INFORMATIEVEILIGHEID een uitdaging van ons allemaal

Transcriptie

1 INFORMATIEVEILIGHEID een uitdaging van ons allemaal FAMO Mini Congres: Harro Spanninga, Peter Keur

2 Agenda Inleiding op informatieveiligheid De opdracht van de taskforce Interactief verankeren van informatieveiligheid in je organisatie

3 Filmpjes over informatieveiligheid Ga naar

4 Identiteitsfraude met DigiD

5 Hackers bedienen containers in Antwerpen

6 Remote Bediening door een hacker

7

8 Taskforce Bestuur & Informatieveiligheid Dienstverlening Geïnitieerd door minister Plasterk N.a.v. Rapport Onderzoeksraad voor Veiligheid over DigiNotar Gestart per 13 februari 2013 Actief voor een periode van twee jaar Focus op bestuur & topmanagement Bouwt voort op bestaande initiatieven en is gericht op samenwerking

9 Invulling langs vijf lijnen Verplichtende Zelfregulering per overheidslaag Gerichtheid: Leeraanbod bestuurders en topmanagers Gericht op een leer- en ontwikkelproces Afgestemd op de volwassenheid van de overheidslaag Verankering: Handreikingen: baselines voor informatiebeveiliging Sturingsmiddelen Stelsel Interbestuurlijke visitatie, ketens, Single Audit Dialoog Vitale coalitie voor een informatieveilige overheid

10 Dit doen we niet alleen

11 Beleid informatiebeveiliging Informatieveiligheid organisatie Evalueren & Rapporteren Identificeren bedrijfsprocessen Toekennen eigenaarschap Uitvoeren risicoanalyses Baseline Opstellen en invoeren beveiligingsplan Accepteren restrisico s Monitoren Managen van incidenten

12 De (overheids)ketting is zo sterk als de zwakste schakel en dat zien we helaas nog al te vaak terugkomen

13 Informatieveiligheid is Beschikbaarheid Kan ik er bij op de momenten dat ik het nodig heb? Integriteit Kan ik er op vertrouwen dat de informatie klopt? Vertrouwelijkheid Kunnen er alleen die personen bij die toegang mogen hebben?

14 Belang van pakken rol (top) management Jargon en het gespecialiseerde karakter maken informatieveiligheid ongrijpbaar. Bijzaken van hoofdzaken onderscheiden is lastig. De media schetsen geen genuanceerd beeld: Oplichters op Marktplaats = georganiseerd stelen van staats- en/of organisatiegeheimen. Dit is geen excuus om het af te schuiven naar specialisten!

15 Belang van pakken rol (top) management Goed voorbeeld doet goed volgen, slecht voorbeeld vernietigt goodwill

16 ISMS: Information Security Management System(s) Gestructureerd werken aan informatieveiligheid: ISMS gestructureerd; binnen organisaties; op basis van best practices; procesmatige aanpak. Management System : meer management dan systeem Plan, Do, Check, Act

17 ISMS Beleid informatiebeveiliging Informatieveiligheid organisatie bestuur directeur CISO Evalueren & Rapporteren Identificeren bedrijfsprocessen Toekennen eigenaarschap Uitvoeren risicoanalyses Baseline Opstellen en invoeren beveiligingsplan Accepteren restrisico s Monitoren Managen van incidenten CISO

18 Interactief: Welke rol hoort waar? Dienst Registratie Reisbewegingen Ambtenaren (DRRA) Welkom bij onze fictieve overheidsorganisatie. Wij zijn een ZBO dat losjes aan ons moederdepartement (AZ) verbonden is. Wij hebben intensief contact met alle bestuursorganen en bestuurslagen die ons land rijk is. Onze primaire taak is het bijhouden waar welke ambtenaar zich te allen tijde bevindt. Wij zijn al jaren bezig met het beveiligen van deze informatie, maar tot heden is deze nog niet toereikend gebleken voor onze ZBO. De informatie die wij dienen te beveiligen is zeer gevoelig, mede doordat onze informatie qua classificatie de hoogste eisen stelt aan: vertrouwelijkheid, beschikbaarheid en integriteit. Daarnaast zou een informatielek bij ons voor de overheid extreme gevolgen kunnen hebben. Ons management bestaat, uitgezonderd calamiteiten, uit: Onze senior Bestuurder, Onze senior Directeur, Onze Chief Information Security Officer (CISO) en onze Lijnmanager(s).

19 Interactief Beleid informatiebeveiliging Welke actie of acties kun je in jouw organisatie uitvoeren? Informatieveiligheid organisatie Evalueren & Rapporteren Identificeren bedrijfsprocessen Toekennen eigenaarschap Uitvoeren risicoanalyses Baseline Opstellen en invoeren beveiligingsplan Acceptere n restrisico s Monitoren Managen van incidenten

20 Interactief: Zoek een Hoek Met welke elementen uit ISMS heb je in jouw praktijk positieve ervaringen? De gebieden zijn: Beleid en organisatie Processen en eigenaarschap Risico's en baselines Incidenten en monitoren

21 Afronding Om effectief te zijn, moet ISMS, onder andere: Verankerd zijn op het hoogste niveau van de organisatie. Gebaseerd zijn op één beleid en strategie voor de hele organisatie. De manier waarop de organisatie met risico s omgaat reflecteren. Gebaseerd zijn op een continue cyclus. Oftewel, een nooit ophoudend proces zijn.

22 Meer vragen over informatieveiligheid