Advocatuur en informatie beveiliging Een hot topic René van den Assem Partner @ Verdonck, Klooster & Associates eherkenning adviseur @ ICTU Rene.vandenassem@vka.nl
De achterstandspositie PwC en IronMountain onderzoek. Info security maturity in 600 mid-size bedrijven.
De achterstandspositie (2) Infobeveiliging vooral nog als IT staf ding beschouwd. Management houdt zich bezig met de primaire business. Geen top-level management van risico s. Lang papieren cultuur. Digitale werkelijkheid rukt echter op. Cultuur van professionals. Verantwoordelijkheden worden vaak wel bij medewerker neergelegd, maar die is ternauwernood daarvoor toegerust. Bovendien niet of nauwelijks sturing en verantwoording. Geen cultuur! De risico s zijn echter reëel. Op zijn smalst: Vertrouwelijke documenten kwijt raken aansprakelijkheid, negatieve publiciteit nadelig voor reputatie en dus de business Slordige omgang met klantengegevens, gebrek aan duidelijke policy, gebrekkige middelen verminderd vertrouwen van klanten die dit zien business risico
De uitdaging is duidelijk, wat nu? Besturing voor infobeveiliging en geassocieerde risico s inrichten. Risico s worden gemanaged in het bestuur! Begint bij bepalen Risk Appetite Cultuur. Plek geven in normen en waarden. Want daar stuur je op in omgeving van professionals! Awareness en expliciet maken. Goede voorbeeld geven. Aanspreken. Ook plekje in beoordeling maar dit moet niet de hoofdmoot zijn. Vgl. met integriteit! Faciliteren. Richt informatiebeveiliging in de ICT rekening houdend met hedendaagse uitdagingen: Digitaal klantcontact BYOD, Cloud Social media Empower de medewerker Kennis, kunde, gereedschappen
Advocatenpas: één van de middelen ter beveiliging Digitalisering zet door Gebruikersnaam / wachtwoord end-of-life Behoefte aan sterkere authenticatie: 2 factor (kennis + bezit) Uitbreiding on-line mogelijkheden via eherkenning Start van on-line diensten van de rechtspraak Andere on-line diensten voor advocaten (gemeenten) via eherkenning Geheel andere on-line diensten (Agentschap.NL, op termijn ook Belastingdienst en KvK) Technisch mogelijk, maar alleen te ontwikkelen bij voldoende vraag Gebruik van advocatenpas in beveiliging eigen IT infra
eherkenning Gebruiker Authenticeren Machtigen E-dienst Burger Overheid User name / password Bedrijf Overheid Bedrijf
Hebben relatie Hebben relatie Wat is eherkenning? Een dienst voor de digitale herkenning van bedrijven Bedrijven Overheidsdienstverlener Doen elektronisch zaken Gebruiker Netwerk voor eherkenning 7
Voordelen Hergebruik van bestaande authenticatiemiddelen: usernames/passwords pasjes zoals PKI-overheid bankpassen telefoons andere hardware Overheidsdienstverlener: geen eigen uitgifte geen eigen beheer Bedrijven: geen digitale sleutelbos met één authenticatiemiddel bij verschillende overheidsdienstverleners 8
Verschillende betrouwbaarheidsniveaus in één stelsel User name / password 9
Trend 1: digitaal klantcontact Uw klant is digitaal, de advocaat steeds vaker ook! Dingen gaan per e-mail, dropbox etc. Of u het wilt of niet. Verbieden is nauwelijks houdbaar, het adagium is in goede banen leiden Daarbij mag u niet te veel achterlopen op de ICT werkelijkheid van uw klanten. Wat te faciliteren? Veilige e-mail met klant. Zeker! Veilig dossier delen met klant. Graag! Veilige samenwerkingsfunctionaliteit. Graag! Veilige videoconference. Wellicht, dat hangt af wie u klanten zijn en waar ze zitten.
Veilige e-mail Klassieke oplossingen Klassieke hiërarchische PKI Web of trust e-mail oplossingen, o.m. Pretty Good Privacy Nadeel vormen de grote set-up inspanning om klant te installeren met veilige e-mail. Alternatieve oplossingen Webmail. U zet alle e-mail met klanten op een webmail server. Dit kan, maar accepteert de klant zo n versplintering van zijn e-mail? Identity Based Encryption (IBE). De klant (ook een nieuwe) krijgt in zijn e-mail een vercijferd bericht. Bij eerste keer haalt de klant de nodige software op en registreert hij/zij zich. Advocatuur is niet uniek in deze. Voor de ziekenhuiswereld, met vertrouwelijke communicatie met (onder meer) patiënt, is gekozen voor IBE, met Voltage als productinvulling. Kunnen bedienen van een gemengde doelgroep (eigen volk met kaarten, klanten zonder) speelt ook hier.
Trend 2: BYOD Na PDA, smartphone, nu ook de tablet Wederom niet de stoppen trend Wordt gebruikt in veilige èn onveilige omgevingen, grenzen van bedrijfsnetwerk vervagen Opslag op mobile device en/of in de cloud Devices zelf zijn niet gemaakt voor security De nachtmerrie: vertrouwelijke gegevens op het mobiele apparaat en vervolgens verlies. Wat te doen? Duidelijke policy hoe dit soort apparaten te ondersteunen. Gebruikersvoorlichting: wat mag wel en wat niet op het mobiel device. Oplossingen om van tablet veilig device te maken. Specifieke oplossingen voor. Overweeg terke authenticatie voordat verbonden wordt met bedrijfsnetwerk (802.10x) Scannen van devices voordat ze volledig verbonden worden met netwerk.
Trend 3: de Cloud Vroeg of laat, ook u gaat de cloud in! Hosted applicaties als BaseNet of Fidura. Incl. klantdossier. Kantoorautomatisering in de cloud Eisen en certificaties CCBE: eisen aan cloud Eurocloud: eisen aan / certificatie van cloud dienstverlening Wat wil u met individuele cloud services? Oprukkend DropBox gebruik bv. Dit ligt op de loer voor verdergaande samenwerkingsfunctionaliteit! Ook hier geldt: in goede banen leiden, communiceren wat wèl en wat níet mag.
Samenvattend De digitale revolutie bereikt ook de advocatuur! Sterke authenticatie wordt ook voor uw kantoor steeds belangrijker: voor on-line dienstverlening, nu en straks via eherkenning. En voor uw netwerkbeveiliging, naarmate de grenzen van uw bedrijfsnetwerk vervagen. Kansen om advocatenpas her te gebruiken! Een proactieve houding is belangrijk om met de digitale revolutie om te gaan, anders zijn ongelukken te verwachten Beheers risico s in de top Laat als bestuur zien dat u het belangrijk vindt Draag uit en geeft het goede voorbeeld, het gaat om normen / waarden / principes. Bevorder aanspreekgedrag. Pak nieuwe ontwikkelingen op en faciliteer waar mogelijk. Veilig klantcontact, BYOD en Cloud zijn trends waar u iets mee moet en waarmee u kunt laten zien hoe u het wil. Communiceer duidelijk wat wel en wat niet mag. Zeker wat niet de bedoeling is, moet geen misverstand over bestaan.