Informatieveiligheid. Youri Lammerts van Bueren Adviseur Informatiebeveiliging (CISO)

Transcriptie

1 Informatieveiligheid Youri Lammerts van Bueren Adviseur Informatiebeveiliging (CISO) Regiobijeenkomst IBD 29 september

2 Inhoud Bedrijfsvoeringsorganisatie West-Betuwe (BWB) Organisatorische belegging Jaarlijks proces Onze aanpak Start Risicoanalyse Risicobehandelplan Implementatie Effectiviteit 2

3 Bedrijfsvoeringsorganisatie West-Betuwe (BWB) 3

4 BWB BWB: Een bedrijfsvoeringsorganisatie voor 3 gemeenten 4

5 BWB Huisvestiging en glasvezelring 5

6 BWB en haar partners 6

7 Organisatorische belegging 7

8 Organisatorische belegging P&O FAC BRP PNIK SUWI CULEM- BORG BAG ICT BRP PNIK GELDER- MALSEN CISO BAG SUWI TIEL BAG BRP DIGD PNIK BWB DIGD DIGID SUWI 8

9 Afstemming OGS MT PH CULEM- BORG MT GS IBT IBT GELDER- MALSEN CISO GS MT TIEL PH MT IBT GS PH BWB 9

10 Driehoeksoverleg per gemeente PoHo INFORMATIE- VEILIGHEID CISO GS 10

11 Jaarlijks proces 11

12 Per jaar door MT s vast te stellen Staat op community 12

13 Jaarlijks proces 13

14

15 Onze aanpak Start Risicoanalyse Risicobehandelplan Implementatie Effectiviteit 15

16 Start Sinds 1 jul 2014 adviseur informatiebeveiliging; gestart met kaderen (uitgangspunten vaststellen, budget, organisatorische verantwoordelijkheden beleggen) Gestart met VNG-resolutie College de BIG als het basisnormenkader laten vaststellen Bestuurlijk en ambtelijk borgen Eén informatiebeveiligingsbeleid (op basis BIG) Informatiebeveiligingsteam opzeten Budget georganiseerd vanuit de drie gemeenten Plan van aanpak (PvA) 2015 opgesteld Presentatie bij de drie gemeentelijke MT s Taskforce BID uitgenodigd (GS+PH) 16

17 Onze aanpak Start Risicoanalyse Risicobehandelplan Implementatie Effectiviteit 17

18 Focus Focus bij de risicoanalyse (zoals vastgelegd in PvA) lag op: Organisatorisch component; en Gedragscomponent (security awareness). Focus in 2016 ligt op technisch component: Hoe veilig is ons (nieuwe) netwerk hoe veilig zijn de digitale gegevens bij ons? 18

19 Risicoanalyse (RA) Organisatorisch component: GAP-analyse: in hoeverre voldoen we aan de BIG; VNG-resolutie: in hoeverre voldoen we aan de resolutie RA op 4 processen (Wmo, Jeugdzorg, Subsidies en vergunningen) Gedragscomponent: Digitale survey op kennis, houding en gedrag (10 gouden regels van campagne ibewustzijn Overheid); Security Site Visit en Mysterie guest; Phishingmailtest 19

20 Onze aanpak Start Risicoanalyse Risicobehandelplan Implementatie Effectiviteit 20

21 Risicobehandelplan 1 Samenvatting RA 2 Compliance BIG/VNG 3 Security awareness 4 Risicoregister 5 RA op 4 processen Laten zien 6 Verklaring van toepasselijkheid + projectenkalender C/G/T/BWB Staan op community 21

22 Risicobehandelplan Op basis van de RA s werden risico s inzichtelijk; Risicobehandelplan opgesteld (risico s + verbetermaatregelen + planning) en laten vaststellen Bevat een concreet overzicht: welke maatregel wordt door wie wanneer getroffen implementatieplanning 22

23 Onze aanpak Start Risicoanalyse Risicobehandelplan Implementatie Effectiviteit 23

24 Implementatie Na vaststelling risicobehandelplan gaan we richting implementatie maar ja.. hoe? Grootste zorg: medewerkers zijn druk, hebben geen tijd om beleid/procedures op te stellen (geen resources)! Er moet zo veel gedaan worden (hoe houd ik regie/overzicht)? Nav de BRP/PNIK/SUWI inspectie/digid moeten ook al maatregelen getroffen worden hoe krijg ik hier grip op? 24

25 Mijn instrumenten Verklaring van toepasselijkheid specifiek de projectenkalender koppelen aan IM/ICT kalender om resources te claimen voor 2016; Voortgangsrapportages op MT-niveau op basis van risicobehandelplan, waarbij elke maatregel is gekoppeld aan een manager (hopen dat men elkaar aanspreekt en verantwoordelijk voelt) Driehoeksoverleg (GS, PH, CISO) Momenten aangrijpen (Taskforce, visitatiecommissie) ISMScontrol Zit planning in van mijn RA s, maar ook die van de digid, Suwi inspectie, zelfevaluaties burgerzaken Zijn de maatregelen in ontdubbeld Bevat alle beveiligingsnormen Geeft mij inzicht en grip (vanaf 2016) 25

26 Tips Zorg dat je nergens voor verantwoordelijk bent organisatorische inrichting / beleggen Heb een plan / weet wat je wil laten vaststellen (opdracht vanuit MT krijgen) per jaar Kader in (resolutie, big vaststellen, plan van aanpak, risico-analyse, risicobehandelplan, implementatie maatregel (no way back) Faciliteer medewerkers bij implementatie (gebruik beschikbare templates, bereid deze voor) stagiaires? Communiceer heel veel / stem af (laat het hun besluit zijn) Neem niet de verantwoordelijkheid over, maar ontlast de afdelingen bij de jaarlijkse audits/inspecties (doe de RA, ISMScontrol, ontdubbel de maatregelen, ga intern aanjagen / mensen betrokken / en mensen aanspreken 26

27 Onze aanpak Start Risicoanalyse Risicobehandelplan Implementatie Effectiviteit 27

28 Effectiviteit bepalen Hoe stel ik vas of de IB-maatregelen effectief zijn? Vind ik lastig Ik focus mij tot en met 2017 op het op orde brengen van de basis opzet en bestaan In 2018 focus op: werking Voor de RA heb ik ook gekeken naar effectiviteit van specifieke maatregelen door het gebruik maken van een mysterie guest en ene phishingmail. Tevens gebruik gemaakt van visitatiecommissie (hoe staat het met de zelfregulering) Volgend jaar zal een externe organisatie de veiligheid van ons netwerk beoordelen (pentesten). In 2018 wil ik dat en onafhankelijke kijkt naar werking van het beleid. 28

29 Vragen 29