09u30-09u50 Introductie Spreker: Willem Debeuckelaere, voorzitter Vlaamse Toezichtscommissie

Transcriptie

1 Agenda 09u00-09u35 Welkom en Introductie Spreker: Eddy Van der Stock, voorzitter V-ICT-OR vzw 09u30-09u50 Introductie Spreker: Willem Debeuckelaere, voorzitter Vlaamse Toezichtscommissie 09u50-10u05 VLAVIRGEM: uw voorbeeldgemeente Spreker: Johan Van der Waal, V-ICT-OR 10u05-10u30 10u30-10u45 10u45-12u30 Een informatieveiligheidsplan, hoe begin ik eraan? Koffiepauze Spreker: Frederik Baert, Domein Security V-ICT-OR vzw En nu de praktijk! Workshop1: methodiek en tools, een case ter uitlichting Spreker: Eddy Van der Stock, voorzitter V-ICT-OR vzw Spreker: Frederik Baert, Domein Security V-ICT-OR vzw 12u30-13u30 Lunchpauze 13u30-14u00 Toelichting van de risicoanalyse Spreker: Frederik Baert, Domein Security V-ICT-OR vzw 14u00-15u45 En nu de praktijk! Workshop 1: Uitvoeren van een risicoanalyse voor uw organisatie, en vertaling naar een actieplan Spreker: Frederik Baert, Domein Security V-ICT-OR vzw 15u45-16u00 Plenaire afsluiting Spreker: Eddy Van der Stock, voorzitter V-ICT-OR vzw

2 Iedereen een Informatieveiligheidsplan in 2016!? Vlaamse Virtuele Gemeente uw Gemeente Radicaal Digitaal Eddy Van der Stock V-ICT-OR vzw

3 Vlaanderen Radicaal Digitaal Visie Strategie Missie De Vlaamse overheid transformeren naar een informatie gedreven overheid (Vlaamse Regering) Structuur Mensen Middelen Cultuur Ketens Resultaten

4 Visie Open Data Only Once Klant Proactieve diensten Databanken Kerntaken Slagkracht

5 Governance Klantvriendelijke Dienstverlening Informatiegedreven Overheid Digitale Dienstverlening Afspraken en Standaarden Strategische Capaciteit VRD 9 Bouwstenen Samenwerking Ondersteunende ICT Informatieveiligheid

6 Hoe gaan we dit realiseren. Gemeenten redden het steeds moeilijk(er) alleen (>70% < inwoners) Bepaalde gemeente zijn eenvoudigweg te klein om een digitalisering en automatisering van hun administratieve dienstverlening aan de moderne normen aan te passen Inkanteling OCMW begint vaak bij ondersteunende diensten (ICT, personeel, ), waarom ook hier geen stap verder gaan en deze per regio te bekijken?

7 Probleemstelling Connectiviteit (diensten, besturen, overheden, ) Dure individuele infrastructuur (niet toereikend t.e.m. overkill ) Geen gestandaardiseerde dataformaten (compatibiliteit software t.e.m. ingebakken datasystemen) Gedifferentieerde procesmodellen (zelfde regelgeving) Bestaande doch vaak ongekende toepassingen of componenten (digitale handtekening, ipdc, ) Informatiebeheer en -veiligheid!

8 Concept 309 e gemeente Toepassingen Proeftuin Processen Data Infrastructuur Connectiviteit OSLO Generieke componenten, collectief bewaken (overheid) Vrije Markt

9 Het warm water niet opnieuw uitvinden! Bestaande oplossingen beschikbaar stellen Aanhaken op lopende projecten Ontwikkelen Standaarden (authentieke bronnen en uitwisselformaten) Toolkits Co-creatie Samenwerken met alle betrokken (neutrale) partijen

10 Regionale Kenniskringen Kennisplatform Webtool Securitytool Overleg Stuurgroep LocGov VDI coördinatie Informatie Vlaanderen Facilitair Bedrijf ICEG Problematiek bespreken VlaVirGem Kennis Delen ShoptIT ManageIT Dag Digitale Communicatie Kennisdagen Kennis oppikken Regiowerking

11 Projectbeschrijving 1. Dissemineren (leren kennen wat is er?) 2. Adopteren/Implementeren (effectief laten werken in LocGov) 3. Innoveren (vernieuwend denken innoveren living labs proeftuinen - competentiecentrum) 4. Standaardiseren (als standaard meenemen in de cyclus)

12 Bouwsteen Informatieveiligheid Lokale besturen Componenten (best practices) Vlaamse Toezichtscommissie (VTC) Privacycommissie Richtsnoeren voor Informatieveiligheid! Evidente Minimum Maturiteitsmeting (Tool Informatieveiligheid) Standaardiseren Dissemineren Permanente meting (dynamisch) Regionale Kenniskringen 26 regio s Inzicht in hoeverre strategische bouwstenen gebruikt worden Expertenfora Innoveren Adopteren Evidente Minimum Interbestuurljke ketenintegratie Implementatiestraat PROEFTUINEN (gemeenten) 309 de X besturen Maturiteitsbegeleiding

13 Regionale Kenniskringen 1. Informatie, kennis en innovatie zijn het bloed van succesvolle organisaties in het tijdperk van netwerken Peter Hinssen.

14 Regionale Kenniskringen

15 Disseminatie & Adoptie (informatieveiligheid) Op de agenda van alle regionale kenniskringen in het eerste kwartaal Regiowerking ondersteunt door Jolien Dewaele Aandacht gaat uit naar bestaande informatieveiligheidsconsulenten maar zeker ook op de blinde vlekken. Centralisatie van de maturiteit in Vlaanderen via de informatieveiligheidstool (conclusies mogelijk). Dynamisch informatieveiligheidsplan en risicometing van de lokale besturen

16 Eddy Van der Stock V-ICT-OR

17 Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer Studiedag V-ICT-OR Veiligheidsconsulenten in Vlaamse steden en gemeenten januari 2016

18 IEDEREEN EEN INFORMATIEVEILGHEIDSPLAN IN 2016?? E-gov decreet 2008, artikel 9 : iedere instantie die elektronische persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. Zie ook Besluit Vlaamse regering van 15 mei 2009, artikel 2

19 VEILIDHEIDSPLAN? Artikel 10 Besluit veiligheidsconsulent : De veiligheidsconsulent stelt voor de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een termijn van drie jaar

20

21

22 De steden en gemeenten die een informatieveiligheidsconsulent hebben aangesteld en waarvoor de VTC een positief advies heeft gegeven worden op de bijgevoegde kaart in het groen aangeduid. Dit geldt ook voor de gemeenten waarvoor recent een advies werd gevraagd, maar er nog geen uitspraak over is. Er wordt geen onderscheid gemaakt tussen een al dan niet voorwaardelijk advies. OCMW worden hier niet opgenomen. Het is mogelijk dat er gemeenten en steden zijn die een informatieveiligheidsconsulent hebben aangesteld maar dat (nog) niet aan de Vlaamse Toezichtcommissie gemeld hebben. Indien deze gemeenten dat willen nuanceren in het overzicht, kunnen ze dat aan het secretariaat van de Vlaamse Toezichtcommissie melden en worden ze eventueel in het geel aangeduid op de kaart. Steden en gemeenten waar de VTC geen informatie over heeft, krijgen de kleur rood. Meer uitleg op

23 GDPR 18 DECEMBER 2015 > politiek akkoord tria

24 De publicatie wordt voorzien voor maart/april 2016 De verordening wordt van toepassing vanaf het derde jaar na de publicatie.. Dit betekent dat de verordening moet worden toegepast vanaf maart/april 2018 April 2018

25 Voorstelling project VlaVirGem

26 Aanleiding en situering van het project Samen het interbestuurlijk gegevensverkeer verbeteren Samenwerkingsovereenkomst tussen VVSG, V-ICT-OR en Informatie Vlaanderen (Vlaamse overheid) Interbestuurlijk e-governmentbeleid in Vlaanderen 1. Versterken van informatie- en ICT-capaciteit 2. Realisatie van interbestuurlijke ketenintegratie 3. Lokale besturen als volwaardige partner betrekken (cocreatie)

27 Geheim van succes: gewone dingen ongewoon goed doen

28 Procesmatige aanpak: (1) dissemineren, (2) adopteren, (3) innoveren en (4) standaardiseren VVSG V-ICT-OR V-ICT-OR

29 Aanpak Regionale kenniskringen + digitale coach Webtool vlavirgem.be Expertenpool (Federaal, VO, UGent, AMS, bedrijven,..)

