INFORMATIEVEILIGHEID een uitdaging van ons allemaal
PUBLIEKE DIENSTVERLENING & INFORMATIEVEILIGHEID noodzakelijke kennis of onnodige ballast?
Informatieveiligheid een uitdaging van ons allemaal Start
Publieke Dienstverlening en Informatieveiligheid
Publieke Dienstverlening bij gemeenten Volgens WIKIPEDIA: De publieke dienstverlening van gemeenten, inwoners en bedrijven verplaatst zich van het loket in het gemeentehuis steeds meer naar het digitale loket op websites van gemeenten. De wijze waarop de diensten worden geleverd liggen vast in een aantal wetten.
Publieke Dienstverlening bij gemeenten Volgens WIKIPEDIA: Voor het beoordelen van de taken van gemeenten op het terrein van publieke dienstverlening zijn de volgende criteria van belang: bereikbaarheid: hoe staat het met de bereikbaarheid van de gemeente? wachttijden: word ik binnen aanvaardbare tijden geholpen? bejegening: word ik correct behandeld? lever- en doorlooptijden: binnen welke termijn worden de diensten en producten geleverd? leges: wat zijn de kosten? elektronische mogelijkheden: welke mogelijkheden voor e-dienstverlening biedt de gemeente?
De aanleiding Informatieveiligheid is meer dan techniek alleen Start
Strategie VDP Nee ten zij Aanscherping 2020 traject Bulk Beperkt zelfredzaam Multiproblem 3D, ketens Informatie in allerlei stromen essentieel Beschikbaar, integer, privacy Allerlei projecten VDP Maar informatieveiligheid?
De Taskforce Bestuur en Informatieveiligheid Dienstverlening Mede op advies van de Onderzoeksraad Voor Veiligheid Geïnitieerd door minister Plasterk, Ministerie van BZK Gestart per 13 februari 2013 Actief voor een periode van twee jaar Gericht op Verplichtende Zelfregulering Focus op bestuur en topmanagement
De gezichten achter de Taskforce BID
De doelen 1. Versnelling te weeg brengen bij bestuur en topmanagement op het vlak van bewustzijn als het gaat om informatieveiligheid, samen met de koepelorganisaties per overheidslaag 2. Concrete middelen ontwikkelen om sturing op informatieveiligheid door bestuur en topmanagement binnen de overheidslagen mogelijk te maken 3. Verankeren van veiligheidsbeleid in structuren en werkprocessen 4. = organisatieleren
De aanleiding Informatieveiligheid is meer dan techniek alleen Start
De conclusie Informatieveiligheid is mensenwerk Informatieveiligheid gaat helaas slechts deels om techniek Bewustzijn van informatieveiligheid bij management (en medewerkers) is waar het echt om draait! Als punt op de horizon voor de Taskforce is om deze reden in eerste instantie bewust gekozen voor Verplichtende Zelfregulering (vereist juiste mentaliteit) en bewust niet voor wetgeving
Informatieveiligheid staat of valt met bewustzijn en dat bewustzijn start met het besef dat de wereld verandert en daarmee ook onze dienstverleningsmodellen, zeker Publieke Dienstverlening met het besef dat onze gemeentelijke organisatie zich door deze digitalisering onbedoeld uitbreidt buiten de muren van ons kantoor: Informatie wordt steeds vaker digitaal ontsloten middels allerlei apparaten die binnen en buiten de gemeentelijke muren worden gebruikt Informatie wordt ook door onze burgers en bedrijven door de opkomst en impact van social media inmiddels anders gebruikt Kortom: informatieveiligheid gaat eigenlijk om INFORMATIE en VEILIGHEID in de breedste zin des woords
Informatie en veiligheid het zit in de details Start
De risico s voor gemeenten Voorbeelden bedreigingen Informatie diefstal Hacking Technische storing van netwerk Virus Menselijke fouten Voorbeeld van impact Verlies van persoonsgegevens, fraude Illegale aanpassingen op websites, fraude Uitval van systemen, geen paspoorten kunnen uitgeven Uitval van systemen, geen uitkeringen kunnen uitkeren Uitval van systemen, verlies van data
De oplossing Informatieveiligheid vereist een plek aan de bestuurstafel, zeker bij Publieke Dienstverlening Ervaring leert dat echte informatieveiligheid pas wordt bereikt als we allemaal, van hoog tot laag, doordrongen zijn van het belang én van de risico s Daar zit de echte oplossing. Hoog tijd dus voor een verscherping van het bewustzijn en concrete sturing op informatieveiligheid binnen gemeenten
De meerwaarde Informatieveiligheid is niet vrijblijvend Ook hier geldt; de gemeentelijke ketting is zo sterk als de zwakste schakel Kortom, samenwerken én eigen verantwoordelijkheid
Het perspectief Alle overheidslagen en organisaties, dus ook gemeenten hebben over twee jaar een solide basis voor verplichtende zelfregulering op informatiebeveiligingsvlak In iedere organisatie dient een jaarlijkse cyclus te zijn geborgd waarin ambtelijke en bestuurlijke oordeelsvorming over informatieveiligheid plaatsvindt en uiteraard een verbeteraanpak wordt neergelegd
De uitgangspunten (1/2) Verplichtende Zelfregulering conform Statement BRG Een normatieve basis per gemeente en per overheidslaag (ISO 27001 en ISO 27002) Een verankering van deze normatiek. Elke betrokken gemeente regelt de informatieveiligheid op adequaat niveau Op het niveau van de overheidslagen is er een stelsel van afspraken over de verantwoordelijkheid van koepelorganisaties zoals VNG. Op landelijk niveau belegde en daarvoor ingerichte voorzieningen faciliteren deze zelfregulering
De uitgangspunten (2/2) Verplichtende Zelfregulering conform Statement BRG Auditing is hierbij een belangrijk instrument. De ontwikkeling van een stelsel van single audit is uiteraard een stimulerende factor voor zelfregulering bij gemeenten Elke gemeente, nader ondersteund per overheidslaag, traint regulier op een actieve gerichtheid van bestuur, management, ICT-functionarissen en andere medewerkers op informatieveiligheid Voor elke gemeente en elke overheidslaag zijn een probleemanalyse en veranderplan opgesteld, die uiteindelijk leiden tot een verplichtende zelfregulering van informatieveiligheid
Verplichtende Zelfregulering Stelsel Stelsel: Kaderstelling Controlemechanismen Toezicht Overheidslaag Organisatie
De basis van zelfregulering Zelfregulering veronderstelt dat er binnen de gemeentelijke overheidslaag: verantwoordelijkheid ten aanzien van het probleem bestaat een bepaald niveau van kennis aanwezig is voldoende draagvlak bestaat voor zelfregulering een voldoende organisatiegraad bestaat
De start Een baseline voor gemeenten De audits zoals het ICT-Beveiligingsassessment DigiD Verplichte audits, GBA.Suwi De kennis van pioniers en best practices De opleidingen vanuit bestaande gremia
De normatieve basis ISO 27001 ISO 27002 GEMMA Richtsnoeren
De veiligheidscyclus als basis De veiligheidscyclus is de basis voor actie binnen elke stap. Een voorbeeld: informatieveiligheidsbeleid bevat beleid op gebied van: pro-actie preventie preparatie respons nazorg en herstel
Verplichtende Zelfregulering bij informatieveiligheid Zelfregulering betekent: maken van een risicoanalyse maken van beleid en toepassing van normen sturing op uitvoering van beleid controle, verantwoording en toezicht op beleid en uitvoering daarvan bijstelling en leren waar nodig
Audit extern Monitor ISO Baseline overheidslaag Maken van analyse (GAP & risico) Maken van beleid Uitvoeren Controleren Bijstellen Oordelen Sancties Evalueren Verantwoorden Toezicht 28
Hoe stimuleert de Taskforce BID deze Verplichtende Zelfregulering? De gemeentelijke overheidslaag gesteund door de Taskforce BID stelt een veranderplan (programmering) op via twee lijnen: gerichtheid en verankeren Deze programmering start waar er al energie of beweging is (projecten, initiatieven, bestuurlijke thema s) binnen een overheidslaag Deze programmering is zoveel mogelijk gericht op bestaande netwerken en gremia en richt zich op co-creatie van pioniers en faciliteren van beginners Programmering neemt normen en architecturen als uitgangspunt, overheidslaag is verantwoordelijk voor implementatie
De onderdelen van de programmering Workshops en bewustwordingsbijeenkomsten Systematiek voor risicoanalyse Format voor informatieveiligheidsbeleid Stappenplan voor implementatie norm en veiligheidscyclus Systematiek voor controle en toezicht Systematiek voor verandering en bijstelling
Informatieveiligheid blijft mensenwerk Start
VRAGEN?
DE specificaties
Voorbeeld G4 Baselines gebaseerd op ISO s 10 hoofdprocessen hoogste prioriteit bij informatiebeveiliging In control -verklaring door alle afdelingsmanagers Classificatie van informatie, A&K analyse en verantwoordelijkheden bij nieuwe ICT-projecten
Voorbeeld IJsselstein Informatiebeveiligingsbeleidsplan als deelplan van informatiebeleid Raad nu al informeel betrokken College B&W stelt vast en bepaalt of plan doorgaat naar Raad Raad zal naar alle waarschijnlijkheid controlerende functie krijgen
Audit extern Monitor ISO Baseline overheidslaag Maken van analyse (GAP & risico) Maken van beleid Uitvoeren Controleren Bijstellen Oordelen Sancties Evalueren Verantwoorden Toezicht 36
De stand van zaken RO: PDCA Cyclus
Status bij gemeenten IST SOLL Norm Risico s Beleid Uitvoering Controle Toezicht GEMMA ISO 27001 ISO 27002 BIG GEMMA Risicoanalyses bij aantal gemeenten Beleidsparagraaf Systematiek voor risicoanalyses Beleidsplan Gemeente Gemeente Raad Rekenkamer Raad Rekenkamer Edp auditor? Audit anderen? Raad Raad Rol IBD? Rol VNG?