SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN

Maat: px
Weergave met pagina beginnen:

Download "SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN"

Transcriptie

1 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Onderzoek naar het informatiebeveiligingsniveau in Limburgse gemeenten

2 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Samenvatting De Nederlandse overheid streeft naar een federatieve overheid. Een gemeenschappelijke architectuur, de Nederlandse Overheid Referentie Architectuur (NORA), maakt het mogelijk de gegevensuitwisseling en beveiliging van de gemeenschappelijke federatieve gegevens te standaardiseren. Jack van der Goes heeft in het kader van zijn afstudeeronderzoek voor de Masteropleiding Business Process Management en IT van de Open Universiteit, faculteit Informatica, onderzoek gedaan naar de wijze waarop Limburgse gemeenten de NORA gebruiken om zich te beschermen tegen aanvallen van social engineering. Jack is partner bij Daadkracht, een bestuurskundig onderzoeks- en adviesbureau. Informatiebeveiligingsmaatregelen tegen social engineering De NORA verwijst naar de Code voor Informatiebeveiliging voor de beschrijving van informatiebeveiligingsmaatregelen. De baseline bestaat uit: Rollen en verantwoordelijkheden; Screening; Arbeidsvoorwaarden; Directieverantwoordelijkheid; Bewustzijn opleiding en training; Disciplinaire maatregelen; Retourneren bedrijfsmiddelen; Blokkering toegangsrechten. Centrale vraag De centrale vraag van het onderzoek luidt: In hoeverre is de NORA toepasbaar bij de bescherming tegen social engineering en in hoeverre is het informatiebeveiligingsbeleid in de Limburgse gemeenten gebaseerd op de NORA en bieden de gebruikte informatiebeveiligingsmaatregelen een daadwerkelijke bescherming tegen aanvallen van social engineering? NORA De Nederlandse Overheid Referentie Architectuur (NORA) is een architectuur voor het inrichten van de informatiehuishouding van de Nederlandse Overheid en bestaat uit bouwstenen en principes. Eén bouwsteen heeft betrekking op beveiliging en privacy, en wordt ondersteund door de Code voor Informatiebeveiliging, het Voorschrift Informatiebeveiliging Rijksoverheid (VIR) en het NORA-Dossier Informatiebeveiliging. Doel van de NORA is het verduidelijken van de informatie-uitwisseling tussen overheidsinstanties. Social engineering Social engineering gaat om het manipuleren van mensen om onbevoegd toegang te krijgen tot fysieke objecten, zoals gebouwen, of informatiesystemen. De gebruikte methoden en technieken variëren van direct vragen en misbruik tot phishing en shoulder surfing. Informatiebeveiligingsbeleid in Limburgse gemeenten Het beheer van het informatiebeveiligingsbeleid in de Limburgse gemeenten is onvoldoende geborgd en vastgesteld. Er is vooral beleid op onderdelen aanwezig, vaak als gevolg van verplichte audits. In veel gevallen ontbreekt overkoepelend beleid waarin maatregelen staan beschreven ter bescherming tegen aanvallen van social engineering. De mate waarin informatiebeveiligingsmaatregelen vanuit de NORA beschreven zijn in het informatiebeveiligingsbeleid is gemiddeld 58%, waar 100% de norm is. De helft van alle Limburgse gemeenten heeft de NORA gebruikt bij de totstandkoming van het informatiebeveiligingsbeleid. Daarnaast is ook het Information Technology Infrastructure Library (ITIL) Security Management vaak gebruikt bij het opzetten van het informatiebeveiligingsbeleid. Bescherming tegen social engineering in Limburg Limburgse gemeenten zijn kwetsbaar voor aanvallen van social engineering. Desondanks geven de respondenten van slechts 4 gemeenten (14%) aan dat er zich gebeurtenissen hebben voorgedaan waaruit is gebleken dat de gebruikte informatiebeveiligingsmaatregelen onvoldoende zijn geweest om bescherming te bieden tegen aanvallen van social engineering. De gebeurtenissen hebben in enkele gemeenten geleid tot aanpassing van het informatiebeveiligingsbeleid en andere acties. Conclusie De NORA is, wanneer de baseline volledig wordt gebruikt, toepasbaar bij de bescherming tegen social engineering. Het informatiebeleid in de Limburgse gemeenten is echter onvoldoende gebaseerd op de NORA. De gebruikte informatiebeveiligingsmaatregelen in de Limburgse gemeenten beschermen onvoldoende tegen methoden en technieken van social engineering. 2

3 SEPTEMBER 2013 Inhoudsopgave 1. Inleiding 1.1 Doel van het onderzoek 1.2 Scope 1.3 Vraagstelling 1.4 Hoofd- en deelvragen 1.5 Leeswijzer 2. Methode van onderzoek 2.1 Literatuurstudie 2.2 Referentiemodel 2.3 Interviews 2.4 Webenquête 2.5 Relevantie 2.6 Ethische kwesties 2.7 Respons 2.8 Validiteit 3. NORA 3.1 Onderdelen binnen de NORA 3.2 Doel van de NORA 3.3 Gebruikte bronnen 3.4 Verhouding GEMMA en NORA 3.5 Conclusie 4. Social engineering 4.1 Algemene definitie 4.2 Methoden en technieken 4.3 Conclusie Informatiebeveiligingsmaatregelen tegen social engineering 5.1 Maatregelen in de NORA 5.2 Maatregelen in de Code voor Informatiebeveiliging 5.3 Conclusie 6. Informatiebeveiligingsbeleid in Limburgse gemeenten 6.1 Kennisniveau respondenten 6.2 Vastgesteld beleid 6.3 Beschreven maatregelen 6.4 Gebruikte theorieën 6.5 Conclusie 7. Bescherming tegen social engineering in Limburg 7.1 Bescherming volgens het referentiemodel 7.2 Aanvallen social engineering 7.3 Acties na aanvallen 7.4 Conclusie 8 Conclusies en aanbevelingen 8.1 NORA 8.2 Social engineering 8.3 Maatregelen tegen social engineering 8.4 Informatiebeveiligingsbeleid in Limburg 8.5 Bescherming tegen social engineering in Limburg 8.6 Antwoord op de centrale vraag 8.7 Aanbevelingen voor de overheid 3

4 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN 1. Inleiding De overheid streeft naar een federatieve overheid. Eén overheid waarin ketensamenwerking tussen de verschillende overheidsinstellingen centraal staat. Alle overheidsvragen zijn dan te beantwoorden via de gemeente waar de burger woont of waar een bedrijf activiteiten uitvoert. Met behulp van vastgestelde basisregistraties vindt er een uitwisseling plaats van gegevens tussen de overheidsinstellingen. Zo zijn bijvoorbeeld de gemeenten houder van de basisregistraties Personen, Adressen en Gebouwen en is de Kamer van Koophandel de houder van de basisregistratie Handelsregister. De uitwisseling van de gegevens uit deze basisregistraties vergt standaardisatie en coördinatie tussen de betrokken overheidsinstellingen. Deze overheidsinstellingen zijn immers autonoom en richten de informatiehuishouding en het informatiemodel naar eigen inzicht in. NUP In 2007 heeft het kabinet het advies gekregen om te starten met een Nationaal Urgentieprogramma e-overheid (NUP) om de overheidsbrede ambitie rond de samenwerking van de verschillende overheidsinstellingen een betere basis te geven. Bij gelegenheid van het Bestuurlijk Overleg van Rijk, provincies, gemeenten en waterschappen is op 1 december 2008 een verklaring opgesteld over de realisatie van dit NUP. NORA en GEMMA De samenwerking vanuit het NUP tussen de verschillende overheidsorganen vereist eenduidigheid en standaardisatie omtrent de uitwisseling van informatie (geïnterpreteerde gegevens) en gegevens omdat de overheidsorganen dezelfde taal moeten spreken voor de gewenste uitwisseling. De Nederlandse Overheid Referentie Architectuur (NORA) zorgt voor deze eenduidigheid en standaardisatie. De NORA bevat een groot aantal bouwstenen en inrichtingsprincipes die overheidsorganen kunnen toepassen bij projecten en programma s die gericht zijn op het ontwikkelen van een hoogwaardige, samenwerkende, dienstbare overheid. Voor de verschillende overheidsorganisaties zijn er verschillende afgeleide architecturen ontworpen. Voor de gemeentelijke overheden is dit de GEMeentelijke Model Architectuur (GEMMA). De GEMMA gebruikt de bouwstenen en principes van de NORA en past deze waar mogelijk toe binnen de gemeentelijke organisaties. Informatiebeveiliging Het beheer van de basisregistraties en de uitwisseling van de hierin opgeslagen gegevens tussen de verschillende overheidsorganen zorgen voor de noodzaak tot een goede informatiebeveiliging. De NORA kent een bouwsteen met betrekking tot beveiliging en privacy. Deze bouwsteen speelt een rol bij het ontwerpen en invoeren van de informatiebeveiliging voor zowel de technische als de niet-technische kant. De gemeentelijke overheid verwerkt veel informatie voor het verstrekken van producten en diensten. Het beveiligen van deze informatie is dan ook essentieel om de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens voor de betreffende informatiestromen te waarborgen. Informatiebeveiliging gaat verder dan het beveiligen van de technische hulpmiddelen. Dit onderzoek richt zich op de niet-technische kant van de informatiebeveiliging, de zogenaamde social engineering. Social engineering Social engineering is een aanval op de informatiebeveiliging gericht op de mens en niet op de techniek. Uit wetenschappelijke literatuur blijkt dat het gedrag van medewerkers een primaire rol speelt bij de informatiebeveiliging en het voorkomen van aanvallen van social engineering. 1.1 Doel van het onderzoek Voorliggend onderzoek brengt in kaart of de aangereikte informatiebeveiligingsmiddelen vanuit de NORA toepasbaar zijn om medewerkers van een gemeente te beschermen tegen aanvallen van social engineering. Daarnaast toetst het onderzoek of het informatiebeveiligingsbeleid met behulp van de NORA is opgesteld en of de gebruikte informatiebeveiligingsmaatregelen daadwerkelijk beschermen tegen aanvallen van social engineering. Dit onderzoek levert een bijdrage aan de theorievorming over de informatiebeveiliging tegen social engineering door te onderzoeken op welke wijze gemeenten de informatiebeveiliging hebben ingericht. Het onderzoek verduidelijkt of de handreiking van de overheid toepasbaar is én of gemeenten deze daadwerkelijk gebruiken. Het onderzoek levert een referentiemodel social engineering op, dat concreet inzicht geeft in de mate van beveiliging tegen aanvallen van social engineering. 1.2 Scope Er zijn meer dan 400 gemeenten verdeeld over 12 provincies. Het is niet haalbaar om (binnen de beschikbare tijd) alle Nederlandse gemeenten te onderzoeken. Er is voor gekozen om het onderzoek te beperken tot gemeenten binnen de provincie Limburg. Dit betreft een overzichtelijk aantal van 33 gemeenten van verschillende grootte binnen een aaneengesloten en eenduidig ingekaderd geografisch gebied. Het onderzoek is reproduceerbaar en kan daarmee de basis vormen voor vergelijkbare onderzoeken in andere provincies met als doel zicht te krijgen op de wijze waarop gemeenten elders in het land de informatiebeveiliging hebben ingericht tegen aanvallen van social engineering. 4

