INFORMATIEVEILIGHEID een uitdaging van ons allemaal
PUBLIEKE DIENSTVERLENING & INFORMATIEVEILIGHEID noodzakelijke kennis of onnodige ballast?
Informatieveiligheid … een uitdaging van ons allemaal
Start
Publieke Dienstverlening en Informatieveiligheid
Publieke Dienstverlening bij gemeenten Volgens WIKIPEDIA: De publieke dienstverlening van gemeenten, inwoners en bedrijven verplaatst zich van het loket in het gemeentehuis steeds meer naar het digitale loket op websites van gemeenten. De wijze waarop de diensten worden geleverd liggen vast in een aantal wetten.
Publieke Dienstverlening bij gemeenten Volgens WIKIPEDIA: Voor het beoordelen van de taken van gemeenten op het terrein van publieke dienstverlening zijn de volgende criteria van belang: bereikbaarheid: hoe staat het met de bereikbaarheid van de gemeente? wachttijden: word ik binnen aanvaardbare tijden geholpen? bejegening: word ik correct behandeld? lever- en doorlooptijden: binnen welke termijn worden de diensten en producten geleverd? leges: wat zijn de kosten? elektronische mogelijkheden: welke mogelijkheden voor e-dienstverlening biedt de gemeente?
De aanleiding Informatieveiligheid is meer dan techniek alleen
Start
Strategie VDP
Nee ten zij Aanscherping 2020 traject Bulk Beperkt zelfredzaam Multiproblem 3D, ketens Informatie in allerlei stromen essentieel Beschikbaar, integer, privacy Allerlei projecten VDP Maar informatieveiligheid?
De Taskforce Bestuur en Informatieveiligheid Dienstverlening Mede op advies van de Onderzoeksraad Voor Veiligheid Geïnitieerd door minister Plasterk, Ministerie van BZK Gestart per 13 februari 2013 Actief voor een periode van twee jaar Gericht op Verplichtende Zelfregulering Focus op bestuur en topmanagement
De gezichten achter de Taskforce BID
De doelen 1. Versnelling te weeg brengen bij bestuur en topmanagement op het vlak van bewustzijn als het gaat om informatieveiligheid, samen met de koepelorganisaties per overheidslaag
2. Concrete middelen ontwikkelen om sturing op informatieveiligheid door bestuur en topmanagement binnen de overheidslagen mogelijk te maken 3. Verankeren van veiligheidsbeleid in structuren en werkprocessen 4. = organisatieleren
De aanleiding Informatieveiligheid is meer dan techniek alleen
Start
De conclusie Informatieveiligheid is mensenwerk
Informatieveiligheid gaat helaas slechts deels om techniek Bewustzijn van informatieveiligheid bij management (en medewerkers) is waar het echt om draait!
Als punt op de horizon voor de Taskforce is om deze reden in eerste instantie bewust gekozen voor Verplichtende Zelfregulering (vereist juiste mentaliteit) en bewust niet voor wetgeving
Informatieveiligheid staat of valt met bewustzijn
… en dat bewustzijn start met het besef dat de wereld verandert … en daarmee ook onze dienstverleningsmodellen, zeker Publieke Dienstverlening … met het besef dat onze gemeentelijke organisatie zich door deze digitalisering onbedoeld uitbreidt buiten de muren van ons kantoor: Informatie wordt steeds vaker digitaal ontsloten middels allerlei apparaten die binnen en buiten de gemeentelijke muren worden gebruikt Informatie wordt ook door onze burgers en bedrijven door de opkomst en impact van social media inmiddels ‘anders’ gebruikt
Kortom: informatieveiligheid gaat eigenlijk om INFORMATIE en VEILIGHEID in de breedste zin des woords
Informatie en veiligheid het zit in de details…
Start
De risico’s voor gemeenten Voorbeelden bedreigingen
Voorbeeld van impact
Informatie diefstal
Verlies van persoonsgegevens, fraude
Hacking
Illegale aanpassingen op websites, fraude
Technische storing van netwerk
Uitval van systemen, geen paspoorten kunnen uitgeven
Virus
Uitval van systemen, geen uitkeringen kunnen uitkeren
Menselijke fouten
Uitval van systemen, verlies van data
De oplossing Informatieveiligheid vereist een plek aan de bestuurstafel, zeker bij Publieke Dienstverlening
Ervaring leert dat echte informatieveiligheid pas wordt bereikt als we allemaal, van hoog tot laag, doordrongen zijn van het belang én van de risico’s Daar zit de echte oplossing. Hoog tijd dus voor een verscherping van het bewustzijn en concrete sturing op informatieveiligheid binnen gemeenten
De meerwaarde Informatieveiligheid is niet vrijblijvend
Ook hier geldt; de gemeentelijke ketting is zo sterk als de zwakste schakel Kortom, samenwerken én eigen verantwoordelijkheid
Het perspectief
Alle overheidslagen en organisaties, dus ook gemeenten hebben over twee jaar een solide basis voor verplichtende zelfregulering op informatiebeveiligingsvlak In iedere organisatie dient een jaarlijkse cyclus te zijn geborgd waarin ambtelijke en bestuurlijke oordeelsvorming over informatieveiligheid plaatsvindt en uiteraard een verbeteraanpak wordt neergelegd
