INFORMATIEVEILIGHEID een uitdaging van ons allemaal
Douwe Leguit
Wake Up Call…
http://www.youtube.com/watch?v=F7pYHN9iC9I&sns=em
Leverancier gehacked
Onbereikbaarheid door DDoS aanvallen op websites
Verlies van data a.g.v. inbraak door hackers
Remote Bediening door een hacker
Financiële schade door uitlekken van informatie
Vertrouwen geschaad door verlies gegevens op straat
Lessons Learned? • Wie heeft er ooit zoiets meegemaakt? • Welke tips kunt u anderen aanwezigen geven?
Wat zijn uw aandachtsgebieden? Aantasting persoonlijke veiligheid
Com
nc a i l p
Moraal medewerkers
y
Verlie
Aantasting imago
s van inkoms teFnr aude
Onjuis te Juridische schade manag ement beliss ingen Aantasting
g n n i r e o s t s Vers fsproce j i g r n d i e t b s a t n Aa acy v pri
publiek vertrouwen e Onvoldoend flexibiliteit
Waar ligt u wakker? o o o o o o o
Aantasting publiek vertrouwen Verlies van inkomsten / onvoorziene kosten Moraal medewerkers Onvoldoende flexibiliteit Juridische schade Aantasting privacy Anders, nl: …
Wat is uw top 3? 1. … 2. … 3. …
Informatieveiligheid is meer dan techniek alleen
Het is niet: • Een afvinklijst afwerken • Iets wat ‘dicht’ geregeld moet zijn.
Maar wel: • Verantwoord omgaan met risico’s • Informatieveiligheid verankeren in mens én organisatie • Blijven leren • Van hoog tot laag, door de organisatie heen • Op de plek waar het thuishoort: op de agenda van de bestuurder
Informatieveiligheid is mensenwerk •
• •
Informatieveiligheid vereist samenwerking • Intensieve samenwerking met koepelorganisaties van elk van de vijf overheidslagen Informatieveiligheid vraagt focus en eigen verantwoordelijkheid • Bewustzijn, verandering en verankering Bewustzijn op informatieveiligheidsvlak vraagt concrete middelen • Training- en opleidingsaanbod, Implementatie Baseline (BIG), et cetera. • Bewustzijn t.a.v. informatieveiligheid bij management (en medewerkers) is waar het echt om draait! • En daadwerkelijk concrete sturing op informatieveiligheid binnen organisaties
De (overheids)ketting…
…is zo sterk als de zwakste schakel…
…en dat zien we helaas nog al te vaak terugkomen…
De (overheids)ketting…
…is zo sterk als de zwakste schakel…
…en dat zien we helaas nog al te vaak terugkomen…
Taskforce BID:
Bestuur & Informatieveiligheid Dienstverlening • • • •
Onderzoeksraad Voor Veiligheid Geïnitieerd door minister Plasterk Gestart per 13 februari 2013 Twee jaar actief
Dit doen we niet alleen…
Invulling langs 3 lijnen • Verplichtende Zelfregulering per overheidslaag
• Gerichtheid: • Leeraanbod bestuurders en topmanagers • Gericht op een leer- en ontwikkelproces • Afgestemd op de volwassenheid van de overheidslaag
• Verankering: • Handreikingen: baselines voor informatiebeveiliging • Sturingsmiddelen
Het perspectief •
Alle overheidslagen en organisaties hebben over twee jaar een solide basis voor verplichtende zelfregulering op informatieveiligheidsvlak
•
In iedere organisatie dient een jaarlijkse cyclus te zijn geborgd waarin ambtelijke en bestuurlijke oordeelsvorming over informatieveiligheid plaatsvindt en uiteraard een verbeteraanpak wordt neergelegd
ISO-normen Baseline overheidslaag Maken van analyse (GAP & risico) Maken van beleid
Monitor
Audit extern
Uitvoeren
Controleren
Bijstellen
Evalueren
Oordelen
Verantwoorden
Sancties
Toezicht
Wat zijn uw stuurvragen bij zelfregulering? • • • • • •
Hebben wij bewust gekozen welke risico’s we willen voorkomen? Hebben wij een beleidsplan Informatiebeveiliging? Kent en volgt iedereen het beleid en toetsen we dat? Hanteren we daarbij eenduidige normen en kaders? Laten we in- en extern onze veiligheid toetsen? Hebben we ook een verbeterplan n.a.v. de bevindingen?
Opbouw opleidingsaanbod
Voorbeeld Leerdoel: CISO kan bestuur en topmanagement in hun eigen taal het belang van informatieveiligheid uitleggen
Dialoogsessie: Bestuur en informatiebeveiligers bespreken hoe ze elkaar (beter) kunnen verstaan
Opbouw verankeringinstrumenten
Inzetten op hergebruik van kennis en ervaring • • • •
Good practices ontsluiten Baseline Informatiebeveiliging Gemeenten (BIG) Operationele BIG producten Learn N Share bijeenkomsten
• • •
Inzetten op handreikingen t.b.v. P&C cyclus Handreikingen t.a.v. juridische vraagstukken Ontwikkeling van SISA aanpak t.b.v. audits
En als u hulp nodig heeft… De Taskforce BID staat graag voor u klaar met een concreet opleidings- en trainingsaanbod!
In de komende periode zullen wij ook in samenwerking met de VNG, NGB en de Wethoudersvereniging “Learn and Share” workshops organiseren.
U hoort snel van ons!
www.taskforcebid.nl