30 In webtool meer dan ICT! Externe omgeving Organisatie inrichting Informatievoorziening Techniek Beveiliging Beheer

31 De boekenkast in model als basis voor implementatie

32 Actiepunten: Wat moeten we nu doen? Bouwstenen uit de VlaVirGem bouwdoos Standaard werkwijze implementatieaanpak Bouwstenencatalogus 1a - CRAB 1b - Gebouwenregister 1c - Percelenregister 1d - Wegenregister 1e - GRB 2a - Vlaams 2b - Federaal 2c - Recht van voorkoop 2d - Lokaal 3a - IPDC 3b beeldendatabank Vlaanderen 3c - ViaAGIV 3d - Luchtopnamen 3e - 3DGRB 3f - Metadata 3g - Digitaal hoogtemodel Vlaanderen 3h - Wegwijs 3i - VOP

33

34 WEBTOOL VLAVIRGEM.BE Informatieveiligheid MASTERPLAN INFORMATIE Gegevensbeheer Gemeentelijk profiel [verantwoordelijke] [aantal inwoners] [resultaten o.b.v. I-Monitor] Vragenlijst Bedrijfsvoering & processen Informatiemanagement Dienstverlening

35 Digitale coach Kennisuitwisseling o.a. via regionale kenniskringen Diverse informatiebronnen centraal op 1 plaats

36 1. Checklist voor implementatie 2. Plan van aanpak voor implementatie 1. Organisatie 2. Processen 3. Techniek 3. Implementatie

37 Innovaties/Proeftuinen Digitale aangifte overlijden Aanvraag horecavergunningen Andere proeftuinen Uittreksels als 24 uurs service voor burgers (e-formulieren) Antwerpen (ACPaaS) BBC open data en rapportage tool IPDC open dat tool Evident minimum website

38 In webtool meer dan ICT! Externe omgeving Organisatie inrichting Informatievoorziening Techniek Beveiliging Beveiliging Beheer

39 Je hoeft niet ziek te zijn om beter te worden

40 Een informatieveiligheidsplan, hoe begin ik eraan?

41 Informatieveiligheid - Context 41

42 Informatieveiligheid - Context

43 Informatieveiligheid vanuit Organisatie perspectief 43

44 Leidraad Organisatiebeheersing - VO 44

45 Organisatiebeheersing & informatieveiligheid 45

46 Hoofdstuk 10 Informatie- en communicatietechnologie (ICT) ICT Strategie ICT Architectuur ICT Organisatie Beheren van middelen ICT Beveiliging Continuiteits Planning Evaluatie en bijsturing

47 ICT Beveiliging ICT beveiliging is het geheel van maatregelen Voorschriften Processen Activiteiten Dat moet zorgen voor optimale bescherming van informatiesystemen Rekening houdend met kosten-batenprincipe

48 ICT Beveiliging - Doelstelling Het informatieveiligheidsbeleid streeft een optimale bescherming na van Vertrouwelijkheid Integriteit Beschikbaarheid Van informatie en informatie-systemen

49 Modellen en beleid? 49

50 Modellen

51 Wie ziet door het bos de bomen nog?

52 Één stapje terug

53 Deugdelijk bestuur stuurt IT bestuur Deugdelijk bestuur gaat om balans: Performantie Verbetering van efficiëntie, effectiviteit, uitbreiding van dienstverlening Performantie Conformiteit Naleven van wetgeving, policies, audit requirements Deugdelijk bestuur en IT bestuur zoeken naar de balans tussen performantie en conformiteit zoals vooropgesteld door de Raad (schepencollege, raad van bestuur, ) Conformiteit

54 Van beleid naar IT doelstelling 54

55 COBIT 5 Control Objectives for Information and Related Technology COBIT 5 biedt een uitgebreid framework dat organisaties (bedrijven of publieke instellingen) helpt om hun doelen te bereiken en waarde te leveren door middel van het effectieve bestuur en beheer van IT

56 COBIT 5 Enablers

57 COBIT enkel voor informatieveiligheid? COBIT levert een framework voor een gestructureerde aanpak van de dagdagelijkse brandjes

58 Waar past COBIT in? Drivers Performantie Beleidsdoelstellingen Conformiteit Wetgeving Deugdelijk Bestuur Scorecard en COSO Leidraad Organisatiebeheersing IT Bestuur COBIT Best Practices Standaarden ISO9001 ISO27000 / Richtsnoeren ISO20000

59 Sturing & Beheer

60 Processen voor Sturing & Beheer

61 COBIT en zijn relatie tot andere frameworks

62 Even samenvatten COBIT zorgt voor: Optimale waarde creatie door gebruik van IT Door evenwicht tussen het realiseren van baten en het optimaliseren van risico niveaus en optimaal gebruik van middelen Holistische kijk op organisatie en IT

