Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Vergelijkbare documenten
Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Gemeente Alphen aan den Rijn

Datalekken (en privacy!)

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

Gemeente Delft. OnderwerpOnderwerp Bestuurlijke reactie rapport BDO Informatiebeveiliging

Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.

Het verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1

Privacy & online. 9iC9I

Privacyverordening gemeente Utrecht. Utrecht.nl

Berry Kok. Navara Risk Advisory

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Fiscount ICT-Strategie en -Beveiliging

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

Persoonsgegevens van een overleden persoon vallen niet onder de AVG

Procedure datalekken NoorderBasis

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Checklist Beveiliging Persoonsgegevens

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Datalek dichten en voorkomen. 21 april 2017

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Privacy Maturity Scan (PMS)

Privacybeleid gemeente Wierden

Nieuwe ontwikkelingen SSC de Kempen. Informatiebeveiliging

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

Handreiking Implementatie Specifiek Suwinetnormenkader

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Quick scan Informatiebeveiliging gemeente Zoetermeer

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

E. Procedure datalekken

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

Jaarverslag Informatiebeveiliging en Privacy

Raadsmededeling - Openbaar

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Cloud computing Helena Verhagen & Gert-Jan Kroese

Definitieve versie d.d. 24 mei Privacybeleid

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

ECIB/U Lbr. 15/079

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

Patiënten dossier & dataveiligheid Europese Privacy Verordening + ISO / NEN 7510

Procedure Meldplicht Datalekken & Veiligheidsincidenten gemeente Geertruidenberg

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Informatieveiligheidsbeleid

A2 PROCEDURE MELDEN DATALEKKEN

Informatiebeveiliging in Súdwest-Fryslân

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

Wettelijke kaders voor de omgang met gegevens

Stappenplan naar GDPR compliance

AVG Routeplanner voor woningcorporaties

1. Bent u bekend met de uitzending van Nieuwsuur d.d over meer meldingen van datalekken door gemeenten?

WHITEPAPER GDPR 2018: Bent u voorbereid op de nieuwe Europese privacywetgeving?

Stappenplan naar GDPR compliance

IB RAPPORTAGE. Contactcenter Logius

Voorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond

Thema-audit Informatiebeveiliging bij lokale besturen

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Transcriptie:

Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016

Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen aan wet- en regelgeving en bijbehorende kaders op het gebied van informatiebeveiliging en privacybescherming.

Kaders voor informatiebeveiliging en privacybescherming Twee belangrijke kaders: BIG en AVG Baseline Informatiebeveiliging Gemeenten (BIG) is een vertaling van ISO 27007-2 voor gemeenten en geeft de normen aan waaraan informatiebeveiliging bij gemeenten moet voldoen. Volledige implementatie voorzien in 2018 (conform afspraak BALV VNG 2013). Algemene Verordening Gegevensbescherming (AVG) is de Europese privacy verordening die in mei 2016 is vastgesteld. De verordening moet in mei 2018 zijn geïmplementeerd door de lidstaten en heeft rechtstreekse werking. De AVG vervangt dan de Wet Bescherming Persoonsgegevens (WBP).

Risico s In hoofdzaak worden betrouwbaarheid, integriteit en beschikbaarheid van gegevens bedreigd door: Externe dreigingen Processen en procedures die niet robuust genoeg ingericht zijn Onzorgvuldig en onwetend gedrag Dreigingen en gedrag worden zichtbaar in incidenten, audits geven zicht op slecht ingerichte processen en procedures.

Externe dreigingen Jaarbericht 2016 IBD: grote toename van ransomware-aanvallen, verschillende en meer geavanceerde phishing methoden kwetsbaarheden in software, bijvoorbeeld https-protocollen NCSC Cybersecuritybeeld Nederland 2016: Ransomware is gemeengoed en nog geavanceerder geworden. Criminelen hebben zich het afgelopen jaar massaal toegelegd op ransomware en de organisatiegraad van criminele campagnes wordt steeds hoger. Net als vorig jaar zijn in het afgelopen jaar veel DDoS-aanvallen waargenomen Het up-to-date houden van (mobiele) apparaten en software blijft een uitdaging Naast technische kwetsbaarheden, de achilleshiel van digitale veiligheid, blijft ook de mens kwetsbaar. Beveiligingsbewustzijn van de gebruikers kan de ontwikkeling van social engineering niet bijhouden.

'GEMEENTEN TE LANGZAAM MET INTERNETSTANDAARDEN' GÊNANT SLECHTE BEVEILIGING E-MAIL TOCH VERPLICHTE BEVEILIGING OVERHEIDSWEBSITES

De achilleshiel van digitale veiligheid Technische kwetsbaarheden : een risico met een hoge impact Zowel IBD als NCSC zien als gevolg hiervan een ontwikkeling naar beheersing van dit risico door een Computer Emergency Response Team (CERT): Een gespecialiseerd team van ICT-professionals dat in staat is snel te handelen in geval van een informatiebeveiligingsincident, met als doel om schade te reduceren en snel herstel van de dienstverlening te bevorderen. Naast reactie op incidenten richt een CERT zich ook op preventie.

