INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

Transcriptie

1 INFORMATIEVEILIGHEID een uitdaging van ons allemaal

2 PUBLIEKE DIENSTVERLENING & INFORMATIEVEILIGHEID noodzakelijke kennis of onnodige ballast?

3 Informatieveiligheid een uitdaging van ons allemaal Start

4 Publieke Dienstverlening en Informatieveiligheid

5 Publieke Dienstverlening bij gemeenten Volgens WIKIPEDIA: De publieke dienstverlening van gemeenten, inwoners en bedrijven verplaatst zich van het loket in het gemeentehuis steeds meer naar het digitale loket op websites van gemeenten. De wijze waarop de diensten worden geleverd liggen vast in een aantal wetten.

6 Publieke Dienstverlening bij gemeenten Volgens WIKIPEDIA: Voor het beoordelen van de taken van gemeenten op het terrein van publieke dienstverlening zijn de volgende criteria van belang: bereikbaarheid: hoe staat het met de bereikbaarheid van de gemeente? wachttijden: word ik binnen aanvaardbare tijden geholpen? bejegening: word ik correct behandeld? lever- en doorlooptijden: binnen welke termijn worden de diensten en producten geleverd? leges: wat zijn de kosten? elektronische mogelijkheden: welke mogelijkheden voor e-dienstverlening biedt de gemeente?

7 De aanleiding Informatieveiligheid is meer dan techniek alleen Start

8 Strategie VDP Nee ten zij Aanscherping 2020 traject Bulk Beperkt zelfredzaam Multiproblem 3D, ketens Informatie in allerlei stromen essentieel Beschikbaar, integer, privacy Allerlei projecten VDP Maar informatieveiligheid?

9 De Taskforce Bestuur en Informatieveiligheid Dienstverlening Mede op advies van de Onderzoeksraad Voor Veiligheid Geïnitieerd door minister Plasterk, Ministerie van BZK Gestart per 13 februari 2013 Actief voor een periode van twee jaar Gericht op Verplichtende Zelfregulering Focus op bestuur en topmanagement

10 De gezichten achter de Taskforce BID

11 De doelen 1. Versnelling te weeg brengen bij bestuur en topmanagement op het vlak van bewustzijn als het gaat om informatieveiligheid, samen met de koepelorganisaties per overheidslaag 2. Concrete middelen ontwikkelen om sturing op informatieveiligheid door bestuur en topmanagement binnen de overheidslagen mogelijk te maken 3. Verankeren van veiligheidsbeleid in structuren en werkprocessen 4. = organisatieleren

12 De aanleiding Informatieveiligheid is meer dan techniek alleen Start

13 De conclusie Informatieveiligheid is mensenwerk Informatieveiligheid gaat helaas slechts deels om techniek Bewustzijn van informatieveiligheid bij management (en medewerkers) is waar het echt om draait! Als punt op de horizon voor de Taskforce is om deze reden in eerste instantie bewust gekozen voor Verplichtende Zelfregulering (vereist juiste mentaliteit) en bewust niet voor wetgeving

14 Informatieveiligheid staat of valt met bewustzijn en dat bewustzijn start met het besef dat de wereld verandert en daarmee ook onze dienstverleningsmodellen, zeker Publieke Dienstverlening met het besef dat onze gemeentelijke organisatie zich door deze digitalisering onbedoeld uitbreidt buiten de muren van ons kantoor: Informatie wordt steeds vaker digitaal ontsloten middels allerlei apparaten die binnen en buiten de gemeentelijke muren worden gebruikt Informatie wordt ook door onze burgers en bedrijven door de opkomst en impact van social media inmiddels anders gebruikt Kortom: informatieveiligheid gaat eigenlijk om INFORMATIE en VEILIGHEID in de breedste zin des woords

15 Informatie en veiligheid het zit in de details Start

16 De risico s voor gemeenten Voorbeelden bedreigingen Informatie diefstal Hacking Technische storing van netwerk Virus Menselijke fouten Voorbeeld van impact Verlies van persoonsgegevens, fraude Illegale aanpassingen op websites, fraude Uitval van systemen, geen paspoorten kunnen uitgeven Uitval van systemen, geen uitkeringen kunnen uitkeren Uitval van systemen, verlies van data

17 De oplossing Informatieveiligheid vereist een plek aan de bestuurstafel, zeker bij Publieke Dienstverlening Ervaring leert dat echte informatieveiligheid pas wordt bereikt als we allemaal, van hoog tot laag, doordrongen zijn van het belang én van de risico s Daar zit de echte oplossing. Hoog tijd dus voor een verscherping van het bewustzijn en concrete sturing op informatieveiligheid binnen gemeenten

18 De meerwaarde Informatieveiligheid is niet vrijblijvend Ook hier geldt; de gemeentelijke ketting is zo sterk als de zwakste schakel Kortom, samenwerken én eigen verantwoordelijkheid

19 Het perspectief Alle overheidslagen en organisaties, dus ook gemeenten hebben over twee jaar een solide basis voor verplichtende zelfregulering op informatiebeveiligingsvlak In iedere organisatie dient een jaarlijkse cyclus te zijn geborgd waarin ambtelijke en bestuurlijke oordeelsvorming over informatieveiligheid plaatsvindt en uiteraard een verbeteraanpak wordt neergelegd