De uitgangspunten (1/2) Verplichtende Zelfregulering conform Statement BRG
Een normatieve basis per gemeente en per overheidslaag (ISO 27001 en ISO 27002) Een verankering van deze normatiek. Elke betrokken gemeente regelt de informatieveiligheid op adequaat niveau Op het niveau van de overheidslagen is er een stelsel van afspraken over de verantwoordelijkheid van koepelorganisaties zoals VNG. Op landelijk niveau belegde en daarvoor ingerichte voorzieningen faciliteren deze zelfregulering
De uitgangspunten (2/2) Verplichtende Zelfregulering conform Statement BRG
Auditing is hierbij een belangrijk instrument. De ontwikkeling van een stelsel van single audit is uiteraard een stimulerende factor voor zelfregulering bij gemeenten Elke gemeente, nader ondersteund per overheidslaag, traint regulier op een actieve gerichtheid van bestuur, management, ICT-functionarissen en andere medewerkers op informatieveiligheid Voor elke gemeente en elke overheidslaag zijn een probleemanalyse en veranderplan opgesteld, die uiteindelijk leiden tot een verplichtende zelfregulering van informatieveiligheid
Verplichtende Zelfregulering Stelsel
Overheidslaag
Organisatie
Stelsel: • Kaderstelling • Controlemechanismen • Toezicht
De basis van zelfregulering Zelfregulering veronderstelt dat er binnen de gemeentelijke overheidslaag: verantwoordelijkheid ten aanzien van het probleem bestaat een bepaald niveau van kennis aanwezig is voldoende draagvlak bestaat voor zelfregulering een voldoende organisatiegraad bestaat
De start
Een baseline voor gemeenten De audits zoals het ICT-Beveiligingsassessment DigiD Verplichte audits, GBA.Suwi De kennis van pioniers en best practices De opleidingen vanuit bestaande gremia
De normatieve basis
ISO 27001 ISO 27002 GEMMA Richtsnoeren
De veiligheidscyclus als basis De veiligheidscyclus is de basis voor actie binnen elke stap. Een voorbeeld: informatieveiligheidsbeleid bevat beleid op gebied van: pro-actie preventie preparatie respons nazorg en herstel
Verplichtende Zelfregulering bij informatieveiligheid Zelfregulering betekent: maken van een risicoanalyse maken van beleid en toepassing van normen sturing op uitvoering van beleid controle, verantwoording en toezicht op beleid en uitvoering daarvan bijstelling en leren waar nodig
ISO
Baseline overheidslaag Maken van analyse (GAP & risico)
Audit extern
Maken van beleid Monitor
Uitvoeren
Controleren
Bijstellen
Evalueren
Oordelen
Verantwoorden
Sancties
Toezicht 28
Hoe stimuleert de Taskforce BID deze Verplichtende Zelfregulering?
De gemeentelijke overheidslaag gesteund door de Taskforce BID stelt een veranderplan (programmering) op via twee lijnen: gerichtheid en verankeren Deze programmering start waar er al energie of beweging is (projecten, initiatieven, bestuurlijke thema’s) binnen een overheidslaag Deze programmering is zoveel mogelijk gericht op bestaande netwerken en gremia en richt zich op co-creatie van pioniers en faciliteren van beginners Programmering neemt normen en architecturen als uitgangspunt, overheidslaag is verantwoordelijk voor implementatie
De onderdelen van de programmering
Workshops en bewustwordingsbijeenkomsten Systematiek voor risicoanalyse Format voor informatieveiligheidsbeleid Stappenplan voor implementatie norm en veiligheidscyclus Systematiek voor controle en toezicht Systematiek voor verandering en bijstelling
Informatieveiligheid blijft mensenwerk…
Start
VRAGEN?
DE specificaties
Voorbeeld G4
Baselines gebaseerd op ISO’s 10 hoofdprocessen hoogste prioriteit bij informatiebeveiliging ‘In control’-verklaring door alle afdelingsmanagers Classificatie van informatie, A&K analyse en verantwoordelijkheden bij nieuwe ICT-projecten
Voorbeeld IJsselstein
Informatiebeveiligingsbeleidsplan als deelplan van informatiebeleid Raad nu al informeel betrokken College B&W stelt vast en bepaalt of plan doorgaat naar Raad Raad zal naar alle waarschijnlijkheid controlerende functie krijgen
ISO
Baseline overheidslaag Maken van analyse (GAP & risico)
Audit extern
Maken van beleid Monitor
Uitvoeren
Controleren
Bijstellen
Evalueren
Oordelen
Verantwoorden
Sancties
Toezicht 36
De stand van zaken RO: PDCA Cyclus
Status bij gemeenten
Norm
Risico’s
Beleid
Uitvoering
Controle
Toezicht
IST
GEMMA √ ISO 27001 √ ISO 27002 √
Risicoanalyses bij aantal gemeenten
Beleidsparagraaf √
Gemeente √
Raad √ Rekenkamer √
Raad √
SOLL
BIG √ GEMMA √
Systematiek Beleidsvoor risico- plan analyses
Gemeente
Raad √ Rekenkamer √ Edp auditor? Audit anderen?
Raad √ Rol IBD? Rol VNG?