63 Een kort praktisch voorbeeld Continuiteitsplanning Hoe pak je dat aan? Waar moet ik aan denken? Kapstok in COBIT Proces DSS04. Manage Continuity

64

65

66

67 HOE zit dat nu met informatieveiligheid?

68 COBIT Voor informatieveiligheid

69 COBIT link naar informatieveiligheid 69

70 Principes, policies en frameworks Policy Framework Input Information Security Principles Information Security Policy Specific Information Security Policies Information Security Procedures Information Security Requirements and Documentation Mandatory Information Security Standards, Frameworks and Models Generic Information Security Standards, Frameworks and Models Source: COBIT 5 for Information Security, figure ISACA All rights reserved

71 Informatieveiligheid - Principes Informatieveiligheids principes communiceren de regels van de organisatie Hoe moeten principes worden opgebouwd: Gelimiteerd in aantal Eenvoudig uitgedrukt zodat iedereen de regels kan begrijpen In 2010 heeft ISACA samen met ISF en ISC² 12 principes uitgewerkt waarvan kan gestart worden, of kunnen herbruikt worden 2012 ISACA. All rights reserved

72 Informatieveiligheid - Principes Principes in 3 categorieën: Informatieveiligheid ter ondersteuning van de organisatie Informatieveiligheid ter verdediging van de organisatie Informatieveiligheid ter ondersteuning van een positieve cultuur met betrekking tot verantwoord informatieveiligheidsgedrag

73 Informatieveiligheid ter ondersteuning van de organisatie Zorg dat informatieveiligheid is geïntegreerd in de activiteiten en processen van de organisatie Creëer kwaliteit en waarde voor de stakeholders zodat informatieveiligheid mee deze waarde creëert in lijn met wat de organisatie wil bereiken Voldoe aan wettelijke en regelgevende eisen Voorzie tijdig en accurate informatie voor wat betreft de correcte werking van informatieveiligheid Evalueer huidige en toekomstige informatie bedreigingen zodat tijdig actie kan ondernomen worden om mogelijke risico s te mitigeren Promoot continue verbeteringen in informatieveiligheid, om kosten te verminderen, efficiëntie en effectiviteit te verbeteren enz.

74 Informatieveiligheid ter verdediging van de organisatie Neem een risico-gebaseerde aanpak aan, zodat risico s op een effectieve manier worden aangepakt Bescherm geclassificeerde informatie om ontsluiting naar niet-geauthoriseerde individuen te vermijden Concentreer op de organisatie-kritische applicaties, om je schaarse informatieveiligheidsmiddelen geprioritiseerd in te zetten daar waar een een security incident de grootste impact zou hebben Ontwikkel veilige systemen

75 Uitdragen van verantwoord informatieveiligheidsgedrag Gedraag je professioneel en etisch verantwoord Bevorder een positieve cultuur met betrekking tot informatieveiligheid door beïnvloeding van het gedrag van eindgebruikers, het reduceren van de kans op security incidenten en het beperken van de mogelijke impact ervan op de organisatie

76 Informatieveiligheid Policies Policies voorzien een meer gedetailleerde begeleiding over hoe de principes in de praktijk worden toegepast, een aantal voorbeelden van policies zijn: Informatieveiligheid policy Acceptable Use policy Incident management policy Leveranciersbeheer policy COBIT 5 for Information Security voorziet minimaal volgende attributen voor elke policy: Scope Geldigheid Toepassingsgebied Lifecycle van de policy Distributie Doelstellingen van de policy

77 VAN Informatieveiligheidsplan naar Informatieveiligheid beheer systeem (ISMS) 77

78 Fase 1: Algemeen stappenplan 1. Inventariseer de verplichtingen van uw organisatie en eventueel reeds gebruikte modellen 2. Stel een informatieveiligheidsteam op met alle relevante deelnemers (IVT) 3. Bepaal de scope van het ISMS met het IVT 4. Maak een eerste policy waarin deze scope wordt afgelijnd 5. Breng deze voor goedkeuring op het hoogste beslissingsorgaan 6. Bepaal de risico evaluatie methodologie

