Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Transcriptie

1 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

2 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen bedrijven in? 3) Meldplicht datalekken 4) Afronding / Aanbevelingen 5) Vragen?

3 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen bedrijven in? 3) Meldplicht datalekken 4) Afronding / Aanbevelingen 5) Vragen?

4 Definitie van Informatiebeveiliging: Informatiebeveiliging (I.B.) is het geheel van preventieve, repressieve en herstel-maatregelen alsmede procedures welke de beschikbaarheid, integriteit en vertrouwelijkheid van alle vormen van informatie garanderen met als doel de continuïteit van de organisatie te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald, niveau te beperken

5 Informatiebeveiliging gaat over: wet- & regelgeving contractuele verplichtingen terrein telewerken laptop USB tablet telefoon personeel cliënten leveranciers gebouw serverruimte terr 0 II I III externe backup externe systemen dropbox e.d. SO hacker(s) datacentrum / hoster water elektra telefoon gas internet

6 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen bedrijven in? 3) Meldplicht datalekken 4) Afronding / Aanbevelingen 5) Vragen?

7 We hoeven niet meteen alles op te lossen! Pak IB aan door vanuit belangrijkste bedrijfsprocessen te denken: 1) Identificeer je belangrijkste bedrijfsprocessen 2) Bepaal welke risico s daarbij spelen (B, I, V) 3) Analyseer de risico s en ga ze prioriteren 4) Kies passende maatregelen om het effect te beperken tot een acceptabel niveau

8 Analyseer de risico s en maak keuzes Impact Mitigerende maatregelen: - Elimineren - Reduceren - Overdragen - Accepteren Kans

9 Houd Beveiliging & Risico in balans

10 Bedenk zelf hoever je wil gaan met IB I Bedrijfscontinuïteit > risico s vaststellen en hiervoor maatregelen implementeren II Externe eisen > maatregelen nav wettelijke of contractuele verplichtingen III Certificering > kunnen aantonen dat de IB op orde is ahv norm ISO27001 (of NEN7510)

11 Borging mbv de PDCA-cyclus

12 beveiligingsniveau De PDCA-cyclus zorgt voor groei VERBETERING tijd

13 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen bedrijven in? 3) Meldplicht datalekken 4) Afronding / Aanbevelingen 5) Vragen?

14 Wpb stelde al behoorlijk wat regels Gegevens moeten in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt Gegevens worden alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld (informatie vooraf en meldplicht) Gegevens mogen alleen worden verwerkt als er een rechtmatige grondslag is (zoals genoemd in de wet): met toestemming van betrokkene, óf indien noodzakelijk voor uitvoering van overeenkomst met betrokkene, óf indien gerechtvaardigd belang (tenzij belang van privacy zwaarder weegt) Gegevens mogen alleen zo lang worden bewaard als voor het verwezenlijken van de doeleinden noodzakelijk is Gegevens moeten toereikend, ter zake dienend en niet bovenmatig zijn Gegevens mogen alleen worden verwerkt als er passende technische en organisatorische maatregelen zijn getroffen om te beveiligen tegen verlies of enige vorm van onrechtmatige bewerking Betrokkene heeft recht op inzage, correctie en verwijdering Persoonsgegevens betreffende de gezondheid mogen alleen worden verwerkt door personen met geheimhoudingsplicht

15 Wbp uitgebreid: Meldplicht datalekken Vanaf verplicht melden van datalekken Datalek moet gemeld wanneer kans op verlies of onrechtmatige verwerking van persoonsgegevens Melding bij CBP (wordt AP), soms ook bij Betrokkenen CBP controleert, kan onderzoeken, kan bindende aanwijzing opleggen, of een directe boete tot maximaal Wanneer wel of niet melden: concretisering / uitleg van de wet in CBP Richtsnoeren (concept 21-09)

16 CBP Richtsnoeren concretiseren de Wet Wanneer is de Meldplicht van toepassing? Wanneer is een Beveiligingsincident een Datalek? Wanneer moet het Datalek bij het CBP gemeld? Wanneer moet het Datalek bij Betrokkenen gemeld? CBP Richtsnoeren bevatten overzichtelijke beslisbomen waarmee in concrete situaties voorgaande bepaald kan worden. De laatste versie is te downloaden van:

17 De Meldplicht is alleen van toepassing: Indien er sprake is van Persoonsgegevens En u de Verantwoordelijke bent En de Wbp van toepassing is door (a) aard, (b) doelstelling, (c) locatie van activiteiten irt Verantw. 1. Gegevens van geïdentificeerde of identificeerbare personen 2. Verantwoordelijke bepaalt, Bewerker voert uit 3. Voor een bedrijf in Frankrijk dat in NL gegevens laat verwerken geldt Franse wetgeving, niet onze Wbp, geen Meldplicht; een NL bedrijf dat in Frankrijk gegevens laat verwerken: juist wel! 4. Gegevensverwerking tbv artistiek of literair doel vallen er buiten

18 Een incident is alleen een Datalek: Indien Persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking Niet redelijkerwijs uitgesloten kan worden dat voorgaande ook daadwerkelijk gebeurd is 1. Een kwijtgeraakte USB-stick met niet-versleutelde gegevens 2. Inloggegevens bij een onbevoegde en via logbestanden (intact en betrouwbaar ) is niet aan te tonen dat NIET naar info is gekeken 3. Na een calamiteit zoals een brand in een datacentrum blijkt de verloren data NIET vanuit een backup weer te restoren

19 Het Datalek moet bij CBP gemeld indien: Persoonsgegevens van gevoelige aard gelekt zijn Aard en omvang leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen 1. Verloren laptop met onversleutelde, financiële klantgegevens 2. Informatie mbt schoolprestaties ingezien waardoor mogelijk stigmatisering 3. Kopieën van identiteitsbewijzen waarmee identiteitsfraude mogelijk 4. Namen en mailadressen van personen met specifieke kenmerken of overtuiging (geaardheid, leeftijd, blijf-van-mn-lijf, etc) waar het dus niet gaat om de aard van de gegevens maar om de context!

20 Datalek moet gemeld bij Betrokkenen indien: Géén zorgplicht financiële instellingen van toepassing Onvoldoende technische beschermingsmaatregelen Ongunstige gevolgen voor persoonlijke levenssfeer Geen zwaarwegende redenen om níet te melden 1. Deel van medisch dossier vernietigd, geen backup, kan adequate behandeling verstoren, door melding kan betrokkene alerter zijn 2. Medische gegevens ontvreemd, betrokkene kan moeilijker baan vinden indien informatie gelekt over aandoeningen, zwanger, etc 3. Login-gegevens ontvreemd waarmee toegang tot account, betrokkenen moeten nieuw wachtwoord instellen

21 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen bedrijven in? 3) Meldplicht datalekken 4) Afronding / Aanbevelingen 5) Vragen?

22 Afronding / Aanbevelingen 1) IB is complex en uitgebreid, maar begin simpel, zorg eerst voor maatregelen t.b.v. continuïteit 2) Zorg dat alle medewerkers het belang van IB gaan zien en eraan bij gaan dragen 3) Als de bedrijfsvoering om meer vraagt (vanwege Wbp, of primaire proces, of aantoonbaarheid) zorg dan dat een IB-deskundige meekijkt zodat tijd en geld in de juiste zaken gestoken worden

23 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen bedrijven in? 3) Meldplicht datalekken 4) Afronding / Aanbevelingen 5) Vragen?

24 Bedankt voor de aandacht! Vragen of opmerkingen? - Bezoek: - Mail: info@zilverblad.nl - Bel: