Nieuwe ontwikkelingen SSC de Kempen Informatiebeveiliging
SSC de Kempen
• • • •
Samenwerking op gebied van ICT en Geo-informatie 5 Kempengemeenten Dienstverlening aan BIZOB en gemeente Cranendonck 3 Teams: - HAS - GEO - ABP
• Beheer en projecten • Uitdagende technische en financiële uitdagingen - Snelle en impactvolle veranderingen op ICT vlak - Veranderingen in opzet GEO-dienstverlening - Bezuinigingen op bedrijfsvoering en ambitie
Schaalvoordelen van het SSC de Kempen
Door het realiseren van een standaardisatie (80-20-regel) en een gemeenschappelijke architectuur was het mogelijk aanzienlijke besparingen te realiseren op de ICT kosten (minder meerkosten):
Organisatiekosten (facilitair) Automatisering Informatisering
Ambitieniveau
Landelijk ambitieniveau:
Landelijk ambitieniveau
zelfstandig 2010
zelfstandig
SSC
-3-
Uitdagingen
• Sterkere gepersonaliseerde dienstverlening en communicatie • Eenvoudig betrekken van burger(organisaties) en bedrijven bij beleidsprocessen • Toenemende samenwerking met andere overheden • Veranderingen in de dienstverleningsketen • Andere manieren van werken (plaats, tijd en device onafhankelijk) -
Mobiele communicatie Draadloze netwerken Data overal bereikbaar Data altijd beschikbaar
• Steeds grotere rol voor beveiliging. Zowel in opzet, bestaan en werking. Dit vraagt om een professionele aanpak in samenwerking tussen gemeenten en het SSC de Kempen.
SSC - De Kempen Informatiebeveiliging
Informatiebeveiliging, belangrijker dan ooit?
1. Doel van de presentatie
•
Creëren van een hogere bewustwording van informatiebeveiliging met als resultaat het verbeteren van de houding ten opzichte van informatieveiligheid en het willen veranderen van (onbewust) onveilig gedrag naar bewust veilig gedrag.
1. Doel van de presentatie
•
Creëren van een hogere bewustwording van informatiebeveiliging met als resultaat het verbeteren van de houding ten opzichte van informatieveiligheid en het willen veranderen van (onbewust) onveilig gedrag naar bewust veilig gedrag.
•
Wie moet er iets mee? • College van B&W, Raadsleden en alle medewerker binnen de gemeente en SK, ongeacht soort arbeidsverhouding
•
Informeren over de stand van zaken binnen de Kempengemeenten
Inhoud
• Wat is informatie? • Waarom informatie beveiligen? • Wat is Informatiebeveiliging? • Verantwoordelijkheid • Bedreigingen. • Beschermen. • Waar staan we met de Kempen.
Wat is informatie?
Informatie wordt vaak verward met de begrippen gegevens en/of kennis. Hoewel deze begrippen veel met elkaar te maken hebben, zijn ze niet hetzelfde. Gegevens worden pas informatie als de gegevens een betekenis of nieuwswaarde hebben voor de ontvanger.
•
Denk aan: • GBA gegevens • BSN
Waarom informatie beveiligen?
Belang van de gemeente hierin: • De gemeente is een informatie verwerkende organisatie • Burgers en ketenpartners geven hun (gevoelige) informatie aan ons, en de gemeente heeft betrouwbare informatie nodig om haar taken uit te kunnen voeren.
•
Informatie heeft waarde en dat moet veilig gesteld worden • • • • •
• • • •
Geldelijke waarde Nut voor u Aantrekkelijk / nuttig voor anderen (insiders of outsiders) De (potentiële) schade als gevolg van verkeerd gebruik of compromitteren van de informatie Tijdigheid
De gevoeligheid van informatie bewaken Zorgen dat informatie correct/juist is en blijft Zorgen dat informatie beschikbaar is (ook richting burgers) Privacy beschermen (wettelijke taak)
Waarom informatie beveiligen?
Motivatie / drijfveer bij anderen: • • • • • • • •
Vandalisme Boosheid Politiek-gedreven Nieuwsgierigheid Bewust schade willen toebrengen Persoonlijk gewin Overtuiging/principes Nadoen/uitproberen
Wat is informatiebeveiliging?
Informatiebeveiliging is de verzamelnaam voor processen en maatregelen die erop gericht zijn om de betrouwbaarheid van gemeentelijke processen, de ondersteunende informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging’ heeft betrekking op: •
Beschikbaarheid: het zorg dragen voor het beschikbaar zijn van informatie, applicaties en (ICT-)bedrijfsmiddelen voor de gebruikers;
•
Vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden;
•
Integriteit: het waarborgen van de juistheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking.
Verantwoordelijkheid
•
• • • •
Het is de verantwoordelijkheid van de gemeente en daarmee van het College van B&W, de Raad en alle medewerkers binnen de gemeente om gemeentelijke informatiesystemen en informatie te beschermen Informatiebeveiliging is dus de taak van iedereen en niet alleen van beveiligingsspecialisten! Iedereen is zelf verantwoordelijk voor het veilig gebruik van computerapparatuur, software en informatie die men gebruikt Het is alleen toegestaan om informatie te gebruiken die gerelateerd is aan het eigen werk De eigenaar van de informatie bepaalt de gevoeligheid van die informatie en daarmee ook de mate van bescherming die nodig is.
Wat zijn bedreigingen? Virussen
Buitenlandse wetgeving
Verouderde software
Verlies data/apparatuur (BYOD)
Mobile devices
Stroomstoring
Cybercrime, DDoS, phishing
Verlies van kennis
Digitale spionage
Apps van derden
Werknemers
Identiteitsdiefstal
Natuurrampen
Een bedreiging is een gevaarlijke gebeurtenis die wellicht ooit voorkomt. Het gevaar kan zowel van buiten komen, als besloten liggen in een voorwerp of situatie zelf. • interne en externe bedreigingen • opzettelijk en onopzettelijk handelen.