5 SEPTEMBER 2013 Er is vooralsnog geen reden om aan te nemen dat de resultaten van voorliggend onderzoek afwijken van het landelijke beeld. Dit is echter niet onderzocht. Steeds meer gemeenten werken met elkaar samen, ook op ICTgebied. Limburgse gemeenten zijn daar geen uitzondering op. De gemeenten Weert, Venlo en Roermond werken bijvoorbeeld samen op het gebied van de technische infrastructuren. Het uitwisselen van informatie tussen de gemeenten heeft direct impact op een eventuele samenwerking vanwege de privacywetgeving. Een gedegen informatiebeveiligingsbeleid en doorgevoerde informatiebeveiligingsmaatregelen zijn daarom van groot belang. Het is dan ook interessant om deze samenwerkende gemeenten te onderzoeken. 1.3 Vraagstelling In dit onderzoek staat de volgende vraag centraal: In hoeverre is de NORA toepasbaar bij de bescherming tegen social engineering en in hoeverre is het informatiebeveiligingsbeleid in de Limburgse gemeenten gebaseerd op de NORA en bieden de gebruikte informatiebeveiligingsmaatregelen een daadwerkelijke bescherming tegen aanvallen van social engineering? De centrale vraagstelling richt zich op drie onderdelen. Ten eerste op de mate waarin de NORA voldoende maatregelen kent ten opzichte van de hedendaagse aanvallen van social engineering. Dit heeft te maken met de toepasbaarheid. Ten tweede richt de centrale vraagstelling zich op de mate waarin de Limburgse gemeenten de informatiebeveiligingsmaatregelen van de NORA hebben gebruikt voor het opstellen van het informatiebeveiligingsbeleid en wanneer dit niet zo is; uit welke andere theorie is geput. Tenslotte richt de centrale vraagstelling zich op de mate waarin de gebruikte informatiebeveiligingsmaatregelen in Limburgse gemeenten daadwerkelijk beschermen tegen aanvallen van social engineering. 1.4 Hoofd- en deelvragen De centrale vraagstelling is geconcretiseerd naar de volgende hoofd- en deelvragen: 1. Wat is de Nederlandse Overheid Referentie Architectuur? a. Uit welke onderdelen bestaat de NORA? b. Wat is het doel van deze architectuur? c. Welke bronnen met betrekking tot de informatiebeveiliging gebruikt de NORA? d. Wat is de GEMeentelijke Model Architectuur (GEMMA) en hoe verhouden de NORA en de GEMMA zich tot elkaar? 2. Wat zijn de hedendaagse aanvallen op het gebied van social engineering? a. Wat wordt er verstaan onder social engineering? b. Welke methoden of technieken worden heden ten dage het meest gebruikt bij social engineering? 3. Welke informatiebeveiligingsmaatregelen kent de NORA tegen social engineering? 4. Op welke wijze is het informatiebeveiligingsbeleid in de Limburgse gemeenten tot stand gekomen waarin de maatregelen staan beschreven ter bescherming tegen social engineering? a. Is het beheer van het informatiebeveiligingsbeleid, waaronder het doorvoeren van wijzigingen en het waarborgen van de opvolging van de beschreven richtlijnen, vastgesteld? b. In welke mate zijn de informatiebeveiligingsmaatregelen vanuit de NORA beschreven in het informatiebeveiligingsbeleid ten aanzien van social engineering? c. Welke andere theorieën hebben de Limburgse gemeenten gebruikt voor het informatiebeveiligingsbeleid die niet afkomstig zijn van de NORA ten aanzien van social engineering en wat is de reden geweest om hier de NORA niet te gebruiken? 5. Beschermen de gebruikte informatiebeveiligingsmaatregelen daadwerkelijk tegen de aanvallen van social engineering? a. Hebben er zich gebeurtenissen voorgedaan waaruit is gebleken dat de gebruikte informatiebeveiligingsmaatregelen niet voldoende zijn geweest om bescherming te bieden tegen social engineering? b. Welke acties zijn hieruit voortgevloeid met betrekking tot het informatiebeveiligingsbeleid? 1.5 Leeswijzer Hoofdstuk 2 behandelt de methode van onderzoek. De daaropvolgende hoofdstukken geven antwoord op de verschillende hoofd- en deelvragen. Hoofdstuk 8 geeft als besluit de conclusies en aanbevelingen. voor de overheid 5

6 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN 2. Methode van onderzoek De methode van onderzoek is te verdelen in vier onderdelen. In dit hoofdstuk komen achtereenvolgens aan de orde: de literatuurstudie, het referentiemodel, de interviews en de webenquête. Daarna gaat dit hoofdstuk kort in op de relevantie van het onderzoek, enkele ethische kwesties, de respons en de validiteit. 2.1 Literatuurstudie De literatuurstudie geeft allereerst inzicht in de huidige theorie met betrekking tot de architecturen voor de gemeentelijke overheid. Hier is met name gekeken naar de NORA en de GEMMA. Daarnaast is de literatuur doorzocht op de huidige methoden en technieken van social engineering en de informatiebeveiligingsmiddelen die gemeenten kunnen inzetten tegen social engineering. De literatuurstudie beantwoordt daarmee grotendeels de eerste drie hoofdvragen en levert de basis voor het ontwikkelen van het referentiemodel social engineering. Voor de literatuurstudie is gebruik gemaakt van verschillende zoekmachines in de digitale bibliotheek van de Open Universiteit. Daarnaast is gebruik gemaakt van informatiesites van het Nederlandse Normalisatie Instituut (NEN) en verschillende overheidswebsites. De gebruikte literatuur is van het jaar 2000 of recenter. 2.2 Referentiemodel Op basis van de uitkomsten van de literatuurstudie is een referentiemodel social engineering opgesteld. In het referentiemodel is voor elke methode of techniek van social engineering bepaald welke maatregel mogelijk effectief is tegen deze vorm van social engineering. Aan de hand van het referentiemodel heeft de onderzoeker interviews en een webenquête gehouden. Door de resultaten van het veldonderzoek te verwerken in het model, geeft het referentiemodel inzicht in de mate van bescherming tegen aanvallen van social engineering. U vindt het referentiemodel terug in hoofdstuk Interviews Er zijn twee interviewrondes uitgevoerd, die hierna aan de orde komen. In beide rondes is gebruik gemaakt van semigestructureerde interviews. Het voordeel van een semigestructureerd interview is dat de interviewer, afhankelijk van de context, een aantal vragen kan weglaten of juist kan verdiepen Auteurs NORA De eerste interviewronde had als doel meer inzicht te verkrijgen in de NORA en de daaruit voortvloeiende informatiebeveiligingsmaatregelen. Hiervoor zijn telefonisch semigestructureerde interviews gehouden met de twee auteurs van het NORA-Dossier Informatiebeveiliging: de heer J. van der Veen, informatiearchitect en de heer B. Bokhorst, strategisch beveiligingsadviseur, inmiddels gepensioneerd. Beide auteurs werkten op het moment van schrijven aan het NORA-Dossier Informatiebeveiliging in opdracht van het ministerie van Financiën, dienst Belastingen. Tijdens de interviews is met name gesproken over de totstandkoming van de NORA en de toepasbaarheid hiervan. De informatie uit deze interviewronde is gebruikt bij de beantwoording van de eerste en derde hoofdvraag Medewerkers van gemeenten Tijdens de tweede interviewronde is op locatie gesproken met vijf medewerkers uit verschillende Limburgse gemeenten die verantwoordelijk zijn voor de informatiebeveiliging: Marco van Dijk, Consulent ICT gemeente Weert Edwin Griesheimer, Adviseur Automatisering gemeente Venray Frans Laumen, Teamleider ICT gemeente Roermond Jan Symons, Consulent I&A gemeente Beesel Paul van Ooijen, Beleidsmedewerker I&A gemeente Gulpen- Wittem Tijdens de interviews heeft de onderzoeker samen met de respondenten de vragen uit de concept-webenquête doorgenomen. Op basis van de interviews is de vragenlijst voor de webenquête verder verfijnd en aangescherpt. De informatie uit deze tweede interviewronde is gebruikt bij de beantwoording van de vierde en vijfde hoofdvraag. 2.4 Webenquête Voor het beantwoorden van hoofdvraag vier en hoofdvraag vijf is gebruik gemaakt van een webenquête. Ter voorbereiding op de webenquête zijn op de website van de provincie Limburg de contactgegevens van de Limburgse gemeenten geraadpleegd. Via telefonisch contact is voor elke gemeente achterhaald welke medewerker verantwoordelijk is voor informatiebeveiliging. Tijdens het telefoongesprek is duidelijk het doel van het onderzoek en de vrijwilligheid tot medewerking aan het onderzoek benadrukt. Dit heeft geresulteerd in 29 toezeggingen tot medewerking aan het onderzoek. Elke deelnemer heeft een schriftelijke bevestiging ontvangen van de deelname aan het onderzoek. Medewerkers van vier gemeenten hebben aangegeven niet deel te willen nemen aan het onderzoek. Van de 29 gemeenten die aangeven deel te willen nemen aan het onderzoek, hebben de reeds eerder genoemde vijf gemeenten medewerking verleend aan de interviews. 6

7 SEPTEMBER 2013 Elke deelnemer heeft persoonlijk een elektronische introductiebrief ontvangen met een link naar de webenquête. De elektronische vragenlijst is geactiveerd op maandag 13 augustus Voor het verhogen van de respons zijn deelnemers die de vragenlijst nog niet (volledig) hadden ingevuld, gebeld. Begin september 2012 week zijn de deelnemers die de vragenlijst nog niet (volledig) hadden ingevuld benaderd met het aanbod om de vragenlijst met ondersteuning in te vullen. De vragenlijst is op vrijdag 14 september 2012 gesloten. 2.5 Relevantie Dit onderzoek heeft wetenschappelijke relevantie door inzichtelijk te maken of bij de Limburgse gemeenten de NORA toepasbaar is tegen methoden en technieken van social engineering en of de maatregelen vanuit de NORA daadwerkelijk zijn gebruikt. Daarnaast verschaft dit onderzoek praktisch inzicht in de mate waarin de gebruikte maatregelen door de Limburgse gemeenten daadwerkelijk bescherming bieden tegen aanvallen van social engineering. Het referentiemodel social engineering toont per aandachtsgebied de bescherming tegen een methode of techniek voor social engineering en kan hierdoor de Limburgse gemeenten ondersteunen bij de inrichting van de informatiebeveiligingsmaatregelen tegen deze methoden en technieken van social engineering. Er is vanuit de literatuurstudie geen ander model aangetroffen dat een relatie legt tussen deze informatiebeveiligingsmaatregelen en methoden en technieken van social engineering. 2.8 Validiteit Bij validiteit gaat het om de juistheid van de onderzoeksgegevens. Validiteit is onderverdeeld in drie onderdelen die hierna aan de orde komen Interne validiteit Wordt er gemeten wat er gemeten moet worden? Hieraan is voldaan door de juiste bronnen te koppelen aan de juiste onderzoeksstrategie. Verder is er een gedegen literatuuronderzoek verricht zodat informatiebeveiligingsmaatregelen tegen social engineering aanvallen duidelijk in kaart zijn gebracht Instrumentele validiteit Zijn de gegevens wel correct verzameld? Tijdens de interviews met medewerkers van vijf Limburgse gemeenten zijn de vragen uit de webenquête besproken om na te gaan of de vraagstelling duidelijk was. Aan de hand van de resultaten van de interviews zijn de vragen uit de webenquête verder aangescherpt Externe validiteit Wat zeggen de resultaten over vergelijkbare situaties? Het onderzoek is verricht bij alle gemeenten van de provincie Limburg. Het theoretische kader over de NORA dat is getoetst, is van toepassing op alle gemeenten van Nederland. De verwachting is dan ook dat de resultaten representatief zijn voor andere Nederlandse gemeenten. 2.6 Ethische kwesties Aan dit onderzoek zijn ethische kwesties verbonden. Deze kwesties hebben te maken met onder andere privacy, anonimiteit en objectiviteit. Gedurende het onderzoek is gebruik gemaakt van de checklist om te anticiperen op ethische problemen zoals beschreven door Saunders (2008). Tevens is de gedragscode gebruikt van de Vereniging van Universiteiten voor wat betreft het gebruiken van persoonsgegevens in het onderzoek. De ethische kwesties zijn besproken met de respondenten. 2.7 Respons Van de 33 Limburgse gemeenten hebben uiteindelijk 28 gemeenten daadwerkelijk meegedaan aan het onderzoek. Het onderzoek kent daarmee een respons van 85%. voor de overheid 7

8 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN 3. NORA Dit hoofdstuk geeft antwoord op de eerste hoofdvraag en gaat in op de Nederlandse Overheid Referentie Architectuur (NORA). In de eerste paragraaf komen de verschillende onderdelen van de NORA aan de orde. Daarna gaan paragraaf 2 en 3 in op het doel van de architectuur en de bronnen die de NORA gebruikt met betrekking tot informatiebeveiliging. Vervolgens volgt een uiteenzetting van de GEMeentelijke Model Architectuur (GEMMA) en de relatie tussen deze architectuur en de NORA. Het hoofdstuk besluit met een conclusie. 3.1 Onderdelen binnen de NORA De Nederlandse Overheid Referentie Architectuur is een beschrijving van uitgangspunten voor het inrichten van de informatiehuishouding van de Nederlandse overheid. De NORA is een referentie architectuur die in 2009 als norm voor de overheid door het kabinet is vastgesteld. Het is een instrument voor overheidsorganen voor het verbeteren van de dienstverlening naar burgers en bedrijven. De NORA valt onder het zogenaamde comply or explain principe: wanneer een overheidsorganisatie van de NORA afwijkt, moet dit voldoende onderbouwd zijn. De NORA beschrijft principes van de kwaliteit van dienstverlening en kenmerken waar diensten en producten aan moeten voldoen. Een voorbeeld is het gebruik van de gegevens uit de Gemeentelijke Basis Administratie (GBA). Deze dienen éénmalig te zijn opgeslagen maar kunnen meervoudig gebruikt worden. Dit voorkomt dat de gegevens vervuild raken en resulteert in een kwalitatief beter product. De applicaties om de gegevens te verwerken dienen dan wel dit principe te ondersteunen. De NORA is ontwikkeld in Inmiddels is de NORA 3.0 uitgebracht. Het grote verschil met de NORA 2.0 is dat versie 3.0 is gericht op uitwisselbaarheid van informatie terwijl versie 2.0 gericht is op dienstverlening. Het nadeel van beide versies is dat elke overheidsorganisatie zelf de uitwerking van de kwaliteitsnormen en toepassingskaders kan ontwikkelen waardoor er geen echte standaard ontstaat. Dit maakt het lastig om de architectuur voor de organisatie te ontwerpen volgens een vast stramien. Hierdoor zijn er al diverse architecturen ontstaan die afgeleid zijn van de NORA maar die per overheidsorgaan op onderdelen verschillen. De GEMeentelijk Model Architectuur (GEMMA) en de Model Architectuur RIJksdienst (MARIJ) zijn voorbeelden van afgeleide architecturen. De NORA is gebaseerd op de e-business architectuur matrix van Van den Dool (2002) en bevat tevens een handreiking om de informatiebeveiliging gestructureerd in te richten. De NORA is verdeeld in negen bouwstenen (vlakken) op drie niveaus te weten: bedrijfs-, informatie- en technische architectuur. Het beheeraspect geldt voor alle bouwstenen. Per niveau is hierbij gebruik gemaakt van een zogenaamd best practices model framework. Dit is een framework waarin beheeraspecten staan beschreven die men, afhankelijk van de behoefte van de organisatie, kan gebruiken. NORA Beheer Met betrekking tot het beheer van de bedrijfsarchitectuur is het best practices model Business Information Services Library (BISL) gebruikt. BISL richt zich met name op de gebruikersorganisatie. Application Services Library (ASL) is het best practices model voor de ICT-service organisatie en richt zich op de informatiearchitectuur. De ASL is een beheermodel voor softwareleveranciers dat gemeenten kunnen gebruiken om te komen tot afspraken met de leveranciers over de ontwikkeling en implementatie van de gewenste functionaliteiten. De ASL BISL Foundation is het kennisnetwerk van deze beide frameworks. Tenslotte is IT Infrastructure Library (ITIL) een best practices model dat zich richt op de technische architectuur waarin het technische beheer een kernfunctie is. NORA beveiliging en privacy In tegenstelling tot het beheeraspect is er bij de beveiliging en privacy vanuit de NORA geen onderverdeling gemaakt per niveau. De volgende documenten zijn bij de beveiliging, privacy en dus ook de informatiebeveiliging vanuit de NORA betrokken: Code voor Informatiebeveiliging; Besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR); NORA-Dossier informatiebeveiliging. Het NORA-Dossier Informatiebeveiliging beschrijft enkel tactische normen voor de techniek. De auteurs van het NORA-Dossier Informatiebeveiliging verwijzen voor de onderdelen met betrekking tot de organisatie, procedures en personeel naar de Code voor Informatiebeveiliging. In deze Code voor Informatiebeveiliging is een aantal normen opgenomen die gelden voor de informatiebeveiliging als geheel. Er is hier dus geen onderscheid gemaakt tussen de zogenaamde harde (techniekgerichte-) en de zachte (organisatorische- en menselijke-) kant van de informatiebeveiliging. Het Voorschrift Informatiebeveiliging Rijksoverheid (VIR) is onderverdeeld in vijf artikelen. In deze artikelen staan slechts kernbegrippen. Het is aan de beheerder van de informatie te bepalen welke maatregelen er getroffen moeten worden en op welke wijze dit in de organisatie wordt doorgevoerd. 8

9 SEPTEMBER 2013 Voor dit onderzoek gebruiken we de NORA 3.0, dat een zogenaamde Enterprise Architectuur is waarbij de basis is afgeleid van het Zachmann framework (2009). De tien basisprincipes van NORA 3.0 beschrijven de belangrijkste kenmerken van de overheidsdienstverlening vanuit het perspectief van de afnemer. NORA 3.0 gebruikt voor de inzet van de bouwstenen de basisarchitectuur voor overheidsorganisaties. De bouwstenen zijn gebaseerd op: wetgeving, open standaarden, basisinfrastructuur e-overheid en Logius (de dienst Digitale Overheid van het Ministerie van BZK). 3.2 Doel van de NORA In een onderzoek met betrekking tot nationale Enterprise Architecturen is de NORA beschreven als een framework ter controle van projecten dat werkt als een parapluconstructie om de samenhang weer te geven tussen projecten en die het mogelijk maakt wijzigingen te beheren binnen de afspraken van de architectuur. In het NORA-katern Strategie staat beschreven dat de NORA een raamwerk biedt dat het maken van afspraken tussen overheidsorganen eenvoudiger maakt, gebaseerd op een bestaand overheidsbeleid. Gustav (2011) beschrijft dat het doel van de Nederlandse overheid het streven is naar een nationale e-overheidsinfrastructuur die bestaat uit generieke bouwstenen met een functionaliteit die vergelijkbaar is met een Software as a Service (SAAS) en vrij te gebruiken is door alle overheidsinstanties. Jansen en Hjort-Madsen (2007) beschrijven als doel het bevorderen van de communicatie en deregulering om lange termijn groei-effecten te bereiken met betrekking tot economie, werkgelegenheid en inkomen. 3.3 Gebruikte bronnen Voor de NORA heeft een expertgroep Informatiebeveiliging in een afzonderlijk katern de beveiligingsprincipes uitgewerkt. Het gaat hier met name om tactische informatiebeveiligingsmaatregelen voor techniek. Voor wat betreft de organisatie, procedures en personeel verwijst de NORA naar de Code voor Informatiebeveiliging NEN-ISO/ IEC en en het Besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR). De Code voor Informatiebeveiliging NEN-ISO/IEC verwijst voor informatiebeveiligingsmaatregelen van netwerken naar de Information Technology - Security Techniques NEN-ISO/IEC en De Code voor Informatiebeveiliging is overigens het enige document dat daadwerkelijk informatiebeveiligingsmaatregelen kent tegen methoden en technieken van social engineering. Het VIR en het NORA-Dossier Informatiebeveiliging hebben met betrekking tot social engineering nauwelijks een toegevoegde waarde. 3.4 Verhouding GEMMA en NORA Een gemeentelijke overheid is een andere organisatie dan de rijksoverheid. Dit heeft met name te maken met de verantwoordelijkheden. Daar waar een gemeentelijke overheid opereert binnen een lokale gemeenschap is de rijksoverheid veelal landelijk georiënteerd. Dit heeft ertoe geleid dat voor de gemeentelijke overheid een van de NORA afgeleide architectuur is ontwikkeld te weten de GEMeentelijke Model Architectuur (GEMMA). Figuur 1 toont een gedeelte van de NORA en de GEMMA. In de afbeelding is duidelijk te zien dat de NORA een bouwsteen heeft met betrekking tot processen. De NORA beschrijft echter niet op welke wijze de processen in de organisatie kunnen worden uitgewerkt. De gemeenten hebben gekozen voor een generiek proces voor de afhandeling van een zaak (product of dienst). Dit generieke proces is beschreven in de procesarchitectuur van de GEMMA. Eén van de principes van de NORA is de éénmalige opslag van gegevens en het meervoudige gebruik hiervan. Bij de GEMMA procesarchitectuur is een bouwsteen Informeren en Intake opgenomen. Bij de intake (registratie) wordt gebruik gemaakt van de basisregistraties Personen waar de persoonsgegevens van de burger zijn opgeslagen. Hierdoor voldoet de GEMMA aan het bovenstaande principe van de NORA omdat de persoonsgegevens eenmalig zijn opgeslagen in de personenadministratie maar in de overige gemeentelijke administraties meervoudig in gebruik zijn. Figuur 1 Samenhang NORA en GEMMA voor de overheid 9

10 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Jaap van der Veen Auteur van het NORA-dossier Informatiebeveiliging Social engineering is een apart aandachtsgebied binnen de informatiebeveiliging. Social engineering is niet expliciet benoemd in de NORA, omdat dit kader de interoperabiliteit van overheidsorganisaties normeert en niet gaat over de interne informatiehuishouding. Social engineering werkt vooral binnen de invloedssfeer van organisaties en hun kantooromgevingen. Beveiliging wordt vaak technocratisch beschouwd, terwijl de factor mens en zijn gedrag heel bepalend is voor de digitale veiligheid. Mijn analyse is dat traditionele informatiebeveiligingsmaatregelen in veel organisaties en dus ook bij de overheid, onvoldoende bescherming bieden tegen aanvallen van social engineering. De overheid had in het verleden ook weinig aandacht voor deze risico s. Hoewel er sinds de DigiNotar crisis veel aandacht is geweest voor beveiliging en er inmiddels verschillende aanvullende maatregelen zijn genomen, schiet vooral de specifieke kennis over social engineering tekort. Dat geldt zowel voor medewerkers binnen als buiten de overheid. Het volgen van awareness trainingen is een voorwaarde voor het vergroten van die kennis en het voorkomen van inbraak via social engineering. Er wordt binnen de overheid met prioriteit gewerkt aan middelen voor awareness van zowel management als medewerkers. Ook vanuit het Platform voor Informatiebeveiliging (PvIB) wordt dit onderwerp onder de aandacht gebracht. De uitdaging voor de komende jaren is de ontwikkelde awareness-tools zo gevarieerd in te zetten dat we de aandacht vast kunnen houden. Of dit genoeg is om weerstand te bieden aan de snel toenemende bedreigingen, dat zal de toekomst uitwijzen. Daar waar de GEMMA geen invulling geeft aan een bouwsteen van de NORA volgt zij de handreiking van de NORA. Dit geldt onder meer voor het onderdeel beveiliging en privacy van de NORA. De NORA gebruikt hiervoor onder andere de Code voor Informatiebeveiliging. Omdat de GEMMA geen aparte beveiligingsarchitectuur kent, zijn gemeenten voor dit onderdeel dus gehouden aan de Code voor Informatiebeveiliging. 3.5 Conclusie De NORA is een Enterprise Architectuur voor het inrichten van de informatiehuishouding van de Nederlandse Overheid gebaseerd op best practices en het comply or explain principe. De NORA bestaat uit bouwstenen en principes. De bouwstenen hebben met name betrekking op de bedrijfs-, informatie- en technische architectuur. De NORA bevat een aparte bouwsteen met betrekking tot de beveiliging en privacy. De invulling van deze bouwsteen wordt ondersteund door de Code voor Informatiebeveiliging, het VIR en het NORA-Dossier Informatiebeveiliging. Doel van de NORA is het verduidelijken van de informatie-uitwisseling tussen overheidsinstanties, gebaseerd op bestaand overheidsbeleid met als gevolg een gedereguleerde dienstverlening die duidelijk en transparant is en die werkt als een parapluconstructie bij meerdere projecten om de samenhang te beheren. Met betrekking tot de informatiebeveiliging gebruikt de NORA als bronnen het NORA-Dossier Informatiebeveiliging, de Code voor Informatiebeveiliging NEN-ISO/IEC en en het Besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR). Van deze bronnen reikt alleen de Code voor Informatiebeveiliging daadwerkelijk informatiebeveiligingsmaatregelen aan. De GEMMA is een architectuur voor Nederlandse gemeenten, afgeleid van de NORA, met een nadere uitwerking en aanvulling op de NORA. De aanvullingen hebben echter geen betrekking op de informatiebeveiliging. De GEMMA richt enkel de proces- en informatiearchitectuur nader in. nl.linkedin.com/in/jaapvanderveen 10

11 SEPTEMBER Social engineering Dit hoofdstuk geeft antwoord op de vraag wat de hedendaagse aanvallen zijn op het gebied van social engineering. In de eerste paragraaf vindt u een definitie van het begrip social engineering. Daarna volgt een nadere concretisering naar methoden en technieken van social engineering. Het hoofdstuk besluit met een conclusie, waarin het eerste deel van het raamwerk voor het referentiemodel wordt ingevuld. 4.1 Algemene definitie Uit verschillende definities uit de literatuur wordt duidelijk dat het bij social engineering gaat om het gebruik van sociale vaardigheden gericht op het manipuleren van mensen met als doel ongeautoriseerde toegang te verkrijgen tot informatieobjecten of fysieke objecten waar informatieobjecten worden beheerd. Bij het manipuleren gaat het vooral om het beïnvloeden van menselijke waarden en normen waarbij techniek ondersteunend is. Zo hoeft een social engineer soms slechts een gesprek te voeren om toegang te krijgen tot gebouwen of informatie. Volgens Thompson (2006) werkt het gegeven van social engineering omdat de meeste mensen veronderstellen dat anderen eerlijk zijn. Hinson (2008) stelt dat door de menselijke factor in social engineering eenieder in staat is technieken van social engineering toe te passen. Tegelijkertijd kan elke medewerker doelwit zijn van een aanval van social engineering. Mitnick (2003) is daarom van mening dat binnen een organisatie elke medewerker deel moet uitmaken van het beveiligingsteam. Het trainen en opleiden van medewerkers om ze zo bewust te maken van de gevaren van social engineering is dan ook één van de belangrijkste maatregelen tegen social engineering. Hinson en Nyamsuren (2007) onderschrijven dit. Mitnick geeft hierbij aan dat training en opleiding cyclisch moet plaatsvinden, zodat medewerkers doordrongen blijven van de gevaren van social engineering. Mann (2008) is niet overtuigd van een bewustwordingstraining maar geeft aan dat het informatiesysteem zodanig dient te zijn ingericht dat menselijke fouten niet meer mogelijk zijn, onder andere door het gebruik van intelligente formulieren. Verder geeft Mann aan dat je eerst je medewerker goed moet kennen voordat je weet wat de zwakheid van de betreffende medewerker is zodat je een op maat gemaakte beveiliging kunt toepassen. 4.2 Methoden en technieken De volgende hedendaagse methoden en technieken van social engineering zijn te onderscheiden: Denial of service: In deze situatie gebruikt de social engineer een DOS-aanval op een toegangsbadge of ander identificerend device van de medewerker gebaseerd op wireless communicatie. Op het moment dat de medewerker geen toegang meer verkrijgt tot het systeem manipuleert de social engineer de medewerker door het verlenen van hulp met als doel een of meerdere methoden of technieken van social engineering in te zetten. Diefstal mobile devices: Met behulp van gestolen devices verkrijgt de social engineer gegevens over het bedrijf en medewerkers en kan met de verkregen informatie zijn slachtoffers manipuleren. Dumpster diving: Doorzoeken van met name papierbakken om zodoende informatie te vergaren over de organisatie of de medewerkers. Direct vragen: Door direct gerichte vragen te stellen aan het slachtoffer kan deze worden overrompeld en ziet deze geen direct gevaar in het verstrekken van de informatie. misbruik: De social engineer gebruikt een om informatie te verkrijgen van het slachtoffer. Deze aanpak wordt vaak gecombineerd met andere methoden en technieken. Emotionele benadering: De social engineer gebruikt een herkenbare emotionele gebeurtenis over zichzelf om bij het slachtoffer een emotionele reactie te verkrijgen en zodoende informatie te verkrijgen. Emotionele manipulatie: De social engineer gebruikt een herkenbare emotionele gebeurtenis en verplaatst het slachtoffer in deze situatie om zo informatie te verkrijgen. Imitatie: De social engineer gebruikt nagemaakte documenten om informatie te verkrijgen van het slachtoffer. Impersonificatie: Het aannemen van de identiteit van een ander door de social engineer waardoor deze toegang krijgt tot het gebouw of informatiesysteem. Interpersoonlijke relatie: Opbouwen van een persoonlijke relatie met het slachtoffer gedurende langere tijd om op het juiste moment bij het slachtoffer, een directe collega of bekende van het slachtoffer informatie te verkrijgen. Manipulatie dankbaarheid: Het slachtoffer behulpzaam zijn met activiteiten en vervolgens zelf om hulp vragen om de gewenste informatie te verkrijgen. Manipulatie sympathie: Door gedrag, houding en het spiegelen van interesses manipuleert de social engineer het slachtoffer waardoor deze eerder geneigd is informatie te verstrekken. voor de overheid 11

12 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Misbruik van vertrouwen: Is een combinatie van de overige methoden of technieken waarbij wederkerigheid een grote rol speelt. Nepmelding: Door het gebruik van een nepmelding of nepbericht zorgt de social engineer voor een situatie waarin een afwijkende procedure wordt gevolgd waarna de social engineer probeert toegang te krijgen tot de gewenste informatie. Phishing: Het slachtoffer wordt verleid via of een ander communicatiekanaal om in te loggen op dubieuze websites en vervolgens vertrouwelijke gegevens te verstrekken. Reverse social engineering: Hierbij veroorzaakt de social engineer een gebeurtenis of situatie waarbij het slachtoffer hulp moet vragen aan de sociale engineer om de situatie of gebeurtenis ongedaan te maken. Shoulder surfing: Letterlijk over de schouders van een slachtoffer meekijken op het moment dat deze bezig is met het informatiesysteem. Valse beloften: Een social engineer doet valse beloften aan een slachtoffer over een beloning bij het verkrijgen van bedrijfsgegevens of persoonlijke gegevens. Verleiden: Is een combinatie van de overige methoden of technieken waarbij beloning een grote rol speelt. Verborgen agenda: Is een combinatie van de overige methoden of technieken waarbij vertrouwen een grote rol speelt. Henk Evers Burgemeester gemeente Nederweert Social engineering is enorm belangrijk en wordt in de toekomst alleen maar belangrijker! Onderzoeken zoals deze en andere recente ontwikkelingen zijn voor mij een ware eye-opener en zorgen dat social engineering op de agenda staat. En dat moet ook. Techniek is hierbij een belangrijk onderdeel, maar we moeten er voor zorgen dat de menselijke kant niet onderbelicht blijft. De techniek holt in een flink tempo door en zorgt dat we onze dienstverlening als overheid nagenoeg optimaal kunnen inrichten. Voor zowel grote als kleine gemeenten. In mijn ogen leunen we hierbij te veel op de techniek en focussen we te weinig op het gedrag van de professionals die er mee werken. Want dat is waar het om gaat, we moeten scherp blijven en voortdurend bekend zijn met de laatste ontwikkelingen en de daaraan verbonden verantwoordelijkheden voor onze organisatie. Het besef hiervan moet continu op ons netvlies staan. nl.linkedin.com/pub/henk-evers/4b/169/ Conclusie In antwoord op de vraag wat de hedendaagse aanvallen zijn op het gebied van social engineering, is in dit hoofdstuk bepaald dat social engineering gaat om het manipuleren van mensen om onbevoegd toegang te krijgen tot fysieke objecten, zoals gebouwen, of informatiesystemen. De volgende hedendaagse methoden en technieken van social engineering zijn te onderscheiden: valse beloften, denial of service, diefstal mobile devices, dumpster diving, direct vragen, misbruik, emotionele benadering, emotionele manipulatie, imitatie, impersonificatie, interpersoonlijke relatie, manipulatie dankbaarheid, manipulatie sympathie, misbruik van vertrouwen, nepmelding, phishing, reverse social engineering, shoulder surfing, verleiden, verborgen agenda. Deze methoden en technieken van social engineering vormen de basis voor het referentiemodel, dat in hoofdstuk 7 terugkomt. 12

13 SEPTEMBER Informatiebeveiligingsmaatregelen tegen social engineering Dit hoofdstuk gaat in op informatiebeveiligingsmaatregelen die bescherming kunnen bieden tegen aanvallen van social engineering. Na een beschrijving van informatiebeveiligingsmaatregelen in de NORA en de Code voor Informatiebeveiliging besluit het hoofdstuk met een conclusie, waarin het raamwerk voor het referentiemodel verder wordt ingevuld. 5.1 Maatregelen in de NORA Waar de technische kant van informatiebeveiliging in de NORA uitgebreid aan de orde komt, besteedt de NORA relatief weinig aandacht aan de menselijke kant van informatiebeveiliging. Volgens de auteurs van het NORA-Dossier Informatiebeveiliging heerst er een taboe binnen de overheid om normen te beschrijven op het gebied van vertrouwen en wantrouwen. De overheid onderkent het belang van bewustwording tegen social engineering niet. De NORA beschrijft geen informatiebeveiligingsmiddelen, maar verwijst daarvoor naar verschillende bronnen, waaronder de Code voor Informatiebeveiliging. 5.2 Maatregelen in de Code voor Informatiebeveiliging Met betrekking tot de menselijke maat biedt hoofdstuk 8 van de Code voor Informatiebeveiliging een apart onderdeel voor de Beveiliging van personeel. De Code voor Informatiebeveiliging beschrijft daarin de volgende informatiebeveiligingsmaatregelen tegen social engineering. Voorafgaand aan het dienstverband: Vastleggen rollen en verantwoordelijkheden Screening Arbeidsvoorwaarden Tijdens het dienstverband: Directieverantwoordelijkheid Bewustzijn, opleiding en training Disciplinaire maatregelen Van deze maatregelen is het volgen van opleidingen en trainingen om het bewustzijn te vergroten het meest effectief tegen de methoden en technieken van social engineering. De Code voor Informatiebeveiliging geeft echter slechts richtlijnen en beschrijft niet direct wat de inhoud zou moeten zijn van een opleiding of training om het bewustzijn op het gebied van social engineering te vergroten. Uit de interviews met medewerkers van vijf Limburgse gemeenten bleek dat verantwoordelijkheden automatisch eindigen op het moment dat een medewerker de organisatie verlaat. Deze maatregel heeft daardoor geen onderscheidend vermogen en is om die reden niet opgenomen in het referentiemodel. 5.3 Conclusie De NORA verwijst naar de Code voor Informatiebeveiliging voor de beschrijving van informatiebeveiligingsmaatregelen. Op basis van de Code voor Informatiebeveiliging nemen we de volgende informatiebeveiligingsmaatregelen tegen social engineering op in het referentiemodel social engineering, in hoofdstuk 7: Rollen en verantwoordelijkheden; Screening; Arbeidsvoorwaarden; Directieverantwoordelijkheid; Bewustzijn opleiding en training; Disciplinaire maatregelen; Retourneren bedrijfsmiddelen; Blokkering toegangsrechten. De beste verdediging tegen methoden en technieken van social engineering is bewustwording. De NORA verwijst daarvoor naar de Code voor Informatiebeveiliging waarin maatregelen met betrekking tot opleiding en training zijn beschreven. De Code voor Informatiebeveiliging geeft echter slechts een richtlijn en beschrijft niet wat de inhoud zou moeten zijn van een dergelijke opleiding of training. Bij beëindiging of wijziging van het dienstverband: Beëindiging van verantwoordelijkheden Retournering van bedrijfsmiddelen Blokkering van toegangsrechten voor de overheid 13

