INFORMATIEBEVEILIGING: WAAR STAAT U NU?

Transcriptie

1 INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR

2 In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds meer gemeenten en overheidsorganisaties worden slachtoffer van cybercrime. Tegelijkertijd zijn berichten over het onzorgvuldig omgaan met persoonsgegevens aan de orde van de dag. Gelukkig zijn er ook veel positieve ontwikkelingen op dit gebied: zo hebben alle gemeenten toegezegd om eind januari 2017 te voldoen aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 1 Dat is overigens geen gemakkelijke klus: er zijn veel regels, die onderling weinig samenhang vertonen. Het beschermen van burgerzaken en gegevens, in combinatie met het bieden van optimale service en flexibiliteit, is gecompliceerd. Vraagstukken rondom informatiebeveiliging blijken bovendien een belangrijk obstakel te zijn om nieuwe technologieën te omarmen, terwijl de burger steeds veeleisender wordt. 2 1: 2: GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP 2

3 PRIVACY, INTEGRITEIT EN INFORMATIEBEVEILIGING Privacy binnen overheden is onmiskenbaar verbonden met integriteit en informatiebeveiliging. Met andere woorden, privacy kan niet bestaan zonder dat de integriteit van betrokken partijen in orde is en er een beleid rondom informatiebeveiliging aanwezig is. Binnen die domeinen zijn er verschillende uitdagingen en ontwikkelingen: Gegevens van burgers staan in diverse overheidssystemen. De burger kan deze zelf niet wijzigen. Tegelijkertijd krijgen steeds meer instanties toegang tot die gegevens, zonder dat de burger dit weet. Door oneigenlijk gebruik van informatiesystemen wordt data gebruikt voor doeleinden waarvoor zij niet verstrekt zijn. Diverse systemen worden aan elkaar gekoppeld en via internet beschikbaar gesteld. Ook kwaadwillenden kunnen daardoor toegang tot de systemen krijgen. Gegevens worden te lang, onvoldoende versleuteld en zonder specifiek doel opgeslagen. Klokkenluiders als Snowden tonen aan dat organisaties als de NSA meekijken in de IT-systemen van overheden wereldwijd. Burgers moeten ervan uit kunnen gaan dat hun gegevens niet langer dan nodig worden bewaard, dat alleen bevoegden bij de gegevens kunnen en dat deze niet worden gedeeld met derden. Hier komt die piramide van privacy, integriteit en informatiebeveiliging weer om de hoek kijken. Om met het laatstgenoemde te beginnen: informatiebeveiliging heeft hier betrekking op een systeem van apparaten, applicaties en netwerken. Verrassend genoeg heeft dat weinig met IT te maken, en des te meer met gedrag afspraken en handhaving. 3

4 BEVEILIGINGSTIPS Dit kunt u doen om uw eigen data en de data die uw organisatie verwerkt zo goed mogelijk te beschermen: 1) Installeer nieuwe patches en updates direct, op al uw apparaten. 2) Vertrouw nooit uitsluitend op uw virusscanner. 3) Klik nooit op vreemde links of attachments in s. 4) Besef dat gratis niet bestaat. Diensten die beweren gratis te zijn gebruiken uw gegevens voor andere doeleinden. 5) Maak goede afspraken over hoe uw organisatie omgaat met informatie, en zorg voor handhaving. 6) Probeer zo veel mogelijk advertenties te blokkeren met tools. 7) Versleutel uw informatie zoveel mogelijk. 8) Toon voorbeeldgedrag en wees kritisch over hoe u met informatie omgaat. 9) Probeer zoveel mogelijk diensten te gebruiken die uw anonimiteit online garanderen. 10) Gebruik unieke en lange wachtwoorden en een password manager. 4

5 Het is opvallend om te zien dat dat de best practices van experts op dit gebied heel anders zijn dan die van normale consumenten en werknemers: Bron afbeelding: 5

6 HOE STAAT UW ORGANISATIE ER NU VOOR? Om u voor te bereiden op deze meldplicht en voor een effectief securitybeleid, is het noodzakelijk in kaart te brengen welke middelen u in huis heeft, maar ook welke risico s en bedreigingen die middelen met zich meebrengen. Ons cybersecurity model kan hierbij helpen, door een antwoord te formuleren op de volgende vragen: 1 Wat heeft u nu in huis? Hoe verandert dit morgen, of in de toekomst? Denk bijvoorbeeld aan een overzicht van alle software binnen uw bedrijf. Houd daarvoor bij wanneer software gedateerd of volledig verouderd is. Zo kunt u actie ondernemen wanneer het tijd is om software te updaten, te vervangen of wanneer software niet meer wordt ondersteund door de leverancier. Op die manier houdt u de risico s op dit gebied minimaal. 2 Wie hebben (al dan niet tijdelijk) toegang tot de data op uw systemen? Proactieve monitoring is van groot belang: houd bij of er sprake is van abnormaal gedrag van zowel gebruikers als systemen. Door gedrag continu te monitoren, worden eventuele afwijkingen snel herkend en kunt u daar tijdig en adequaat op reageren. 3 Wie of wat bedreigt u (zowel intern als extern)? Breng in kaart waar, hoe en op welke manier u risico loopt. Maak hierbij onderscheid tussen risico s die kunnen ontstaan door menselijk falen binnen uw organisatie, en risico s van kwaadwillenden die u bewust schade proberen toe te brengen. 4 Heeft u voldoende inzicht in de aard van deze bedreigingen? Door de aard en achtergrond van eventuele bedreigingen in kaart te brengen, kunt u betere maatregelen nemen om dergelijke situaties te voorkomen. 5 Wat moet u doen wanneer er iets fout gaat? Wie heeft welke verantwoordelijkheden op het moment dat er iets fout gaat? Het is belangrijk een procedure vast te leggen waarin staat wie wat moet doen in het geval er toch iets fout gaat, zodat op zo n moment snel actie ondernomen kan worden en u niet voor verrassingen komt te staan. 6 Zijn alle managers en andere belanghebbenden op de hoogte van deze informatie? Om een optimaal draagvlak te creëren en ervoor te zorgen dat procedures optimaal geïmplementeerd kunnen worden, is het belangrijk deze informatie op alle niveaus in het bedrijf te verspreiden. 7 Welke verbeteringen kunt u op basis van al deze informatie doorvoeren binnen uw bedrijf of instelling? U kunt de informatie die u nu heeft verzameld gebruiken om direct verbeteringen door te voeren die u helpen eventuele risico s te minimaliseren. 6

7 HET BELANG VAN GOEDE COMMUNICATIE EN AWARENESS Ondanks alle denkbare maatregelen is 100% veiligheid helaas een sprookje. Het belangrijkst is dat u probeert de lat voor kwaadwillenden zo hoog mogelijk te leggen, en dat u andere soorten risico s zoveel mogelijk probeert te verkleinen. Het is daarnaast essentieel dat u investeert in het vergroten van de bewustwording van uw mensen op dit gebied. Zo blijkt uit onderzoek van TNS NIPO dat het gebruik van te makkelijke wachtwoorden een grote achilleshiel vormt binnen bedrijven. 3 Ook is er nog winst te behalen door medewerkers bewust te maken van bijvoorbeeld het veilig gebruiken van openbare WiFiverbindingen, het gebruik van eigen devices op kantoor, het goed afsluiten van programma s en het veilig achterlaten van hun werkplek. Ook is het belangrijk hen phishing-mails te helpen herkennen en hen handvatten te bieden over hoe zij hiermee om dienen te gaan. 3: 7

8 HOE KAN GUARDIAN360 U HELPEN? De dienstverlening van Guardian360 kan u helpen bij het voldoen aan de meldplicht datalekken. Dat doen we door u Securityas-a-Service te leveren. Ieder uur scannen we uw systemen, op dezelfde manier als een hacker dat zou doen. Dat doen we vanaf het internet en indien gewenst, ook vanuit uw eigen netwerk. We scannen alles met een IP-adres en webapplicaties, en proberen daarnaast zo snel mogelijk hackers te betrappen. Gebeurt er niets, dan hoort u ons niet. Is het wel nodig, dan komen we direct in actie. We testen sowieso non-intrusive; we verstoren uw normale werkproces en de performance van uw apparatuur, netwerken en applicaties niet. Ook melden we eventuele kwetsbaarheden en toetsen we deze aan verschillende normenkaders (onder andere ISO27002:2013, NEN7510 en Logius/DigiD). Dat is hard nodig, want de risico s en kwetsbaarheden waar we mee te maken hebben veranderen dagelijks. Bovendien is het zelf bijhouden en regelmatig testen vrijwel onmogelijk, en een jaarlijkse penetration test betekent dat u 364 dagen per jaar geen actueel beeld hebt van de beveiliging van uw IT-omgeving. Ook heeft u dan geen idee of u al dan niet compliant bent. Daarnaast helpen we u bij uw proactieve monitoring, en geven we u op een duidelijk en gebruiksvriendelijk portal doorlopend inzicht in de bedreigingen die we voor u gevonden hebben. U kunt daardoor sneller handelen wanneer er een kwetsbaarheid gesignaleerd wordt, daarnaast kunt u gemakkelijk aan derden- denk aan patiënten, IT-auditors en accountants - aantonen dat u in control bent. 8

9 Guardian360 Weena zuid NC Rotterdam Postbus CR Rotterdam +31(0) Guardian360.nl Guardian360 HOE OMGAAN MET DE MELDPLICHT DATATLEKKEN? whitepaper 9