende kracht achter het veiligheidsbeleid en een informatieveiligheidscel die hem de nodige ondersteuning biedt. Controle op de naleving van de richtsnoeren berust bij de Privacycommissie, de Vlaamse Toezichtcommissie en/of elk ter zake bevoegd Sectoraal Comité. 25 / 57

24 Informatieveiligheidsconsulent - aanstelling Voorgesteld door: de directie, het dagelijks bestuur Rapporteert aan: het dagelijks bestuur Effectief aangesteld: na gunstig advies van de Vlaamse Toezichtcommissie Criteria: voldoende vorming, voldoende tijd, geen onverenigbaarheden met andere uitgeoefende functie(s) zoals ICT, HRM, hoofd van betrokken dienst.. Deontologische code: - objectief, onpartijdig, onafhankelijk - professionele ingesteldheid - grote loyaliteit t.o.v. werkgever - interdisciplinair en vertrouwelijk karakter van de functie 26 / 57

25 Informatieveiligheidsconsulent - functie Basisopdracht: adviseren, stimuleren, documenteren, controleren Adviseert en informeert het dagelijks bestuur op verzoek of op eigen initiatief Advies wordt steeds schriftelijk gemotiveerd tenzij bij beperkte risico s Ziet erop toe dat alle verantwoordelijkheden: preventie, toezicht, opsporing en verwerking goed in kaart zijn gebracht en alle medewerkers onafhankelijk en vrij van tegenstrijdige belangen kunnen handelen Dient te beschikken over voldoende middelen (tijd, resources, uitrusting en budget) en vrijuit toegang hebben tot alle informatie noodzakelijk voor de uitoefening van zijn functie Maakt een ontwerp van veiligheidsplan voor een termijn van 3 jaar met opgave van de middelen die nodig zijn om het plan uit te voeren Stelt ook jaarlijks een verslag op van de resultaten en stand van zaken 27 / 57

26 Informatieveiligheidsteam/-cel HRM Verantwoordelijke Dagelijks Bestuur Intern Veiligheids Team/Cel ICT Verantwoordelijke Informatie Veiligheidsconsulent Preventieadviseur 28 / 57

27 Informatieveiligheidsteam of -cel - functie De informatieveiligheidsconsulent werkt nauw samen met de diensten waarin zijn optreden vereist is of kan zijn, met de informaticadienst, de verantwoordelijke HRM/Personeel en de preventieadviseur, hoofd dagelijks bestuur Informatieveiligheidsconsulenten hebben nood aan ter zake deskundigen die de consulent kunnen adviseren omtrent de invulling ven diverse processen binnen de organisatie. Derhalve is het van bijzonder nut om deze mensen te verenigen in een informatieveiligheidsteam of cel De cel die na de opstartfase minstens eenmaal per kwartaal samenkomt is typisch samengesteld uit: de consulent, de verantwoordelijke ICT en HRM, de preventieadviseur en het hoofd van het dagelijks bestuur Een informatieveiligheidscel is niet alleen het eerste aanspreekpunt voor de veiligheidsconsulent voor de werking binnen de organisatie, maar treedt binnen de organisatie ook op als aanspreekpunt betreffende informatieveiligheid en systeembeveiliging 29 / 57

28 ISO norm voor informatieveiligheid ISO Norm voor Informatieveiligheid Gebruikt als basis voor de regelgeving opgesteld door KSZ en VTC Bevat de kernaspecten van informatieveiligheid: vertrouwelijkheid, integriteit, beschikbaarheid, finaliteit, proportionaliteit en transparantie Uitgangspunten: - Deming - kwaliteitscirkel: PLAN DO- CHECK ACT - Gedetailleerde risicoanalyse - 12 Security domeinen (Controls) 30 / 57

29 ISO norm voor informatieveiligheid Domeinen (controls) - Risicobeoordeling (richtsnoeren/afdelingen) - Beveiligingsbeleid (security policy) - Organisatie van informatieveiligheid - Infoclassificatie & beheer van bedrijfsmiddelen - Beveiliging gekoppeld aan het personeel - Fysieke beveiliging & beveiliging omgeving - Beheer van communicatie & bedieningsprocessen - Toegangsbeveiliging - Verwerving, ontwikkeling, onderhoud infosystemen - Incident management - Continuïteitsbeheer (BCM) - Naleving (compliance) 31 / 57

30 Cultuur Wet & Regelg. Eisen & Wens. Dreigingen Kwetsbaarh. ISO Informatieveiligheid - raamwerk Fase II: implementatie en inrichting ISMS Algemeen beleid Veiligheidsbeleid ICTplan Informatiestromen Inventar. Dataclass. Risico Analyse Veiligheidsplan Audit (4 j.) Jaarverslag Verbetervoorstel Proces mgmt. Project mgmt. Terugkopp.- dag.bestuur PLAN ACT DO CHECK Controle naleving Incidentmgmt Verander mgmt. Kwalit. mgmt. Invoeren det.policies Implementatie 32 / 57

31 Stappenplan invoering ISMS 1. Voer eerste evaluatie uit op basis van de richtsnoeren, definieer een initiële lijst van acties en maatregelen en prioritiseer 2. Installeer en bekrachtig de informatieveiligheidsconsulent en cel 3. Inventariseer de middelen en verplichtingen van de organisatie 4. Bepaal de grenzen van het ISMS en start met de registratie van incidenten en zwakheden 5. Maak op basis van de algemene doelstellingen van de organisatie een eerste beleidsnota (policy) op samen met een plan waarvan de scope wordt afgelijnd 6. Leg de beleidsnota en uitvoeringsplan voor aan het hoogste beslissingsorgaan ter goedkeuring 7. Bepaal de risicoanalyse methodologie en leg criteria vast rond aanvaardbare risico s 8. Inventariseer alle processen en middelen (systemen) die relevant zijn voor de scope 9. Voer een gedetailleerde risicoanalyse uit voor elk van de relevante processen en middelen. Bepaal voor elke risico de strategie en maatregelen (accepteren, vermijden, transfereren) en bepaal relevante controlepunten 10. Voeg de resultaten toe aan het informatieveiligheidsplan 11. Controleer de naleving, beoordeel de effectiviteit en breng verbeteringen aan 12. Koppel op regelmatige tijdstippen terug naar het management 33 / 57

32 Kritische succesfactoren bij de implementatie van informatieveiligheid Bij het inrichten van informatieveiligheid staan de belangen van de organisatie steeds voorop Management is hierbij het toonbeeld en neemt steeds een voortrekkersrol Er is duidelijk inzicht in de informatiebronnen en de computersystemen alsook de rol die zij binnen de organisatie vervullen Voorts is er ook inschatting van de risico s, kwetsbaarheden en bedreigingen die van toepassing zijn op deze bronnen en systemen De implementatie van een informatieveiligheidsplan vereist een duidelijk raamwerk, richtlijnen en hulpmiddelen gericht op verschillende gebruikersgroepen en -systemen Het informatieveiligheidsbeleid is een verbeteringsproces dat voortdurend dient geëvalueerd en bijgesteld En - last but not least: goede marketing en communicatie zijn essentieel voor het verankeren van het algemeen bewustzijn rond het belang en de noodzaak van deze materie (awareness) 34 / 57

33 Afsluiter: Werken aan bewustzijn Voorbeeld van enkele spraakmakende campagneslogans: Veiligheid zit tussen de oren! Beveiligen is mensenwerk! SEC_RITY is not complete without U! 35 / 57