Informatieveiligheid in Lokale besturen Hoe OCMW's kunnenenOCMW's gemeenten en gemeenten moeten een een gezamenlijk veiligheidsbeleid uitwerken! uitwerken?
Mechelen - 10 februari 2015
Omgevingsanalyse … Behoefte
Aanbod
Regelgeving (kader)
Dreiging
Omgevingsanalyse …
Omgevingsanalyse
Bring Your Own Device (BYOD)? • Eigen apparatuur op netwerk – Nieuwe werken
• Ondersteuning? – Nieuwe denken
• Eén antwoord – Duidelijk beleid – Duidelijkheid mbt gestelde eisen • Beveiligingsupdates, …
– Quid afdwingbaarheid? BEHOEFTE
Open Data - The Cloud • Het “open” ter beschikking stellen van alle mogelijke aan elkaar gelinkte DATA • De DATA waar je ook bent ter beschikkng stellen • … en pas dan ben je een “Smart City” – druk via lokale politici – druk via burger / “community”
BEHOEFTE
So … are we retards? (1) • “Hoe is het in Hemelsnaam mogelijk dat ik …” – Mijn eigen device niet kan gebruiken? – Ik een paswoord nodig heb? (in een tijdperk van openbaarheid) – Ik niet over mijn interne documenten beschik waar ik ook ben? – Burgers geen Full Access hebben tot hun eigen gegevens?
AANBOD
So … are we retards? (2) • “Hoe is het in Hemelsnaam mogelijk dat …” – – – – –
de log’s per app geen tien jaar zijn bijgehouden? er geen full redundantie is? de verbinding uitviel? derden mijn documenten hebben ingekeken er een mail vertrok in mijn naam?
• “Het ICT-budget zo HOOG is en niks kan of mag…?” AANBOD
Terug naar de essentie … • Vertrouwelijkheid • Integriteit • Beschikbaarheid • of … – – – –
Toerekenbaarheid Onweerlegbaarheid Authenticiteit Betrouwbaarheid KADER
“Samenwerking” Integratie gemeente en OCMW Quid informatieveiligheid?
enkele statements …
Gemeente en OCMW als één entiteit „het lokaal bestuur‟? • Gemeente en OCMW zijn (nu nog) afzonderlijke entiteiten en hebben elk hun specifieke finaliteit. • Daardoor worden zij door de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, beschouwd als verschillende verantwoordelijken voor de verwerking (nu nog).
Het kader … Privacy Wet
KSZ
RR
POD MI
VTC
OCMW
GEMEENTE
Veiligheidsconsulent
Richtsnoeren voor Informatieveiligheid
Machtiging
Machtiging
Veiligheidsconsulent
Minimale Veiligheidsnormen
Samenwerking onder vuur? Wat dan met … • Eigen (vroeger) personeelsleden • Toeleveranciers van infrastructuur (HW & SW) – – – –
• • • •
Inbellen zonder confirmatie?! Testen op productieomgevingen(!) Eeuwenoude Administrator paswoord voor alle klantbesturen “Vertrouwde” contactpersonen
Bezoekers van een Open Sociaal Huis/ publieke ruimtes? Stagiairs Onderling “Collegiaal gedrag” Telefoon- of baliegesprekken
It’s about SECURITY moron!
Samenwerking onder vuur? Al gedacht aan… • Mijn thuis is waar mijn server staat …? • Grote(re) Investeringen Schaalvergroting => – Degelijke Backup (beleid) – Degelijk paswoordbeleid • Sterk paswoord, Regelmatige wijzigingen, Persoonlijk!, …
– – – – – –
Degelijke Firewall, AV, AS, IDS, … Degelijk gebruikers- en filebeheer Inventariseringssystemen Toegangscontrolesystemen Camerabewaking Security training / policies / beleid
It’s about SECURITY moron!
Informatieveiligheid voor wie? • Voor IEDEREEN binnen de organisatie! – Niet louter voor maatschappelijk werkers OCMW – Niet louter voor ICT personeel
• Niet louter voor „Sociale Data‟. – Financiën! (lonen en wedden?), Personeel! (HR, diploma‟s, gezinsituatie, …), Rijksregister!, Evaluaties, Secretaris, Financieel beheerder, Politionele data! (boetes, strafregister, …), …
Gemeentepersoneel
Eén Veiligheidsconsulent? • Ja. Wel 2 verschillende veiligheidsplannen opmaken, een voor de gemeente en een voor het OCMW (toekomst?). • Als gemeente en OCMW dezelfde infrastructuur gebruiken en samen een informatieveiligheidsconsulent aanstellen, wordt 6 uur per week aanvaard als tijdsbesteding.