14 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN 6. Informatiebeveiligingsbeleid in Limburgse gemeenten Dit hoofdstuk geeft antwoord op de vraag op welke wijze het informatiebeveiligingsbeleid in de Limburgse gemeenten tot stand is gekomen en wat daarin is vastgelegd. Voordat dit hoofdstuk ingaat op het informatiebeveiligingsbeleid, komt de kennis van de respondenten over het onderwerp informatiebeveiliging en social engineering in het bijzonder aan de orde. Daarna komt het vastgestelde informatiebeveiligingsbeleid aan de orde en de maatregelen die daarin zijn beschreven ter bescherming tegen aanvallen van social engineering. Vervolgens behandelt paragraaf vier kort de gebruikte theorieën. Het hoofdstuk besluit met een conclusie, waarin het referentiemodel verder wordt aangevuld. 6.1 Kennisniveau respondenten Voordat het informatiebeveiligingsbeleid in de Limburgse gemeenten aan de orde komt, schetst deze paragraaf kort de kennis van de respondenten ten aanzien van: De NORA, de GEMMA en auditvormen; Inhoud van de NORA en de GEMMA; Andere informatiebeveiligingstheorieen; Social engineering Kennis van NORA, GEMMA en auditvormen Om de informatiebeveiliging binnen de gemeentelijke overheid in te richten is de kennis over het bestaan van de NORA en de GEMMA een vereiste. Je kunt immers geen architectuur gebruiken als je niet weet dat deze bestaat. Het Kennis Instituut Nederlandse Gemeenten (KING) organiseert jaarlijks sessies en nodigt hiervoor medewerkers van gemeenten uit. Tevens voorziet de KING-website de bezoeker van informatie over de NORA en de GEMMA. Naast de kennis van de architecturen kan kennis van de auditvormen bijdragen aan bewustwording ten aanzien van informatiebeveiliging. In de webenquête is gevraagd of de respondenten de NORA, de GEMMA, de GBA-audit en de SuwiNet-audit kennen: 25 respondenten (89%) geven aan de NORA te kennen; 27 respondenten (96%) geven aan de GEMMA te kennen; alle 28 respondenten (100%) geven aan de GBA-audit te kennen; 17 respondenten (61%) geven aan de SuwiNet-audit te kennen. De NORA gebruikt voor de bouwsteen beveiliging en privacy drie documenten. Kennis van de inhoud van deze drie documenten is belangrijk omdat hier richtlijnen en maatregelen in staan voor het inrichten en beheren van de informatiebeveiliging: 10 respondenten (36%) geven aan de inhoud van de Code voor Informatiebeveiliging (1e document) te kennen; 5 respondenten (18%) geven aan de inhoud van het VIR (2e document) te kennen; 2 respondenten (7%) geven aan de inhoud van het NORA- Dossier Informatiebeveiliging (3e document) te kennen. Geconcludeerd kan worden dat de respondenten de inhoud van de NORA niet volledig kennen omdat de Code voor Informatiebeveiliging een invulling is van de NORA bouwsteen beveiliging en privacy Kennis van andere theorieën Het kan voorkomen dat de respondent een andere theorie en methode toepast bij de inrichting van de informatiebeveiliging: 19 respondenten (87%) geven aan ITIL Security Management te kennen; 5 respondenten (18%) geven aan een andere theorie of methode te kennen. De andere theorieën die door de respondenten zijn genoemd zijn: Ondersteuning adviesbureau; NIST normen; Eigen invulling Kennis van social engineering 24 respondenten (86%) geven aan de term social engineering te kennen. Om te toetsen of de respondenten werkelijk kennis hebben van het begrip social engineering, is gevraagd of zij kunnen benoemen welke begrippen te maken hebben met social engineering: 25 respondenten (89%) noemen misleiding; 18 respondenten (64%) noemen phishing; 12 respondenten (43%) noemen mail spam; 11 respondenten (39%) noemen dumpster diving; 7 respondenten (25%) noemen (ten onrechte) het gebruik van een virus. Hieruit kan geconcludeerd worden dat de meeste respondenten weten wat social engineering is Inhoudelijke kennis Om de bouwstenen en principes van de NORA en de GEMMA te kunnen gebruiken, is inhoudelijke kennis nodig. 23 respondenten (82%) geven aan de inhoud van de NORA en de GEMMA te kennen. 14

15 SEPTEMBER Vastgesteld beleid De NORA geeft aan dat het informatiebeveiligingsbeleid minimaal zes aandachtsgebieden moet beschrijven: definitie, doelstelling en reikwijdte: dit onderdeel zorgt voor eenduidigheid en werkingsomgeving van het document; verklaring van de directie: bekrachtiging van de inhoud van het beleidsdocument door de directie geeft aan dat een ieder zich dient te houden aan het beleid; kader voor beheerdoelstellingen/-maatregelen: hierin zijn de procedures voor het beheer van het informatiebeveiligingsbeleid opgenomen waaronder risicobeoordeling, risicobeheer en de maatregelen; beknopte uiteenzetting: uitgangspunten die voor de organisatie van belang zijn waaronder bewustwording, training en opleiding; verantwoordelijkheden beheer: algemene en specifieke verantwoordelijkheden waaronder incidentrapportage; verwijzing naar andere documentatie: uitbreiding of aanvulling van de werkingssfeer van het document. Tevens het voorkomen dat dezelfde tekst in meerdere documenten voorkomt. De volgende paragrafen geven per onderdeel aan of het in de gemeenten aanwezig is en in hoeverre de aandachtsgebieden die de NORA voorschrijft daarin zijn opgenomen Overkoepelend document Aan de respondenten is gevraagd of de gemeente een overkoepelend informatiebeveiligingsdocument heeft. 20 respondenten (71%) geven aan dat er een overkoepelend informatiebeveiligingsbeleidsdocument aanwezig is. De respondenten die aangeven dat er geen overkoepelend informatiebeveiligingsbeleidsdocument is, geven als reden daarvoor: nog uit te werken (eind 2012 en 2013); is vooral gericht op de ICT; zijn we op dit moment mee bezig. In meer dan de helft van de gevallen bevatten de overkoepelende informatiebeveiligingsdocumenten de aandachtsgebieden die de NORA voorschrijft. De helft van de respondenten geeft aan dat het overkoepelend informatiebeveiligingsdocument verwijzingen naar andere documentatie bevat. De andere aandachtsgebieden zijn vaker beschreven. De definitie, doelstelling en reikwijdte is daarbij het vaakst opgenomen in het informatiebeleidsplan (71%) GBA-beveiligingsdocument Aan de respondenten is gevraagd of de gemeente een GBAbeveiligingsdocument heeft. Alle 28 respondenten (100%) geven aan dat er een GBA-beveiligingsdocument aanwezig is. De door de NORA voorgeschreven aandachtsgebieden zijn daarin voor het merendeel aanwezig. 26 respondenten (93%) geven aan definitie, doelstelling en reikwijdte te hebben opgenomen in het document. De laagste score geldt voor de verwijzing naar andere documenten en bedraagt 82% SuwiNet-beveiligingsdocument Aan de respondenten is gevraagd of de gemeente een SuwiNetbeveiligingsdocument heeft. 15 respondenten (54%) geven aan dat er een SuwiNet-beveiligingsdocument aanwezig is. De respondenten die aangeven dat er geen SuwiNet-beveiligingsdocument is, geven als reden daarvoor: ondergebracht bij regionale samenwerking; nog niet ingepland; ondergebracht in ander document; wachten tot SuwiNet geheel gereed is. De zes aandachtsgebieden die de NORA voorschrijft, zijn slechts in een deel van de gemeenten opgenomen in het SuwiNetbeveiligingsdocument. De definitie, doelstelling en reikwijdte en de verklaring van de directie scoren het hoogst met 11 respondenten (39%) die aangeven dat deze aandachtsgebieden zijn opgenomen in het document DigiD beveiligingsdocument Aan de respondenten is gevraagd of de gemeente een DigiDbeveiligingsdocument heeft. 6 respondenten (21%) geven aan dat er een DigiD-beveiligingsdocument aanwezig is. De respondenten die aangeven dat er geen DigiD-beveiligingsdocument is, geven als reden daarvoor: staat in de planning; opgenomen in algemeen beveiligingsplan; nog niet actueel; laten we over aan de leverancier; is in ontwikkeling. De zes aandachtsgebieden die de NORA voorschrijft, zijn slechts in een aantal DigiD-beveiligingsdocumenten opgenomen. De definitie, doelstelling en reikwijdte en de verklaring van de directie scoren het hoogst met 3 respondenten (11%) die aangeven dat deze aandachtsgebieden zijn opgenomen in het document Directiebeoordeling Een recente directiebeoordeling is belangrijk omdat de directie betrokken moet zijn bij het opstellen van het beleid en de genomen besluiten moet kunnen controleren na het uitvoeren van deze besluiten. 12 respondenten (43%) geven aan dat een beoordeling is aangeboden. voor de overheid 15

16 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN De respondenten die aangeven dat ze geen beoordeling hebben voorgelegd aan de directie, geven als reden daarvoor: ondergebracht in informatiebeveiligingsdocument; niet afgesproken; via externe partij; geen security verantwoordelijke. De Code voor Informatiebeveiliging geeft een negental onderdelen aan die van belang zijn bij een directiebeoordeling. In minder dan de helft van de Limburgse gemeenten zijn deze onderdelen opgenomen in een directiebeoordeling. Het onderdeel dat het vaakst terugkomt in een directiebeoordeling is het rapporteren van beveiligingsincidenten (43%) Verantwoordelijkheid beheer Wanneer er geen beheerorganisatie aanwezig is, mist het informatiebeveiligingsbeleid zijn kracht. Het beleid is dynamisch en moet afgestemd zijn op de behoefte van de gemeente en de omgeving waarin de gemeente zich ontwikkelt. Aan de respondenten is daarom gevraagd of in de laatste directiebeoordelingen verbeteringen zijn opgenomen ten aanzien van de beheerorganisatie en de daaraan verbonden verantwoordelijkheden. 7 respondenten (25%) geven aan dat de laatste directiebeoordeling een verbetering voor de aanpak van de organisatie van het beheer bevatte. 8 respondenten (29%) geven aan dat er verbeteringen ten aanzien van de beheerdoelstellingen en maatregelen zijn opgenomen. Tenslotte geven 6 respondenten (22%) aan dat de toewijzing van middelen en verantwoordelijkheden in de laatste directiebeoordeling is opgenomen Verantwoordelijke informatiebeveiliging Aan de respondenten is gevraagd wie er in de gemeente formeel verantwoordelijk is voor de totstandkoming en beheer van het informatiebeveiligingsbeleid. Twee respondenten wensen de vraag niet te beantwoorden. De overige respondenten geven aan: Hoofd Informatievoorziening en Automatisering (6 gemeenten) Informatiemanager / informatiearchitect (4 gemeenten) Beveiligingsfunctionaris (3 gemeenten) Adviseur informatiemanagement Bestuur en directie College van B&W Concern controller / medewerker control Gemeentesecretaris Informatiebeveiligingscoördinator Kernteam 3D Sectordirecteur Bedrijfsvoering Security Board 3 respondenten geven aan dat de verantwoordelijkheid voor informatiebeveiliging in zijn of haar gemeente niet formeel is vastgelegd. 6.3 Beschreven maatregelen De informatiebeveiligingsmaatregelen zijn onderverdeeld in acht onderdelen. Hierna volgt per onderdeel een uitleg van het doel van de informatiebeveiligingsmaatregelen, en de mate waarin de Limburgse gemeenten de maatregelen hebben beschreven in het informatiebeveiligingsbeleid Rollen en verantwoordelijkheden Het vastleggen van rollen en verantwoordelijkheden zorgt ervoor dat het voor de medewerkers van de gemeente duidelijk is welke informatie zij mogen verstrekken en in welke gevallen dit mag. Tevens zorgt dit ervoor dat de verantwoordelijkheid voor het beheer en gebruik van de bedrijfsmiddelen is vastgelegd. Het vastleggen van rollen en verantwoordelijkheden bestaat uit vier aspecten. Van elk aspect is gemeten in hoeveel Limburgse gemeenten het aspect is opgenomen in de beschrijving van rollen en verantwoordelijkheden. Tabel 1 toont de aanwezigheid van de verschillende aspecten in de Limburgse gemeenten. Gemiddeld scoort de beschrijving van rollen en verantwoordelijkheden in de Limburgse gemeenten 78%. Aspect Aanwezig Bescherming van bedrijfsmiddelen 75% Het uitvoeren van beveiligingsprocessen of 86% beveiligingsactiviteiten Het verantwoordelijk maken van een persoon voor 71% genomen handelingen Het rapporteren van gebeurtenissen met betrekking 79% tot informatiebeveiligingsrisico s Gemiddeld 78% Tabel 1 Aanwezigheid vastgelegde rollen en verantwoordelijkheden in Limburgse gemeenten 16

17 SEPTEMBER Screening Screening zorgt ervoor dat er meer inzicht wordt verkregen in een nieuwe medewerker. Een controle van bijvoorbeeld de kredietwaardigheid kan voorkomen dat een medewerker door geldgebrek geneigd is om informatie voor het juiste bedrag te verkopen aan een social engineer. 1 respondent (4%) heeft deze vraag niet beantwoord. Tabel 2 toont de aanwezigheid van de verschillende onderdelen bij screening van een nieuwe medewerker in de Limburgse gemeenten. Gemiddeld scoort de aanwezigheid van controle op onderdelen bij screening van een nieuwe medewerker in de Limburgse gemeenten 45% Directieverantwoordelijkheid De directie is verantwoordelijk voor het beleid en het toezien op het uitvoeren en naleven van het beleid. Hiertoe is een aantal onderdelen als norm opgenomen in de Code voor Informatiebeveiliging waardoor het informatiebeveiligingsbeleid meer betekenis krijgt. 2 respondenten (7%) hebben deze vraag niet beantwoord. Tabel 4 toont de aanwezigheid van directieverantwoordelijkheid op onderdelen in de Limburgse gemeenten. Gemiddeld scoort de aanwezigheid van directieverantwoordelijkheid op onderdelen in de Limburgse gemeenten 49%. Aspect Aanwezig Aspect Aanwezig Beschikbaarheid positieve referenties 54% Juistheid van Curriculum Vitae 43% Opgegeven diploma s 57% Onafhankelijke identiteitscontrole 54% Kredietwaardigheid 4% Strafblad 61% Gemiddeld 45% Tabel 2 Aanwezigheid controle op onderdelen bij screening van nieuwe medewerker in Limburgse gemeenten Arbeidsvoorwaarden In de arbeidsvoorwaarden zijn de afspraken met de medewerker vastgelegd omtrent de wettelijke verantwoordelijkheden, de wijze waarop met informatie moet worden omgegaan en hoe te handelen bij het constateren van een nalatigheid met betrekking tot de informatiebeveiliging. 1 respondent (4%) heeft deze vraag niet beantwoord. Tabel 3 toont de aanwezigheid van onderwerpen in de arbeidsvoorwaarden in de Limburgse gemeenten. Gemiddeld scoort de aanwezigheid van onderwerpen in de arbeidsvoorwaarden in de Limburgse gemeenten 44%. Aspect Aanwezig Vertrouwelijkheid- of geheimhoudingsverklaring 75% Wettelijke verantwoordelijkheden waaronder 32% auteursrecht bij het gebruik van informatie Classificatie van informatie en het beheer van de 36% bedrijfsmiddelen die door de medewerker worden gebruikt Verwerken van ontvangen informatie 50% Gedegen voorlichting medewerkers van de gemeente 57% Accorderen duidelijke richtlijnen met betrekking tot de 57% informatiebeveiliging Motivatie en uiting van motivatie om het 43% informatiebeveiligingsbeleid uit te dragen Verwerven van veiligheidsbewustzijn 39% Handelen in overeenstemming met de 54% arbeidsvoorwaarden Bijhouden van vaardigheden en kwalificaties 43% Gemiddeld 49% Tabel 4 Aanwezigheid van directieverantwoordelijkheid op onderdelen in Limburgse gemeenten Bewustzijn, opleiding en training Dit onderdeel controleert of er ook daadwerkelijk opleidingen of trainingen worden gevolgd met betrekking tot bewustzijn en informatiebeveiliging. Dit is de informatiebeveiligingsmaatregel die vanuit de literatuurstudie naar voren is gekomen als de meest effectieve informatiebeveiligingsmaatregel. 1 respondent (4%) heeft deze vraag niet beantwoord. In 50% van de Limburgse gemeenten worden medewerkers getraind of opgeleid om het bewustzijn ten aanzien van informatiebeveiliging te vergroten. De gemeenten die hun medewerkers geen opleidingen of trainingen laten volgen, geven daarvoor als redenen: moet nog worden opgenomen in het informatiebeveiligingsdocument; andere prioriteiten; staat in de planning; geen beleidsmedewerker informatievoorziening; eigen initiatief; onvoldoende bewustwording van noodzaak. Verwerken van persoonlijke informatie 54% Verantwoordelijkheid ten aanzien van flexibel werken 32% Handelingen die moeten worden uitgevoerd bij het 29% nalaten van de informatiebeveiligingsmaatregelen Gemiddeld 44% Tabel 3 Aanwezigheid van onderwerpen in arbeidsvoorwaarden in Limburgse gemeenten voor de overheid 17

18 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Disciplinaire maatregelen In dit onderdeel is onderzocht of er bij overtreding van het informatiebeveiligingsbeleid disciplinaire maatregelen zijn beschreven of een procedure waaruit blijkt dat het afwijken van het informatiebeveiligingsbeleid niet wordt geaccepteerd. Dit onderdeel heeft met name een repressieve functie. 2 respondenten (7%) hebben deze vraag niet beantwoord. In 36% van de Limburgse gemeenten is er een proces omtrent een disciplinaire maatregel bij een inbreuk op de informatiebeveiligingsmaatregelen door medewerkers Retourneren bedrijfsmiddelen Wanneer een medewerker van de gemeente de organisatie verlaat, is het van belang dat alle bedrijfsmiddelen worden geretourneerd. Denk hierbij aan een laptop, mobiele telefoon of een hardware dongle (usb-stick met code) om thuiswerken via internet mogelijk te maken. 89% van de Limburgse gemeenten controleert bij beëindiging of wijziging van het dienstverband op retournering van bedrijfsmiddelen Blokkering toegangsrechten Wanneer een medewerker van de gemeente de organisatie verlaat, is het van belang dat de medewerker geen toegang meer krijgt tot de informatiesystemen van de gemeente. Hierdoor is het niet meer mogelijk dat de betreffende medewerker na het verlaten van de organisatie gegevens kan verstrekken aan een social engineer of zelf de gegevens kan misbruiken. 89% van de Limburgse gemeenten controleert bij beëindiging of wijziging van het dienstverband de blokkering van toegangsrechten. 6.4 Gebruikte theorieën In de helft van alle Limburgse gemeenten is de NORA gebruikt bij de totstandkoming van het informatiebeveiligingsbeleid. Daarnaast is ook het ITIL Security Management vaak gebruikt bij het opzetten van het informatiebeveiligingsbeleid (16 respondenten, 57%). Verder hebben de Limburgse gemeenten gebruik gemaakt van de volgende theorieën (1 respondent heeft deze vraag niet beantwoord): Control OBjectives for Information and related Technology (COBIT); Sherwood Applied Business Security Architecture (SABSA); Een andere theorie of gedachte, zoals: met behulp van extern adviesbureau; doorgegaan op bestaand document; Code voor Informatiebeveiliging; CRAMM; Gezond verstand; CISSP de 10 domeinen. Aan de respondenten die aangaven de NORA niet gebruikt te hebben bij de totstandkoming van het informatiebeveiligingsbeleid is gevraagd naar de reden daarvoor. De respondenten noemden hiervoor de volgende redenen: ondersteuning door extern adviesbureau; geen bewuste keuze; NORA was nog niet actueel; doorgegaan op bestaand document; kader is te breed. 6.5 Conclusie Het beheer van het informatiebeveiligingsbeleid in de Limburgse gemeenten is onvoldoende geborgd en vastgesteld. Er is vooral beleid op onderdelen aanwezig, vaak als gevolg van verplichte audits. In veel gevallen ontbreekt overkoepelend beleid waarin maatregelen staan beschreven ter bescherming tegen aanvallen van social engineering. De mate waarin informatiebeveiligingsmaatregelen vanuit de NORA beschreven zijn in het informatiebeveiligingsbeleid is gemiddeld 58%. Op onderdelen valt deze score hoger of lager uit. Het retourneren van bedrijfsmiddelen en het blokkeren van toegangsrechten is het vaakst beschreven in het informatiebeveiligingsbeleid (beide in 89% van de Limburgse gemeenten). De helft van alle Limburgse gemeenten heeft de NORA gebruikt bij de totstandkoming van het informatiebeveiligingsbeleid. Daarnaast is ook het ITIL Security Management vaak gebruikt bij het opzetten van het informatiebeveiligingsbeleid (16 respondenten, 57%). Andere theorieën, zoals Control OBjectives for Information and related Technology (COBIT) en Sherwood Applied Business Security Architecture (SABSA) zijn minder vaak gebruikt. 18

19 SEPTEMBER Bescherming tegen social engineering in Limburg Dit hoofdstuk geeft antwoord op de vraag of de gebruikte informatiebeveiligingsmaatregelen daadwerkelijk beschermen tegen aanvallen van social engineering. Het hoofdstuk begint met een uitwerking van het referentiemodel social engineering. Vervolgens komt aan de orde of er zich in de Limburgse gemeenten gebeurtenissen hebben voorgedaan waaruit is gebleken dat de gebruikte informatiebeveiligingsmaatregelen onvoldoende zijn geweest om bescherming te bieden tegen social engineering. Daarna komt kort aan de orde welke acties daaruit zijn voortgevloeid. Het hoofdstuk besluit met een conclusie. 7.1 Bescherming volgens het referentiemodel Aan de hand van het referentiemodel is te bepalen in hoeverre het informatiebeveiligingsbeleid in de Limburgse gemeenten bescherming biedt tegen aanvallen van social engineering. De basis van het referentiemodel bestaat enerzijds uit het overzicht van aanvallen van social engineering (zie hoofdstuk 4) en anderzijds uit de verschillende informatiebeveiligingsmiddelen die gemeenten kunnen treffen tegen aanvallen van social engineering (zie hoofdstuk 5). Op basis van de doelstelling per maatregel en de definitie van de methode of techniek van social engineering is een koppeling gemaakt tussen aanvallen van social engineering en maatregelen die daartegen kunnen beschermen. De bolletjes in het referentiemodel (zie Tabel 5) geven deze bescherming weer. In het vorige hoofdstuk is voor elke informatiebeveiligingsmaatregel bepaald in hoeveel gemeenten deze maatregel beschreven is in het informatiebeveiligingsbeleid. Deze percentages zijn bij elke maatregel in het referentiemodel vermeld. Op basis hiervan is per methode of techniek van social engineering te berekenen hoeveel bescherming deze maatregelen hiertegen bieden. Voorbeeldberekening Tegen de diefstal van mobile devices kunnen gemeenten gebruikmaken van arbeidsvoorwaarden, directieverantwoordelijkheid, bewustzijn door training en opleiding en disciplinaire maatregelen. Deze vier maatregelen zijn in respectievelijk 44%, 49%, 50% en 36% van de Limburgse gemeenten geborgd in het informatiebeveiligingsbeleid. Gemiddeld zijn de gemeenten daarmee voor 45% beschermd tegen aanvallen van social engineering door middel van diefstal van mobile devices (( )/4 mogelijke aanvallen). Informatiebeveiligingsmaatregelen Aanvallen van social engineering Rollen en verantwoordelijkheden Screening Het totale gemiddelde van de bescherming van Limburgse gemeenten tegen verschillende methoden en technieken van social engineering bedraagt op basis van het referentiemodel social engineering 57%. De informatiebeveiliging in Limburgse gemeenten is daarmee onvoldoende geborgd. Dit betekent dat de Limburgse gemeenten kwetsbaar zijn voor aanvallen van social engineering. Arbeidsvoorwaarden Directieverantwoordelijkheid Bewustzijn opleiding en training Disciplinaire maatregelen Retourneren bedrifsmiddelen Blokkering toegangsrechten 78% 45% 44% 49% 50% 36% 89% 89% Denial of service 64% Diefstal mobile devices 45% Dumpster diving 45% Direct vragen 64% misbruik 62% Emotionele benadering 50% Emotionele manipulatie 50% Imitatie 59% Impersonificatie 59% Interpersoonlijke relatie 50% Manipulatie dankbaarheid 64% Manipulatie sympathie 64% Misbruik van vertrouwen 64% Nepmelding 55% Phishing 55% Reverse social engineering 65% Shoulder surfing 53% Valse beloften 48% Verleiden 64% Verborgen agenda 55% Gemiddelde bescherming Limburgse gemeenten 57% tegen aanvallen social engineering Tabel 5: Referentiemodel social engineering (percentages geven de toepassing van het referentiemodel weer op de Limburgse gemeenten) voor de overheid 19

