Welkom bij parallellijn 1 On the Move uur. Stap 1 van de BIG Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO?

Transcriptie

1 Welkom bij parallellijn 1 On the Move uur Stap 1 van de BIG Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO? 1

2 IBD-Praktijkdag Work IT Out

3 Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO? John van Huijgevoort Adviseur informatiebeveiliging IBD

4 Programma Introductie Casus 1 Ik ben CISO maar het is zoveel werk! Casus 2 Ik ben CISO maar ik heb voor alles toestemming nodig. Casus 3 Er is een goede start gemaakt met informatieveiligheid, maar alles valt stil. Samenvatting & Afsluiting 4

5 Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO? Als (beginnend) CISO loopt u in valkuilen en tegen beren op de weg aan, zoals bestuurlijk draagvlak krijgen voor informatiebeveiliging en de noodzakelijke middelen vrij krijgen voor een optimaal informatiebeveiligingsbeleid. Hoe gaat u om met deze valkuilen en hoe creëert u als CISO dit draagvlak? 5

6 De CISO en de BIG Doel van uw functie als CISO is om op basis van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) zorg te dragen voor een samenhangend pakket aan maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie binnen een gemeente te waarborgen. 6

7 Casus 1: Ik ben CISO maar het is zoveel werk! Daar de organisatie onvoldoende zaken oppakt om informatiebeveiliging vorm te geven, voer ik als CISO bijna alle activiteiten zelf uit om zodoende enige voortgang te boeken bij de implementatie van de BIG. Resultaat: Ik kom zelf nergens meer aan toe / ik kom tijd te kort. Er wordt traag voortgang geboekt. Het bewustzijnsniveau neemt ook maar mondjesmaat toe. 7

8 Aandachtspunten Casus 1: Ik ben CISO maar het is zoveel werk! Ben je overal zelf verantwoordelijk voor? Wat moet je als CISO allemaal zelf doen/uitwerken? Welke taken kun je delegeren? Wat/wie heb je daarvoor nodig? Welke andere collega s betrek je bij je taken zodat het werk wordt gedaan? Toewijzing van verantwoordelijkheden en zorg dat ze zich ook verantwoordelijk voelen. Weet wie je nog meer kunt inschakelen Hoe stel je de juiste prioriteiten? 8

9 Casus 2: Ik ben CISO maar ik heb voor alles toestemming nodig Het college van B&W is integraal verantwoordelijk voor de beveiliging van informatie en stelt het informatiebeleid vast. Hoe is het informatiebeveiligingsbeleid vormgegeven? Is er bekend op welk managementniveau informatieveiligheid is belegd? Is er een CISO in uw gemeente aangesteld en wat zijn de bevoegdheden van deze CISO? Is er aandacht voor bewustwording? Ben je daadwerkelijk verantwoordelijk of wordt je verantwoordelijk gehouden (aap op de schouder). Wel de verantwoordelijkheid voor een bepaalde taak hebben/krijgen, maar niet de bevoegdheid. De bevoegdheid om anderen aan te kunnen sturen, beslissingen te kunnen nemen of benodigde de middelen in te kunnen zetten om je verantwoordelijkheid te kunnen nemen. Verantwoordelijkheid zonder bevoegdheid is vragen om moeilijkheden. 9

10 Aandachtspunten Casus 2: Ik ben CISO maar ik heb voor alles toestemming nodig Wie zijn er verantwoordelijk? De bestuurlijke (eind)verantwoordelijkheid ligt ten allen tijden bij het college van B&W. De uitvoering is gedelegeerd (CISO) Heb je een heldere doelstelling meegekregen? Heb je een onafhankelijke functie/taak/rol? Je treedt op als adviseur van de portefeuillehouder Je hebt de centrale regie over het uit te voeren beleid. Denk hierbij aan doelstellingen zoals mijn missie en wat er na één jaar bereikt dient te zijn? Taken, verantwoordelijkheden en bevoegdheden zijn onlosmakelijk met elkaar verbonden. 10

11 Casus 3: Er is een goede start gemaakt met informatieveiligheid, maar alles valt stil Informatiebeveiliging heeft de aandacht die het verdient en in het begin zijn ook de noodzakelijke meters gemaakt. Echter de structurele aandacht op zowel bestuurlijk als ambtelijk niveau is niet voldoende geborgd. Door de waan van de dag zijn de prioriteiten binnen onze gemeente veranderd en is informatieveiligheid van de radar verdwenen. Dit heeft tot gevolg dat het moeilijker is geworden om door te pakken en zodoende informatiebeveiliging naar een hoger plan te brengen. 11

12 Aandachtspunten Casus 3 (1/2): Er is een goede start gemaakt met informatieveiligheid, maar alles valt stil Structurele aandacht vanuit de raad richting de organisatie is hierbij cruciaal. Informatieveiligheid dient zowel bestuurlijk als ambtelijk te geborgd te zijn. Is informatieveiligheid belegd in de portefeuille van een van de raadsleden? De raad kan sturen en controleren op zaken aangaande informatieveiligheid. Het is van belang dat de raad periodiek het college van B&W bevraagt en niet alleen wanneer er incidenten plaatsvinden. Op die manier weet de raad zeker dat informatieveiligheid geborgd wordt binnen de organisatie. 12

13 Aandachtspunten Casus 3 (2/2): Er is een goede start gemaakt met informatieveiligheid, maar alles valt stil Wordt door de gemeente het belang van bewustwording en het kennen van de risico s onderkend? Een raadslid hoeft geen expert te zijn op het gebied van informatieveiligheid. Wel is het van belang om te weten of het thema geborgd is binnen de gemeente. Stellen raadsleden vragen om te achterhalen wat de risico s zijn? Welke risico s op informatieveiligheid accepteert het college van B&W en welke niet? Is de privacy van onze burgers gegarandeerd? Welke politiek-bestuurlijke en maatschappelijke gevolgen kan dit hebben in geval van een incident? 13

14 Samenvatting Tegen welke problemen loopt u als CISO nog meer aan? Op welke manier kunnen andere u hierbij ondersteun 17

15 18 IBD Producten

16 19 Vragen

17 Contactinformatie 20 Bezoek ook

18 Einde sessie Wij vragen u naar de volgende sessie te gaan 21