Eén Veiligheidsconsulent? • Meer informatie omtrent het optreden van een veiligheidsconsulent voor gemeente en OCMW vindt u op de website van de Kruispuntbank van de Sociale Zekerheid (KSZ). • Bijkomende informatie vindt u in de rubriek „FAQ veiligheid en privacy‟ op de website van de KSZ.
Minimale veiligheidsmaatregelen gelden voor gemeente en OCMW? • De OCMW behoren tot het netwerk van de sociale zekerheid en moeten voldoen aan de minimale veiligheidsmaatregelen die zijn opgelegd door de Kruispuntbank van de Sociale Zekerheid (KSZ). • Daarnaast zijn door de KSZ richtlijnen opgesteld met door iedere instelling na te streven veiligheidsdoeleinden m.b.t. alle domeinen van de informatieveiligheid.
Minimale veiligheidsmaatregelen gelden voor gemeente en OCMW? • De gemeenten behoren niet tot het netwerk van de sociale zekerheid. • Bedoeling om het veiligheidsniveau van de gemeente op te tillen naar het niveau van het OCMW. • Dergelijk proces vraagt tijd en inspanning. • Eenvormige richtsnoeren informatieveiligheid die gelden voor zowel OCMW als gemeente in Vlaanderen, gebaseerd op de minimale veiligheidsnormen van de KSZ.
De richtsnoeren 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.
Risicobeoordeling en risicobehandeling Beveiligingsbeleid Beveiligingsorganisatie Classificatie en beheer van bedrijfsmiddelen Beveiligingseisen ten aanzien van personeel Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging! Ontwikkeling en onderhoud van systemen! Incidentmanagement! Continuïteitsmanagement (Business Continuity Management) Naleving
De richtsnoeren (tool)
Gemeente en OCMW persoonsgegevens uitwisselen? • Zij zijn elk verantwoordelijke voor de verwerking van persoonsgegevens. • Als zij onderling persoonsgegevens willen uitwisselen, moet voor de elektronische uitwisseling vooraf een machtiging worden gevraagd. – Ook voor satellieten! … (vzw kinderopvang, scholen, …)
Gemeente en OCMW persoonsgegevens uitwisselen? • Aan wie moet een machtiging gevraagd worden? Worden persoonsgegevens vanuit de gemeente meegedeeld aan het OCMW, dan is een machtiging van de Vlaamse Toezichtcommissie vereist.
• Worden persoonsgegevens vanuit het OCMW meegedeeld aan de gemeente, dan is in principe het sectoraal comité van de Sociale Zekerheid bevoegd. – op een paar uitzonderingen na die Vlaamse bevoegdheid zijn
Restricties op Samenwerken? • De restricties liggen op de toegang tot de data! – Data classificeren (opdelen in vertrouwelijk, publiek, …) – Logische scheiding van de dataverwerking! – Afgelijnde verantwoordelijkheden! (e-Policy) – Afgelijnde deontologie! (deontologische code als bijlage vh arbeidscontract / -reglement)
Gemeente en OCMW één gemeenschappelijke …? • Verantwoordelijk voor eigen dataverwerking. • Gemeenschappelijk netwerk kan, mits voldoende veiligheidsmaatregelen: • • • • •
toegang d.m.v. paswoord lijst van gemachtigden vd gemeente en een lijst van gemachtigden van OCMW toegang voor de gemachtigden vd gemeente beperkt tot de finaliteit vd gemeente toegang voor de gemachtigde vh OCMW beperkt tot de finaliteit vh OCMW bijhouden logs
• Als gemeente en OCMW nu al een gemeenschappelijk ICT-beleid willen uitbouwen, is een samenwerkingsakkoord tussen beiden nog vereist (keep it basic). • Eén … Netwerk, Serverpark, Domein (AD), Backup, …
Ingrediënten informatieveiligheid
Persoonsgegevens
Sociale Gegevens
Wetgeving
Dagelijks beleid
Machtigingen
Veiligheidsconsulent Interne Veiligheidscel of Team
Gemeente
Veiligheidsplan
Integratie is een opportuniteit 1. 2. 3. 4. 5.
Classificeer (data) Beveilig (cfr richtsnoeren) Bewaak (consulent) Bewustwording (personeel) Plichtsbesef (deontologie)
Neem de hoogste veiligheidsgraad als Standaard!
Lokale Overheden
Focus op de echte problemen
Enjoy this Security Day http://vtc.corve.be/infoveiligheid.php http://security.v-ict-or.be/
Eddy Van der Stock
Vlaamse ICT Organisatie
