INFORMATIEVEILIGHEID een uitdaging van ons allemaal
Learn and Share bijeenkomst Informatieveiligheid, Rheden
George van Heukelom
Hackers bedienen containers in Antwerpen
Remote bediening door een hacker
Taskforce Bestuur & Informatieveiligheid Dienstverlening Geïnitieerd door minister Plasterk N.a.v. Rapport Onderzoeksraad voor Veiligheid over DigiNotar Gestart per 13 februari 2013 Actief voor een periode van twee jaar Focus op bestuur & topmanagement Bouwt voort op bestaande initiatieven en is gericht op samenwerking
Dit doen we niet alleen…
Het technisch perspectief hack demo
Het bestuurskundig perspectief
De gemeentelijke praktijk
Vervolg Resolutie Informatieveiligheid: 1. 2. 3.
4. 5.
Onderdeel van collegeambities, in portefeuille collegelid Verankering op agenda, paragraaf in jaarverslag Gemeenten implementeren, lokaal informatieveiligheidsbeleid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), hét gemeentelijke basisnormenkader Borging door aansluiting planning & controlcyclus: leren en cyclisch ontwikkelen organisatie Transparantie via waarstaatjegemeente.nl, peer reviews en interbestuurlijke visitatiecommissie
De (overheids)ketting… …is zo sterk als de zwakste schakel… …en dat zien we helaas nog al te vaak terugkomen…
Bijlagen
Waar liggen uw belangrijkste risico’s? Heeft u al eens zoiets meegemaakt?
Wat zijn de meest kritieke processen en systemen in uw gemeente?
Wat zijn de belangrijkste bedreigingen voor deze systemen?
Top 10 kritieke processen Uit 30 gemeentelijke continuïteitsplannen: Salarisadministratie / salarismutaties / betaling Bereikbaarheid / e-mail en telefoonbehandeling / meldpunt openbare ruimte Begraven Inzameling huishoudelijk afval Aangifte overlijden Aangifte geboorte Postregistratie / verwerking Rijbewijzen Betalen uitkering Burgerlijke stand / aangifte huwelijken /uittreksels verklaringen GBA geen uitputtende lijst, kan per gemeente verschillen
Top 10 Risico’s Uit onderzoek blijkt dat Security managers meeste aandacht besteden aan: 1. Diefstal 2. Informatiediefstal 3. Agressie 4. Vandalisme 5. Fraude 6. Lekken of manipuleren van informatie 7. Cybercrime 8. Bedrijfsspionage 9. Bewust toebrengen van imagoschade 10. Bewuste negatieve continuïteitsbeïnvloeding
ISO-normen Baseline overheidslaag Maken van analyse (GAP & risico)
Monitor
Audit extern
Maken van beleid
Uitvoeren
Controleren
Bijstellen
Evalueren
Oordelen
Verantwoorden
Sancties
Toezicht
Aanpak Taskforce langs vier lijnen Uitgangspunt : Verplichtende Zelfregulering per overheidslaag Gerichtheid van bestuurders en topmanagers : • Leeraanbod bestuurders en topmanagers • Gericht op een leer- en ontwikkelproces • Afgestemd op de volwassenheid van de overheidslaag Verankering van Informatieveiligheid: • Baselines voor informatiebeveiliging • Sturingsmiddelen Stelsel Informatieveiligheid Dialoog als basis van een vitale coalitie
Waar staat jullie gemeente met informatieveiligheid? Is de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) bij jullie bekend? Is organisatie rond informatieveiligheid ingericht en zijn de rollen en verantwoordelijkheden bekend? Zijn de meest kritieke processen in beeld? Zijn de belangrijkste risico’s en kwetsbaarheden in beeld? Wordt er planmatig aan de verbetering gewerkt? Is er sprake van borging in de algemene planning & controlcyclus? Is het informatiebeveiligingsbeleid bestuurlijk vastgesteld? Is informatieveiligheid onderdeel van de organisatiecultuur?
Het aanbod van de Taskforce BID De Taskforce BID heeft als opdracht informatieveiligheid en de gerichtheid daarop in de reguliere processen en binnen informatieketens te verankeren. Hiervoor zet de Taskforce BID een generieke programmering met generieke middelen op, die ze vervolgens vertaalt naar de specifieke situatie van elke overheidslaag. Het aanbod van middelen bestaat uit twee delen: Opleidings- en trainingsaanbod Verankeringsinstrumenten
Verankeringinstrumenten Best practices: • Systematiek voor risicoanalyse • Beleidsplannen • Responsmanagement • Implementatieplan Handreikingen: • Handboek optimalisatie processen en procedures • Top 10 stuurvragen voor informatieveiligheid • Top 10 stuurvragen bij incidenten en calamiteiten • Oefenscenario’s calamiteiten en incidenten Meldingssystematiek incidenten (Stelsel breed) Systematiek voor controlemechanismen Systematiek voor veranderen en bijstellen
Datum
Bestuur & Informatieveiligheid Dienstverlening
Opbouw verankeringinstrumenten
Ook nadrukkelijk aandacht voor ketens Naast aandacht voor individuele organisaties: • ook aandacht voor overheidslagen als geheel • en aandacht voor ketens; thema gerichte samenwerking Afhankelijkheid van derde partijen, zoals: • Rijkswaterstaat (verkeersgegevens), • Milieudiensten • Waterschappen • Et cetera Fouten die bij anderen ontstaan, kunnen van grote invloed zijn op de eigen systemen en dienstverlening
Bent u hierop voorbereid? Bent u zich bewust van de risico’s en stuurt u daar ook op? Weet u wie binnen uw organisatie aanspreekpunt is in geval risico’s werkelijkheid worden? En wie de achtervang is? Heeft u een communicatie(crisis)plan met scenario’s? Heeft u een continuïteitsplan? Voorziet die ook in uitval door een virusuitbraak? Heeft u contactgegevens offline beschikbaar? Kent u uw ICT-leveranciers en toetst u die ook?
Bent u hierop voorbereid? Zelftest Informatieveiligheid Vraag 1. Informatieveiligheid onderdeel van organisatie 2. Volwassenheid van de organisatie
Percentage goed 67% 92%
3. Risicoanalyse
56%
4. Sturen
87%
5. Actoren
32%
6. Samenstelling crisisteam
73%
7. Acties bestuurder
87%
8. Ketenverantwoordelijkheid
84%
9. Datalekken
51%
10. Dreigingen Gemiddelde basisvragen Gemiddelde inclusief specifieke vraag per laag
55% 6,8 7,5
