Praktijkgerichte aanpak van informatieveiligheid: hoe overeenstemmen met GDPR?

Transcriptie

1 Praktijkgerichte aanpak van informatieveiligheid: hoe overeenstemmen met GDPR? September 2017 Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director Voorzitter ISACA Belgium vzw Lid van Vlaamse Toezichtcommissie (VTC)

2 1. Wanneer heb je een goed informatieveiligheidsbeleid met aandacht voor privacy?

3 1. Wanneer heb je een goed informatieveiligheidsbeleid met aandacht voor privacy? Opstellen van een informatieveiligheidsplan!!! Eenzelfde kader voor alle organisaties: Richtsnoeren informatieveiligheid CBPL s/richtsnoeren_cbpl_v%202%200_3.pdf! risico-analyse! continue bewustmaking ( awareness )! voldoende middelen voorzien! stappenplan: meerjaren-planning! contract met alle verwerkers (software-leveranciers, (onder)aannemers met toegang tot informatie)

4 1. Wanneer heb je een goed informatieveiligheidsbeleid met aandacht voor privacy? Informatieveiligheidsplan: Risico inschatting 1. Beleid 2. Organisatie: intern + externe partijen 3. Personeelsbeleid 4. Bedrijfsmiddelen: informatie classificatie 5. Toegang tot persoonsgegevens 6. Cryptografie 7. Fysieke beveiliging 8. Operationele beveiliging 9. Communicatiebeveiliging 10. Aanschaffen, ontwikkelen en onderhouden toepassingen & informatiesystemen 11. Leveranciersrelaties 12. Incidenten 13. Continuïteit 14. Naleving

5 1. Wanneer heb je een goed informatieveiligheidsbeleid met aandacht voor privacy? Belgische Gids voor Cyberveiligheid De gids is bedoeld als praktisch instrument voor het bedrijfsleven, maar kan zeker ook zijn nut bewijzen in een overheidscontext. Het is een technologieneutrale en beknopte handleiding die verhelderend wil zijn voor het management en die zo ook bruikbaar is voor de CISO.

6 1. Wanneer heb je een goed informatieveiligheidsbeleid met aandacht voor privacy?

7 1. Wanneer heb je een goed informatieveiligheidsbeleid met aandacht voor privacy? Processen & Procedures Organisatie Risicobeheer & Controle Cultuur, Ethiek & Gedrag Principes + Visie + Beleid + Richtsnoeren Informatie & Data Architectuur Diensten, Infrastructuur, Toepassingen Kennis & Competenties Communicatie & Rapportering

8 2. Wat is de functie & de invulling van de information security officer (CISO) & de data protection officer (DPO)?

9 2. Wat is de functie & de invulling van de information security officer (CISO) & de data protection officer (DPO)?

10 2. Wat is de functie & de invulling van de information security officer (CISO) & de data protection officer (DPO)?

11 2. Wat is de functie & de invulling van de information security officer (CISO) & de data protection officer (DPO)? Informatieveiligheid niet alleen persoonsgegevens maar ook o andere vertrouwelijke informatie o beschikbaarheid & betrouwbaarheid van informatie voor de werking van de organisatie, voor uitwisseling met andere organisaties en overheden o ook informatie op papier!!!

12 2. Wat is de functie & de invulling van de information security officer (CISO) & de data protection officer (DPO)? CISO = DPO mag mogelijkheden ointern (niet ICT verantwoordelijke of directeur of jurist!) oextern (niet software-leverancier!) oper groep (minimum aantal uren per maand) 16 uur per maand!

13 2. Wat is de functie & de invulling van de information security officer (CISO) & de data protection officer (DPO)? Positie van de functionaris voor gegevensbescherming a) naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens; b) toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid; c) onafhankelijk werken en geen instructies ontvangt met betrekking tot de uitvoering van die taken. d) rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker. e) kan andere taken en plichten vervullen zonder belangenconflict.

14 2. Wat is de functie & de invulling van de information security officer (CISO) & de data protection officer (DPO)? Taken van de functionaris voor gegevensbescherming a) Verwerker informeren en adviseren over verplichtingen; b) toezien op naleving van deze verordening met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits; c) advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan; d) met de toezichthoudende autoriteit samenwerken; e) optreden als contactpunt voor de toezichthoudende autoriteit;

15 3. Hoe zet je een veiligheidsplan met aandacht voor privacy om in de realiteit? Belgische Gids voor Cyberveiligheid

16 3. Hoe zet je een veiligheidsplan met aandacht voor privacy om in de realiteit? Continu bewustmaking van personeel, leveranciers en klanten Voorbeeld: wachtzinnen - Strikt persoonlijk => dus niet doorgeven - Degelijk = hoe langer hoe beter, niet gemakkelijk te raden - Regelmatig wijzigen (vb. 1x/jaar) - Niet volledig opschrijven - Niet automatisch opslaan in browsers - Verschillende wachtzinnen voor verschillende toepassingen - wachtzin generatoren gebruiken (LastPass, Dashlane, KeePass, 1Password)

17 3. Hoe zet je een veiligheidsplan met aandacht voor privacy om in de realiteit?

18 3. Hoe zet je een veiligheidsplan met aandacht voor privacy om in de realiteit? Waar wordt alle data bijgehouden?

19 3. Hoe zet je een veiligheidsplan met aandacht voor privacy om in de realiteit? Hoe wordt alle data bijgehouden?

20 3. Hoe zet je een veiligheidsplan met aandacht voor privacy om in de realiteit? 1. Minimalizeer aanvalgebied 2. Security by default 3. Least privilege 4. Defense in depth 5. Misluk op veilige manier 6. Vertrouw niets 7. Scheiding van functies 8. Vermijd security by obscurity 9. Hou informatieveiligheid zo eenvoudig mogelijk 10. Los veiligheidsproblemen en incidenten correct op

21 3. Hoe zet je een veiligheidsplan met aandacht voor privacy om in de realiteit?

22 3. Hoe zet je een veiligheidsplan met aandacht voor privacy om in de realiteit? PRIVACY BY DESIGN

23 3. Hoe zet je een veiligheidsplan met aandacht voor privacy om in de realiteit?

24 3. Hoe zet je een veiligheidsplan met aandacht voor privacy om in de realiteit? Communicatie & opslag van data in the cloud?

25 3. Hoe zet je een veiligheidsplan met aandacht voor privacy om in de realiteit? o Gratis beoordelingstool van Smals: Cloud Security model om het beveiligingsniveau van een aangeboden clouddienst te evalueren. o Dropbox for business Dropbox free

26 3. Hoe zet je een veiligheidsplan met aandacht voor privacy om in de realiteit?

27 4. Wat moet je doen bij informatie-incidenten, zoals hacking of gegevenslekken?

28 4. Wat moet je doen bij informatie-incidenten, zoals hacking of gegevenslekken? Aanbeveling van de privacycommissie omtrent datalekken (Januari 2013)

29 4. Wat moet je doen bij informatie-incidenten, zoals hacking of gegevenslekken?

30 Besluit Informatieveiligheid is een zaak van iedereen!

31

32

33 -gegevensbescherming-privacycommissie-lanceert-themadossier-en

34

35

36 Contact gegevens Mr. Marc Vael ISACA BELGIUM vzw Koningsstraat 109 b Brussel