Introductie Informatiebeveiliging Gemeente Nieuwegein 2013-12-10

Report
Informatiebeveiliging
bij de
gemeente Nieuwegein
Informatiebeveiliging gemeente Nieuwegein
1
Wat vindt u?
•Wat is uw beeld van informatiebeveiliging?
•Waar denkt u dan aan?
•Wat zijn dat, kwetsbaarheden, bedreigingen en maatregelen?
•En waar komen die dingen vandaan?
Informatiebeveiliging gemeente Nieuwegein
2
Wat is informatiebeveiliging?
•Onfeilbare informatiebeveiliging bestaat niet
Informatiebeveiliging gemeente Nieuwegein
3
Wat is informatiebeveiliging?
•Dit werkt niet
Informatiebeveiliging gemeente Nieuwegein
4
Wat is informatiebeveiliging?
•Dit wilt u niet
Informatiebeveiliging gemeente Nieuwegein
5
Wat is informatiebeveiliging?
•Toch wilt u dit voorkomen
Informatiebeveiliging gemeente Nieuwegein
6
Wat is informatiebeveiliging?
•En anders dit wel
Informatiebeveiliging gemeente Nieuwegein
7
Wat is informatiebeveiliging?
•Want dit wilt u niet meemaken
Informatiebeveiliging gemeente Nieuwegein
8
Wat is informatiebeveiliging?
•Wat dan wel?
•Het beheren van risico's waaraan informatie bloot staat:
• Niet het uitsluiten van risico's!
• Risico's ontstaan tijdens het genereren, opslaan, verwerken, bewerken
en uitwisselen van informatie
•Een (kwaliteits-)proces dat alle delen van de organisatie raakt:
• Mensen, procedures en techniek
Informatiebeveiliging gemeente Nieuwegein
9
Maar in de kern gaat het om iets veel eenvoudigers
• Informatiebeveiliging zorgt voor gefundeerd
vertrouwen in uw gegevens en processen
Informatiebeveiliging gemeente Nieuwegein
10
Hoe gaan we dat bereiken?
•Afspraken maken:
• Beleid
• Procedures
• Werkinstructies
•Maatregelen nemen die realisatie en controle van die
afspraken faciliteren:
• We willen immers geen papieren tijger!
•Aantonen dat de afspraken worden nageleefd:
• Maak het zichtbaar, anders is er geen grond voor vertrouwen
Informatiebeveiliging gemeente Nieuwegein
11
Dit is een flinke klus
• Standaard voor informatiebeveiliging:
• ISO 27001:2007 → normatieve beschrijving beheersdoelstellingen
• ISO 27002:2007 → best practices voor beheersmaatregelen
• Bestaat uit 11 domeinen, 39 beheersdoelstellingen en 133
beheersmaatregelen
• Is een conceptuele beschrijving, moet dus nog vertaald worden
naar de best passende werkwijze voor de eigen organisatie
• Kortom het implementeren van informatiebeveiliging is lastig:
• Zelfs organisaties die een heel team hebben dat zich
hiermee fulltime bezig houdt hebben er moeite
mee
Informatiebeveiliging gemeente Nieuwegein
12
Maak het niet moeilijker dan nodig is
•Wees pragmatisch en durf keuzes te maken:
• Simpel boven complex
• Goed genoeg boven perfect
• Kosten in verhouding tot baten
•Ga niet onnodig zelf het wiel uitvinden:
• Gebruik de baselines van KING
• Kies voor standaardoplossingen
• Kijk naar wat anderen met succes hebben gedaan
Informatiebeveiliging gemeente Nieuwegein
13
Incidenten
• En dan nog zullen er incidenten blijven:
• Complex geheel:
• Veel componenten met veel relaties en veel verschillende gebruikers
• Veel ruimte voor fouten:
• Menselijke fouten:
• Onwetendheid
• Slordigheid
• Bewuste overtredingen
• Technologische fouten:
• Apparatuur
• Software
Informatiebeveiliging gemeente Nieuwegein
14
Incidenten
•En dan nog zullen er incidenten blijven:
• Veranderingen in behoefte aan beveiliging:
• In de organisatie
• Vanuit de omgeving
• Nieuwe technologische mogelijkheden:
• Bring Your Own Device
• Het Nieuwe Werken
• Cloud
• Hacktechnieken
Informatiebeveiliging gemeente Nieuwegein
15
Analogie met verkeer
•Complex geheel:
• Veel en verschillende soorten weggebruikers
• Veel verschillende technologische hulpmiddelen
•Veel ruimte voor fouten:
• Slecht aangegeven gevaarlijke situaties
• Foute interpretatie verkeersregels
• Onoplettendheid
• Bewuste overtredingen
• Falende vervoersmiddelen
Informatiebeveiliging gemeente Nieuwegein
16
Analogie verkeer
• Dus maken we verkeersregels om alles in goede banen te leiden
• Maar die kunnen tekort schieten
• Dus moeten we naleving ervan bewaken
• En ze bijstellen wanneer nodig
• En er duidelijk over communiceren naar de “weggebruikers”
Informatiebeveiliging gemeente Nieuwegein
17
Informatiebeveiliging is nooit perfect
• Is het erg als informatiebeveiliging, al dan niet opzettelijk, faalt?
• Ja, als het vertrouwen daardoor geschaad wordt
• Ja, als de impact op de bedrijfsvoering/maatschappij groot is
• Nee, als men ziet dat u gedaan hebt wat u kon doen
• Doe dus wat redelijkerwijs van u verwacht mag worden:
• Standaard maatregelen voor standaard problemen
• Houd de boel goed in de gaten, zodat u het ziet wanneer er iets
vreemds gebeurt
• Reageer snel op geconstateerde of gemelde afwijkingen
• Communiceer duidelijk over de spelregels
Informatiebeveiliging gemeente Nieuwegein
18
Informatiebeveiliging is nooit perfect
• Maar het blijft vooral mensenwerk
• En een permanent punt van aandacht
Informatiebeveiliging gemeente Nieuwegein
19
Algemene aanpak
•Bedenk welk niveau van beveiliging nodig is voor de eigen
bedrijfsprocessen:
• Niet meer en niet minder
•Vul dat aan met eisen uit wet- en regelgeving
•Wees u bewust van de manieren waarop die bedrijfsprocessen
verstoord kunnen worden:
• Door fouten
• Door vergissingen/slordigheden
• Door opzettelijke manipulatie
Informatiebeveiliging gemeente Nieuwegein
20
Algemene aanpak
• Bedenk met welke maatregelen u die risico's zo effectief en
efficiënt mogelijk kunt afdekken:
• Reduceer risico tot een acceptabel niveau, meer is niet nodig
• Kies voor maatregelen die de eigen organisatie kan “behappen”
• Let op kosten en baten van de maatregelen:
• Gaat over meer dan alleen geld!
• Maak goede afspraken over spelregels die goed passen bij de
gekozen werkwijze:
• Beleid, procedures en werkinstructies
• Kijk waar uitvoering en bewaking van die afspraken
gefaciliteerd kunnen worden door techniek
Informatiebeveiliging gemeente Nieuwegein
21
Algemene aanpak
•Implementeer de gekozen maatregelen
•Controleer dat het resultaat past bij de verwachtingen
•En maak het resultaat zichtbaar, zodat er een basis voor
gerechtvaardigd vertrouwen ontstaat
Informatiebeveiliging gemeente Nieuwegein
22
Aanpak gemeente Nieuwegein
•Hoe gaat de gemeente Nieuwegein
deze puzzel oplossen?
Informatiebeveiliging gemeente Nieuwegein
23
Wat doet de gemeente aan Informatiebeveiliging?
• Beleid
• Jaarplan
• Actie
Beleid
Strategisch informatiebeveiligingsbeleid samen met
IJsselstein en Montfoort:
• 7 strategische spelregels, de “piketpaaltjes”
1. Informatiebeveiliging zit in ons DNA
We borgen de veiligheid van informatie door
beveiligingsmaatregelen op een natuurlijke manier in te
bedden in de processen en activiteiten van de organisatie
en het handelen van medewerkers.
Je bent je er van bewust dat jouw handelen en gedrag in het werk de
belangrijkste beveiligingsmaatregel is
 Je bent extra alert als je met vertrouwelijke informatie werkt.
2. We sluiten aan op bestaande standaarden
Waar mogelijk maken we bij de realisatie van de informatiebeveiliging
gebruik van (landelijke) standaarden of veelgebruikte, bewezen
oplossingen.
We sluiten ons aan bij de IBD
De gemeente werkt met de Baseline Informatiebeveiliging Nederlandse
gemeenten
We werken op basis van risicoanalyses
Twitter je veel of ben je regelmatig op Facebook te vinden? Zorg dat je de
gemeentelijke richtlijnen met betrekking tot het gebruik van Social media
goed kent.
Zorg dat je binnen een beveiligde omgeving werkt
3. Informatiebeveiliging is van iedereen
Informatiebeveiliging is een onlosmakelijk onderdeel van het
proces en hoort bij de taken en verantwoordelijkheden van
elke manager en medewerker. Bewustzijn en zorgvuldig
handelen zijn de belangrijkste beveiligingsmaatregelen.