120 Meldingen Beveiligingsincidenten Topdesk en registratie datalekken Gemeente Delft 2016 100 80 60 40 20 0 januari februari maart april mei juni juli augustus september oktober november december Spam-/phishing Telefonische phishing Meldingen incident Datalekken

Incidenten (dreigingen die realiteit zijn geworden) De grote golf phishing mail heeft geleid tot 1 geval van ransomware in een deel van de organisatie. Resultaat: geen schade aan de data, maar veel capaciteit nodig voor de afhandeling van het incident

Totaal aantal meldingen 21 Meldingen Autoriteit Persoonsgegevens 4

Datalekken 2016 was het eerste jaar van uitvoering van de wet Meldplicht Datalekken. Delft heeft 4 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP) Ter vergelijking: Volgens het jaarbericht 2016 van de AP zijn in totaal 5500 meldingen gedaan waarvan in de sector Overheid 15% (875). 4000 meldingen zijn in onderzoek. Meldingen Delft hebben niet geleid tot onderzoek AP. De aard van de meldingen wordt door de AP alleen algemeen aangeduid: onbevoegd inzien van gegevens, gegevensdrager kwijtgeraakt, email of brief verstuurd aan de verkeerde ontvanger. Dat komt overeen met de ervaringen in Delft.

Audits DiGiD Logius Suwinet opvolging aanbevelingen audit 2015 uitgevoerd, controle EDP-auditor volgt nog BRP rijksdienst Identiteitsdocumenten EDP-audit accountantscontrole BDO met aandachtspunten Bevindingen uit audits worden meegenomen in het programma van 2017

Wat hebben we gedaan? Inzet met name op: meldingenprocedure op orde; bewustwording; audits; implementatie Wet meldplicht datalekken. En minder op: geplande maatregelen implementatie BIG nieuwe dataclassificatie eind 2016 uitbesteed; richtlijnen informatiebeveiliging bij uitbesteding nog niet gerealiseerd.

Implementatie Wet meldplicht datalekken Procedure melding en afhandeling datalekken ingericht en uitgevoerd. Alle bekende externe bewerkers (67) van persoonsgegevens aangeschreven over de uitvoering van de meldplicht 24 actuele bewerkersovereenkomsten gerealiseerd, nog 43 te gaan en er komen nog steeds nieuwe bewerkers bij... Bewustwordingscampagne toegespitst op specifieke risicogebieden.

Doel voor 2017 Digitalisering groeit in omvang en belang, terwijl ook bedreigingen van informatieveiligheid toenemen. Meer persoonsgegevens worden verwerkt onder verantwoordelijkheid gemeente, terwijl de regelgeving op het gebied van bescherming van persoonsgegevens strenger is geworden. Dat maakt informatiebeveiliging en privacybescherming een urgent thema voor 2017 en volgende jaren. Doel in 2017 is om te komen tot een meer structurele aanpak van informatiebeveiliging en privacybescherming, en het niveau van vooral incidentenafhandeling te ontstijgen.

Trends en prioriteiten voor 2017 informatiebeveiliging Meer aandacht voor: Op hetzelfde niveau aandacht voor: Implementatie BIG en beleid Versterken van technische informatiebeveiliging Interne audit en introductie ENSIA Bewustwording Specifieke aandacht voor thema s veilig werken (zoals veilig mailen en het gebruik van cloudapplicaties) Snel en adequaat afhandelen meldingen beveiligingsincidenten

Implementatie BIG en beleid Beperkte herziening strategie en beleid (2-jaarlijks, verplicht) Dataclassificatie opnieuw tegen het licht houden Richtlijnen opstellen: informatiebeveiliging bij uitbesteding van taken werken met applicaties in de cloud MDM-beleid (mobile devices management)

Technische informatiebeveiliging Snel en adequaat reageren op toename van dreigingen (CERT) Programma ontwikkeling technische informatiebeveiliging onder meer: omgaan met ransomware beveiliging e-mailservices beveiliging websites up to date software Periodiek testen (B&R-test, PEN-test) Doorlichten procedures zoals changemanagement

Audits intern controleprogramma opzetten voor EDP-audits (autorisatie, logische toegangsbeveiliging) uitvoeren audits Suwinet, DiGiD en BRP voorbereiden invoering ENSIA (2 e helft 2017) Eenduidige Normatiek Single Information Audit pre-audit op Implementatie BIG

Trends en prioriteiten voor 2017 privacybescherming Meer aandacht voor: Implementatie Algemene Verordening Gegevensbescherming Meer aandacht voor: Op hetzelfde niveau aandacht voor: Inventarisatie verwerkingen persoonsgegevens vanuit dataclassificatie Afsluiten van alle benodigde bewerkersovereenkomsten of vergelijkbare afspraken over de omgang met persoonsgegevens Afhandeling datalekken conform wettelijke eisen Gerichte bewustwordingscampagne op risicogebieden voor privacy

implementatie AVG

meer informatie? Jaaroverzicht 2016 IBD www.ibdgemeenten.nl Cybersecuritybeeld Nederland 2016 www.ncsc.nl 1 jaar meldplicht datalekken: facts & figures 2016 www.autoriteitpersoonsgegevens.nl

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback