IB RAPPORTAGE [Kies de datum] Contactcenter Logius Dit document bevat een rapportage over de status van informatiebeveiliging bij het Contactcenter Logius en geeft inzicht in belangrijke beveiligingsaspecten.
Inhoud INLEIDING... 2 BEVEILIGINGSRISICO S... 3 COMPLIANCE... 5 Compliance wet- en regelgeving... 5 Wet bescherming persoonsgegevens... 5 Algemene Verordening Gegevensbescherming (AVG)... 6 ISO27001:2013... 6 Baseline Informatiebeveiliging Rijksdienst... 6 BEVEILIGINGSINCIDENTEN... 7 DREIGINGNIVEAU... 8 BEWUSTWORDING & CULTUUR... 9 Voorbeeldgedrag... 9 Praktische uitvoerbaarheid... 9 Betrokkenheid... 9 Zichtbaarheid... 9 Openheid van organisatie... 9 Aanspreekbaarheid... 9 Handhaving... 10 Helderheid van regels... 10 PROJECTEN EN INITIATIEVEN... 11 X... 11 Y... 11 Z... 11 Pagina 1
INLEIDING Een adequaat opgezette en geïmplementeerde rapportagevorm voorziet in; INZICHT in de status van beveiliging, in relatie tot bedrijfsdoelstellingen. Dit stelt de organisatie in staat betere besluitvorming te voeren en in control te blijven op het gebied van beveiliging. FOCUS op wat belangrijk is voor de organisatie. Beveiligingsactiviteiten zouden in balans moeten zijn tussen bedrijfsrisico s en bedrijfsmogelijkheden. Het verliezen van de focus kan echter snel plaatsvinden wanneer de informatie te versnipperd, gedetailleerd of technisch is om een consistent overzicht te geven. COMMUNICATIE & BEWUSTWORDING want het management wenst relevante informatie en beveiligingsprofessionals proberen het niveau van bewustwording te vergroten. Een gedegen dashboard/rapportage voorziet in de behoefte van zowel management als beveiligingsprofessionals om bewustwording en inzicht te creëren m.b.t. de belangrijkste beveiligingsonderwerpen. STANDAARDISATIE & EFFICIENTIE een heldere eenduidige rapportagestructuur geeft vorm aan standaardisatie en zorgt voor meetbare vergelijkingen door de tijd heen. Het draagt ook bij aan heldere inzichten om sturing te geven en efficiënte besluitvorming te faciliteren. De rapportage bevat de onderdelen die hieronder in het schema zijn weergegeven en biedt op deze verschillende onderwerpen een beknopt overzicht van de belangrijkste waarden. Deze rapportage is bedoeld als kwartaalrapportage en zal daarom 4x per jaar worden opgesteld en aangeleverd worden aan de opdrachtgever (Logius Servicecentrum). Risico's Projecten Compliance Bewustwording & Cultuur Incidenten Dreigingsniveau Pagina 2
BEVEILIGINGSRISICO S In dit hoofdstuk worden de belangrijkste risico s benoemd die momenteel worden voorzien door het contactcenter op het gebied van informatieveiligheid. Risico s worden gezien als mogelijke negatieve consequenties die kunnen volgen uit een dreiging waarvoor het Contactcenter inschat dat haar weerbaarheid onvoldoende is om negatieve consequenties te vermijden dit risico zich manifesteert. Op basis van de risicoanalyse, verwachtte ontwikkelingen, voorgedane incidenten, constateringen in de praktijk, etc. zijn in dit hoofdstuk de voornaamste risico s m.b.t. informatieveiligheid benoemd die bij het Contactcenter bekend zijn. Risico s worden ingeschaald op basis van twee factoren; kans en impact. R4 R6 R7 R2 R5 R3 R9 R8 R1 Pagina 3
De risico s uit de risicomatrix worden in onderstaand overzicht verder benoemd en toegelicht. De trendkolom geeft weer of het risico gelijkblijvend, afgenomen of toegenomen is. Risico Omschrijving Level Trend Toelichting R1 HOOG. R2 ZEER.. HOOG R3 MIDDEN. R4 ZEER. HOOG R5 HOOG... R6 HOOG.. R7 HOOG. R8 MIDDEN R9 MIDDEN Pagina 4
COMPLIANCE In dit hoofdstuk wordt de compliance status ten aanzien van de geldende normenkaders voor infomatiebeveiliging en de bescherming van persoonsgegevens weergegeven. De Wet bescherming persoonsgegevens is de tot nu toe geldende Nederlandse wetgeving op het gebied van gegevensbescherming (privacy). De Algemene Verordening Gegevensbescherming is de nieuwe EU wetgeving op het gebied van gegevensbescherming en vervangt vanaf 25 mei 2018 officieel de Wbp, maar is al ingetreden per 25 mei 2016. De ISO27001:2013 is de internationale standaard voor informatiebeveiliging. De ISO27001:2013 voorziet o.a. in de opzet van een Information Security Management System (ISMS), om informatiebeveiliging op een gestructureerde wijze te borgen en als continu verbeterproces in te richten. De Baseline Informatiebeveiliging Rijksdienst is een op de ISO27001:2005 en ISO27002:2005 normenkaders gebaseerde standaard die geldt als het verplichte kader voor informatiebeveiliging bij de Rijksoverheid. Compliance wet- en regelgeving Niveau IB Compliance Huidig Doel AVG 10 BIR 8 6 4 2 0 ISO27001:2013 Wbp Wet bescherming persoonsgegevens Toelichting op status.. Pagina 5
Algemene Verordening Gegevensbescherming (AVG) Toelichting op status.. ISO27001:2013 Toelichting op status.. Baseline Informatiebeveiliging Rijksdienst Toelichting op status.. Status per normhoofdstuk BIR in percentages. Toelichting op tekortkomingen. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 2015 2016 2017 Pagina 6
BEVEILIGINGSINCIDENTEN In dit hoofdstuk wordt een overzicht gegeven van beveiligingsincidenten die zich hebben voorgedaan, waarbij het contactcenter een directe of indirecte betrokkenheid heeft. Impact van incidenten Halen van beleidsdoelstellingen Relatie klant-logius Politiek Juridisch Imago Vertraging dienstverlening Financieel/ economisch belang Voorbeeld incident 1 1 2 2 2 3 Impact categorie Impactniveau Financieel/ economisch belang Vertraging dienstverlening Imago Juridisch Politiek Relatie klant-logius Halen van beleidsdoelstellingen 1 Klein dragelijk financieel verlies. 2 Aanzienlijk verlies met consequenties voor liquiditeit. 3 Substantieel verlies, onoverbrugbare kosten, voortbestaan in geding. 1 Nauwelijks merkbaar en snel herstel. Kwaliteit dienstverlening nauwelijks in het geding; geen aantasting van leveringsafspraken. 2 Kwaliteit dienstverlening kan in het geding komen. 3 Kwaliteit dienstverlening ernstig in het geding. 1 Beperkte negatieve uitingen in de media. 2 Bijzondere persoonsgegevens of gerubriceerde informatie op straat. 3 Negatieve publiciteit op grote schaal, maatschappelijke verontwaardiging. 1 Geen aantasting van afspraken; geen juridische sancties. 2 Boetes en schadeclaims. 3 Interveniëren door Autoriteit Persoonsgegevens. 1 Geen politieke onrust. 2 Kamervragen, vragen van ombudsman, parlementair onderzoek, bewindslieden ter verantwoording. 3 Onvolkomenheden bij rekenkameronderzoek of onderzoek auditdienst rijk, parlementaire enquete, positie bewindslieden ter discussie. 1 Ongemak op medewerkersniveau kenbaar gemaakt. 2 Communicatie op managementniveau; verlies van managementcontrol. 3 Bestuurlijke escalatie. 1 Geen gevolgen buiten de organisatie; individuele ambtenaar wordt aangesproken. 2 Gevolgen intern zichtbaar. Directeur wordt aangesproken. 3 Gevolgen fors zichtbaar buiten Logius. Minister wordt aangesproken. Pagina 7
DREIGINGNIVEAU In dit hoofdstuk wordt een beeld geschetst van de verschillende dreigingfactoren en het daarbij ingeschatte dreigingniveau voor Logius en het Contactcenter. Dit beeld is gebaseerd op de gegevens die daarover op jaarlijkse basis worden gegeven in het Cybersecurity Beeld Nederland (CSBN) en de eigen risicoanalyses. Bron van Dreiging CSBN NL - Overheden Contactcenter Logius Beroepscriminelen Diefstal en publicatie of verkoop van informatie Manipulatie van informatie Overname van ICT Diefstal en publicatie of verkoop van informatie Manipulatie van informatie Overname van ICT Staten Digitale spionage Digitale spionage Offensieve cybercapaciteiten Offensieve cybercapaciteiten Terroristen Verstoring/overname van ICT Verstoring/overname van ICT Cybervandalen en scriptkiddies Diefstal van informatie Diefstal van informatie Hacktivisten Interne actoren Diefstal en publicatie van verkregen informatie Defacement Overname van ICT Diefstal en publicatie of verkoop van verkregen informatie Diefstal en publicatie van verkregen informatie Defacement Overname van ICT Diefstal en publicatie of verkoop van verkregen informatie Cyberonderzoekers Verkrijging en publicatie van informatie Verkrijging en publicatie van informatie Private Organisaties Geen actor Uitval van ICT Uitval van ICT ZEER HOOG TOEGENOEN RISICO HOOG RISICO GELIJKBLIJVEND/BEPERKT Pagina 8
BEWUSTWORDING & CULTUUR In dit hoofdstuk wordt een overzicht gegeven van de verschillende pijlers t.a.v. IB-cultuur en bewustwording. Onderstaande grafiek geeft inzicht in de status van de verschillende subonderwerpen die hierin zijn te onderkennen. Aanspreekbaarheid Handhaving Helderheid van regels 80% 70% 60% 50% 40% 30% 20% 10% 0% Voorbeeld gedrag Praktische uitvoerbaarheid Huidig Doel Openheid van organisatie Betrokkenheid Zichtbaarheid Voorbeeldgedrag Praktische uitvoerbaarheid Betrokkenheid Zichtbaarheid Openheid van organisatie Aanspreekbaarheid Pagina 9
Handhaving Helderheid van regels Pagina 10
PROJECTEN EN INITIATIEVEN In dit hoofdstuk worden verschillende projecten en initiatieven met een relevantie voor informatiebeveiliging benoemd die momenteel lopen of dat op korte termijn gaan doen. De kolom Status vs Doel geeft aan wat de huidige status is in relatie tot het uiteindelijke doel/oplevering. De kolom Voortgang vs Plan geeft aan wat de huidige voortgang is ten opzichte van de oorspronkelijk geplande voortgang. Project X Verantwoordelijke Status vs Doel.. Voortgang vs Plan! Y.!! Z.! Sterke afwijking Wijkt af Volgens plan X Toelichting.. Y Toelichting.. Z Toelichting.. Pagina 11