 Niet alleen de procesverantwoordelijke, of je leidinggevende is
verantwoordelijk, jij bent zelf verantwoordelijk
 Je signaleert potentiele veiligheidsrisico’s in jouw proces en draagt actief
bij aan het verbeteren van de informatiebeveiliging
4. De gemeente blijft eindverantwoordelijk
De gemeente voert de regie over de dienstverlening. Met alle
samenwerkingspartners maakt de gemeente afspraken over de
beschikbaarheid, de integriteit en de vertrouwelijkheid van de
onderlinge informatiestromen. Samenwerkingspartners die geen
veilige verbinding garanderen met de gemeente, sluiten niet aan op de
informatie-infrastructuur van de gemeente
 Maak heldere afspraken met samenwerkingspartners op het gebied van
informatie-uitwisseling en informatiebeveiliging.
 Denk goed na voordat je voldoet aan een informatieverzoek van een
samenwerkingspartner. Stuur vertrouwelijke informatie niet zomaar via de
mail.
5. We maken melding van incidenten
Elk incident op het gebied van informatiebeveiliging wordt ten minste gemeld aan de
procesverantwoordelijke. Deze rapporteert over de incidenten in de Planning & Control cyclus. Het totale
incidentenregister wordt gebruikt om trends te signaleren en dient als input bij de revisie van het
beveiligingsplan.
We sturen op een cultuur van “veilig” kunnen melden en doen structureel wat met meldingen
Meld het als je:




een usb-stick, smartphone, tablet of laptop met vertrouwelijke informatie bent verloren;
een personeelsdossier bent verloren;
een kast met vertrouwelijke informatie herhaaldelijk open en onbeheerd aantreft;
een vreemd telefoontje hebt gehad van bijvoorbeeld (iemand die zich voordeed als)
journalist of medewerker van een bedrijf en die vroeg naar bepaalde informatie;
 een verdachte e-mail hebt ontvangen
6. We gaan zorgvuldig om met privacy en vertrouwelijke informatie
De medewerkers van de gemeente gaan integer om met privacygevoelige
gegevens en vertrouwelijke informatie. Persoonsgegevens worden adequaat
beveiligd. Dit wordt periodiek getoetst.
 Wees je ervan bewust dat je geregeld met vertrouwelijke informatie werkt. Ga hier
integer mee om.
 Laat geen documenten met vertrouwelijke informatie onbeheerd achter.
 Vernietig documenten met vertrouwelijke informatie zodra je ze niet langer nodig hebt.
 Voer overleggen waarin vertrouwelijke informatie besproken wordt in een afgesloten
ruimte.
 Ruim je bureau op en zorg dat je screensaver aanstaat zodra je je werkplek verlaat.
7. Wettelijke verplichtingen en auteursrechtelijk
beschermd materiaal
De gemeente draagt er zorg voor dat medewerkers op de hoogte zijn van de
informatiebeveiligingsaspecten binnen hun proces(sen) en dat de gemeente
niet in strijd met wet- en regelgeving handelt. Auteursrechtelijk beschermd
materiaal wordt niet gekopieerd zonder toestemming van de eigenaar. Dit
geldt ook voor programmatuur; voor alle aanwezige software (en
gebruikers) zijn geldige licenties beschikbaar.
 Download geen illegale bestanden en software.
 Download geen bestanden en software waarvan de herkomst niet
bekend is.
 Gebruik zonder toestemming geen afbeeldingen en tekst waarvan het
copyright elders ligt.
Wat doen we hier nu mee?
Het voorgaande is onze “kapstok” om gepland actie te
ondernemen, het informatiebeveiligingsplan 2014:
•
•
•
Afstemming met Portefeuillehouder
Gaat naar Directieteam
Uitgangspunten:
•
•
•
•
•
Gebaseerd op Quick scan en Risicoanalyse
5 punten/projecten per jaar
Focus op urgentie
Uitsplitsing naar 3 aspecten van Informatiebeveiliging
Samenspel tussen ‘harde’ en ‘zachte’ kant
Aspecten Informatiebeveiliging
Informatiebeveiliging gaat om betrouwbaarheid van de
Informatievoorziening:
• Beschikbaarheid
• Integriteit
• Vertrouwelijkheid
(Tijdig, Continu)
(Correct, Volledig, Geldig, Authentiek, Onweerlegbaar)
(Exclusief)
Hard en Zacht
– “Harde” kant:
•
•
•
Opzet
Bestaan
Werking
– “Zachte” kant:
•
•
•
Kennis
Houding
Gedrag
Deze 2 benaderingen kunnen niet zonder elkaar!
Actie
• In 2013:
– Maatregelen rond robuustheid infrastructuur
– Eerste DigiD Audit
– Samenwerking in Regio:
• IJsselstein
• Houten
• Zeist
• In 2014:
– Aansluiting bij IBD
– Samenwerking in Regio intensiveren
– 3 Decentralisaties (ketensamenwerking)
– Vastleggen beleid/processen/procedures (borging)
– Uitvoering Jaarplan 2014 met daarin en ook parallel daaraan:
– Awareness gebruikers
Vragen
Informatiebeveiliging gemeente Nieuwegein

similar documents