79 Fase 1: Algemeen stappenplan 7. Leg de criteria vast rond aanvaardbare risico s 8. Maak een inventaris van alle processen en middelen die relevant zijn voor de scope 9. Doe een eerste risico analyse met het IVT (apart en samen) 10.Bepaal voor elk risico de strategie (accepteren, vermijden, transfereren) 11.Bepaal de relevante controlepunten (incl. richtsnoeren) 12.Koppel terug naar het management

80 Fase 2: Beheer 1. Beslis met het IVT hoe de controle punten worden opgevolgd 2. Stel logging en rapportering op 3. Evalueer de scope en risico s op regelmatige basis 4. Toets aan de management modellen 5. Organiseer regelmatig ISMS audits 6. Leg alle findings, policies, risico s op regelmatige basis voor aan het management

81 Informatieveiligsplan omdat het KAN

82

83 De Tool

84 Overzicht

85 Opstarten

86 Invullen V2 versus V3

87 Nieuwe inzending (Risico s/dreigingen)

88 Risico s/dreigingen

89 Dreigingen Bedrijfscontinuïteit Fysieke beveiliging Incidenten en incidentafhandeling Misbruik Mobiele apparatuur en telewerken Ongeautoriseerde toegang Systeem- en gebruikersfouten Uitwisselen en bewaren van informatie Verantwoordelijkheid Wet- en regelgeving 56 Risico s in kaart

90 Nieuwe inzending (maturiteitsmeting)

91 Maturiteit (meting) Cijfer Maturiteitsniveau Scoring van de naleving van normen (0) Onbestaande De norm wordt totaal niet nageleefd. Er is geen enkele beheersmaatregel betreffende de norm. (1) Initieel/Ad-hoc De norm wordt informeel en ad-hoc nageleefd vanuit een zeker bewustzijn, en als reactie op incidenten. De maatregelen zijn niet gedocumenteerd of gecommuniceerd. (2) Herhaalbaar maar inituitief. De norm wordt meer gestructureerd nageleefd. Er zijn geen detailanalyses die de keuze van de maatregelen onderbouwen. Er is geen contrôle op de effectiviteit van de maatregelen. (3) Gedefinieerd De norm wordt op een gestructureerde manier nageleeft. De maatregelen zijn gestandardiseerd, gedocumenteerd, gecommuniceerd en worden toegepast. De naleving wordt gecontroleerd, maar dit gebeurt niet gestructueerd. (4) Beheerd en meetbaar De effectiviteit van de maatregelen om de norm na te leven wordt gemeten, en deze input wordt gebruikt om de maatregelen bij te sturen (5) Geoptimaliseerd Het ISMS is geoptimaliseerd via benchmarking en kwaliteitscertificaten.

92 GO!

93 En dan

94 Wiki (community)

95 Daarna als PDF downloaden

96 Veiligheidsplan opmaken/wijzigen

97 Veiligheidsplan output

98 Vervolgtraject > 22 jan Stresstesting tool Versie > 31 jan Risicoanalyse (dreigingen) tool en rapportering Kwartaal 1 bezoek van alle lokale besturen via de regionale kenniskringen In samenwerking met de informatieveiligheidsconsulenten en hun besturen (veiligheidscel) de tool inzetten ifv de Veiligheidsplannen Iedereen een informatieveiligheidsplan in 2016!?

99 Toelichting van de risico-analyse

100 Wat is risico beheer? Risico beheer in het algemeen is een proces gericht op een efficiënte balans tussen het realiseren van opportuniteiten en het minimaliseren van daaraan verbonden risico s (in de vorm van bvb verliezen). Het is een essentieel onderdeel van een goede corporate governance structuur voor de organisatie Risico beheer is een continue proces

101 Informatieveiligheid Risico Beheer Is een onderdeel van het risico beheersproces van de organisatie, maar kan eveneens afzonderlijk uitgevoerd worden Gezien het feit dat informatietechnologie in het algemeen continue wijzigt, is het aan te raden dat het beheersen van risico s met betrekking tot informatie veiligheid worden ingericht als een permanent proces in de organisatie

102 Risico Assessment vs Beheer

103 Risico beheersing als onderdeel van ISMS

104 Informatieveiligheid = Informatie risico beheer 104

105 Start van Informatieveiligheid Risico beheer is het proces om dreigingen te identificeren ten opzichte van informatiebronnen die worden gebruikt door een organisatie in het bereiken van organisatorische doelstellingen, en om te beslissen welke tegenmaatregelen kunnen worden genomen om deze risico s te verminderen tot een aanvaardbaar niveau, op basis van de waarde van de informatiebron voor de organisatie. 105

