SHOPT-IT Informatieveiligheid omdat het kan! Organisatiebeheersing en informatieveiligheid

Transcriptie

1 Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT 2013 Informatieveiligheid omdat het kan! Organisatiebeheersing en informatieveiligheid Anne Teughels april 2013

2 Informatieveiligheid OVERZICHT Wie zijn wij Waarom informatieveiligheid Hoe informatieveiligheid Aandachtspunten Vlaamse Toezichtcommissie 2

3 Informatieveiligheid WIE Wie zijn wij o De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer Opgericht bij E-GOV decreet Verantwoording aan Vlaams Parlement Controleren van stromen van persoonsgegevens die uitgaan van een Vlaamse instantie : dit zijn ook de Vlaamse steden en gemeenten Hoe:1 machtigen van die stromen 2 adviezen (regelgeving, VDI-decreet) 3 beantwoorden van vragen en begeleiding Vlaamse Toezichtcommissie 3

4 Informatieveiligheid WAAROM Omdat het moet: zie vorige sessie Omdat behoorlijk bestuur vraagt dat u zorgvuldig omgaat met de gegevens van uw burgers Omdat je bepaalde situaties wil vermijden Vlaamse Toezichtcommissie 4

5 Informatieveiligheid WAAROM NMBS heeft een groter probleem dan het denkt De gegevens van 1,5 miljoen NMBS-klanten zijn gelekt. En dat is een veel groter probleem dan wij denken. Dat dit zomaar kon gebeuren is al bedroevend. Maar de manier waarop de NM BS met deze situatie omgaat is nóg bedroevender. De NMBS ondernam via twitter weliswaar een minieme poging tot het aanbieden van verontschuldigingen, op zijn website is van enig excuus geen sprake. Integendeel, het spoorbedrijf gaat direct in de verdediging en minimaliseert het datalek. Het gaat om een gedeelte van het klantenbestand (anderhalf miljoen! anderhalf! miljoen!) dat maar een heel korte tijd beschikbaar zou zijn geweest (in werkelijkheid ging het om bijna een maand). Het zou bovendien enkel zichtbaar zijn voor wie geavanceerde kennis heeft van zoekmachines. Een geruststellende gedachte: je opa kon de gegevens niet raadplegen. Bron: Zie ook: Vlaamse Toezichtcommissie 5

6 Vlaamse Toezichtcommissie 6

7 Informatieveiligheid HOE Informatieveiligheid als deel van organisatiebeheersing Vlaamse Toezichtcommissie 8

8 Organisatiebeheersing en informatieveiligheid HOE Bij de uitbouw of optimalisatie van de organisatiebeheersing moeten de volgende principes voor ogen gehouden worden: Organisatiebeheersing is ingebouwd in de processen en loopt continu. Privacy by design Organisatiebeheersing is een zaak van iedereen. Niet alleen de IT-dienst!! Organisatiebeheersing verschaft redelijke zekerheid. Vlaamse Toezichtcommissie 9

9 Organisatiebeheersing en informatieveiligheid HOE Vlaamse Toezichtcommissie 10

10 Organisatiebeheersing en informatieveiligheid ICT-beveiliging is het geheel van maatregelen (voorschriften, processen, activiteiten, ) dat ervoor zorgt dat informatiesystemen (bedrijfs- en bestuursprocessen) een optimale bescherming genieten (rekening houdend met het kosten-baten principe) op het vlak van : Vertrouwelijkheid Privacy Integriteit Beschikbaarheid (BCM!) Vlaamse Toezichtcommissie 11

11 Organisatiebeheersing en informatieveiligheid Bescherming van persoonsgegevens geldt in meeste domeinen organisatiebeheersing HR: personeelsgegevens! Communicatie: klantengegevens, cookies, sociale media, Facilitair: gebouwinfrastructuur, toegang, bewaking Cultuur: deontologie, awareness, sociale media ICT: natuurlijk Vlaamse Toezichtcommissie 12

12 Organisatiebeheersing en informatieveiligheid De jongste maanden zagen we de fraudes bij onlinebankieren toenemen, zegt CEO Michel Vermaerke van Febelfin, de Belgische federatie van de financiële sector. Vaak gebruiken de fraudeurs persoonlijke informatie om het vertrouwen van de slachtoffers te winnen, en hen met een geloofwaardig verhaal te overtuigen om hun codes te openbaren. Met de virale video wilden we mensen duidelijk maken dat ze zulke informatie vaak zelf op het internet hebben achtergelaten. Soms zonder het zelf te beseffen. Vlaamse Toezichtcommissie 13

13 Organisatiebeheersing en informatieveiligheid informatieveiligheid dus niet alleen persoonsgegevens maar ook o andere vertrouwelijke informatie o de beschikbaarheid en betrouwbaarheid van de informatie voor beleid, voor dossierverwerking, ook informatie op papier AANDACHTSPUNTEN Vlaamse Toezichtcommissie 14

14 Organisatiebeheersing en informatieveiligheid datalekken AANDACHTSPUNTEN recente aanbeveling privacycommissie n_aanbeveling_01_2013.pdf Vlaamse Toezichtcommissie 15

15 Organisatiebeheersing en informatieveiligheid AANDACHTSPUNTEN CLOUDproblematiek o aanbeveling privacycommissie op komst o Amerikaanse cloud Vlaamse Toezichtcommissie 16

16 Organisatiebeheersing en informatieveiligheid AANDACHTSPUNTEN E-loketten Beveiligde verbinding? Gebruik e-id Cloudtoepassingen! Vlaamse Toezichtcommissie 17

