Scenario 1: risico s 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding; 3. Verouderde software op IT-systemen; 4. Geen bijgewerkte antivirus; 5. IT-leverancier kan aanmelden op afstand zonder goedkeuring; 6. Slechte afspraken met IT-dienstenleveranciers; 7. Gebrek aan inventaris middelen en data classificatie; 8. IT-verantwoordelijke ad-interim beschikt niet over juiste competenties; 9. Ontbreken van back-up beleid en continuïteitsplan; 10. Imagoschade. 1
Scenario 1: beheersmaatregelen 1. Documenteer een minimum aan informatiebeveiligingsvereisten voor de configuratie van de IT-omgeving: 2. Bouw logische opdelingen en afschermingen in op het netwerk; 3. Werk de systeemsoftware op IT-systemen voldoende periodiek bij; 4. Installeer een antivirus oplossing en werk virusdefinities voldoende vaak bij; 5. Bouw garanties in dat toegang tot IT-omgeving gecontroleerd gebeurt 6. Maak duidelijke afspraken met dienstenleverancier wie waarvoor verantwoordelijkheid opneemten hoe die verantwoordelijkheid moet worden ingevuld (bv. SLA s, verwerkingsovereenkomst, updatebeheer, incidentbeheer, ) en hoe daarover moet gerapporteerd worden; 7. Bewaar een duidelijk overzicht van al het IT-materiaal en classificeer informatie; 8. Schrijf de diverse rollen en verantwoordelijkheden rond informatiebeveiliging concreet uit en wijs ze expliciet toe 9. Ontdubbel ICT-systemen, back-ups en bijhorende infrastructuur; 2
Scenario 2: risico s 1. Geen continuïteitsplan; 2. Incident blijft onder de radar; 3. Schade kritische infrastructuur; 4. Geen bruikbare back-up; 5. Onduidelijke rollen en verantwoordelijkheden; 6. Manke beveiliging documenten; 7. Opschrijven wachtwoorden; 8. Lage frequentie samenkomst veiligheidscel; 9. Gebrek sensibilisering. 3
Scenario 2: beheersmaatregelen 1. Maak afspraken, stel een plan op en test het. Bepaal gradaties in belang gegevens/activiteiten, documenteer herstelprocedures. 2. Duidt contactpersonen aan, registreer incidenten, deel potentiële vbn. 3. Bescherm het serverlokaal tegen calamiteiten (detectiesystemen, ligging leidingen, etc.). 4. Maak frequent back-ups, test ze, plaats ze ver genoeg van de servers. 5. Wijs rollen en verantwoordelijkheden expliciet intern of extern toe. 6. Clean desk, kasten op slot, afgeschermde zones. 7. Sensibiliseer, denk na over wachtwoordbeleid, naleving/afdwingbaarheid. 8. Kom regelmatig samen, communiceer naar rest organisatie. 9. Sensibilisering via opleiding, gedragscode, nieuwsbrief, e-mail, 4
Scenario 3: risico s 1. Bewustzijn en gedrag m.b.t. informatiebeveiliging persoonsafhankelijk; 2. IT-beleid en sourcing strategie in functie van praktische noden; 3. Externe IT-dienstenleverancier: grote afhankelijkheid, minimale verwachtingen onvoldoende concreet ingevuld en moeilijke opvolging van dienstverlening; 4. Conflicterende taken en verantwoordelijkheden; 5. Eigen ontwikkeling; 6. Geringe betrokkenheid van organisatie bij informatiebeveiliging; 7. Onbevoegde fysieke toegang tot archief 8. Onveilige omgang met papieren informatiedragers; 9. Versleuteling netwerk; 10. Informatiebeveiligingsincidenten blijven onder de radar. 5
Scenario 3: beheersmaatregelen 1. Bepaal beleidsregels rond informatiebeveiliging, stel een IT-code op, communiceer concrete richtlijnen en sensibiliseer medewerkers; 2. Hou bij het organiseren van de IT de doelstellingen van het bestuur en de beleidsregels rond beveiliging voor ogen; 3. Leg de concrete invulling van rollen en verantwoordelijkheden vast; 4. Software-ontwikkeling: duidelijke informatiebeveiligingsvereisten, documentatie, wijzigings- en capaciteitsbeheer, bescherming (test)gegevens, 5. Overleg periodiek in een veiligheidscel; 6. Tref passende maatregelen voor fysieke toegangsbeveiliging; 7. Leg verantwoordelijkheden en procedures vast voor de omgang met incidenten. 6
Scenario 4: risico s 1. Doorsturen van vertrouwelijke informatie zonder de nodige machtiging; 2. Onvoldoende sensibilisering bij instroom; 3. Te ruime rechtentoekenning; 4. Geen versleuteling van USB-stick; 5. Omgang met digitale en papieren informatiedragers zonder oog voor informatiebeveiliging; 6. Onvoldoende fysieke beveiliging; 7. Inmenging van het politieke niveau met als gevolg de niet naleving van de Algemene Verordening Gegevensbescherming; 8. Niet melden van informatiebeveiligingsincidenten. 7
Scenario 4: beheersmaatregelen 1. Beperk de toegang tot vertrouwelijke informatie op basis van noodzaak. 2. Sensibiliseer medewerkers m.b.t. informatiebeveiliging bij in- en uitstroom; 3. Versleutel digitale informatiedragers ter bescherming tegen onbevoegde toegang; 4. Pas een beleid toe omtrent het correct omgaan met digitale en papieren informatiedragers; 5. Beperk de toegang tot vertrouwelijke ruimtes en informatie; 6. Consulteer de veiligheidsconsulent in geval van twijfel; 7. Pas een beleid toe voor het detecteren, melden en opvolgen van informatiebeveiligingsincidenten. 8