Nieuwe ontwikkelingen SSC de Kempen. Informatiebeveiliging

Transcriptie

1 Nieuwe ontwikkelingen SSC de Kempen Informatiebeveiliging

2 SSC de Kempen Samenwerking op gebied van ICT en Geo-informatie 5 Kempengemeenten Dienstverlening aan BIZOB en gemeente Cranendonck 3 Teams: - HAS - GEO - ABP Beheer en projecten Uitdagende technische en financiële uitdagingen - Snelle en impactvolle veranderingen op ICT vlak - Veranderingen in opzet GEO-dienstverlening - Bezuinigingen op bedrijfsvoering en ambitie

3 Schaalvoordelen van het SSC de Kempen Door het realiseren van een standaardisatie (80-20-regel) en een gemeenschappelijke architectuur was het mogelijk aanzienlijke besparingen te realiseren op de ICT kosten (minder meerkosten): Organisatiekosten (facilitair) Automatisering Informatisering Ambitieniveau zelfstandig 2010 Landelijk ambitieniveau: zelfstandig Landelijk ambitieniveau SSC - 3 -

4 Uitdagingen Sterkere gepersonaliseerde dienstverlening en communicatie Eenvoudig betrekken van burger(organisaties) en bedrijven bij beleidsprocessen Toenemende samenwerking met andere overheden Veranderingen in de dienstverleningsketen Andere manieren van werken (plaats, tijd en device onafhankelijk) - Mobiele communicatie - Draadloze netwerken - Data overal bereikbaar - Data altijd beschikbaar Steeds grotere rol voor beveiliging. Zowel in opzet, bestaan en werking. Dit vraagt om een professionele aanpak in samenwerking tussen gemeenten en het SSC de Kempen.

5 SSC - De Kempen Informatiebeveiliging

6 Informatiebeveiliging, belangrijker dan ooit?

7 1. Doel van de presentatie Creëren van een hogere bewustwording van informatiebeveiliging met als resultaat het verbeteren van de houding ten opzichte van informatieveiligheid en het willen veranderen van (onbewust) onveilig gedrag naar bewust veilig gedrag.

8 1. Doel van de presentatie Creëren van een hogere bewustwording van informatiebeveiliging met als resultaat het verbeteren van de houding ten opzichte van informatieveiligheid en het willen veranderen van (onbewust) onveilig gedrag naar bewust veilig gedrag. Wie moet er iets mee? College van B&W, Raadsleden en alle medewerker binnen de gemeente en SK, ongeacht soort arbeidsverhouding Informeren over de stand van zaken binnen de Kempengemeenten

9 Inhoud Wat is informatie? Waarom informatie beveiligen? Wat is Informatiebeveiliging? Verantwoordelijkheid Bedreigingen. Beschermen. Waar staan we met de Kempen.

10 Wat is informatie? Informatie wordt vaak verward met de begrippen gegevens en/of kennis. Hoewel deze begrippen veel met elkaar te maken hebben, zijn ze niet hetzelfde. Gegevens worden pas informatie als de gegevens een betekenis of nieuwswaarde hebben voor de ontvanger. Denk aan: GBA gegevens BSN

11 Waarom informatie beveiligen? Belang van de gemeente hierin: De gemeente is een informatie verwerkende organisatie Burgers en ketenpartners geven hun (gevoelige) informatie aan ons, en de gemeente heeft betrouwbare informatie nodig om haar taken uit te kunnen voeren. Informatie heeft waarde en dat moet veilig gesteld worden Geldelijke waarde Nut voor u Aantrekkelijk / nuttig voor anderen (insiders of outsiders) De (potentiële) schade als gevolg van verkeerd gebruik of compromitteren van de informatie Tijdigheid De gevoeligheid van informatie bewaken Zorgen dat informatie correct/juist is en blijft Zorgen dat informatie beschikbaar is (ook richting burgers) Privacy beschermen (wettelijke taak)

12 Waarom informatie beveiligen? Motivatie / drijfveer bij anderen: Vandalisme Boosheid Politiek-gedreven Nieuwsgierigheid Bewust schade willen toebrengen Persoonlijk gewin Overtuiging/principes Nadoen/uitproberen

13 Wat is informatiebeveiliging? Informatiebeveiliging is de verzamelnaam voor processen en maatregelen die erop gericht zijn om de betrouwbaarheid van gemeentelijke processen, de ondersteunende informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip informatiebeveiliging heeft betrekking op: Beschikbaarheid: het zorg dragen voor het beschikbaar zijn van informatie, applicaties en (ICT-)bedrijfsmiddelen voor de gebruikers; Vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden; Integriteit: het waarborgen van de juistheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking.

14 Verantwoordelijkheid Het is de verantwoordelijkheid van de gemeente en daarmee van het College van B&W, de Raad en alle medewerkers binnen de gemeente om gemeentelijke informatiesystemen en informatie te beschermen Informatiebeveiliging is dus de taak van iedereen en niet alleen van beveiligingsspecialisten! Iedereen is zelf verantwoordelijk voor het veilig gebruik van computerapparatuur, software en informatie die men gebruikt Het is alleen toegestaan om informatie te gebruiken die gerelateerd is aan het eigen werk De eigenaar van de informatie bepaalt de gevoeligheid van die informatie en daarmee ook de mate van bescherming die nodig is.