20 SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Alwin ter Voert Gemeentesecretaris Horst aan de Maas Aanspreekpunt namens de gemeenten voor de Veiligheidsregio Limburg Noord De wens van een meer efficiënte, transparante dienstverlening voor burger en bedrijf enerzijds en de huidige bezuinigingsmaatregelen anderzijds zorgen ervoor dat het management van een gemeente anders moet gaan nadenken over de bedrijfsvoering. Digitalisering helpt hierbij en zorgt ervoor dat de gemeente in regie blijft en eenvoudiger kan bepalen op welke wijze zij omgaat met haar ketenpartners. Gegevens en informatiestromen zijn door digitalisering overal en altijd beschikbaar en zorgen ervoor dat de analoge manier van het verzamelen en verspreiden van gegevens en informatie door middel van fysieke dossiers langzaam maar zeker verdwijnt. Technische hulpmiddelen zoals firewalls en routers regelen als poortwachters de toegang tot het gemeentelijke netwerk en ondersteunen daarmee de logische beveiliging. De inzet van hulpmiddelen voor digitalisering is een managementverantwoordelijkheid. Maar zonder bewustzijn, voortdurende waakzaamheid en de benodigde opleidingen en trainingen resulteert het gebruik van technische hulpmiddelen in een schijnveiligheid. Steeds vaker worden we geconfronteerd met nep-mailberichten met als doel ons te verleiden tot het verstrekken van confidentiële informatie. Binnen de gemeente Horst aan de Maas is een aantal beleidsuitgangspunten met betrekking tot de informatiebeveiliging vastgesteld. Informatiebeveiliging maakt onderdeel uit van het architectuurhuis dat we hebben gebouwd. Door opdracht te geven aan derden om penetratietesten uit te voeren, blijven we scherp op eventuele informatiebeveiligingslekken. Met betrekking tot de bewustwording en het voorkomen van zogenaamde social engineering aanvallen, starten we een separaat traject met behulp van de communicatie-afdeling. 7.2 Aanvallen social engineering 16 respondenten (57%) geven aan dat er zich geen gebeurtenissen hebben voorgedaan met betrekking tot social engineering waaruit is gebleken dat de huidige informatiebeveiligingsmiddelen onvoldoende zijn. 4 respondenten (14%) geven aan dat er zich wel zo n gebeurtenis heeft voorgedaan. Naar de aard van de social engineering-aanvallen is in de webenquête bewust niet gevraagd. Tijdens de interviews met medewerkers van vijf Limburgse gemeenten is gebleken dat dit niet op prijs werd gesteld. Dit had vooral te maken met de perikelen die ten tijde van het onderzoek speelden bij de gemeentelijke overheden zoals het certificatenprobleem bij het voormalige Diginotar. 7.3 Acties na aanvallen 3 respondenten (11%) geven aan dat er zich gebeurtenissen hebben voorgedaan die hebben geleid tot aanpassing van het informatiebeveiligingsbeleid. 5 respondenten (18%) hebben aangegeven dat gebeurtenissen hebben geleid tot andere acties. Aan de respondenten is niet gevraagd welke aanpassingen er zijn gedaan of welke andere acties er zijn ondernomen. 7.4 Conclusie Uit het referentiemodel social engineering blijkt dat de Limburgse gemeenten kwetsbaar zijn voor aanvallen van social engineering. Desondanks geven slechts 4 respondenten (14%) aan dat er zich gebeurtenissen hebben voorgedaan waaruit is gebleken dat de gebruikte informatiebeveiligingsmaatregelen onvoldoende zijn geweest om bescherming te bieden tegen aanvallen van social engineering. De gebeurtenissen hebben bij enkele respondenten geleid tot aanpassing van het informatiebeveiligingsbeleid en andere acties. De resultaten van dit onderzoek tonen het belang aan dat er meer aandacht moet worden besteed aan de menselijke kant van informatiebeveiliging. Pas wanneer zowel de technische- als de niet-technische kant van informatiebeveiliging is geborgd, kan digitalisering effectief en efficiënt worden ingezet om de gewenste dienstverleningsgraad te bereiken. nl.linkedin.com/pub/alwin-ter-voert/1a/279/6ab Twitter.com/atervoert 20

Onderzoek naar het informatiebeveiligingsniveau bij de Limburgse gemeenten tegen social engineering aanvallen

Onderzoek naar het informatiebeveiligingsniveau bij de Limburgse gemeenten tegen social engineering aanvallen SOCIAL ENGINEERING EN DE LIMBURGSE GEMEENTEN Onderzoek naar het informatiebeveiligingsniveau bij de Limburgse gemeenten tegen social engineering aanvallen Auteur : ing. L.J. van der Goes Studentnummer

Nadere informatie

Presentatie NORA/MARIJ

Presentatie NORA/MARIJ Presentatie NORA/MARIJ 6 november 2009 Peter Bergman Adviseur Architectuur ICTU RENOIR RENOIR = REgie NuP Ondersteuning Implementatie en Realisatie Overzicht presentatie Families van (referentie-)architecturen

Nadere informatie

Praktisch Implementeren van EA bij Gemeenten

Praktisch Implementeren van EA bij Gemeenten Praktisch Implementeren van EA bij Gemeenten Edwin de Vries 3 juni 2008 Praktisch Implementeren van Enterprise Architectuur bij Gemeenten Waarom Architectuur bij Gemeenten? Praktische aanpak Invulling

Nadere informatie

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die

Nadere informatie

Overleven in een digitale wereld

Overleven in een digitale wereld P a g i n a 1 Projecten in de spotlight Overleven in een digitale wereld Gemeente Venlo heeft zich een stevige ambitie opgelegd. Niet alleen moet het imago van Venlo verbeterd worden, met de Floriade 2012

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

De impact van de basisregistraties op de informatievoorziening van gemeenten

De impact van de basisregistraties op de informatievoorziening van gemeenten De impact van de basisregistraties op de informatievoorziening van gemeenten Op weg naar de Gemeentelijke Service Bus Danny Greefhorst Gemeenten worden geconfronteerd met allerlei ontwikkelingen die van

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Last but not least. Hoofdstuk 35. Bijlagen

Last but not least. Hoofdstuk 35. Bijlagen Last but not least Hoofdstuk 35 Bijlagen V1.2 / 01 februari 2016 Geen copyright! MCTL is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie. Gebaseerd op een werk van

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Bedrijfsarchitectuur sterker door opleiding

Bedrijfsarchitectuur sterker door opleiding Onderzoek naar het effect van de Novius Architectuur Academy Bedrijfsarchitectuur sterker door opleiding Door met meerdere collega s deel te nemen aan een opleiding voor bedrijfsarchitecten, werden mooie

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013 NORA werkdocument Sessie 4 In stappen naar een BBO Baseline Beveiliging Overheid Bijgewerkte versie 10 april. 2013 katern Beveiliging Jaap van der Veen Agenda Sessie 4 1. Terugkoppeling afstemming met

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Geo-informatie is dood Leve geo-informatie!

Geo-informatie is dood Leve geo-informatie! Geo-informatie is dood Leve geo-informatie! Geo aspecten van NORA Ron Bloksma, namens Geonovum ron.bloksma@grontmij.nl NORA Wie kent NORA 2.0? Nederlandse Overheid Referentie Architectuur eoverheid & 1Overheid

Nadere informatie

Inleiding. 1. Visie op dienstverlening: de gebruiker centraal!

Inleiding. 1. Visie op dienstverlening: de gebruiker centraal! Verklaring vastgesteld bij gelegenheid van het Bestuurlijk Overleg van Rijk, provincies, gemeenten en waterschappen over de realisatie van het Nationaal Uitvoeringsprogramma Dienstverlening en e-overheid

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties

CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties Hoe zorgen we ervoor dat we nieuwe diensten en producten soepel in onze bedrijfsvoering op kunnen nemen? Hoe geven we betere invulling

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Bijlage 1. Overzicht van de basisvoorziening in het NUP: afspraken en gevolgen voor de gemeente

Bijlage 1. Overzicht van de basisvoorziening in het NUP: afspraken en gevolgen voor de gemeente Bijlage 1. Overzicht van de basisvoorziening in het NUP: afspraken en gevolgen voor de gemeente Waar hieronder wordt gesproken over partijen is bedoeld: gemeenten, provincies, waterschappen en rijksdiensten

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Samenwerking vanuit het perspectief van de Shared Service Organisatie

Samenwerking vanuit het perspectief van de Shared Service Organisatie Samenwerking vanuit het perspectief van de Shared Service Organisatie 10 juni 2010 A.W. Siebenga MBA Directeur van ICT Samenwerking Zuidwest Fryslân De andere overheid werkt samen! ICT shared services

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

makkelijke en toch veilige toegang

makkelijke en toch veilige toegang voor wie? makkelijke en toch veilige toegang Matthijs Claessen Nausikaä Efstratiades Eric Brouwer Beurs Overheid & ICT 2012 Graag makkelijk voor ons allemaal: 16,7 miljoen inwoners (burgers)! waarvan meer

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Draaiboek Invoering Basisregistratie Personen l Afnemers

Draaiboek Invoering Basisregistratie Personen l Afnemers Draaiboek Invoering Basisregistratie Personen l Afnemers Van Oriëntatie naar Gebruik van de BRP Inleiding & toelichting op de vijf hoofdstappen Publicatiedatum: oktober 2014 Ten geleide Voor u ligt de

Nadere informatie

BABVI/U201201250 Lbr. 12/090

BABVI/U201201250 Lbr. 12/090 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Operatie NUP zet i-ondersteuning in uw kenmerk ons kenmerk BABVI/U201201250 Lbr. 12/090 bijlage(n) - datum

Nadere informatie

Second opinion Masterplan informatie architectuur. De Gemeente Weert

Second opinion Masterplan informatie architectuur. De Gemeente Weert Masterplan informatie architectuur Gemeente Weert.datum 9 november 2015.op verzoek van De Gemeente Weert bezoekadres Beechavenue 126 telefoon 088-006 34 00 banknummer 57.84.75.014 1119 PR Schiphol Rijk

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 Universitair Informatiemanagement Kenmerk: SECR/UIM/11/0914/FS Datum: 14-09-11 Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 1. Inleiding Begin 2011

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

Voorbeeldrapportage Individuele gemeente en benchmark met vergelijkbare gemeenten

Voorbeeldrapportage Individuele gemeente en benchmark met vergelijkbare gemeenten Voorbeeldrapportage Individuele gemeente en benchmark met vergelijkbare gemeenten Dit document is een voorbeeldrapport vanuit Benchlearning.org. Het betreft een individuele gemeentelijke rapportage van

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

2. Wat zijn per sector/doelgroep de algemene inzichten ten aanzien van de inhoud van de continuïteitsplannen?

2. Wat zijn per sector/doelgroep de algemene inzichten ten aanzien van de inhoud van de continuïteitsplannen? Samenvatting Aanleiding en onderzoeksvragen ICT en elektriciteit spelen een steeds grotere rol bij het dagelijks functioneren van de maatschappij. Het Ministerie van Veiligheid en Justitie (hierna: Ministerie

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie

Draaiboek Invoering Basisregistratie Personen l Afnemers

Draaiboek Invoering Basisregistratie Personen l Afnemers Draaiboek Invoering Basisregistratie Personen l Afnemers Hoofdstap 1 Oriëntatie Publicatiedatum: oktober 2014 Inleiding De oriëntatie is erop gericht om informatie te verzamelen over de Basisregistratie

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Brochure HC&H Masterclasses

Brochure HC&H Masterclasses Brochure HC&H Masterclasses & Masterclass Informatiebeveiliging & Masterclass Proces en Informatiemanagement & Masterclass Klantgericht werken & Masterclass Functioneel Beheer & Masterclass Inkoop ICT

Nadere informatie

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Onbewaakte spoorwegovergangen in de elektronische overheid!

Onbewaakte spoorwegovergangen in de elektronische overheid! Onbewaakte spoorwegovergangen in de elektronische overheid! Laatst was ik op een congres over de e-overheid 1. Tijdens één van de presentaties liet een spreker een foto zien. We zagen een prachtige berg

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

De toegangspoort naar de e-overheid

De toegangspoort naar de e-overheid De toegangspoort naar de e-overheid Gemeente Amersfoort en elektronische dienstverlening 25 mei 2009 Marieke van Donge en Joost Klein Velderman Programma voor vanavond Aanleiding programma e-overheid Bestuurlijke

Nadere informatie

GEMMA 2 Architectuurprincipes

GEMMA 2 Architectuurprincipes GEMMA 2 Architectuurprincipes Cocreatiesessie 3, maandag 18 mei 2015, Den Haag heo Peters Arnoud Quanjer Danny Greefhorst Jeffrey Gortmaker oine Schijvenaars Van GEMMA 1 naar GEMMA 2 Nieuwe ontwikkelingen

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Hieronder staat een voorstel voor het kennismodel voor de vernieuwde EAR wiki.

Hieronder staat een voorstel voor het kennismodel voor de vernieuwde EAR wiki. Kennismodel EAR wiki Het doel is een rijksbrede informatie-infrastructuur: De kaders en de generieke diensten en producten op het terrein van informatievoorziening en ICT die worden aangeboden aan organisaties

Nadere informatie

DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie

DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie Erik Saaman (projectleider DUTO) NORA Gebruikersraad, 9 juni 2015 normenkader@nationaalarchief.nl Duurzaam toegankelijke overheidsinformatie

Nadere informatie

Rijksoverheidsnetwerk 2.0 Een netwerk van netwerken (RON2.0)

Rijksoverheidsnetwerk 2.0 Een netwerk van netwerken (RON2.0) Rijksoverheidsnetwerk 2.0 Een netwerk van netwerken (RON2.0) Stand van zaken rijksconnectiviteit met specifiek aandacht voor IPV 6 Door Alexander Hielkema (Logius) en Leon-Paul de Rouw (DGOBR/DIR) 27 juni

Nadere informatie

Vaals, juni 2013 Versie 1.2. PLAN VAN AANPAK Informatievoorziening & Automatisering De route voor de toekomst 2013-2015

Vaals, juni 2013 Versie 1.2. PLAN VAN AANPAK Informatievoorziening & Automatisering De route voor de toekomst 2013-2015 Vaals, juni 2013 Versie 1.2 PLAN VAN AANPAK Informatievoorziening & Automatisering De route voor de toekomst 2013-2015 Inhoudsopgave Hoofdstuk 1 Plan van aanpak 1.1 Inleiding 3 Hoofdstuk 2 Actiepunten

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Voorbeelden generieke inrichting Digikoppeling

Voorbeelden generieke inrichting Digikoppeling Voorbeelden generieke inrichting Versie 1.1 Datum 19/12/2014 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl Documentbeheer

Nadere informatie

BABVI/U201200230 Lbr. 12/015

BABVI/U201200230 Lbr. 12/015 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8020 Betreft DigiD en ICT-beveiliging uw kenmerk ons kenmerk BABVI/U201200230 Lbr. 12/015 bijlage(n) 0 datum 07 februari

Nadere informatie

Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen

Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen RISK & COMPLIANCE Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen 16 februari 2010 ADVISORY Onderwerp: Onderzoek Soft controls binnen interne accountantsdiensten Geachte

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

READ: de informatiestrategieaanpak van Steenwinkel Kruithof Associates (SKA)

READ: de informatiestrategieaanpak van Steenwinkel Kruithof Associates (SKA) READ: de informatiestrategieaanpak van (SKA) INLEIDING HET SPANNINGSVELD TUSSEN KORTETERMIJNVERWACHTINGEN EN LANGETERMIJNBEHOEFTEN In veel bedrijven volgen businessgerelateerde veranderingen elkaar snel

Nadere informatie

nemen van een e-depot

nemen van een e-depot Stappenplan bij het in gebruik nemen van een e-depot CONCEPT VOOR FEEDBACK Bijlage bij Handreiking voor het in gebruik nemen van een e-depot door decentrale overheden 23 juli 2015 Inleiding Dit stappenplan

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

Ordening van processen in een ziekenhuis

Ordening van processen in een ziekenhuis 4 Ordening van processen in een ziekenhuis Inhoudsopgave Inhoud 4 1. Inleiding 6 2. Verantwoording 8 3. Ordening principes 10 3.0 Inleiding 10 3.1 Patiëntproces 11 3.2 Patiënt subproces 13 3.3 Orderproces

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Onderdelen module 3 (gesplitst in delen 1 en 2)

Onderdelen module 3 (gesplitst in delen 1 en 2) Onderdelen module 3 (gesplitst in delen 1 en 2) Deel 1 1. Prelude 8 13 2. Achtergrond en Context MARIJ (leerdoel 3; duur 1-2 uur) 14-25 3. Eén architectuur voor de Rijksdienst (leerdoel 3; duur 1 uur)

Nadere informatie

De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. De SYSQA dienst auditing Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 8 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3

Nadere informatie

Resultaten Onderzoek September 2014

Resultaten Onderzoek September 2014 Resultaten Onderzoek Initiatiefnemer: Kennispartners: September 2014 Resultaten van onderzoek naar veranderkunde in de logistiek Samenvatting Logistiek.nl heeft samen met BLMC en VAViA onderzoek gedaan

Nadere informatie

Business case Digikoppeling

Business case Digikoppeling Business case Digikoppeling Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900

Nadere informatie

Pink Elephant Opleiding Baseline Informatiebeveiliging Gemeenten (BIG)

Pink Elephant Opleiding Baseline Informatiebeveiliging Gemeenten (BIG) Pink Elephant Opleiding Baseline Informatiebeveiliging Gemeenten (BIG) 1 Over Pink Elephant Pink Elephant is een internationale kennisleider op het gebied van bedrijfsinnovatie en bedrijfsverandering.

Nadere informatie

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat KENNISNET 1. Zijn er volgens u in deze toelichting aanvullingen of anderszins wijzigingen

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Onderzoeksresultaten Cloud Computing in Nederland Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau

Nadere informatie

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version Introductie Quickscan De financiële organisatie moet, net zo als alle andere ondersteunende diensten, volledig gericht zijn

Nadere informatie

Onderzoeksopzet. Marktonderzoek Klantbeleving

Onderzoeksopzet. Marktonderzoek Klantbeleving Onderzoeksopzet Marktonderzoek Klantbeleving Utrecht, september 2009 1. Inleiding De beleving van de klant ten opzichte van dienstverlening wordt een steeds belangrijker onderwerp in het ontwikkelen van

Nadere informatie

GEMMA 2 Informatiearchitectuur

GEMMA 2 Informatiearchitectuur GEMMA 2 Informatiearchitectuur Cocreatiesessie 2, maandag 18 mei 2015, IGLUU Den Haag Jeffrey Gortmaker (KING) Inhoud Plenaire Toelichting GEMMA 2 IA Plenaire discussie obv vragen Borrel Waarom GEMMA 2

Nadere informatie

Naast de beeldwijzer is er ook een communicatiewijzer en een schrijfwijzer voor communicatie over het i-nup.

Naast de beeldwijzer is er ook een communicatiewijzer en een schrijfwijzer voor communicatie over het i-nup. BEELDWIJZER e-overheid Doel en opbouw Deze beeldwijzer is bedoeld voor alle partijen die direct betrokken zijn bij de communicatie naar de diverse stakeholders van de implementatie van het Nationaal Uitvoeringsprogramma

Nadere informatie

Informatiebeveiliging aangepakt

Informatiebeveiliging aangepakt Informatiebeveiliging aangepakt De beveiligingsarchitectuur ICT OOV Platformconferentie Integrale Publieke Veiligheid 8 mei 2007 in Utrecht Marc de Lignie Senior ICT onderzoeker Inhoud Informatie-uitwisseling

Nadere informatie

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Van idee tot ICT Oplossingen

Van idee tot ICT Oplossingen Van idee tot ICT Oplossingen Het A utomatiseren B eheren C ontroleren van Informatie Systemen Historie Parnassia Groep Parnassia: fusie organisatie 1999 2 Psychiatrische ziekenhuizen Verslavingszorg Zuid

Nadere informatie

Digitale duurzaamheid

Digitale duurzaamheid Digitale duurzaamheid Verantwoording van publieke diensten Bij het leveren van publieke diensten maakt de overheid gebruik van publieke middelen. De overheid moet zich over de besteding hiervan tegenover

Nadere informatie

Aanmeldformulier open standaarden

Aanmeldformulier open standaarden Aanmeldformulier open standaarden Inleiding Door het invullen van het onderstaande aanmeldformulier kunt u standaarden aanmelden voor opname op de lijst met open standaarden die in Nederland onder het

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Privacy in Instituut Verbeeten

Privacy in Instituut Verbeeten Privacy Privacy in Instituut Verbeeten Ook uw gegévens behandelen wij met zorg Wij gebruiken privacygevoelige gegevens van u. We vinden het daarom ook belangrijk dat u weet dat uw gegevens bij ons in goede

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

19 e gebruikersdag dg DIALOG BOR. 17 november 2010. Ron Bloksma Dzenita Murguzovic NORA & GEMMA. Wat heb ik er aan?

19 e gebruikersdag dg DIALOG BOR. 17 november 2010. Ron Bloksma Dzenita Murguzovic NORA & GEMMA. Wat heb ik er aan? 19 e gebruikersdag dg DIALOG BOR 17 november 2010 Ron Bloksma Dzenita Murguzovic NORA & GEMMA Wat heb ik er aan? 1 NORA Gemma architectuur RSGB Waar gaat dat allemaal over? Doel: Duidelijkheid creëren

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen: Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

Werkatelier Informatiebeleid 2016-2020 Komen tot een actueel, gedragen en verbonden informatievoorziening

Werkatelier Informatiebeleid 2016-2020 Komen tot een actueel, gedragen en verbonden informatievoorziening Native Consulting heeft een 4-daagse praktische en interactieve workshop ontwikkeld over ICT-beleid in relatie tot de gemeentelijke strategie. U komt niet alleen om te luisteren naar nieuwe kennis en inzichten,

Nadere informatie

Brochure ISO 27002 Foundation

Brochure ISO 27002 Foundation Brochure ISO 27002 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische

Nadere informatie

ITIL en/of eigen verantwoordelijkheid

ITIL en/of eigen verantwoordelijkheid ITIL en/of eigen verantwoordelijkheid Leo Ruijs 20 SEPTEMBER 2011 INNOVATIEDAG MANSYSTEMS Service8 B.V. Stelling ITIL BEPERKT DE EIGEN VERANTWOORDELIJKHEID VAN MEDEWERKERS EN HEEFT DAARMEE EEN NEGATIEVE

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Terugkoppeling monitor subsidieregeling Versterking samenwerking lerarenopleidingen en scholen 2013-2016

Terugkoppeling monitor subsidieregeling Versterking samenwerking lerarenopleidingen en scholen 2013-2016 Terugkoppeling monitor subsidieregeling Versterking samenwerking lerarenopleidingen en scholen 2013-2016 Beginmeting 2014 Portret samenwerkingsverband P029 Opdrachtgever: ministerie van OCW Utrecht, september

Nadere informatie