Informatieveiligheid in Lokale besturen. gezamenlijk veiligheidsbeleid uitwerken! uitwerken?

Transcriptie

1 Informatieveiligheid in Lokale besturen Hoe OCMW's kunnen en OCMW's gemeenten en gemeenten moeten een een gezamenlijk veiligheidsbeleid uitwerken! uitwerken? Mechelen - 10 februari 2015

2

3 Omgevingsanalyse Behoefte Aanbod Regelgeving (kader) Dreiging

4 Omgevingsanalyse

5 Omgevingsanalyse

6 Bring Your Own Device (BYOD)? Eigen apparatuur op netwerk Nieuwe werken Ondersteuning? Nieuwe denken Eén antwoord Duidelijk beleid Duidelijkheid mbt gestelde eisen Beveiligingsupdates, Quid afdwingbaarheid? BEHOEFTE

7 Open Data - The Cloud Het open ter beschikking stellen van alle mogelijke aan elkaar gelinkte DATA De DATA waar je ook bent ter beschikkng stellen en pas dan ben je een Smart City druk via lokale politici druk via burger / community BEHOEFTE

8 So are we retards? (1) Hoe is het in Hemelsnaam mogelijk dat ik Mijn eigen device niet kan gebruiken? Ik een paswoord nodig heb? (in een tijdperk van openbaarheid) Ik niet over mijn interne documenten beschik - waar ik ook ben? Burgers geen Full Access hebben tot hun eigen gegevens? AANBOD

9 So are we retards? (2) Hoe is het in Hemelsnaam mogelijk dat de log s per app geen tien jaar zijn bijgehouden? er geen full redundantie is? de verbinding uitviel? derden mijn documenten hebben ingekeken er een mail vertrok in mijn naam? Het ICT-budget zo HOOG is en niks kan of mag? AANBOD

10 Terug naar de essentie Vertrouwelijkheid Integriteit Beschikbaarheid of Toerekenbaarheid Onweerlegbaarheid Authenticiteit Betrouwbaarheid KADER

11

12 Samenwerking Integratie gemeente en OCMW Quid informatieveiligheid? enkele statements

13 Gemeente en OCMW als één entiteit het lokaal bestuur? Gemeente en OCMW zijn (nu nog) afzonderlijke entiteiten en hebben elk hun specifieke finaliteit. Daardoor worden zij door de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, beschouwd als verschillende verantwoordelijken voor de verwerking (nu nog).

14 Veiligheidsconsulent Veiligheidsconsulent Machtiging Machtiging Het kader Privacy Wet KSZ RR Minimale Veiligheidsnormen Richtsnoeren voor Informatieveiligheid POD MI VTC OCMW GEMEENTE

15 Samenwerking onder vuur? Wat dan met Eigen (vroeger) personeelsleden Toeleveranciers van infrastructuur (HW & SW) Inbellen zonder confirmatie?! Testen op productieomgevingen(!) Eeuwenoude Administrator paswoord voor alle klantbesturen Vertrouwde contactpersonen Bezoekers van een Open Sociaal Huis/ publieke ruimtes? Stagiairs Onderling Collegiaal gedrag Telefoon- of baliegesprekken It s about SECURITY moron!

16 Samenwerking onder vuur? Al gedacht aan Mijn thuis is waar mijn server staat? Grote(re) Investeringen Schaalvergroting => Degelijke Backup (beleid) Degelijk paswoordbeleid Sterk paswoord, Regelmatige wijzigingen, Persoonlijk!, Degelijke Firewall, AV, AS, IDS, Degelijk gebruikers- en filebeheer Inventariseringssystemen Toegangscontrolesystemen Camerabewaking Security training / policies / beleid It s about SECURITY moron!

17 Informatieveiligheid voor wie? Voor IEDEREEN binnen de organisatie! Niet louter voor maatschappelijk werkers OCMW Niet louter voor ICT personeel Niet louter voor Sociale Data. Financiën! (lonen en wedden?), Personeel! (HR, diploma s, gezinsituatie, ), Rijksregister!, Evaluaties, Secretaris, Financieel beheerder, Politionele data! (boetes, strafregister, ),

18 Gemeentepersoneel

19 Eén Veiligheidsconsulent? Ja. Wel 2 verschillende veiligheidsplannen opmaken, een voor de gemeente en een voor het OCMW (toekomst?). Als gemeente en OCMW dezelfde infrastructuur gebruiken en samen een informatieveiligheidsconsulent aanstellen, wordt 6 uur per week aanvaard als tijdsbesteding.

