CISO Programma dag

CISO Programma dag 5 1. Huiswerkopdracht 2. Wet en regelgeving 3. Trends in cybercrime 4. Cloud 5. Bring Your Own Device 6. Projectmatig werken (Prince2) 7. Herhaling gebruikte begrippen 21-2-2017 1

Leidraad van de cursus Functiebeschrijving van de CISO met als resultaatgebieden volgens de IBD: Beleid en coördinatie Controle en registratie Communicatie en voorlichting Advies en rapportage 21-2-2017 2

Taken en resultaatgebieden (4) Advies en rapportage Het optreden als projectmanager bij beveiligingsprojecten. Het afstemmen van informatiebeveiliging met lopende projecten. Het uitwerken van beveiligingsplannen ten aanzien van de maatregelen, evenals het leveren van ondersteuning bij het uitvoeren. Het geven van gevraagd en ongevraagd advies over de te nemen maatregelen. Het rapporteren aan de leiding van de organisatie over het gevoerde beleid met betrekking tot informatiebeveiliging, de voortgang van implementatie, opgetreden incidenten, ondernomen acties, resultaten van onderzoeken en controles. 21-2-2017 3

CISO Programma dag 5 1. Huiswerkopdracht 2. Wet en regelgeving 3. Trends in cybercrime 4. Cloud 5. Bring Your Own Device 6. Projectmatig werken (Prince2) 7, Herhaling gebruikte begrippen 21-2-2017 4

Individuele huiswerkopdracht Hoffmann zette de 5 meest voorkomende gegevensfraudes op een rij: 1. Medewerker steelt klantgegevens/ strategische kennis 2. Externe medewerker steelt bedrijfsgevoelige informatie 3. Medewerker stuurt valse facturen. 4. Medewerker dient onjuiste declaraties in. 5. Medewerker handelt in strijd met de regels en handelt bijvoorbeeld in strijd met o.a. het concurrentiebeding. 1. Selecteer uit de BIG welke beveiligingsmaatregelen u kunt nemen als gemeente om deze risico s te beperken. Gebruik hiervoor de tactische baseline uit de syllabus. Vermeld in uw antwoord per gegevensfraude ook de nummers van de desbetreffende maatregelen. 2. Zijn er nog andere maatregelen te bedenken los van de BIG om deze risico s te beperken? 21-2-2017 5

Informatiebeveiliging Kwaliteitsaspecten: Data integriteit (volledigheid, tijdigheid en juistheid) Vertrouwelijkheid Beschikbaarheid Controleerbaarheid Doelmatigheid Doeltreffendheid 21-2-2017 7

Relevante wet en regelgeving (1) Wet Bescherming Persoonsgegevens Doelbinding, proportionaliteit en rechtmatigheid Passende beveiligingsmaatregelen Meldingsplicht Bewerkersconstructie 21-2-2017 8

Relevante wet en regelgeving (2) Aanpassing WBP (Meldplicht Datalekken) Bevoegdheid AP om boetes op te leggen oplopend tot max 820.000 of 10% van de jaaromzet van de rechtspersoon (boete van de 6 e categorie) Organisaties worden verplicht melding te maken inbreuken op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of inbreuken die leiden tot een aanzienlijke kans daarop Protocolplicht voor die lekken die ook gemeld moeten worden In werking per 1-1-2016 Centrale rol CISO bij melding en registratie? 21-2-2017 9

21-2-2017 10

Relevante wet en regelgeving (3) Algemene Verordening Gegevensbescherming (AVG) overgangstermijn van twee jaar; gaat in 25 mei 2018 vervangt de WBP en het vrijstellingsbesluit territoriale werking de verplichting om verwerkingen van persoonsgegevens aan te melden bij de lokale toezichthouders is vervallen maar er is nu een eigen courante registratie nodig zonder vrijstellingen Gegevensbescherming by design en by default zijn beide opgenomen in de AVG Recht om vergeten te worden het aanstellen van een data protection officer is niet langer vrijblijvend, maar verplicht voor organisaties die veel gegevens verwerken Boetes tot 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet van de verantwoordelijke 21-2-2017 11

Relevante wet en regelgeving (4) Wet BAG Data integriteit Beschikbaarheid (back-up, restore +uitwijk) wet BRP Data integriteit Beschikbaarheid Vertrouwelijkheid (incidenten, autorisatie) Controleerbaarheid (logging, audit trail) Wet SUWI Governance Logische toegangsbeveiliging Controleerbaarheid (logging, audit trail) 21-2-2017 12

Relevante wet en regelgeving (5) Paspoortwet (PUN) Beleid Functiescheiding Beveiligingsfunctionaris reisdocumenten Back-up en restore RAAS Fysieke beveiliging Auteurswet Naburige rechten voor uitingen (50 jaar) Databankenrecht voor producent (15 jaar) 21-2-2017 13

Relevante wet en regelgeving (6) Archiefwet Vorming van archief en het beheer Vernietiging, overbrenging en het in eigendom overdragen van archiefbescheiden (vervreemding). Inzien (openbaarheid) van archieven. Wet Computercriminaliteit I II III & Cybercrime-verdrag Opzettelijk en wederrechtelijk binnendringen in computersystemen is strafbaar als computervredebreuk Vernieling van gegevens, verstikkingsaanvallen (DoS/DDoS) en andere vormen van cybercrime 21-2-2017 14

Wet- en regelgeving Wet Bescherming Persoonsgegevens (WBP) Wet Openbaarheid van Bestuur (WOB) Wet Computercriminaliteit II Comptabiliteitswet Archiefwet Paspoort Uitvoeringsregeling Nederland (PUN) Wet Structuur Uivoeringsorganisatie Werk en Inkomen (SUWI) Wet op de Identificatieplicht Wet Elektronisch Bestuurlijk Verkeer (WEBV) Wet Gemeentelijke BasisAdministratie persoonsgegevens (GBA) en Wet BasisRegistratie Personen (BRP) Wet Basisregistraties Adressen en Gebouwen (BAG) Participatiewet Registratiewet Wet Particuliere Beveiligingsorganisaties en Recherchebureaus (WBPR) Wet VeiligheidsOnderzoeken (WVO) Wet PolitieGegevens (WPG) Ambtenarenwet Voorschrift Informatiebeveiliging Rijksdienst (VIR:2007) Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIRBI2012) Beveiligingsvoorschrift 2005 (BVR) CAR-UWO Algemene Rijksvoorwaarden bij ITovereenkomsten (ARBIT2010) Kader Rijkstoegangsbeleid Uitgangspunten online communicatie rijksambtenaren Programma van Eisen PKI Overheid Code voor Informatiebeveiliging (ISO 27001:2013 en ISO 27002:2013) Telecommunication Infrastructure Standard for Data Centers (TIA-942)

Trends in cybercrime Meer aanvallen op betalingssystemen Meer aanvallen op Internet of things (auto s, smart tv s, medische apparaten, camerasystemen, SCADA, routers, smartphones etc). Privacy onder druk door Big Data Digitale spionage en cybercriminelen Nog meer malware (oa cryptovirussen) 21-2-2017 17

Dreigingen volgens NCSC In het kader van de toenemende dreiging in het digitale domein zijn er vier opvallende ontwikkelingen uit het CSBN 2016: Beroepscriminelen voeren langdurige, hoogwaardige en geavanceerde operaties uit Digitale economische spionage door buitenlandse inlichtingendiensten zet de concurrentiepositie van Nederland onder druk Ransomware is gemeengoed en is nog geavanceerder geworden Advertentienetwerken zijn nog niet in staat gebleken malvertising het hoofd te bieden 21-2-2017 19

Groepsopdracht 1 De menselijke factor Volgens een recent onderzoek van Jeanine Peek van BalaBIT, IT-securityorganisatie, speelt de menselijke factor bij maar liefst 84 procent van alle ITsecurity-incidenten een rol. Wat kunnen we doen? 1.Trainen! 2.Geef alleen de juiste medewerkers toegang. 3.Bescherm mobiele toegang 4.Bescherm met de nieuwste generatie firewalls 5.Houd rekening met de behoeftes van medewerkers. 1. Geef aan wat u vindt van dit betoog van Jeanine Peek. Is ze volledig? Mist u beveiligingsmaatregelen gericht op de menselijke factoren zo ja welke en waarom? 2. Geef aan hoe u deze maatregelen zou implementeren en bedenk daarbij welke volgorde u het best kunt hanteren? Tijdsbesteding: 30 minuten 21-2-2017 20

Wat te doen bij incidenten: de 3 R s (1) Readiness Wees klaar voor het onverwachte. Door het opzetten van een crisis organisatie op verschillende niveaus binnen de organisatie, een strategisch crisis management team en een operationeel incident response team. Een duidelijke structuur, besluitvorming, escalatieproces en een periodieke oefening door middel van verschillende scenario s. 21-2-2017 21

Wat te doen bij incidenten: de 3 R s (2) Response Daadkrachtig reageren als de crisis daadwerkelijk plaatsvindt. Een geoliede crisis organisatie die kordaat besluiten neemt, uitvoert en opvolgt, op het juiste moment met beperkte informatie, minimaliseert de gevolgen van een incident en voorkomt een crisis. 21-2-2017 22

Wat te doen bij incidenten: de 3 R s (3) Recovery Herstel en verbeter. Nadat een incident is bestreden, moet de doorlopende crisis nog afgewikkeld worden. Een juiste en tijdige overgang van incident management naar crisis management is hierbij essentieel. 21-2-2017 23

Taken en resultaatgebieden (3) Communicatie en voorlichting Het onderhouden van externe en interne contacten op alle niveaus. Het organiseren van en deelnemen aan een coördinerend overleg met betrekking tot informatiebeveiliging (beveiligingsforum). Het verzorgen en coördineren van voorlichting en interne opleidingen van het personeel op het gebied van informatiebeveiliging. Het stimuleren van het beveiligingsbewustzijn en het opstellen, uitvoeren en onderhouden van een communicatieplan. Het volgen van nieuwe ontwikkelingen en wetgeving op het gebied van informatiebeveiliging. 21-2-2017 25

Technische aspecten van cybercrime Sniffing Spoofing Spamming Defacing Cross site scripting D(DOS) aanval Worm en virus Trojaans paard Wachtwoord kraken 21-2-2017 26

Technische aspecten van cybercrime Wat is het? Sniffing is het bekijken van het netwerkverkeer Wat doen we er aan? Encryptie Gebruik VPN s bijvoorbeeld IP Sec Gebruik van switches in plaats van hubs 21-2-2017 27

Technische aspecten van cybercrime Wat is het? Spoofing, je voordoen als iemand anders IP Spoofing, DNS spoofing, e-mail spoofing Wat doen we er aan? DNS Sec Firewall Routers beter instellen MAC adres binden IDS en IPS Logging controleren 21-2-2017 28

Technische aspecten van cybercrime Wat is het? Spammen is het verzenden van ongewenste mail Vaak ongeldig afzendadressen en headers Wat doen we er aan DNS verificatie (of afzendadres bestaat en de verzendende mailserver is wie hij zegt te zijn) Blacklists (lijst bekende relayservers) Whitelist (zelf opgestelde lijst met afzenders die geaccepteerd worden) Inhoudsanalyse 21-2-2017 29

netwerkcomponent: DNS server Naam (= URL) <=> IP adres vertaling Gedecentraliseerd (onderling communicatie) Risico s: bevat veel info over het netwerk (vertrouwelijkheid) foute informatie resulteert in contact met andere server (integriteit) netwerk is afhankelijk van DNS (beschikbaarheid)

Technische aspecten van cybercrime Wat is het? Defacen is het zonder toestemming veranderen van websites dmv DNS hack of spoofing Wat doen we er aan DNS verificatie DNSSec HTTPS gebruiken Foutmelding afvangen Directories niet zichtbaar maken Back-uppen 21-2-2017 31

Technische aspecten van cybercrime Wat is het? XSS het doen uitvoeren van kwaadaardige code door de browser van de gebruiker Drie partijen: aanvaller, niet goed geconfigureerde webserver en de browser van de gebruiker Wat doen we er aan Filter de inhoud Gebruik een sessie ID Sta bepaalde commando s niet toe Geen automatische uitvoering van scripts 21-2-2017 32

Technische aspecten van cybercrime Wat is het? DDOS Denial of Service Aanval met het doel de dienstverlening te verstoren Wat doen we er aan Monitoring Implementeer Quality of Service Load balancer Content Delivery Network 21-2-2017 33

Technische aspecten van cybercrime Wat is het? Virus heeft menselijke interactie nodig (bijv email adressenboek) Wat doen we er aan? Bewustwording Antivirus antimalware software Geen macro s toestaan Geen USB toestaan Website blokkade Netwerk segmentatie gekoppeld aan logisch toegangsbeheer 21-2-2017 34

Ransomware Wie heeft de meeste last van datagijzeling? 1. Italië (3,1%) 2. Nederland (1,8%) 3. België (1,6%) 4. Luxemburg (1,4%) 5. Bulgarije (1,2%) Bron: Kapersky labs (2015) 21-2-2017 35

Technische aspecten van cybercrime Wat is het? Worm stuk code dat zichzelf repliceert zonder menselijke tussenkomst Wat doen we er aan? Bewustwording Antivirus antimalware software IP/URL (tijdelijke) blokkade Toegang tot internet beperken Applicatie whitelisting Spam filter 21-2-2017 36

Technische aspecten van cybercrime Wat is het? Trojaans paard stuk code dat ongemerkt op een computer draait en gegevens verzamelt en illegaal toegang geeft Wat doen we er aan Bewustwording Verschillende antivirus software Geen macro s toestaan Geen USB toestaan Beperk het installeren 21-2-2017 37

VPN IP Sec Protocol Tunnel Endpoints Transit Internetwork Header Payload Transit Internetwork Tunnel Payload Tunneled Payload

Technische aspecten van cybercrime Wat is het? Wachtwoord raden is het scannen van veelgebruikte wachtwoorden. Wat doen we er aan? Sessieduur beperken Wachtwoord complexiteit verhogen Wachtwoord lengte verhogen Wachtwoord leeftijd beperken Twee factor authenticatie (2FA) 21-2-2017 39

Technische aspecten van cybercrime 21-2-2017 40

Klassikale opdracht 2 (1) 21-2-2017 41

Klassikale opdracht 2 (2) Toelichting: Burgers maken verbinding via de Firewall die het verkeer via poort 443 doorstuurt naar de Webserver in de DMZ. Systeembeheerders maken verbinding via RDP. Deze RDP verbinding kan alleen worden opgezet door van te voren vastgestelde IP adressen. Functioneel beheerders maken verbinding via een interne URL. Deze is van buitenaf niet bereikbaar De leverancier maakt verbinding met de console van de webserver. Deze verbinding verloopt via het Management VLAN en kan alleen worden opgezet met behulp van Systeembeheer. 21-2-2017 42

Klassikale opdracht 2 (3) 1. Bovenstaand vindt u een netwerktopologie voor de uitvoering van het DigiD assessment. Is deze volledig? Zo nee wat mist u? 2. Stel dat de organisatie de pentester voorstelt via een speciale VPN verbinding te onderzoeken of het netwerksegment dat in de tekening wordt aangeduid als DMZ echt een DMZ is, kan de pentester daarmee volstaan? Geef aan waarom.. 3. Om de hardening van de betrokken servers te kunnen vaststellen heeft een pentester meer gegevens nodig. Welke zijn dat? Tijdsbesteding: 30 minuten 21-2-2017 43

Bijzondere aandacht Cloud computing Bring Your Own Device 21-2-2017 45

Cloud computing Volgens onderzoeksbureau Gartner zal de markt voor publieke clouddiensten in 2016 met 16,5% groeien naar $ 204 mrd. De grootste groei, ruim 38%, komt van de meest basale vorm van clouddiensten, waarbij alleen infrastructuur aangeboden wordt. 21-2-2017 47

On premise of SAAS Wat is het verschil tussen on premise en Software As A Service? 21-2-2017 48

