5 dimensies van veilige voor gemeenten

Transcriptie

1 5 dimensies van veilige voor gemeenten

2 Minister Kamp moest in juli door het stof omdat hij zijn privémailadres voor zijn werk had gebruikt. Ook in lagere overheden zullen soms gemeenteambtenaren vanwege het gemak zakelijke gegevens via privéapps delen. Hierdoor kan gevoelige informatie in verkeerde handen vallen. Door de vijf dimensies voor veilige in acht te nemen, verklein je dat gevaar en weet je wat te doen als er onverhoopt toch een incident heeft plaatsgevonden. 1. Maak van dataveiligheid een prioriteit Na het ingaan van de meldplicht datalekken telde de Autoriteit Persoonsgegevens tussen 1 januari en 27 mei 147 meldingen van gemeentelijke datalekken. Hoe zorg je ervoor dat medewerkers geen data onveilig delen met hun privémail? Het begint bij een beleid en het besef vanuit het topmanagement dat veiligheid van gegevens belangrijk is. Allereerst moet er een visie worden neergezet door het management. In die visie staat dat er geld en tijd moet worden vrijgemaakt voor een veiligheidsfunctionaris. Hij zal zich alleen inzetten voor dataveiligheid en krijgt daar ook budget en mandaat voor. Met draagvlak en support vanuit de top kan uitvoering van het beleid daadwerkelijk succesvol worden. 2. Beleg dataveiligheid in de organisatie Hoewel de beveiliging van persoonsgegevens de afgelopen jaren een hot topic was, is de bewustwording en implementatie van beleid pas wat later op gang gekomen. Onder druk van de Wet Meldplicht Datalekken is het afgelopen half jaar het besef gekomen dat op het gebied van security organisatorische stappen moeten worden gezet. De wet vereist een databeschermingsbeleid dat gehandhaafd wordt. In deze plannen zou moeten staan wie verantwoordelijk is voor het melden van een (mogelijk) datalek. Omdat niet iedere gemeente een Chief Information Security Officer (CISO) heeft, is het vaak verstandig om binnen de organisatie een CISO aan te stellen of te benoemen. Een CISO is onder andere verantwoordelijk voor het opstellen, bijstellen, vernieuwen en herzien van het informatiebeveiligingsbeleid en de daaruit voortvloeiende informatie(beveiligings-)plannen. Daarnaast kan hij optreden als informatiebeveiligingsadviseur (voor het management) bij nieuwe ICT-voorzieningen en bij ingrijpende veranderingen in de ICT-infrastructuur. Het ligt voor de hand dat onder te brengen bij de IT-manager. Het is bij grotere gemeenten vaak beter om iemand volledig vrij te maken voor deze taak, zodat het niet iets wordt wat hij of zij erbij moet doen.

3 Daarnaast moet de CISO een organisatie-brede kijk op beveiliging hebben. Hoe je het beste een CISO kunt benoemen, lees je in het functieprofiel dat is geschreven door de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Om de CISO op het gebied van security helemaal up-to-date te krijgen, zijn overigens talloze cursussen beschikbaar. Deze CISO zou moeten zorgdragen voor een strikt beleid met betrekking tot het verwerken van persoonsgegevens. Hij kan hiervoor richtlijnen opstellen voor het opslaan van persoonsgegevens (op draagbare apparatuur). Het opstellen van een protocol inclusief een procedure voor melding aan de Autoriteit Persoonsgegevens en betrokkenen kan hier deel van uitmaken. 3. Maak medewerkers databewust Een nieuw en verbeterd veiligheidsbeleid invoeren is al niet gemakkelijk, maar dat iedereen het beleid volgt is een tweede. Een keten is zo sterk als de zwakste schakel. Daarom moeten alle gemeenteambetenaren ervan doordrongen zijn dat het veiligheidsbeleid ieders verantwoordelijkheid is. Dat is natuurlijk geen kwestie van één presentatie ten overstaan van alle ambtenaren, maar een continu proces. Medewerkers zouden continu op de hoogte moeten gehouden moeten worden van de nieuwste mogelijkheden en regelgeving. Inventariseer waar in de gemeente welke gegevens worden verwerkt en breng de datastromen van de organisatie in kaart. Let daarbij op gevoelige gegevens die worden verwerkt zoals bijvoorbeeld persoonsgegevens. Neem de huidige beveiligingsmaatregelen onder de loep. Inventariseer de mogelijke risico s van verlies van gegevens en pas waar nodig het beveiligingsbeleid aan. Daarnaast is het handig om beleid te ontwikkelen hoe in bepaalde omstandigheden met data om te gaan. Eenduidigheid en eenvoud zijn hierin essentieel. Hoe ingewikkelder processen en procedures zijn, hoe sneller ze terzijde worden geschoven waardoor het beleid zich in zijn eigen voet schiet. De onderstaande zeven stelregels kunnen een vertrekpunt zijn voor een nader in te vullen veiligheidsbeleid: Houd zakelijk en privé strikt gescheiden Laat een werkplek nooit ontgrendeld achter Zorg voor goed beheer van de werkplek of mobiel device Installeer de laatste (security) updates Verander de wachtwoorden elke 90 dagen en stel een policy in voor de complexiteit Single Sign-On waar mogelijk Zorg voor een goed ICT-beleid en voer deze door in de systemen

