Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer
SHOPT-IT 2013 Informatieveiligheid omdat het kan! Organisatiebeheersing en informatieveiligheid Anne Teughels
april 2013
Informatieveiligheid OVERZICHT
• • • •
Wie zijn wij Waarom informatieveiligheid Hoe informatieveiligheid Aandachtspunten
Vlaamse Toezichtcommissie
2
Informatieveiligheid WIE
• Wie zijn wij o De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer
Opgericht bij E-GOV decreet
Verantwoording aan Vlaams Parlement
Controleren van stromen van persoonsgegevens die uitgaan van een Vlaamse instantie : dit zijn ook de Vlaamse steden en gemeenten Hoe:1° machtigen van die stromen 2° adviezen (regelgeving, VDI-decreet) 3° beantwoorden van vragen en begeleiding Vlaamse Toezichtcommissie
3
Informatieveiligheid WAAROM
• Omdat het moet: zie vorige sessie • Omdat behoorlijk bestuur vraagt dat u zorgvuldig omgaat met de gegevens van uw burgers • Omdat je bepaalde situaties wil vermijden…
Vlaamse Toezichtcommissie
4
Informatieveiligheid WAAROM “NMBS heeft een groter probleem dan het denkt De gegevens van 1,5 miljoen NM BS-klanten zijn gelekt. En dat is een veel groter probleem dan wij denken. Dat dit zomaar kon gebeuren is al bedroevend. M aar de manier waarop de NM BS met deze situatie omgaat is nóg bedroevender. De NM BS ondernam via twitter weliswaar een minieme poging tot het aanbieden van verontschuldigingen, op zijn website is van enig excuus geen sprake. Integendeel, het spoorbedrijf gaat direct in de verdediging en minimaliseert het datalek. Het gaat om “een gedeelte” van het klantenbestand (anderhalf miljoen! anderhalf! miljoen!) dat maar “een heel korte tijd” beschikbaar zou zijn geweest (in werkelijkheid ging het om bijna een maand). Het zou bovendien enkel zichtbaar zijn voor wie “geavanceerde kennis heeft van zoekmachines”. Een geruststellende gedachte: je opa kon de gegevens niet raadplegen….” Bron: http://samfeys.be/nmbs-heeft-een-groter-probleem-dan-het-denkt/ Zie ook: http://datanews.knack.be/ict/nieuws/nmbs-lek-naar-justitie/article-4000229416512.htm
Vlaamse Toezichtcommissie
5
http://www.computerweekly.com/news/2240084015/UKgovernment-loses-data-on-25-million-Britons http://news.cnet.com/U.K.-government-loses-pensionerdata/2100-1029_3-6223493.html http://webwereld.nl/nieuws/108815/weercertificatenleverancier-overheid-gehackt.html http://frontpage.fok.nl/nieuws/214628/1/1/50/franse-overheidgehackt.html
Vlaamse Toezichtcommissie
6
Informatieveiligheid HOE
Informatieveiligheid als deel van organisatiebeheersing Vlaamse Toezichtcommissie
8
Organisatiebeheersing en informatieveiligheid HOE Bij de uitbouw of optimalisatie van de organisatiebeheersing moeten de volgende principes voor ogen gehouden worden: • Organisatiebeheersing is ingebouwd in de processen en loopt continu. “Privacy by design” • Organisatiebeheersing is een zaak van iedereen. Niet alleen de IT-dienst!! • Organisatiebeheersing verschaft redelijke zekerheid. Vlaamse Toezichtcommissie
9
Organisatiebeheersing en informatieveiligheid HOE
Vlaamse Toezichtcommissie
10
Organisatiebeheersing en informatieveiligheid ICT-beveiliging is het geheel van maatregelen (voorschriften, processen, activiteiten,…)
dat ervoor zorgt dat informatiesystemen (bedrijfs- en bestuursprocessen)
een optimale bescherming genieten (rekening houdend met het kosten-baten principe)