15 Wat zijn bedreigingen? Virussen Verouderde software Mobile devices Cybercrime, DDoS, phishing Digitale spionage Werknemers Natuurrampen Buitenlandse wetgeving Verlies data/apparatuur (BYOD) Stroomstoring Verlies van kennis Apps van derden Identiteitsdiefstal Een bedreiging is een gevaarlijke gebeurtenis die wellicht ooit voorkomt. Het gevaar kan zowel van buiten komen, als besloten liggen in een voorwerp of situatie zelf. interne en externe bedreigingen opzettelijk en onopzettelijk handelen.

16 Wat zijn bedreigingen? Virussen Verouderde software Mobile devices Cybercrime, DDoS, phishing Digitale spionage Werknemers Natuurrampen Buitenlandse wetgeving Verlies data/apparatuur (BYOD) Stroomstoring Verlies van kennis Apps van derden Identiteitsdiefstal Een bedreiging is een gevaarlijke gebeurtenis die wellicht ooit voorkomt. Het gevaar kan zowel van buiten komen, als besloten liggen in een voorwerp of situatie zelf. interne en externe bedreigingen opzettelijk en onopzettelijk handelen.

17 Wat zijn de bedreigingen? 7 grootste beveiligingsincidenten 2% 1% Menselijke fouten Crimeware 17% 7% 30% Rechtenmisbruik Fysiek verlies Aanvallen op webapplicaties 20% 23% DoS aanvallen Cyberspionage

18 Interne bedreigingen In een recent onderzoek geven meer dan de helft van de partijen aan dat beveiligingsincidenten van binnenuit zijn opgetreden (30 % 60%) Onoplettendheid (verkeerde informatie geven) Slordigheid (geeltjes, clean desk?) Onwetendheid (de regels niet kennen) Onbewust handelen (aannemen dat iets zo is) Je niet houden aan gemeentelijke regels (gewoon de regels bewust overtreden) Bijvoorbeeld: Gebruiken van onveilige software en van gemeentelijke informatie naar privé , opschrijven wachtwoorden (Vertrouwelijke) Informatie laten liggen op de bureau Over gevoelige informatie praten in openbare ruimten

19 Hoe kun je informatie beschermen? Gezond verstand Veilige wachtwoorden Antivirus maatregelen Software uit bekende bronnen Nadenken over mobiele apparaten Goed gebruik van (social)media Voorzichtigheid met het web en Log on / log off (locken scherm) Opslaan van documenten/ back-up Juiste toegangsrechten 100 %

20 Informatiesysteem-specifieke uitdagingen Toenemende datavolumes (intern en extern) Gebrek aan zichtbaarheid Gebruiksgemak versus beveiliging Balans Maatregelen versus kosten Software en hardware installatie Portabiliteit (bruikbaar op verschillende systemen) Snelheid Technologische vooruitgang Gebruikers kennis / competenties

21 Informatiebeveiliging algemeen Vragen tot nu toe?

22 Waar staan de Kempengemeenten en GRSK?

23 Wat is er al gedaan? Op basis van incidenten (Diginotar; Lektober) en Audits (Persoonsgegevens; Adressen & Gebouwen; Suwinet (sociaal domein); DigiD): - Individuele beveiligingsplannen bedrijfskritische applicaties die voldoen - Losse protocollen en/of procedures zoals voor fysieke toegangsbeveiliging; wachtwoordbeleid; antivirus - Vervangen certificaten - TPM verklaring van leverancier websites Project P05 Informatiebeveiliging Kempen gestart juni Elke gemeente en GRSK heeft een afvaardiging geleverd voor deelname in de projectgroep - Extern adviesbureau ingehuurd gespecialiseerd op risicomanagement

24 Project Informatiebeveiliging Kempen Uitgangspunt: Vereniging Nederlandse Gemeenten (VNG) Kwaliteit Instituut Nederlandse Gemeenten (KING) Diverse Ministeries (Binnenlandse Zaken, Economische Zaken) Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID) Informatie BeveiligingsDienst (IBD) Baseline Informatiebeveiliging Gemeenten (BIG)

25 Project Informatiebeveiliging Kempen Actie Afgerond Vastgesteld/Akkoord Plan Interviews Benoemen Informatiebeveiligingsbeleid Risico Informatiebeveiligingsplan Data van (informatie) analyse aanpak op personen alle uitvoeren classificeren niveaus met taak/verantwoordelijkheid en (meerjarenplan) (Centraal taakvelden en Decentraal) Informatiebeveiliging Risico Maatregelen Aansluiten Slagen analyse voor bij heraudit 2015 InformatieBeveiligingsDienst uitvoeren DigiD DigiD (IBD) Bewustwording Borging informatiebeveiliging bij College van organisatie B&W, Raad en alle medewerkers gemeente en SK

26 Wat moet er nog gebeuren? Vaststellen informatiebeveiligingsplan Gezamenlijke deel (GRSK) Gemeente specifieke deel Lijst van maatregelen per gemeente en GRSK 2015 vaststellen Onderzoeken maatregelen (risico versus kosten en baten) Beslissen welke maatregelen geïmplementeerd worden Implementeren maatregelen Afronden aansluiting IBD (fase 3 en 4) Afronden project P05 en overdracht naar de beheeromgeving Inbedding/borging in de verschillende organisaties Inrichten beheeromgeving informatiebeveiliging (personen) P&C cyclus bedrijfsvoering (voorbeeld t.b.v. sociaal domein) Interne controle Incidentafhandeling inrichten Bewustwordingstraject in elke gemeente en GRSK Blijven monitoren van wettelijke, bestuurlijke en maatschappelijke veranderingen (Sociaal domein 3D s; Wet Persoonsregistratie e.d.)

27 Vragen? Vragen?