4 4. Zorg voor een calamiteitenplan Incidentmanagement is belangrijk omdat volledig beveiligen niet bestaat en ongelukken niet te voorkomen zijn. Het is niet de vraag óf er iets gaat gebeuren, maar wanneer het mis gaat. Als er ondanks alle inspanningen data wordt gelekt, is het gemakkelijker het hoofd koel te houden met een stappenplan op zowel technisch als communicatief (intern en extern) gebied. De belangrijkste te verwachte incidenten kunnen hiermee van tevoren in kaart gebracht worden. Ook kunnen bijpassende reacties en escalatieprocedure van tevoren uitgewerkt en geoefend worden. In een calamiteitenplan moet duidelijk staan wie de verantwoordelijke is en welke afdeling of functionaris betrokken moet worden in het geval er sprake is van een incident. Denk aan de CISO, de juridische afdeling, B&W en uiteraard de afdeling communicatie. Laat hierbij de rollen en taken van deze afdelingen en of functionarissen aansluiten op bestaande processen binnen de gemeente. In de procedure moet in ieder geval worden geregeld aan wie een datalek intern wordt gemeld, welke maatregelen door wie binnen welke termijnen moeten worden genomen en hoe en naar welke instantie het datalek naar buiten toe wordt gecommuniceerd. In bepaalde gevallen moet een datalek gemeld worden bij de verzekering of dient er een advocaat ingeschakeld te worden. Externe instanties kunnen zorgen voor voldoende interne training met betrekking tot deze procedure. Incidenten kunnen een uitwerking hebben naar andere partners in de keten als toeleveranciers. Sommige incidenten doen zich daarnaast niet bij één gemeente voor, maar ook bij andere. Door het incident ook extern te escaleren, kan de impact van het probleem zo klein mogelijk gehouden worden. De overkoepelende Informatiebeveiligingsdienst voor gemeenten (IBD) heeft het overzicht, de contacten en de middelen om andere (keten)partners en gemeenten snel te kunnen waarschuwen. Daarnaast staan zij in direct contact met het Nationaal Cyber Security Centrum (NCSC). 5. Beveilig technologie Meestal is de mens de zwakste schakel bij incidenten. Maar de technologie in Microsoft Office 365 kan gemeenten en ambtenaren goed helpen om compliant te zijn. In je favoriete Office-toepassingen kun je bijvoorbeeld ondersteund worden zodat je tijdens het gebruik minder snel in de fout gaat. Met Office 365 E5 beschik je niet alleen over alle vertrouwde Office-toepassingen, maar kan ook zonder limiet worden gearchiveerd voor juridische verplichtingen. Daarnaast zijn beheer van rechten, preventie van gegevensverlies en versleuteling goed geregeld. Ook beschik je altijd over de nieuwste, veilige versie dankzij de automatische updates.

5 Omdat Office 365 vanuit de Cloud werkt, kan iedereen altijd en overal mee vergaderen en documenten bewerken en delen. Dat kan op bijna elk denkbaar apparaat. Mobiel werken brengt haar eigen security uitdagingen met zich mee. Een mobieltje of laptop kan bijvoorbeeld kwijtraken. Met Microsoft Enterprise Mobility Suite (EMS) behoud je het volledige beheer en de volledige beveiliging voor alle mobiele apparaten met elk gewenst besturingssysteem, dus ook niet-windows-platformen als ios en Android. Azure Rights Management versleutelt bijlages in verkeer. Je kunt de versleu teling toepassen op één of meer personen of een groep. Een teammanager kan een bijlage bijvoorbeeld lezen en bewerken, terwijl de teamleden die alleen kunnen lezen. Personen buiten het team kunnen helemaal niets met de versleutelde informatie. Ook beveiligt het SharePoint-bibliotheken door met Information Rights Management de juiste machtigingen in te stellen. En last but not least beschermt Advanced Threat Protection collega s tegen onbekende en geavanceerde bedreigingen die zich schuilhouden in berichten, bijlagen en koppelingen. Hiermee speel je in op de toenemende malwaredreigingen als ransomware en cryptoware waar enkele gemeenten onlangs door werden geteisterd. Next step Wil je de beveiliging van jouw organisatie op orde krijgen? Neem dan contact op met een van de Microsoft Partners die zich hebben gespecialiseerd in de lokale overheid. Zij kunnen met een diepgaandere analyse bepalen welke kwetsbaarheden binnen jouw gemeente aanwezig zijn.

6 Meer informatie? Kijk dan op: