E-government I N T E R C O M M U N A L E L E I E D A L 1
PRIVACY CAFE Francis Devriendt De Samenkomst, 15 december 2016
Een gevoel van onbehagen I N T E R C O M M U N A L E L E I E D A L 3
Dataclassificatie I N T E R C O M M U N A L E L E I E D A L 4
OPen Data is de regel I N T E R C O M M U N A L E L E I E D A L 5
Privacy: een uitzondering die aandacht verdient I N T E R C O M M U N A L E L E I E D A L 6
Wat doen we met onze data? I N T E R C O M M U N A L E L E I E D A L 7
We droppen ze overal I N T E R C O M M U N A L E L E I E D A L 8
Het is zelfs gratis I N T E R C O M M U N A L E L E I E D A L 9
I N T E R C O M M U N A L E L E I E D A L 1 0
Maar is gratis wel gratis? I N T E R C O M M U N A L E L E I E D A L 1 1
Wat als? elk WiFi netwerk onbeveiligd was? I N T E R C O M M U N A L E L E I E D A L 1 2
I N T E R C O M M U N A L E L E I E D A L 1 3
I N T E R C O M M U N A L E L E I E D A L 1 4
Wat als? Alle emailadressen en URL s legitiem waren? 5/dec 6/dec 7/dec 8/dec 9/dec 10/dec 11/dec Weektotaal watchguard suspected 14 53 13 40 45 15 13 193 watchguard spam 14949 7025 13225 15130 7809 646 899 59683 watchguard bulk 574 5430 439 569 2972 90 83 10157 spam suspected 192 301 162 202 113 23 427 1420 spam confirmed 1308 604 353 420 208 0 12 2905 archive in 1070 1155 1029 1229 925 250 243 5901 Totaal ontvangen mails 18107 14568 15221 17590 12072 1024 1677 80259 7,35% -> slechts 7,35% van de ontvangen mails mag terecht doorgelaten worden naar inbox van medewerker I N T E R C O M M U N A L E L E I E D A L 1 5
Wat als? Ex-medewerkers blijvend aan databronnen konden? I N T E R C O M M U N A L E L E I E D A L 1 6
Wat als Er geen emailfilters waren? I N T E R C O M M U N A L E L E I E D A L 1 7
I N T E R C O M M U N A L E L E I E D A L 1 8
Wat als? Iedereen uw paswoord kende? I N T E R C O M M U N A L E L E I E D A L 1 9
I N T E R C O M M U N A L E L E I E D A L 2 0
Wat als De Russen de Amerikaanse verkiezingen konden beïnvloeden? I N T E R C O M M U N A L E L E I E D A L 2 1
I N T E R C O M M U N A L E L E I E D A L 2 2
Wat verwachten wij als wij onze data Proportionaliteit Confidentialiteit Finaliteit Transparantie I N T E R C O M M U N A L E L E I E D A L 2 3
I N T E R C O M M U N A L E L E I E D A L 2 4
De menselijke factor? I N T E R C O M M U N A L E L E I E D A L 2 5
Een ge ntegreerd beleid 1. Risicobeoordeling 2. Algemeen beveiligingsbeleid (security policy) 3. Organisatie van informatieveiligheid 4. Personeelsbeleid 5. Bedrijfsmiddelen 6. Toegangsbeveiliging 7. Cryptografie 8. Fysieke beveiliging (beveiliging omgeving) 9. Operationele beveiliging (beveiliging bedrijfsactiviteiten) 10. Communicatie beveiliging (netwerk en informatietransport) 11. Beheer van informatiesystemen (verwerving, ontwikkeling, onderhoud) 12. Beheer van leveranciersrelaties 13. Beheer van incidenten (incident management) 14. Beheer van bedrijfscontinuïteit (calamiteiten) 15. Naleving (compliance) I N T E R C O M M U N A L E L E I E D A L 2 6
Risicobeoordeling Analyse van de risico s Risico = kans x schade Doorvoeren van beheersmaatregelen I N T E R C O M M U N A L E L E I E D A L 2 7
Algemeen beveiligingsbeleid Verantwoordelijkheden aanduiden Aanduiden informatieveiligheidsconsulent De nodige mensen en middelen Regelmatige bewustwording I N T E R C O M M U N A L E L E I E D A L 2 8
personeelsbeleid Contractueel? Gedragscode? Arbeidsreglement? I N T E R C O M M U N A L E L E I E D A L 2 9
Organisatie van informatieveiligheid Basisverantwoordelijkheden Organisatiecomponenten Plan-Do-Check-Act cyclus I N T E R C O M M U N A L E L E I E D A L 3 0
Beheer van bedrijfsmiddellen Dataclassificatie gebeurd? Bijpassende procedures voor media? I N T E R C O M M U N A L E L E I E D A L 3 1
toegangsbeveiliging Verantwoordelijke Toegangen? Heeft personeel slechts toegang tot de nodige data? I N T E R C O M M U N A L E L E I E D A L 3 2
cryptografie Is er vastgesteld welke gegevens moeten geëncrypteerd worden? I N T E R C O M M U N A L E L E I E D A L 3 3
Fysieke beveiliging Een sleutelbeleid invoeren I N T E R C O M M U N A L E L E I E D A L 3 4
Operationele beveiliging Procedures Functiescheiding I N T E R C O M M U N A L E L E I E D A L 3 5
communicatiebeveiliging Beleid inzake gebruik communicatiemiddelen Scheiding tussen stad en OCMW Rapporteren incidenten I N T E R C O M M U N A L E L E I E D A L 3 6
Beheer leveranciersrelaties Is er een lijst van leveranciers en hun toegangen? Zijn de verplichtingen, van deze leveranciers vastgelegd in een overeenkomst? I N T E R C O M M U N A L E L E I E D A L 3 7
Beheer van incidenten Procedure voor rapporteren incidenten? Wordt deze gebruikt? Worden de incidenten gelogd? I N T E R C O M M U N A L E L E I E D A L 3 8
bedrijfscontinu teit Worden er backups genomen Worden deze regelmatig getest? I N T E R C O M M U N A L E L E I E D A L 3 9
naleving Nationale wetgeving Vlaamse wetgeving Europese wetgeving Machtigingen Audits I N T E R C O M M U N A L E L E I E D A L 4 0
I N T E R C O M M U N A L E L E I E D A L 4 1