RAAK-project Veilig Water Programma Informatieveiligheid
Marcel Spruit (HHS), Michiel Dirriwachter (UvW)
Michiel Dirriwachter ?
Dit doet een waterschap Een Waterschap ?
Een Waterschap ?
Een Waterschap ?
Een Waterschap ?
Een Waterschap ?
Een Waterschap ?
Een Waterschap ?
Een Waterschap ?
Een Waterschap ?
Een Waterschap ?
Een Waterschap ?
Een Waterschap ?
Waterschappen en Cybersecurity?
Waarom nu ? Contrast eeuwen oude stabiele organisaties, snel veranderende omgeving Stijgende risico’s (= kans x impact) Kansen nemen toe Techniek, toegankelijkheid malware, afhankelijkheid van ict en kennis, businesscase cybercrime, standaardisatie. Impact neemt toe Netwerk organisaties, afhankelijkheid eigen processen en maatschappij
2010
2011
2011
2012
2012
2011
2013
2013: Werk aan de winkel
Onderlinge kennisdeling &
samenwerking
Coördinatoren Informatieveiligheid Waterschappen
SAMENWERKING…
2015 en verder Enkele wapenfeiten:
Invoeren Baseline standaard (BIWA/ISO27001) Aandacht voor Awareness
Oprichting WS-CERT, samenwerking RWS SOC Optuigen samenwerking
2016:
Programma in beheer bij Het Waterschapshuis Alle Waterschappen maken werk van informatieveiligheid, de volwassenheid stijgt
Volwassenheidsmodel Niveau
Informatiebeveiliging
De goede dingen doen (w=3)
1 – Reactief
De meeste beveiligingsmaatregelen ontbreken
3 – Baseline
Er is een gecontroleerd basisniveau voor IB
2 – Ad hoc
Maatregelen zijn op ad hoc basis getroffen
4 – Baseline plus
Aanvullend wordt risicoanalyse ingezet
Niveau
Status van informatiebeveiliging
5 – ISMS
De dingen goed doen (w=2)
Status van informatiebeveiliging
Er is een volledig en gecontroleerd ISMS
1 – Initieel
Er wordt niets afgestemd
3 – Gedefinieerd
Gedefinieerde en vastgelegde procedures
2 – Herhaald
4 – Gemanaged
Good practices worden vastgelegd en toegepast Kwaliteit wordt gemeten en zo nodig verbeterd
5 – Geoptimaliseerd Effectiviteit gemeten en zo nodig verbeterd Niveau
De dingen goed beleggen (w=2) Opm.: Volwassenheid Informatieveiligheid
Status van informatiebeveiliging
1 – Onbezorgd
Niemand is echt verantwoordelijk
3 – Beheerst
IB is een lijnmanagementaangelegenheid
2 – Ontluikend
4 – Geïntegreerd 5 – Genetwerkt
IB is een stafaangelegenheid
IB is een integrale directieaangelegenheid
Geïntegreerde IB strekt tot buiten de organisatie
Succesfactoren Succesfactor Beleid voor IB opgesteld, uitgedragen en bewaakt Sluitende inrichting van de organisatie voor IB
Eigenaarschap adequaat ingevuld en opgepakt
Awareness t.a.v. IB met participatie en goede voorbeeld
Gecontroleerde afspraken met leveranciers over IB Baseline voor IB ingevoerd en geborgd
Risicoanalyse voor alle essentiele systemen
Alle kritische componenten worden gemonitord
Alle kritische componenten worden regelmatig getoetst Alle incidenten worden geregistreerd en gerapporteerd De IB wordt regelmatig geaudit door ervaren auditors
De Cyber Security Demonstrator
Maakt beveiligen van de PA visueel Maakt dreigingscenario’s zichtbaar Maakt effect maatregelen zichtbaar Helpt bij vinden van optimum tussen te weinig en te veel beveiliging Voor beheerders en managers Inzetbaar in hoger onderwijs
Uit te breiden tot trainingsinstrument (vervolgproject) Naar Madurodam? Samenwerking met SUTD in Singapore?
Twee sporen voor informatiebeveiliging Randvoorwaarde: beleid, middelen en organisatie voor IB zijn geregeld Afhankelijkheidsanalyse (per hoofdproces)
Informatiebeveiligingsbeleid
Essentiele systemen
Kwetsbaarheidsanalyse (per kritisch systeem)
Syteemspecifiek. Eigenaar is systeemeigenaar (meestal ook proceseigenaar). Deze kan maatregelen uitzetten bij anderen.
Specifieke maatregelen
Baseline (BIWA) Generieke maatregelen
Informatiebeveiligingsplan Maatregelen treffen
Gap-analyse Gap-analyse
Gebaseerd op ISO 2700x en andere good practices
Organisatiebreed. Eigenaar is CISO. Deze kan maatregelen uitzetten bij anderen.