Thema-audit Informatiebeveiliging bij lokale besturen

Maat: px

Weergave met pagina beginnen:

Download "Thema-audit Informatiebeveiliging bij lokale besturen"

Greta Eilander
4 jaren geleden
Aantal bezoeken:

1 Thema-audit Informatiebeveiliging bij lokale besturen

2 I. Audit Vlaanderen

Missie Partner van de organisatie... Onafhankelijk Objectief Bekwaam.

3 Missie Partner van de organisatie... Onafhankelijk Objectief Bekwaam... bij het beheersen van financiële, wettelijke en organisatorische risico s... Evaluatie van het systeem van organisatiebeheersing Sensibilisering en kennisdeling... om een toegevoegde waarde te creëren bij de uitbouw van een efficiënte, effectieve, integere en kwaliteitsvolle organisatie Voor meer informatie, goede praktijken, globaal rapport, : 3

4 II. Thema-audit informatiebeveiliging bij lokale besturen

5 Doelstellingen, aanpak en reikwijdte Beschikbaarheid, Integriteit, Vertrouwelijkheid; ISO27000-reeks en richtsnoeren KSZ; Klankbordgroep; Gespreide steekproef 27 OCMW s en of gemeenten + 1 provincie; Doorlichting organisatorische maatregelen én technische testen; Phishing-testen: 221 gemeenten, 197 OCMW s, 5 provincies. Van einde 2016 tot halverwege

6 Informatiebeveiliging Controleprogramma Informatiebeveiligingsbeleid Beleid en organisatie Bewustzijn.Technisch beheer Logisch toegangsbeheer Continuïteit Incidentenbeheer Rollen en verantwoordelijkheden Leveranciersrelaties Naleving Veilig personeel (bij en na indiensttreding) Omgang met digitale en papieren informatiedragers Cryptografie Fysieke beveiliging Beveiliging van de IT-omgeving Netwerkbeveiliging Acquisitie, ontwikkeling en onderhoud van informatiesystemen Veilig personeel (bij en na uitdiensttreding) Beheer van bedrijfsmiddelen en classificatie van informatie Toegangsbeveiliging Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Informatiebeveiligingsincidenten beheren 6

7 Geanonimiseerde resultaten Organisatiebeheersing ,67 BELEID EN ORGANISATIE ,78 informatiebeveiligingsbeleid ,85 verantwoordelijkheden ,93 BEWUSTZIJN leveranciersrelaties ,07 naleving , ,78 veilig personeel ,81 omgang met informatiedragers ,78 TECHNISCH BEHEER ,44 cryptografie ,15 fysieke beveiliging nvt ,04 beveiliging van de IT-omgeving ,52 netwerkbeveiliging ,63 ontwikkeling ,04 LOGISCH TOEGANGSBEHEER ,56 uitdiensttreding ,52 beheer en classificatie ,56 toegangsbeveiliging ,67 CONTINUÏTEIT INCIDENTENBEHEER gemiddelde maturiteit informatiebeveiliging inwoners aantal inwoners < en > , ,26 2,25 2,00 2,00 1,75 1,69 1,50 1,47 1,31 1,19 2,19 2,06 1,94 1,75 1,63 1,63 1,44 1,38 1,31 1,75 1,69 1,69 1,50 1,31 1,31 1,31 1,31 1,19 1,68 1,70 1,45 7 < inwoners In de realiteit resulteert dit in een scala aan incidenten met grote impact! Zie bijvoorbeeld Globaal rapport bijlage 4 gemiddelde 1,61

8 1 De belangrijkste onbeheerste risico s 1. Afspraken maken en verantwoordelijkheden toewijzen; 2. Technische beveiliging van de IT-omgeving; 3. Toegangs- en gebruikersrechten; 4. Continuïteit en omgaan met incidenten; 8

9 Afspraken maken en verantwoordelijkheden toewijzen Verwachtingen tegenover IT-verantwoordelijken; Personeel, de tijd en de middelen ingezet voor IT; Software- en IT-dienstenleveranciers; Informatieveiligheidsconsulenten; Medewerkers en mandatarissen. 9

10 Afspraken maken en verantwoordelijkheden toewijzen 46% van de geauditeerde besturen roept de veiligheidscel niet structureel samen. onbepaald niet ad hoc 2-4 keer/jaar vaker 10

11 Technische beveiliging van de IT-omgeving Veel haalbare beschermingsmaatregelen blijven onderbenut: 11

12 Technische beveiliging van de IT-omgeving Veel haalbare beschermingsmaatregelen blijven onderbenut: Afdwingen van sterke wachtwoorden, ook bij technische accounts; Toegangen en rechten goed beheren; Tijdig actualiseren van (alle) IT-systemen; Waar nodig gepaste versleuteling gebruiken; Netwerk waar nodig opdelen in segmenten en/of monitoren; Kwetsbaarheden en levenscyclus van hard- en software opvolgen 12

13 Technische beveiliging van de IT-omgeving Bij 86% van de geauditeerde besturen kon Audit Vlaanderen vanop het interne netwerk de volledige IT omgeving overnemen ja nee 13

14 Technische beveiliging van de IT-omgeving Bij 96% van de geauditeerde besturen kon Audit Vlaanderen wachtwoorden achterhalen ja nee Bij 96% van de geauditeerde besturen kunnen alle computergebruikers onrechtmatig persoonsgegevens raadplegen ja nee 14

15 Technische beveiliging van de IT-omgeving Bij 100% van de geauditeerde besturen kan een virus bij een eindgebruiker zich ongehinderd verspreiden in het volledige IT-netwerk ja nee Bij 100% van de geauditeerde besturen kunnen hackers binnen de IT omgeving informatiestromen onderscheppen ja nee 15

16 Toegangs- en gebruikersrechten Verouderde toegangsrechten; Te ruime gebruikersrechten; Gepaste beschermingsmaatregelen. 16

17 Toegangs- en gebruikersrechten 82% van de geauditeerde besturen heeft geen goed proces voor het beheer van toegangen en rechten ad hoc gestandaardiseerd 17

18 Toegangs- en gebruikersrechten 25% van de geauditeerde besturen dwingt af dat wachtwoorden voldoende sterk zijn ja neen 18

19 Continuïteit en omgaan met incidenten De IT-dienst verzekert de basiscontinuïteit; Vertrouwen op een goede afloop bij calamiteiten; Informatiebeveiligingsincidenten onder de radar; Logging. 19

20 Continuïteit en omgaan met incidenten 4% van de geauditeerde besturen bezit een volwaardig bedrijfscontinuïteitsplan ja neen 20

21 Continuïteit en omgaan met incidenten 14% van de geauditeerde besturen bezit een procedure om incidenten te identificeren en te behandelen ja neen 21

22 Continuïteit en omgaan met incidenten 36% van de geauditeerde besturen houdt een incidentenregister bij ja neen 22

23 2 Kleine en middelgrote onbeheerste risico s 1. Bewustzijn en sensibilisering; 2. Fysieke beveiliging. 23

24 Bewustzijn en sensibilisering Werving en indiensttreding; Organisatiebrede sensibilisering; De concretisering van het bewustzijn naar praktijk. 24

25 Bewustzijn en sensibilisering 36% van de geauditeerde besturen sensibiliseert hun personeel structureel omtrent informatiebeveiliging. structureel ad hoc onvoldoende 25

26 Fysieke beveiliging Beheer van sleutels en badges; De beveiliging van fysieke documenten; Bescherming serverruimte. 26

27 Fysieke beveiliging 43% van de geauditeerde besturen voert een clean desk of clear desk beleid ja nee 27

28 Fysieke beveiliging 36% van de geauditeerde besturen sluit archiefruimtes onvoldoende of niet altijd af ja nee 28

29 3 Hoe besturen kunnen werken aan informatiebeveiliging? Mogelijke acties richting verbetering 29

30 Mogelijke acties richting verbetering Organiseer IT in functie van de gewenste dienstverlening en beveiliging. 30

31 Mogelijke acties richting verbetering Eenduidige taakverdeling tussen bestuur en IT-dienstenleveranciers om samen de puntjes op de -i te zetten 31

32 Mogelijke acties richting verbetering Meer samenwerking onderling -> sjablonen, voorbeelden (bv. register), aanvullen van elkaars expertise,... en met alle betrokken partijen. 32

33 IT organiseren Werken aan gezamenlijke oplossingen Puntjes op de i zetten samen met de ITleveranciers

34 Zélf aan de slag Goede praktijken die inspiratie kunnen bieden, vindt u hier: Phishing- en penetratietesten (bv. via raamovereenkomsten: Lijst van de meest vastgestelde kwetsbaarheden te bekomen via: Informatie Vlaanderen: (voor wie via gebruikersbeheer het toegangsrecht overheid.vlaanderen.be kreeg toegekend) V-ICT-OR; Informatieveiligheidsconsulent die deelneemt aan de werkgroep informatieveiligheid bij VVSG. 34

35 Aan de slag met hulp Zie globaal rapport bijlage 5 35 Het Facilitair Bedrijf Informatie Vlaanderen

36 Vragen Bedenkingen?

Vergelijkbare documenten

#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?

#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging? Gunther Schryvers, Audit Vlaanderen Lies Van Cauter, Audit Vlaanderen. Informatiebeveiliging bij lokale besturen: een uitdaging