Kenmerken van Cloud computing Zelfbediening Breedbandige toegang Gedeelde middelen Elasticiteit Meetbare diensten 21-2-2017 49

Soorten cloudcomputing Uitrol (deployment) Publieke cloud Hybride cloud Private cloud Community cloud Service modellen (dienstverlening) SaaS Software as a Service PaaS Platform as a Service IaaS Infrastructure as a Service IDaaS Identity as a Service 21-2-2017 50

Complexiteit cloudcomputing 21-2-2017 51

Soorten cloudcomputing Servicemodellen Eigen server ruimte (on premise) Infrastructuur als een service Platform als een service Software als een service Lagen Applicaties Applicaties Applicaties Applicaties Applicatie platform (OS en middleware) Applicatie platform Applicatie platform Applicatie platform Fysieke infrastructuur (servers, patchkasten, stroomvoorzie-ning, fysieke beveiliging) Fysieke infrastructuur Fysieke infrastructuur Fysieke infrastructuur 21-2-2017 52

Voordelen van de cloud Kosten Via internet te benaderen Flexibiliteit en schaalbaarheid Verrekenmechanisme (betalen per gebruiker, betalen per virtuele machine of dienst) Hogere beschikbaarheid Beveiliging state of the art 21-2-2017 53

Nadelen van de cloud Niet inzichtelijk op welke systemen en in welke landen gegevens zich bevinden en vanwaar het beheer wordt uitgevoerd Voor de toepasselijkheid van wetgeving maakt het niet uit waar data fysiek staat Ook de cloud is niet altijd storingsvrij Afgeleide kwetsbaarheid (DDOS aanval) Privacy Lock-in probleem Specifieke /maatwerk wensen lastig 21-2-2017 54

Maatregelen ivm cloudcomputing Overeenkomst, SLA Geheimhoudingsverklaring en Verklaring omtrent het Gedrag Toegang tot systeem ivm cybercrime Meewerken aan audits, TPM s Overleggen rapportages pentesten en infrascans Garantie ivm opschorting werkzaamheden ISO 27001 certificering, ISAE 3402 verklaringen Backup data recovery procedures Opvragen logs IDS/IPS rapportage en incidenten melden VPN IP Sec Tunnels 21-2-2017 55

Groepsopdracht 4 Achtergrond informatie De meldplicht Datalekken is inmiddels van kracht. Bij uw gemeente wordt een ernstig data lek gevonden De betrokken inwoner is verhuisd naar een andere gemeente maar toen hij in uw gemeente woonde het slachtoffer geweest van een aanslag waarbij zijn auto is ontploft en hij ternauwernood het leven heeft gered. Uit onderzoek van het openbaar ministerie is vastgesteld dat via een gemeentelijk device de bewuste adresinformatie is gelekt. U bent hiervan als VCIB op de hoogte gesteld door de IBD. Er is intern paniek uitgebroken en er wordt van u verwacht dat u gaat handelen. 1. Wat gaat u doen? Tijdsbesteding: 15 minuten 21-2-2017 56

Bring Your Own Device Gebruiker bepaalt het apparaat Gedeelde middelen Grens tussen privé en werk vervaagt 21-2-2017 58

Bring Your Own Disaster 21-2-2017 59

Soorten Bring Your Own Device Variant Beveiligingskenmerk Voor- en nadelen Open device Device als mobile display De controle over de beveiliging wordt overgelaten aan de gebruiker van het device. Voor bedrijfsmatig gebruik worden de standaardapplicaties van het device gebruikt of applicaties die door de gebruiker zelf geïnstalleerd zijn. Bij deze variant bevinden zich weinig of geen gegevens op het device, maar wordt een toepassing gebruikt om de schermuitvoer van een applicatie in de backoffice op het device weer te geven. + Voor gebruikers is dit de meest flexibele vorm. - onduidelijkheid over de veiligheid. - Er kunnen gemakkelijk veel gegevens op het device achterblijven (risico s) + Deze oplossing minimaliseert de hoeveelheid gegevens op het device. + werkomgevingen worden gevirtualiseerd + veel gebruikt voor mobiel- en thuiswerken. + Deze variant geeft de organisatie controle. - Voor gebruikers is dit een tussenvorm in de vrijheid van gebruik; - Een breedbandige en betrouwbare internetverbinding is nodig - Het device is niet bruikbaar op locaties waar geen verbinding beschikbaar is. Device met beveiligde app In deze vorm worden gegevens alleen op het device verwerkt en opgeslagen binnen een beveiligde applicatie met vertrouwde cryptografische hardware en aanvullende technische beveiligingsmaatregelen. Het device kan hiermee wel gegevens bevatten, maar deze zijn beschermd in een door de applicatie gecreëerde beveiligde omgeving. + De data op het device worden beschermd op het niveau dat de organisatie nodig vindt. + De organisatie heeft volledige controle over de gebruikte beveiligingsmaatregelen en kan daarom gevoelige informatie uitwisselen tussen het device en de backoffice. + Ook zonder internetverbinding kan gewerkt worden, als met enige regelmaat de gegevens met de centrale omgeving gesynchroniseerd worden. - Deze oplossing vergt de ontwikkeling van specialistische software. Voor hogere beveiligingsniveaus kunnen ook extra hardware en aanpassingen in het besturingssysteem en het communicatienetwerk nodig zijn. Dit verhoogt de kosten.

Voordelen BYOD Draagt bij aan Het Nieuwe Werken Kan leiden tot een kostenbesparing Minder woon werkverkeer Verhoging productiviteit Flexibiliteit Verhoogt (keten)samenwerking, co-creatie en gaat verkokering tegen Arbeidsvreugde 21-2-2017 61

Nadelen BYOD Vertrouwelijkheid, beschikbaarheid en integriteit van gegevens niet inzichtelijk op welke systemen en in welke landen gegevens zich bevinden breedbandige en betrouwbare internetverbinding is niet altijd beschikbaar Bluetooth en WiFi kwetsbaarheden Toegang van de leveranciers Applicatielekken Virussen, malware 21-2-2017 62

Maatregelen ivm BYOD Telewerken/Mobiel werken beleid Telewerken verklaring gebruikers Antivirus en antimalware software Het verminderen van gegevensopslag en achterblijven van gegevens op het device; Authenticatie en versleuteling van de dataopslag Lokaal of op afstand de gegevens (of het sleutelmateriaal) wissen Beveiligde applicatie die alle data zelf versleutelt MDM-oplossing Controle van configuratie-instellingen, software en logging 21-2-2017 63

Groepsopdracht 5 U bent de CISO van een gemeente. Uw gemeente heeft contracten gesloten ihkv de WMO met verschillende zorgverleners. De medewerkers daarvan tablets, die gegevens van burgers bevatten, bij hun zorgafspraken buiten de deur. Middels een zogeheten man-in-the-middle-attack kan informatie tussen twee partijen worden onderschept. Tablets en smartphones zoeken standaard naar wifi-netwerken in de buurt waar al eens eerder verbinding mee is gemaakt. Wanneer deze gevonden zijn, wordt er automatisch verbinding gemaakt. Met een Pineapple, kan een hacker zich voordoen als een bekend netwerk en ervoor zorgen dat alle apparaten in zijn buurt automatisch verbinding maken via zijn apparatuur. Het device/apparaat van het slachtoffer maakt een verbinding zonder dat dit wordt opgemerkt. Hierdoor kan de hacker alle informatie die door het slachtoffer wordt verzonden en ontvangen onderscheppen,. 1. Maak een korte analyse van de mogelijke gevolgen als er mobiel gewerkt wordt door de wijkteams? 2. Wat gaat u er aan doen om de kwetsbaarheden te verkleinen. Tijdsbesteding: 15 minuten 21-2-2017 64

Taken en resultaatgebieden (1) Beleid en coördinatie Het opstellen en actualiseren van het informatiebeveiligingsbeleid (langere termijn). Het (laten) opstellen van informatiebeveiligingsplannen Het coördineren van de werkzaamheden bij de uitvoering van het informatiebeveiligingsbeleid. De programmamanager van het (strategisch) programma informatiebeveiliging. 21-2-2017 67

Projectmatig werken Project: Tijdelijke organisatievorm Nodig om een vooraf gedefinieerd resultaat te halen Op een vooraf afgesproken tijdstip Gebruikmaken van vooraf afgesproken middelen 21-2-2017 68

Voordelen Prince2 aanpak Best practice Kan voor elk type project Gefaseerde aanpak Bijeenkomsten alleen wanneer nodig Focus op business case Beheersing projectrisico s Deelname belanghebbende in planning en besluitvorming 21-2-2017 69

Prince2 Projectmanagement 21-2-2017 70

Prince2 Variabelen Zes beheersaspecten waarop kan worden gestuurd: Kosten Doorlooptijden Kwaliteit Scope Risico s Benefits 21-2-2017 72

Prince2 (7 principes) Voortdurende zakelijke rechtvaardiging Leren van ervaringen Gedefinieerde rollen en verantwoordelijkheden (BUS) Managen per fase Manage by exception Productgerichte aanpak Op maat maken voor de projectomgeving 21-2-2017 73

21-2-2017 77

Groepsopdracht 6 (1) Achtergrondinformatie U bent de CISO van een gemeente. College en management hebben uitgesproken de BIG te willen implementeren. Uw gemeente heeft zojuist de gap en impactanalyse uitgevoerd van KING. Daarbij is geconstateerd dat circa 100 van de 303 beveiligingsmaatregelen al door uw gemeente zijn geïmplementeerd, dat er 30 maatregelen niet worden genomen omdat de risico s worden geaccepteerd en de 173 maatregelen zullen worden genomen. U heeft een projectmandaat ontvangen waarbij u bent aangewezen als projectmanager door de stuurgroep. Er is een stuurgroep benoemd waarin de gemeentesecretaris voorzitter is en hoofd ICT als leverancier en hoofd KCC namens de gebruikers is aangewezen. Het project moet verlopen volgens de Prince II methode. 21-2-2017 78

Samenvatting security architecture Beveilig de zwakste schakel Beveiliging op elke laag Faal veilig Autorisatie volgens het principe van least privilege, alleen toegang tot noodzakelijke gegevens Draag zorg voor functiescheiding Eenvoud is beter dan complexe maatregelen Wees terughoudend met vertrouwen Geprogrammeerde controles zijn beter dan gebruikerscontroles Zorg voor audit trail en logging (controle achteraf mogelijk) 21-2-2017 79

Groepsopdracht 6 (2) Er is ongeveer 600 uur per jaar vrij te maken voor dit project. Aangenomen wordt dat per maatregel ongeveer 16 uur interne uren hier mee gemoeid zijn. 1. Het project bevindt zich in de fase Directing a project. Er wordt van u verwacht dat u een projectinitiatie plan maakt. Kunt u aangeven welke elementen dit plan bevat en geef voor de volgende drie Prince 2 thema s aan met steekwoorden aan wat u denkrichting in de tekst ongeveer zal zijn. Thema Planning. Thema Organisatie Thema Business Case. Tijdsbesteding: 30 minuten 21-2-2017 80

Huiswerk opdracht 3 dag 5 Achtergrondinformatie Een collega is onder druk gezet door de maffia om de NAW en kenteken gegevens beschikbaar te gaan stellen van een inwoner die getuige is geweest in een rechtszaak. Deze inwoner heeft in het recente verleden om geheimhouding van zijn persoonsgegevens gevraagd en deze is ook bewerkstelligd o.a. in de BRP. Wat gaat u doen? 1. Geef zo concreet mogelijk aan welke stappen u gaat nemen en waarom. Maak daarbij een onderscheid tussen organisatorische personele, fysieke en technische maatregelen. 2. Geef aan welke medewerkers u uit uw organisatie gaat betrekken en waarom? 21-2-2017 81

Overtuigen 21-2-2017 83

Overtuigen Beïnvloedingswapens van Robert Cialdini: 1. Geven en nemen (wederkerig) 2. Commitment en consistentie 3. Consensus 4. Sympathie 5. Autoriteit 6. Schaarste 21-2-2017 84

Overtuigen 21-2-2017 85