RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

RAAK-project Veilig Water Programma Informatieveiligheid Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

Michiel Dirriwachter?

Dit doet een waterschap Een Waterschap?

Een Waterschap?

Waterschappen en Cybersecurity?

Waarom nu? Contrast eeuwen oude stabiele organisaties, snel veranderende omgeving Stijgende risico s (= kans x impact) Kansen nemen toe Techniek, toegankelijkheid malware, afhankelijkheid van ict en kennis, businesscase cybercrime, standaardisatie. Impact neemt toe Netwerk organisaties, afhankelijkheid eigen processen en maatschappij

2013: Werk aan de winkel

Onderlinge kennisdeling & samenwerking Coördinatoren Informatieveiligheid Waterschappen

SAMENWERKING

2015 en verder Enkele wapenfeiten: Invoeren Baseline standaard (BIWA/ISO27001) Aandacht voor Awareness Oprichting WS-CERT, samenwerking RWS SOC Optuigen samenwerking 2016: Programma in beheer bij Het Waterschapshuis Alle Waterschappen maken werk van informatieveiligheid, de volwassenheid stijgt

Volwassenheidsmodel Informatiebeveiliging De goede dingen doen (w=3) De dingen goed doen (w=2) De dingen goed beleggen (w=2) Opm.: Volwassenheid Informatieveiligheid Niveau Status van informatiebeveiliging 1 Reactief De meeste beveiligingsmaatregelen ontbreken 2 Ad hoc Maatregelen zijn op ad hoc basis getroffen 3 Baseline Er is een gecontroleerd basisniveau voor IB 4 Baseline plus Aanvullend wordt risicoanalyse ingezet 5 ISMS Er is een volledig en gecontroleerd ISMS Niveau Status van informatiebeveiliging 1 Initieel Er wordt niets afgestemd 2 Herhaald Good practices worden vastgelegd en toegepast 3 Gedefinieerd Gedefinieerde en vastgelegde procedures 4 Gemanaged Kwaliteit wordt gemeten en zo nodig verbeterd 5 Geoptimaliseerd Effectiviteit gemeten en zo nodig verbeterd Niveau Status van informatiebeveiliging 1 Onbezorgd Niemand is echt verantwoordelijk 2 Ontluikend IB is een stafaangelegenheid 3 Beheerst IB is een lijnmanagementaangelegenheid 4 Geïntegreerd IB is een integrale directieaangelegenheid 5 Genetwerkt Geïntegreerde IB strekt tot buiten de organisatie

Succesfactoren Succesfactor Beleid voor IB opgesteld, uitgedragen en bewaakt Sluitende inrichting van de organisatie voor IB Eigenaarschap adequaat ingevuld en opgepakt Awareness t.a.v. IB met participatie en goede voorbeeld Gecontroleerde afspraken met leveranciers over IB Baseline voor IB ingevoerd en geborgd Risicoanalyse voor alle essentiele systemen Alle kritische componenten worden gemonitord Alle kritische componenten worden regelmatig getoetst Alle incidenten worden geregistreerd en gerapporteerd De IB wordt regelmatig geaudit door ervaren auditors

De Cyber Security Demonstrator Maakt beveiligen van de PA visueel Maakt dreigingscenario s zichtbaar Maakt effect maatregelen zichtbaar Helpt bij vinden van optimum tussen te weinig en te veel beveiliging Voor beheerders en managers Inzetbaar in hoger onderwijs Uit te breiden tot trainingsinstrument (vervolgproject) Naar Madurodam? Samenwerking met SUTD in Singapore?

Twee sporen voor informatiebeveiliging Randvoorwaarde: beleid, middelen en organisatie voor IB zijn geregeld Afhankelijkheidsanalyse (per hoofdproces) Essentiele systemen Baseline (BIWA) Gebaseerd op ISO 2700x en andere good practices Kwetsbaarheidsanalyse (per kritisch systeem) Specifieke maatregelen Generieke maatregelen Syteemspecifiek. Eigenaar is systeemeigenaar (meestal ook proceseigenaar). Deze kan maatregelen uitzetten bij anderen. Informatiebeveiligingsplan Gap-analyse Maatregelen treffen Gap-analyse Informatiebeveiligingsbeleid Organisatiebreed. Eigenaar is CISO. Deze kan maatregelen uitzetten bij anderen.