106 HOE doe je dat?

107 4-stappenplan 1. Voer een Business Impact Analyse uit op je belangrijk(st)e informatie systemen 2. Analyseer op basis van de lijst van mogelijke dreigingen ten opzichte van de weerhouden informatiesystemen 3. Bekijk de risico-matrix en desbetreffende gelinkte maatregelen kritisch 4. Creëer een plan van aanpak met concrete stappen op basis van de richtsnoeren

108 Stap 1 Business Impact Analyse BIA Business Impact Analyse Informatiesysteem Impact Recovery Time Objective (RTO): Recovery Point Objective (RPO): Naam van het informatiesysteem Een beschrijving van de gevolgen van het niet beschikbaar zijn van een informatiesysteem, voor een periode langer of een dataverlies groter dan wat acceptabel is De maximaal acceptabele tijd dat een informatiesysteem niet beschikbaar mag zijn. Dit hoeft niet nauwkeurig, het gaat om een ordegrootte De maximaal acceptabele tijd tussen het uitvallen van een informatiesysteem en de laatste backup. Ook hierbij gaat het om een ordegrootte

109 Stap 1 Business Impact Analyse BIA Business Impact Analyse Integriteit Normaal / Belangrijk / Cruciaal Vertrouwelijkheid Openbaar / Intern / Vertrouwelijk / Geheim Eigenaar Lokatie: Is het informatiesysteem toegewezen aan een eigenaar? Is het een intern systeem of een externe oplossing (SAAS, Leverancier)?

110 Stap 2: Analyseer dreigingen tov Informatiesystemen Bedrijfscontinuïteit Fysieke beveiliging Incidenten en incidentafhandeling Misbruik Mobiele apparatuur en telewerken Ongeautoriseerde toegang Systeem- en gebruikersfouten Uitwisselen en bewaren van informatie Verantwoordelijkheid Wet- en regelgeving 56 Risico s in kaart

111 Stap 2: Analyseer dreigingen tov Informatiesystemen Risico = Kans x Impact Kans > jaarlijks (1) / jaarlijks (2) / maandelijks (3) / wekelijks (4) / dagelijks (5) Impact estimatie niet merkbaar (1) / klein (2) / gemiddeld (3) / groot (4) / desastreus (5) 111

112 Stap 2: Analyseer dreigingen tov Risico Score Informatiesystemen Laag = groen (< 3) Gemiddeld = geel (4-8) Hoog = oranje (9-16) Kritiek = rood (> 16) 112

113 Stap 2: Analyseer dreigingen tov Risico aanpak Ontwijk het risico Doe het niet of zoek een alternatief Accepteer het risico Begrijp het risico Doe niets, maar accepteer Beheers het risico Verminder de kwetsbaarheid of impact Evalueer het risico Evalueer de opties Informatiesystemen Overdracht van het risico Verzekering kan overwogen worden om impact van het risico te verminderen Outsourcing maak een andere partij contractueel aansprakelijk

114 Stap 3 Analyseer de risico-matrix Analyse in functie van de dreigingsclassificatie

115 Stap 3 Analyseer de risicomatrix Overzicht van de maatregelen (richtsnoeren) in functie van de risico score

116 Stap 4 - Creëer een plan van aanpak (gebruik de richtsnoeren) Focus eerst op de dreigingen die leiden tot een risico score kritiek en hoog Vergelijk welke richtsnoeren kunnen helpen om deze risico s te beheersen Creëer op basis hiervan een plan van aanpak

117 Laat ons dit eens samen uitvoeren

118 Workshop - afspraken Per tafel: stel jezelf even voor aan iedereen, wat is je rol, je link met informatieveiligheid Per tafel: stel een woordvoerder aan die jullie voorbereiding / resultaten zal voorstellen gedurende de workshop

119 Stap 1 Denk even na over de informatiesystemen die jullie gebruiken, op welke zou je starten om een Business Impact Analyse toe te passen? Beschrijf op basis van de template

120 Stap 1 Business Impact Analyse BIA Business Impact Analyse Informatiesysteem Impact Recovery Time Objective (RTO): Recovery Point Objective (RPO): Naam van het informatiesysteem Een beschrijving van de gevolgen van het niet beschikbaar zijn van een informatiesysteem, voor een periode langer of een dataverlies groter dan wat acceptabel is De maximaal acceptabele tijd dat een informatiesysteem niet beschikbaar mag zijn. Dit hoeft niet nauwkeurig, het gaat om een ordegrootte De maximaal acceptabele tijd tussen het uitvallen van een informatiesysteem en de laatste backup. Ook hierbij gaat het om een ordegrootte

121 Stap 1 Business Impact Analyse BIA Business Impact Analyse Integriteit Normaal / Belangrijk / Cruciaal Vertrouwelijkheid Openbaar / Intern / Vertrouwelijk / Geheim Eigenaar Lokatie: Is het informatiesysteem toegewezen aan een eigenaar? Is het een intern systeem of een externe oplossing (SAAS, Leverancier)?