Wat zijn bedreigingen? Virussen
Buitenlandse wetgeving
Verouderde software
Verlies data/apparatuur (BYOD)
Mobile devices
Stroomstoring
Cybercrime, DDoS, phishing
Verlies van kennis
Digitale spionage
Apps van derden
Werknemers
Identiteitsdiefstal
Natuurrampen
Een bedreiging is een gevaarlijke gebeurtenis die wellicht ooit voorkomt. Het gevaar kan zowel van buiten komen, als besloten liggen in een voorwerp of situatie zelf. • interne en externe bedreigingen • opzettelijk en onopzettelijk handelen.
Wat zijn de bedreigingen?
7 grootste beveiligingsincidenten
Menselijke fouten
2% 1% Crimeware
7% Rechtenmisbruik
30% 17%
Fysiek verlies
Aanvallen op webapplicaties
20%
DoS aanvallen
23% Cyberspionage
Interne bedreigingen In een recent onderzoek geven meer dan de helft van de partijen aan dat beveiligingsincidenten van binnenuit zijn opgetreden (30 %– 60%) • • • • •
Onoplettendheid (verkeerde informatie geven) Slordigheid (geeltjes, clean desk?) Onwetendheid (de regels niet kennen) Onbewust handelen (aannemen dat iets zo is) Je niet houden aan gemeentelijke regels (gewoon de regels bewust overtreden)
Bijvoorbeeld: Gebruiken van onveilige software E-mailen van gemeentelijke informatie naar privé e-mail, opschrijven wachtwoorden (Vertrouwelijke) Informatie laten liggen op de bureau Over gevoelige informatie praten in openbare ruimten
Hoe kun je informatie beschermen?
• Gezond verstand • Veilige wachtwoorden • Antivirus maatregelen • Software uit bekende bronnen • Nadenken over mobiele apparaten • Goed gebruik van (social)media • Voorzichtigheid met het web en e-mail • Log on / log off (locken scherm) • Opslaan van documenten/ back-up • Juiste toegangsrechten
100 %
Informatiesysteem-specifieke uitdagingen
• Toenemende datavolumes (intern en extern) • Gebrek aan zichtbaarheid • Gebruiksgemak versus beveiliging • Maatregelen versus kosten • Software en hardware installatie • Portabiliteit (bruikbaar op verschillende systemen) • Snelheid • Technologische vooruitgang • Gebruikers kennis / competenties
Balans
Informatiebeveiliging algemeen
Vragen tot nu toe?
Waar staan de Kempengemeenten en GRSK?
Wat is er al gedaan?
•
Op basis van incidenten (Diginotar; Lektober) en Audits (Persoonsgegevens; Adressen & Gebouwen; Suwinet (sociaal domein); DigiD): - Individuele beveiligingsplannen bedrijfskritische applicaties die voldoen - Losse protocollen en/of procedures zoals voor fysieke toegangsbeveiliging; wachtwoordbeleid; antivirus - Vervangen certificaten - TPM verklaring van leverancier websites
• Project P05 “Informatiebeveiliging Kempen” gestart juni 2014 - Elke gemeente en GRSK heeft een afvaardiging geleverd voor deelname in de projectgroep - Extern adviesbureau ingehuurd gespecialiseerd op risicomanagement
Project Informatiebeveiliging Kempen
Uitgangspunt: Vereniging Nederlandse Gemeenten (VNG) Kwaliteit Instituut Nederlandse Gemeenten (KING) Diverse Ministeries (Binnenlandse Zaken, Economische Zaken) •
Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID)
•
Informatie BeveiligingsDienst (IBD)
•
Baseline Informatiebeveiliging Gemeenten (BIG)
Project Informatiebeveiliging Kempen Actie
Afgerond
Vastgesteld/Akkoord
√ √ √
√
√ √ √ √ √ √ √ √
√
√
√ √ √
Plan van aanpak • Risico Informatiebeveiligingsplan (meerjarenplan) Informatiebeveiligingsbeleid Data (informatie) classificeren (Centraal en Decentraal) analyse uitvoeren Interviews Benoemen op personen alle niveaus met taak/verantwoordelijkheid en taakvelden • Slagen voorbijheraudit DigiD 2013 Maatregelen 2015 Aansluiten InformatieBeveiligingsDienst (IBD) audit DigiD 2014 Informatiebeveiliging Risico analyse uitvoeren • Bewustwording bij College vanorganisatie B&W, Raad en alle Borging informatiebeveiliging medewerkers gemeente en SK
Wat moet er nog gebeuren? •
Vaststellen informatiebeveiligingsplan • Gezamenlijke deel (GRSK) • Gemeente specifieke deel
•
Lijst van maatregelen per gemeente en GRSK 2015 vaststellen • Onderzoeken maatregelen (risico versus kosten en baten) • Beslissen welke maatregelen geïmplementeerd worden • Implementeren maatregelen
•
Afronden aansluiting IBD (fase 3 en 4)
•
Afronden project P05 en overdracht naar de beheeromgeving
•
Inbedding/borging in de verschillende organisaties • Inrichten beheeromgeving informatiebeveiliging (personen) • P&C cyclus – bedrijfsvoering (voorbeeld t.b.v. sociaal domein) • Interne controle • Incidentafhandeling inrichten
•
Bewustwordingstraject in elke gemeente en GRSK
•
Blijven monitoren van wettelijke, bestuurlijke en maatschappelijke veranderingen (Sociaal domein – 3D’s; Wet Persoonsregistratie e.d.)
Vragen?
Vragen?