17 Organisatiebeheersing en informatieveiligheid AANDACHTSPUNTEN Informatieveiligheidsplan! risico-analyse! awareness! voldoende middelen! stappenplan Vlaamse Toezichtcommissie 18

18 Organisatiebeheersing en informatieveiligheid BESLUIT Besluit : neem privacy en informatieveiligheid mee wanneer jullie plannen maken in de verschillende domeinen en integreer dit ook in de globale organisatiebeheersing Linken o o Vragen? toezichtcommissie{at}vlaanderen{dot}be Vlaamse Toezichtcommissie 19

19 Bevragingstool: Wat? 1. Richtsnoeren verwerkt in on-line vragenlijst 2. Met maturiteit & risico indicatie 3. Aangevuld met levend handboek 4. Aanbod van begeleiding bij invullen

20

21 Maturiteit en Risico Indicatie van Maturiteit o Van 1 (we voldoen absoluut niet) tot 5 (we zijn een rolmodel) o COBIT idee Indicatie van Risico o Weging van het belang van een norm voor en bestuur (vb Waterovelast) Indicatie van Impact o Weging van de impact voor het bestuur in kwestie Indicatie van Controle o Weging van de inschatting van de mate van controle

22 Toelichting per vraag Levend handboek o Bijlage per vraag met verklaring op maat van Management (secretaris, MT, ) IT beheerder IT specialist Security specialist o Inhoud door werkgroep security & community o Wiki stijl: Verwijzing naar wetgeving en interpretaties Hulp bij implementatie.

23 Voordelen van begeleiding bij invullen Objectieve begeleiding bij het invullen Genereren van gestandaardiseerd rapport Mogelijkheid tot rapportering aan college en raad => Vergelijkbaarheid resultaten => Statistisch terugkoppeling naar centrale overheid

24 Resultaten blijven zichtbaar voor bestuur Mogelijkheid om projectmatig te verbeteren o Verder uitwerken van bepaalde topics o Input voor informatieveiligheidsplan o Vergroten van awareness rond informatierisico s

25 Risicoanalyse Niet alleen in het kader van bescherming KSZ en persoonsgegevens Maar ook: o Essentieel onderdeel van interne controlesysteem (vaak vergeten) o Essentieel voor de werking van de organisatie Vlaamse Toezichtcommissie 26

26 Risicoanalyse Werking van de gemeente of ocmw: afhankelijkheid van ICT sterk toegenomen. Zo werken tegenwoordig niet enkel de PC s of printers op het netwerk, maar ook: o Telefoons o o o o o o o o o o o Kassa s en betaalterminals Gebouwbeheersystemen en toegangscontrole (WZC s, Zwembad,...) Digitale klassen in academie (draadloze) internettoegang Tijdsregistratie Self-service balies (bib) Systemen van brandweer en politie Alarmcentrales (brand en kameroproepsystemen WZC) Camera s Temperatuurmetingen op koelwagens en douches (HACCP) Vlaamse Toezichtcommissie 27

27 Risicoanalyse Bij uitval netwerk -> al deze functies niet meer beschikbaar Hoe opvangen: Primaire reacties: investeren in ontdubbeling infrastructuur en High availability Residueel risico s onder controle? Impact uitval gekend? Benodigde tijd voor heropstart? SLA s? Vlaamse Toezichtcommissie 28

28 Risicoanalyse Stappenplan 1. Leg afspraken vast met MT/bestuur omtrent beschikbaarheid ICT 2. Maak een risicoanalyse op o o o Systeemniveau (netwerk, servers, ) Componentniveau (kritische werkstations, (gebouw)beheersystemen, ) KSZ en persoonsgebonden gegevens Vlaamse Toezichtcommissie 29

29 Risicoanalyse Welke risico s zijn er met betrekking tot o Continuiẗeit van de dienstverlening o o Integriteit van de gegevens Vertrouwelijkheid van de gegevens Hoe schatten we die risico s in o (waarschijnlijkheid + impact) Hoe beheersen we die risico s o (verzekering, vermijden, contingentieplannen, aanvaarden,...) Hoe wordt dit gecommuniceerd naar en opgevolgd door het management Welke maatregelen nemen we om risico s te voorkomen Vlaamse Toezichtcommissie 30

30 Validatie Bekijk na de risicoanalyse: Hoe een ICT continuity en recovery test kan worden gedaan Hoe er samen met de organisatie een continuity en recovery test kan worden gedaan Vlaamse Toezichtcommissie 31

31 KSF Wees realistisch (kernramp scenario moet je niet uitwerken) Vertrek van de gewenste dienstverlening (SLA s!) Communiceer helder o Maar de organisatie duidelijk dat 100% uptime nooit, door niemand kan worden gegarandeerd o Koken kost geld. De kost van uptime stijgt exponentieel met hogere eisen. Spreek ruim op voorhand change/release/test slots af Maak de nodige afspraken met uw leveranciers Vlaamse Toezichtcommissie 32

32 Tool V-ICT-OR tool rond richtsnoeren informatieveiligheid ISO27002 ISO27005 ISO31000 ISACA tools ITIL COBIT COSO Project management methodologie Prince2, PMBOK => Identificeer controleobjectieven ifv behoefte en inschatting belang/risico Vlaamse Toezichtcommissie 33

33 Succes meer info? => Security.v-ict-or.be Vlaamse Toezichtcommissie 34

34 Modellen Vlaamse Toezichtcommissie 35

35 Vlaamse Toezichtcommissie 36

36 Vlaamse Toezichtcommissie 37

37 Vlaamse Toezichtcommissie 38

38 Vlaamse Toezichtcommissie 39

39 Vlaamse Toezichtcommissie 40

40 Vlaamse Toezichtcommissie 41