122 Stap 2 We overlopen een aantal dreigingen per categorie Bespreek wat de huidige situatie is, en geef je argumentatie voor de gemaakte keuze Schat de kans dat de dreiging zich voordoet in, en schat de impact in Geef aan wat je gaat doen ten opzichte van het risico: ontwijken / accepteren / beheersen / overdragen

123 Verantwoordelijkheid (2) Beveiligingsinbreuken als gevolg van het ontbreken of niet oppakken van verantwoordelijkheden door leidinggevenden. Leidinggevenden hebben niet de juiste verantwoordelijkheden en middelen toegewezen gekregen om het beleid goed door te voeren binnen de organisatie of pakken deze verantwoordelijkheden onvoldoende op. Het eigenaarschap van informatiesystemen is niet goed belegd. Beveiliging vormt geen vast onderdeel van projecten

124 Verantwoordelijkheid (3) Medewerkers hebben onvoldoende aandacht voor het informatiebeveiligingsbeleid Het ontbreekt de medewerkers aan awareness op het gebied van informatiebeveiliging

125 Wet- en regelgeving (4) Tegen het bedrijf worden juridische stappen genomen vanwege het niet veilig omgaan met vertrouwelijke informatie. De organisatie en/of haar medewerkers handelen bewust of onbewust in strijd met de wet.

126 Wet- en regelgeving (6) Het niet hard kunnen maken van welke persoon over welk account beschikt. Gedeelde accounts, het gebruiken van een account van een ex-medewerker of het niet beschikbaar hebben van de juiste loginformatie.

127 Wet- en regelgeving (7) Inbreuk op vertrouwelijkheid door wetgeving ten aanzien van informatie in de cloud. Door wetgeving in sommige landen kan de overheid van zo'n land inzage krijgen in informatie welke in de cloud ligt opgeslagen.

128 Incidenten en incidentafhandeling (11) Systemen raken besmet met malware. Het ontbreekt aan een goed antivirus- en/of patchbeleid of het goed uitvoeren daarvan.

129 Incidenten en incidentafhandeling (12) Overbelasten van netwerkdiensten. Het overbelasten van een netwerkdienst waardoor deze niet meer beschikbaar is voor gebruikers.

130 Incidenten en incidentafhandeling (14) Incidenten kunnen niet (snel genoeg) opgelost worden omdat de nodige informatie en actieplannen ontbreken. Systeembeheerders hebben onvoldoende technische informatie over het probleem om het te kunnen oplossen. Een actieplan ontbreekt waardoor het incident onnodig lang blijft duren.

131 Incidenten en incidentafhandeling (15) Herhaling van incidenten. Incidentrapportages ontbreken of worden niet bijgehouden. Veel voorkomende incidenten worden daardoor niet pro-actief aangepakt.

132 Misbruik (16) Systemen worden niet gebruikt waarvoor ze bedoeld zijn. Het ontbreken van een beleid op bijvoorbeeld het internetgebruik, vergroot de kans op misbruik.

133 Misbruik (18) Beleid wordt niet gevolgd door ontbreken van sancties. Door het ontbreken van sancties op het overtreden van regels bestaat de kans dat medewerkers de beleidsmaatregelen niet serieus nemen.

134 Misbruik (19) Inbreuk op vertrouwelijkheid van informatie door het toelaten van externen in het pand of op het netwerk. Het toelaten van externen, zoals leveranciers en projectpartners, kunnen gevolgen hebben voor de vertrouwelijkheid van de informatie die binnen het pand of via het netwerk beschikbaar is.

135 Ongeautoriseerde toegang (20) Misbruik van andermans identiteit. Door onvoldoende (mogelijkheid op) controle op een identiteit, kan ongeautoriseerde toegang verkregen worden tot vertouwelijke informatie. Denk hierbij ook aan social engineering.

136 Ongeautoriseerde toegang (21) Onterecht hebben van rechten. Door een ontbrekend, onjuist of onduidelijk proces voor het uitdelen en innemen van rechten, kan een aanvaller onbedoeld meer rechten hebben.

137 Ongeautoriseerde toegang (23) Toegang tot informatie door slecht wachtwoordgebruik. Het ontbreken van een wachtwoordbeleid en bewustzijn bij medewerkers kan leiden tot het gebruik van zwakke wachtwoorden, het opschrijven van wachtwoorden of het gebruik van hetzelfde wachtwoord voor meerdere systemen.

138 Ongeautoriseerde toegang (25) Toegang tot informatie door onduidelijkheid over bevoegdheid en vertrouwelijkheid van informatie. Door onduidelijkheid in de classificatie van informatie bestaat de kans op ongeautoriseerde toegang tot gevoelige informatie.

139 Ongeautoriseerde toegang (30) Toegang tot informatie doordat deze zich buiten de beschermde omgeving bevinden. Informatie die voor toegestaan gebruik meegenomen wordt naar bijvoorbeeld buiten het kantoor wordt niet meer op de juiste wijze beschermd.

140 Uitwisselen en bewaren van informatie (33) Onveilig versturen van gevoelige informatie. Inbreuk op vertrouwelijkheid van informatie door onversleuteld versturen van informatie.

141 Uitwisselen en bewaren van informatie (34) Versturen van gevoelige informatie naar onjuiste persoon. Inbreuk op vertrouwelijkheid van informatie door het onvoldoende controleren van ontvanger.

142 Mobiele apparatuur en telewerken (38) Verlies van mobiele apparatuur en opslagmedia. Door het verlies van mobiele apparatuur en opslagmedia bestaat de kans op inbreuk op de vertrouwelijkheid van gevoelige informatie.

143 Mobiele apparatuur en telewerken (39) Aanvallen via onbeveiligde systemen. Door onvoldoende grip op de beveiliging van prive- en thuisapparatuur bestaat de kans op bijvoorbeeld besmetting met malware.

144 Systeem- en gebruikersfouten (41) Uitval van systemen door configuratiefouten. Onjuiste configuratie van een applicatie kunnen leiden tot een verkeerde verwerking van informatie.

145 Systeem- en gebruikersfouten (44) Fouten als gevolg van wijzigingen in andere systemen. In een systeem ontstaan fouten als gevolg van wijzigingen in gekoppelde systemen.

146 Fysieke beveiliging (46) Ongeautoriseerde fysieke toegang. Het ontbreken van toegangspasjes, zicht op ingangen en bewustzijn bij medewerkers vergroot de kans op ongeautoriseerde fysieke toegang.

147 Fysieke beveiliging (47) Brand Het ontbreken van brandmelders en brandblusapparatuur vergroten de gevolgen van een brand.

148 Fysieke beveiliging (51) Uitval van facilitaire middelen (gas, water, electriciteit, airco). Uitval van facilitaire middelen kan tot gevolg hebben dat een of meerdere bedrijfsonderdelen hun werk niet meer kunnen doen.

149 Bedrijfscontinuïteit (54) Niet beschikbaar zijn van informatie of diensten vanuit derden. Het niet beschikbaar zijn van cruciale informatie of diensten van derden door uitval van systemen, corrupt raken van de informatie of ongeplande contractbeëindiging kunnen de organisatie schade toebrengen.

150 Bedrijfscontinuïteit (55) Software wordt niet meer ondersteund door de uitgever. Voor software die niet meer ondersteund wordt worden geen securitypatches meer uitgegeven. Denk ook aan Excel- en Access-applicaties.

151 Bedrijfscontinuïteit (56) Kwijtraken van belangrijke kennis bij vertrek of niet beschikbaar zijn van medewerkers Medewerkers die het bedrijf verlaten of door een ongeval (tijdelijk) niet beschikbaar zijn beschikken over kennis die na het verlaten niet meer beschikbaar is.

152 Stap 3 Analyseer risico matrix Bereken je risico score op basis van kans x impact Laag = groen (< 3) Gemiddeld = geel (4-8) Hoog = oranje (9-16) Kritiek = rood (> 16) Stel de kritieke en hoog gescoorde risico s voor

153 Stap 4 Voor een aantal scenario s gaan we kijken hoe de richtsnoeren kunnen helpen

154 Vragen?