INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

Transcriptie

1 INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga

2 Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid Rol van de bestuur en management

3 Filmpjes over informatieveiligheid Ga naar

4 Taskforce Bestuur & Informatieveiligheid Dienstverlening Geïnitieerd door minister Plasterk N.a.v. Rapport Onderzoeksraad voor Veiligheid over DigiNotar Gestart per 13 februari 2013 Actief voor een periode van twee jaar Focus op bestuur & topmanagement Bouwt voort op bestaande initiatieven en is gericht op samenwerking

5 Dit doen we niet alleen

6 Informatieveiligheid, een uitdaging van ons allemaal Doel voor 2014 is gericht op het betekenisvol in gang krijgen van de dialoog; tussen raad, college en organisatie; samen met VNG, KING en de gemeentelijke vakverenigingen; en in nauwe aansluiting met de betrokken (vak)departementen.

7 Hackers bedienen containers in Antwerpen

8 Gemalen in Veere slecht beveiligd

9 Remote Bediening door een hacker

10 Identiteitsfraude met DigiD

11

12 Het technisch perspectief

13

14

15

16

17 Wat zien we in de prakijk Enkele trends over : Criminelen gaan steeds brutaler te werk en hun activiteiten zijn meer gericht op de mens. Apple-apparaten op de korrel gezien toename van het marktaandeel. De Cloud wordt ingezet als hulpmiddel om hacks uit te voeren. Actieve handel in kennis over kwetsbaarheden en hoe deze te misbruiken. Onvoldoende inzicht in relevante dreigingen en kwetsbaarheden. Meer kans op keteneffecten door hyperconnectiviteit van apparaten. Zwakke wachtwoorden blijven een probleem. Kwetsbaarheden van SCADA-systemen komen meer aan het licht. bron: NCSC CSBN

18 Ontwikkelingen in gedrag van criminelen

19 Informatieveiligheid gaat over

20 Maar ook over

21 Het perspectief van de overheid

22 Belang voor gemeenten van veilige informatie De efficiënte overheid: Processen zijn in toenemende mate informatiegestuurd en geautomatiseerd. In 2017 is zelfs alles digitaal (Digitaal 2017). De georganiseerde misdaad: informatie van gemeenten kan zeer interessant zijn voor de georganiseerde misdaad, denk aan hennepkwekerijen, ontruiming, maar ook diefstal van bijvoorbeeld GBA-gegevens. De decentralisaties: Met de komst van de decentralisatie komen zeer vertrouwelijke, medische en strafrechtelijke gegevens bij gemeenten te liggen. Deze kunnen niet op straat komen te liggen. De betrouwbare overheid: burgers en bedrijven moeten de overheid kunnen vertrouwen. Uit een recent onderzoek van de ombudsman blijkt dit in toenemende mate te spelen.

23 Overheidsverantwoordelijkheid informatieveiligheid Artikel 10, lid 1 en 2 van de Grondwet: Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Wet Bescherming Persoonsgegevens (WBP) 23

24 Overheidsverantwoordelijkheid informatieveiligheid 24

25 Overheidsverantwoordelijkheid informatieveiligheid Burger heeft het recht om onbespied te blijven. Mag er op rekenen dat de informatie over hem/haar, bij de overheid in veilige handen is. De (gemeentelijke) overheid is verantwoordelijk voor: Veiligheid van privacy gevoelige informatie over burgers; Continuïteit van de (digitale) dienstverlening via internet. 25

26 Rol van bestuur en management.

27 Resolutie Informatieveiligheid: Onderdeel van collegeambities, in portefeuille collegelid. Verankering op agenda, paragraaf in jaarverslag. Gemeenten implementeren, lokaal informatieveiligheidsbeleid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), hét gemeentelijke basisnormenkader. Borging door aansluiting planning & controlcyclus: leren en cyclisch ontwikkelen organisatie. Transparantie via waarstaatjegemeente.nl, peer reviews en interbestuurlijke visitatiecommissie.

28 In control op informatieveiligheid? Cultuur van veiligheid Monitoren en leren Informatieveiligheid Voldoen aan norm, baseline Crisisrespons

29 Tips om bestuur en management te betrekken Vertaal informatieveiligheid naar bestuurlijke risico s en thema s Politieke-bestuurlijk, Operationele risico, Financiele risico s en reputatie risico s Vergroot de urgentie Organiseer bijvoorbeeld een incident, een eigen test met een phishing mail Maak het tastbaar en klein en breng het dichtbij Bijvoorbeeld door een hack demo te tonen van een ipad of een telefoon Sluit een coalitie in je eigen organisatie met lijnmanagers die het probleem ook onderkennen Met bijvoorbeeld het hoofd burgerzaken, de financieel directeur etc.

30 Vragen?

31 De (overheids)ketting is zo sterk als de zwakste schakel en dat zien we helaas nog al te vaak terugkomen

32 Voorbeelden stuurvragen Staat informatieveiligheid op de agenda van ons bestuur en is informatieveiligheid opgenomen in de portefeuille van een van onze collegeleden? Werkt onze organisatie planmatig aan de invoering van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)? Hebben we zicht op onze meest kritieke processen? Hebben we een beleidsplan informatiebeveiliging? Kent iedereen in de organisatie het beleid op informatieveiligheid? Melden we incidenten aan de juiste instanties? Zijn wij aangesloten bij de Informatiebeveiligingsdienst voor gemeenten (IBD)? Kennen we onze leveranciers en ketenpartners en welke afspraken hebben we met hen gemaakt over informatieveiligheid? Toetsen we periodiek via peer reviews, audit en/of self-assessment of onze organisatie in control is op gebied van informatieveiligheid?

33 Welke stappen te nemen? Voer een GAP-analyse uit. Check of uw gemeente werkt conform de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Check of uw gemeente is aangesloten bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Indien dit niet het geval is, sluit uw gemeente aan bij de IBD. Check of uw gemeente in bezit is van een beleidsplan informatiebeveiliging. Richt het risicomanagement en het algemene managementraamwerk rond informatiemanagement in

34 Beleid informatiebeveiliging Informatiebeveiligingsorganisatie Evalueren & Rapporteren Identificeren bedrijfsprocessen Toekennen eigenaarschap Uitvoeren risicoanalyses Baseline Opstellen en invoeren beveiligingsplan Accepteren restrisico s Monitoren Managen van incidenten