20 De uitgangspunten (1/2) Verplichtende Zelfregulering conform Statement BRG Een normatieve basis per gemeente en per overheidslaag (ISO en ISO 27002) Een verankering van deze normatiek. Elke betrokken gemeente regelt de informatieveiligheid op adequaat niveau Op het niveau van de overheidslagen is er een stelsel van afspraken over de verantwoordelijkheid van koepelorganisaties zoals VNG. Op landelijk niveau belegde en daarvoor ingerichte voorzieningen faciliteren deze zelfregulering

21 De uitgangspunten (2/2) Verplichtende Zelfregulering conform Statement BRG Auditing is hierbij een belangrijk instrument. De ontwikkeling van een stelsel van single audit is uiteraard een stimulerende factor voor zelfregulering bij gemeenten Elke gemeente, nader ondersteund per overheidslaag, traint regulier op een actieve gerichtheid van bestuur, management, ICT-functionarissen en andere medewerkers op informatieveiligheid Voor elke gemeente en elke overheidslaag zijn een probleemanalyse en veranderplan opgesteld, die uiteindelijk leiden tot een verplichtende zelfregulering van informatieveiligheid

22 Verplichtende Zelfregulering Stelsel Stelsel: Kaderstelling Controlemechanismen Toezicht Overheidslaag Organisatie

23 De basis van zelfregulering Zelfregulering veronderstelt dat er binnen de gemeentelijke overheidslaag: verantwoordelijkheid ten aanzien van het probleem bestaat een bepaald niveau van kennis aanwezig is voldoende draagvlak bestaat voor zelfregulering een voldoende organisatiegraad bestaat

24 De start Een baseline voor gemeenten De audits zoals het ICT-Beveiligingsassessment DigiD Verplichte audits, GBA.Suwi De kennis van pioniers en best practices De opleidingen vanuit bestaande gremia

25 De normatieve basis ISO ISO GEMMA Richtsnoeren

26 De veiligheidscyclus als basis De veiligheidscyclus is de basis voor actie binnen elke stap. Een voorbeeld: informatieveiligheidsbeleid bevat beleid op gebied van: pro-actie preventie preparatie respons nazorg en herstel

27 Verplichtende Zelfregulering bij informatieveiligheid Zelfregulering betekent: maken van een risicoanalyse maken van beleid en toepassing van normen sturing op uitvoering van beleid controle, verantwoording en toezicht op beleid en uitvoering daarvan bijstelling en leren waar nodig

28 Audit extern Monitor ISO Baseline overheidslaag Maken van analyse (GAP & risico) Maken van beleid Uitvoeren Controleren Bijstellen Oordelen Sancties Evalueren Verantwoorden Toezicht 28

29 Hoe stimuleert de Taskforce BID deze Verplichtende Zelfregulering? De gemeentelijke overheidslaag gesteund door de Taskforce BID stelt een veranderplan (programmering) op via twee lijnen: gerichtheid en verankeren Deze programmering start waar er al energie of beweging is (projecten, initiatieven, bestuurlijke thema s) binnen een overheidslaag Deze programmering is zoveel mogelijk gericht op bestaande netwerken en gremia en richt zich op co-creatie van pioniers en faciliteren van beginners Programmering neemt normen en architecturen als uitgangspunt, overheidslaag is verantwoordelijk voor implementatie

30 De onderdelen van de programmering Workshops en bewustwordingsbijeenkomsten Systematiek voor risicoanalyse Format voor informatieveiligheidsbeleid Stappenplan voor implementatie norm en veiligheidscyclus Systematiek voor controle en toezicht Systematiek voor verandering en bijstelling

31 Informatieveiligheid blijft mensenwerk Start

32 VRAGEN?

33 DE specificaties

34 Voorbeeld G4 Baselines gebaseerd op ISO s 10 hoofdprocessen hoogste prioriteit bij informatiebeveiliging In control -verklaring door alle afdelingsmanagers Classificatie van informatie, A&K analyse en verantwoordelijkheden bij nieuwe ICT-projecten

35 Voorbeeld IJsselstein Informatiebeveiligingsbeleidsplan als deelplan van informatiebeleid Raad nu al informeel betrokken College B&W stelt vast en bepaalt of plan doorgaat naar Raad Raad zal naar alle waarschijnlijkheid controlerende functie krijgen

36 Audit extern Monitor ISO Baseline overheidslaag Maken van analyse (GAP & risico) Maken van beleid Uitvoeren Controleren Bijstellen Oordelen Sancties Evalueren Verantwoorden Toezicht 36

37 De stand van zaken RO: PDCA Cyclus

38 Status bij gemeenten IST SOLL Norm Risico s Beleid Uitvoering Controle Toezicht GEMMA ISO ISO BIG GEMMA Risicoanalyses bij aantal gemeenten Beleidsparagraaf Systematiek voor risicoanalyses Beleidsplan Gemeente Gemeente Raad Rekenkamer Raad Rekenkamer Edp auditor? Audit anderen? Raad Raad Rol IBD? Rol VNG?