College Tour Informatieveiligheidbeleid
11 oktober 2013 DEN HAAG
Vereniging van Nederlandse Gemeenten
Agenda 1. Maatschappelijke vraagstukken Patrick van Domburg, Wethouder Gemeente Zoetermeer 2. Informatievoorzieningen Larissa Zegveld, directielid KING 3. Informatieveiligheid Henk Wesseling, Taskforce Bestuur en Informatieveiligheid Dienstverlening
Vereniging van Nederlandse Gemeenten
‘elektronische overheid’, waarom ook al weer? Betere dienstverlening, handhaving
Digitaal gemak Besparing
lagere lasten
Transparantie: delen, hergebruiken Veiligheid, vertrouwen van burgers/bedrijven
Vereniging van Nederlandse Gemeenten
Vereniging van Nederlandse Gemeenten
Vereniging van Nederlandse Gemeenten
De blik vooruit: 2014-2018 Informatievoorziening, voor: - Efficiëntere bedrijfsvoering - Betere dienstverlening - Striktere handhaving….. …. maar vooral voor
oplossen van maatschappelijke vraagstukken
Vereniging van Nederlandse Gemeenten
http://digitalestedenagenda.nl
Vereniging van Nederlandse Gemeenten
De blik vooruit: 2014-2018 Maatschappelijke vraagstukken, o.m.: zorg en welzijn werk en inkomen, werkloosheid woningmarkt, doorstroming, starters vitale binnensteden en dorpskernen milieu en duurzaamheid krimp en vergrijzing, ouderenzorg fraude en oneigenlijk gebruik
Vereniging van Nederlandse Gemeenten
Hoe ver zijn we? Wat speelt in 2014-2018? Waar liggen uw kansen? -
NUP-bouwstenen komen beschikbaar GBA wordt Basisregistratie Personen GEO: informatie op kaarten toegankelijkheid ondernemersplein decentralisaties nieuwe sociale cohesie / social media: weten wat speelt
Vereniging van Nederlandse Gemeenten
Waar moet u op letten; wat zijn de risico’s - uitvoerbaarheid - capaciteit, geld - veiligheid
Informatievoorzieningen
11
12
Doelgroep informatie
13
14
15
Informatie voor verantwoording
16
17
18
Betrokken en efficiënt
INFORMATIEVEILIGHEID een uitdaging van ons allemaal
Henk Wesseling
Wake Up Call…
Leverancier gehacked
Remote Bediening door een hacker
Financiële schade door uitlekken informatie
Gemalen in Veere slecht beveiligd
Vertrouwen geschaad door verlies gegevens op straat
Onbereikbaarheid door DDoS aanvallen op websites
Wat zijn uw aandachtsgebieden? Aantasting persoonlijke veiligheid
Aantasting imago
Juridische schade
Moraal medewerkers
Aantasting publiek vertrouwen
Waar ligt u wakker van? o o o o o o o
Aantasting publiek vertrouwen Verlies van inkomsten / onvoorziene kosten Moraal medewerkers Onvoldoende flexibiliteit Juridische schade Aantasting privacy Anders, nl: …
Wat is uw top 3? 1. … 2. … 3. …
Hoe is het in uw gemeenten gesteld met informatieveiligheid? • Wie heeft er ooit zoiets meegemaakt? • Heeft u een beeld hoe de informatieveiligheid in uw gemeente is geregeld? • Is informatieveiligheid als thema wel eens besproken in het college? • Wie heeft informatieveiligheid in uw college in zijn portefeuille?
Informatieveiligheid is meer dan techniek alleen Het is niet: • Een afvinklijst afwerken • Iets wat ‘dicht’ geregeld moet zijn. Maar wel: • Verantwoord omgaan met risico’s • Informatieveiligheid verankeren in mens én organisatie • Blijven leren • Van hoog tot laag, door de organisatie heen • Op de plek waar het thuishoort: op de agenda van de bestuurder
Informatieveiligheid is mensenwerk • Informatieveiligheid vereist samenwerking • Intensieve samenwerking met koepelorganisaties van elk van de vijf overheidslagen • Informatieveiligheid vraagt focus en eigen verantwoordelijkheid • Bewustzijn, verandering en verankering • Bewustzijn op informatieveiligheidsvlak vraagt concrete middelen • Training- en opleidingsaanbod, Implementatie Baseline Gemeenten (BIG), et cetera. • Bewustzijn t.a.v. informatieveiligheid bij management (en medewerkers) is waar het echt om draait! • En daadwerkelijk concrete sturing op informatieveiligheid binnen organisaties
De (overheids)ketting…
…is zo sterk als de zwakste schakel… …en dat zien we helaas nog al te vaak terugkomen.
De (overheids)ketting…
…is zo sterk als de zwakste schakel… …en dat zien we helaas nog al te vaak terugkomen…
Taskforce BID: Bestuur & Informatieveiligheid Dienstverlening • • • •
Onderzoeksraad Voor Veiligheid Geïnitieerd door minister Plasterk Gestart per 13 februari 2013 Twee jaar actief
Dit doen we niet alleen…
Invulling langs drie lijnen • Verplichtende Zelfregulering per overheidslaag
• Gerichtheid: • Leeraanbod bestuurders en topmanagers • Gericht op een leer- en ontwikkelproces • Afgestemd op de volwassenheid van de overheidslaag • Verankering: • Handreikingen: baselines voor informatiebeveiliging • Sturingsmiddelen
Het perspectief • Alle overheidslagen en organisaties hebben over twee jaar een solide basis voor verplichtende zelfregulering op informatieveiligheidsvlak • In iedere organisatie dient een jaarlijkse cyclus te zijn geborgd waarin ambtelijke en bestuurlijke oordeelsvorming over informatieveiligheid plaatsvindt en uiteraard een verbeteraanpak wordt neergelegd
ISO-normen
Baseline overheidslaag Maken van analyse (GAP & risico) Maken van beleid
Monitor
Audit extern
Uitvoeren
Controleren
Bijstellen
Evalueren
Oordelen
Verantwoorden
Sancties
Toezicht
Wat zijn uw stuurvragen bij zelfregulering? • • • • • •
Hebben wij bewust gekozen welke risico’s we willen voorkomen? Hebben wij een beleidsplan Informatiebeveiliging? Kent en volgt iedereen het beleid en toetsen we dat? Hanteren we daarbij eenduidige normen en kaders? Laten we in- en extern onze veiligheid toetsen? Hebben we ook een verbeterplan n.a.v. de bevindingen?
Opbouw opleidingsaanbod
Voorbeeld Leerdoel: CISO kan bestuur en topmanagement in hun eigen taal het belang van informatieveiligheid uitleggen Dialoogsessie: Bestuur en informatiebeveiligers bespreken hoe ze elkaar (beter) kunnen verstaan
Opbouw verankeringinstrumenten
Inzetten op hergebruik van kennis en ervaring • • • •
Good practices ontsluiten Baseline Informatiebeveiliging Gemeenten (BIG) Operationele Bijproducten Learn & Share bijeenkomsten
• Inzetten op handreikingen t.b.v. P&C cyclus • Handreikingen t.a.v. juridische vraagstukken • Ontwikkeling van SISA aanpak t.b.v. audits
Learn and share bijeenkomsten....…… Verdieping van het thema informatieveiligheid voor bestuurders •
In opvolging van de college tour organiseert de Taskforce BID met de NGB en Wethoudersvereniging ‘Learn and Share’ bijeenkomsten
Voorlopige data • Regio Noord, Zwolle, 11 december • Regio Utrecht, Nieuwegein, 12 december • Regio Noord Holland, Zaanstad, 18 december • Regio Zuidholland, Zwijndrecht, 19 december • Regio Gelderland, Veenendaal, 8 januari • Regio Brabant, Eindhoven, 9 januari Dit is ook in uw regio mogelijk…
Alert Online Week Veilig en zorgeloos omgaan met ICT •
Van 28 oktober tot en met 5 november 2013 organiseren publieke en private organisaties activiteiten om veilig en zorgeloos om te gaan met ICT.
Ook de Taskforce BID doet mee: • •
Stuurdagen Informatieveiligheid op vrijdag 1 en maandag 4 november Interbestuurlijk Diner van de Informatieveiligheid op maandag 4 november
College Tour Informatieveiligheidbeleid
www.vng.nl www.kinggemeenten.nl www.ibdgemeenten.nl www.taskforcebid.nl