20 Eén Veiligheidsconsulent? Meer informatie omtrent het optreden van een veiligheidsconsulent voor gemeente en OCMW vindt u op de website van de Kruispuntbank van de Sociale Zekerheid (KSZ). Bijkomende informatie vindt u in de rubriek FAQ veiligheid en privacy op de website van de KSZ.

21 Minimale veiligheidsmaatregelen gelden voor gemeente en OCMW? De OCMW behoren tot het netwerk van de sociale zekerheid en moeten voldoen aan de minimale veiligheidsmaatregelen die zijn opgelegd door de Kruispuntbank van de Sociale Zekerheid (KSZ). Daarnaast zijn door de KSZ richtlijnen opgesteld met door iedere instelling na te streven veiligheidsdoeleinden m.b.t. alle domeinen van de informatieveiligheid.

22 Minimale veiligheidsmaatregelen gelden voor gemeente en OCMW? De gemeenten behoren niet tot het netwerk van de sociale zekerheid. Bedoeling om het veiligheidsniveau van de gemeente op te tillen naar het niveau van het OCMW. Dergelijk proces vraagt tijd en inspanning. Eenvormige richtsnoeren informatieveiligheid die gelden voor zowel OCMW als gemeente in Vlaanderen, gebaseerd op de minimale veiligheidsnormen van de KSZ.

23 De richtsnoeren 1. Risicobeoordeling en risicobehandeling 2. Beveiligingsbeleid 3. Beveiligingsorganisatie 4. Classificatie en beheer van bedrijfsmiddelen 5. Beveiligingseisen ten aanzien van personeel 6. Fysieke beveiliging en beveiliging van de omgeving 7. Beheer van communicatie- en bedieningsprocessen 8. Toegangsbeveiliging! 9. Ontwikkeling en onderhoud van systemen! 10. Incidentmanagement! 11. Continuïteitsmanagement (Business Continuity Management) 12. Naleving

24 De richtsnoeren (tool)

25 Gemeente en OCMW persoonsgegevens uitwisselen? Zij zijn elk verantwoordelijke voor de verwerking van persoonsgegevens. Als zij onderling persoonsgegevens willen uitwisselen, moet voor de elektronische uitwisseling vooraf een machtiging worden gevraagd. Ook voor satellieten! (vzw kinderopvang, scholen, )

26 Gemeente en OCMW persoonsgegevens uitwisselen? Aan wie moet een machtiging gevraagd worden? Worden persoonsgegevens vanuit de gemeente meegedeeld aan het OCMW, dan is een machtiging van de Vlaamse Toezichtcommissie vereist. Worden persoonsgegevens vanuit het OCMW meegedeeld aan de gemeente, dan is in principe het sectoraal comité van de Sociale Zekerheid bevoegd. op een paar uitzonderingen na die Vlaamse bevoegdheid zijn

27 Restricties op Samenwerken? De restricties liggen op de toegang tot de data! Data classificeren (opdelen in vertrouwelijk, publiek, ) Logische scheiding van de dataverwerking! Afgelijnde verantwoordelijkheden! (e-policy) Afgelijnde deontologie! (deontologische code als bijlage vh arbeidscontract / -reglement)

28 Gemeente en OCMW één gemeenschappelijke? Verantwoordelijk voor eigen dataverwerking. Gemeenschappelijk netwerk kan, mits voldoende veiligheidsmaatregelen: toegang d.m.v. paswoord lijst van gemachtigden vd gemeente en een lijst van gemachtigden van OCMW toegang voor de gemachtigden vd gemeente beperkt tot de finaliteit vd gemeente toegang voor de gemachtigde vh OCMW beperkt tot de finaliteit vh OCMW bijhouden logs Als gemeente en OCMW nu al een gemeenschappelijk ICT-beleid willen uitbouwen, is een samenwerkingsakkoord tussen beiden nog vereist (keep it basic). Eén Netwerk, Serverpark, Domein (AD), Backup,

29 Ingrediënten informatieveiligheid Wetgeving Sociale Gegevens Dagelijks beleid Machtigingen Interne Veiligheidscel of Team Gemeente Persoonsgegevens Veiligheidsconsulent Veiligheidsplan

30 Integratie is een opportuniteit 1. Classificeer (data) 2. Beveilig (cfr richtsnoeren) 3. Bewaak (consulent) 4. Bewustwording (personeel) 5. Plichtsbesef (deontologie) Neem de hoogste veiligheidsgraad als Standaard!

31 Lokale Overheden Focus op de echte problemen

32 Enjoy this Security Day Eddy Van der Stock Vlaamse ICT Organisatie