op het vlak van : Vertrouwelijkheid Privacy Integriteit Beschikbaarheid (BCM !) Vlaamse Toezichtcommissie
11
Organisatiebeheersing en informatieveiligheid Bescherming van persoonsgegevens geldt in meeste domeinen organisatiebeheersing • HR: personeelsgegevens! • Communicatie: klantengegevens,
cookies, sociale
media, …
• Facilitair: gebouwinfrastructuur, toegang, bewaking • Cultuur: deontologie, awareness, sociale media • ICT: natuurlijk Vlaamse Toezichtcommissie
12
Organisatiebeheersing en informatieveiligheid
‘De jongste maanden zagen we de fraudes bij onlinebankieren toenemen’, zegt CEO Michel Vermaerke van Febelfin, de Belgische federatie van de financiële sector. ‘Vaak gebruiken de fraudeurs persoonlijke informatie om het vertrouwen van de slachtoffers te winnen, en hen met een geloofwaardig verhaal te overtuigen om hun codes te openbaren. Met de virale video wilden we mensen duidelijk maken dat ze zulke informatie vaak zelf op het internet hebben achtergelaten. Soms zonder het zelf te beseffen.’ https://www.youtube.com/watch?v=F7pYHN9iC9I Vlaamse Toezichtcommissie
13
Organisatiebeheersing en informatieveiligheid AANDACHTSPUNTEN
• informatieveiligheid
dus niet alleen persoonsgegevens maar ook o andere vertrouwelijke informatie o de beschikbaarheid en betrouwbaarheid van de informatie voor beleid, voor dossierverwerking,… ook informatie op papier
Vlaamse Toezichtcommissie
14
Organisatiebeheersing en informatieveiligheid AANDACHTSPUNTEN
• datalekken recente aanbeveling privacycommissie
http://vtc.corve.be/docs/CBPL_gegevenslekke n_aanbeveling_01_2013.pdf
Vlaamse Toezichtcommissie
15
Organisatiebeheersing en informatieveiligheid AANDACHTSPUNTEN
• CLOUDproblematiek o aanbeveling privacycommissie op komst
o Amerikaanse cloud
Vlaamse Toezichtcommissie
16
Organisatiebeheersing en informatieveiligheid AANDACHTSPUNTEN
• E-loketten • Beveiligde verbinding ? • Gebruik e-ID • Cloudtoepassingen !
Vlaamse Toezichtcommissie
17
Organisatiebeheersing en informatieveiligheid AANDACHTSPUNTEN
• Informatieveiligheidsplan ! risico-analyse ! awareness ! voldoende middelen ! stappenplan
Vlaamse Toezichtcommissie
18
Organisatiebeheersing en informatieveiligheid BESLUIT • Besluit : neem privacy en informatieveiligheid mee wanneer jullie plannen maken in de verschillende domeinen en integreer dit ook in de globale organisatiebeheersing • Linken o www.vlaamsetoezichtcommissie.be o www.privacycommission.be
• Vragen? toezichtcommissie{at}vlaanderen{dot}be Vlaamse Toezichtcommissie
19
Bevragingstool: Wat? 1. 2. 3. 4.
Richtsnoeren verwerkt in on-line vragenlijst Met maturiteit & risico indicatie Aangevuld met ‘levend’ handboek Aanbod van begeleiding bij ‘invullen’
Maturiteit en Risico • Indicatie van Maturiteit o Van 1 (we voldoen absoluut niet) tot 5 (we zijn een rolmodel) o COBIT idee
• Indicatie van Risico o Weging van het belang van een norm voor en bestuur (vb Waterovelast)
• Indicatie van Impact o Weging van de impact voor het bestuur in kwestie
• Indicatie van Controle o Weging van de inschatting van de mate van controle
Toelichting per vraag • ‘Levend’ handboek o Bijlage per vraag met verklaring op maat van • • • •
Management (secretaris, MT, …) IT beheerder IT specialist Security specialist
o Inhoud door werkgroep security & community o Wiki stijl: • Verwijzing naar wetgeving en interpretaties • Hulp bij implementatie • ….
Voordelen van begeleiding bij invullen • Objectieve begeleiding bij het invullen • Genereren van gestandaardiseerd rapport • Mogelijkheid tot rapportering aan college en raad => Vergelijkbaarheid resultaten => Statistisch terugkoppeling naar centrale overheid
Resultaten blijven zichtbaar voor bestuur • Mogelijkheid om projectmatig te verbeteren o Verder uitwerken van bepaalde topics o Input voor informatieveiligheidsplan o Vergroten van ‘awareness’ rond informatierisico’s
Risicoanalyse • Niet alleen in het kader van bescherming KSZ en persoonsgegevens • Maar ook: o Essentieel onderdeel van interne controlesysteem (vaak vergeten) o Essentieel voor de werking van de organisatie
Vlaamse Toezichtcommissie
26
Risicoanalyse • Werking van de gemeente of ocmw: afhankelijkheid van ICT sterk toegenomen. Zo werken tegenwoordig niet enkel de PC’s of printers op het netwerk, maar ook: o o o o o o o o o o o o
Telefoons Kassa’s en betaalterminals Gebouwbeheersystemen en toegangscontrole (WZC’s, Zwembad,...) Digitale klassen in academie (draadloze) internettoegang Tijdsregistratie Self-service balies (bib) Systemen van brandweer en politie Alarmcentrales (brand en kameroproepsystemen WZC) Camera’s Temperatuurmetingen op koelwagens en douches (HACCP) …
Vlaamse Toezichtcommissie
27
Risicoanalyse Bij uitval netwerk -> al deze functies niet meer beschikbaar Hoe opvangen: • Primaire reacties: investeren in ontdubbeling infrastructuur en ‘High availability’ • Residueel risico’s onder controle? • Impact uitval gekend? • Benodigde tijd voor heropstart? • SLA’s? • … Vlaamse Toezichtcommissie
28
Risicoanalyse Stappenplan 1. Leg afspraken vast met MT/bestuur omtrent beschikbaarheid ICT 2. Maak een risicoanalyse op o o o
Systeemniveau (netwerk, servers, …) Componentniveau (kritische werkstations, (gebouw)beheersystemen,…) KSZ en persoonsgebonden gegevens
Vlaamse Toezichtcommissie
29
Risicoanalyse • Welke risico’s zijn er met betrekking tot o Continuït eit van de dienstverlening o Integriteit van de gegevens o Vertrouwelijkheid van de gegevens
• Hoe schatten we die risico’s in o (waarschijnlijkheid + impact)
• Hoe beheersen we die risico’s o (verzekering, vermijden, contingentieplannen, aanvaarden,...)
• Hoe wordt dit gecommuniceerd naar en opgevolgd door het management • Welke maatregelen nemen we om risico’s te voorkomen Vlaamse Toezichtcommissie
30
Validatie Bekijk na de risicoanalyse: • Hoe een ICT continuity en recovery test kan worden gedaan • Hoe er samen met de organisatie een continuity en recovery test kan worden gedaan
Vlaamse Toezichtcommissie
31
KSF • Wees realistisch (kernramp scenario moet je niet uitwerken) • Vertrek van de gewenste dienstverlening (SLA’s!) • Communiceer helder o Maar de organisatie duidelijk dat 100% uptime nooit, door niemand kan worden gegarandeerd o Koken kost geld. De kost van uptime stijgt exponentieel met hogere eisen.
•
•
Spreek ruim op voorhand change/release/test slots af Maak de nodige afspraken met uw leveranciers
Vlaamse Toezichtcommissie
32
Tool V-ICT-OR tool rond richtsnoeren informatieveiligheid ISO27002 ISO27005 – ISO31000 ISACA tools ITIL COBIT COSO Project management methodologie Prince2, PMBOK => Identificeer controleobjectieven ifv behoefte en inschatting belang/risico • • • • • • • •
Vlaamse Toezichtcommissie
33
Succes meer info? => Security.v-ict-or.be
Vlaamse Toezichtcommissie
34
Modellen
Vlaamse Toezichtcommissie
35
Vlaamse Toezichtcommissie
36
Vlaamse Toezichtcommissie
37
Vlaamse Toezichtcommissie
38
Vlaamse Toezichtcommissie
39
Vlaamse Toezichtcommissie
40
Vlaamse Toezichtcommissie
41