SHOPT-IT Informatieveiligheid omdat het kan! Organisatiebeheersing en informatieveiligheid

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer

SHOPT-IT 2013 Informatieveiligheid omdat het kan! Organisatiebeheersing en informatieveiligheid Anne Teughels

april 2013

Informatieveiligheid OVERZICHT

• • • •

Wie zijn wij Waarom informatieveiligheid Hoe informatieveiligheid Aandachtspunten

Vlaamse Toezichtcommissie

2

Informatieveiligheid WIE

• Wie zijn wij o De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer

Opgericht bij E-GOV decreet

Verantwoording aan Vlaams Parlement

Controleren van stromen van persoonsgegevens die uitgaan van een Vlaamse instantie : dit zijn ook de Vlaamse steden en gemeenten Hoe:1° machtigen van die stromen 2° adviezen (regelgeving, VDI-decreet) 3° beantwoorden van vragen en begeleiding Vlaamse Toezichtcommissie

3

Informatieveiligheid WAAROM

• Omdat het moet: zie vorige sessie • Omdat behoorlijk bestuur vraagt dat u zorgvuldig omgaat met de gegevens van uw burgers • Omdat je bepaalde situaties wil vermijden…


4

Informatieveiligheid WAAROM “NMBS heeft een groter probleem dan het denkt De gegevens van 1,5 miljoen NM BS-klanten zijn gelekt. En dat is een veel groter probleem dan wij denken. Dat dit zomaar kon gebeuren is al bedroevend. M aar de manier waarop de NM BS met deze situatie omgaat is nóg bedroevender. De NM BS ondernam via twitter weliswaar een minieme poging tot het aanbieden van verontschuldigingen, op zijn website is van enig excuus geen sprake. Integendeel, het spoorbedrijf gaat direct in de verdediging en minimaliseert het datalek. Het gaat om “een gedeelte” van het klantenbestand (anderhalf miljoen! anderhalf! miljoen!) dat maar “een heel korte tijd” beschikbaar zou zijn geweest (in werkelijkheid ging het om bijna een maand). Het zou bovendien enkel zichtbaar zijn voor wie “geavanceerde kennis heeft van zoekmachines”. Een geruststellende gedachte: je opa kon de gegevens niet raadplegen….” Bron: http://samfeys.be/nmbs-heeft-een-groter-probleem-dan-het-denkt/ Zie ook: http://datanews.knack.be/ict/nieuws/nmbs-lek-naar-justitie/article-4000229416512.htm


5

http://www.computerweekly.com/news/2240084015/UKgovernment-loses-data-on-25-million-Britons http://news.cnet.com/U.K.-government-loses-pensionerdata/2100-1029_3-6223493.html http://webwereld.nl/nieuws/108815/weercertificatenleverancier-overheid-gehackt.html http://frontpage.fok.nl/nieuws/214628/1/1/50/franse-overheidgehackt.html


6

Informatieveiligheid HOE

Informatieveiligheid als deel van organisatiebeheersing Vlaamse Toezichtcommissie

8

Organisatiebeheersing en informatieveiligheid HOE Bij de uitbouw of optimalisatie van de organisatiebeheersing moeten de volgende principes voor ogen gehouden worden: • Organisatiebeheersing is ingebouwd in de processen en loopt continu. “Privacy by design” • Organisatiebeheersing is een zaak van iedereen. Niet alleen de IT-dienst!! • Organisatiebeheersing verschaft redelijke zekerheid. Vlaamse Toezichtcommissie

9

Organisatiebeheersing en informatieveiligheid HOE


10

Organisatiebeheersing en informatieveiligheid ICT-beveiliging is het geheel van maatregelen (voorschriften, processen, activiteiten,…)

dat ervoor zorgt dat informatiesystemen (bedrijfs- en bestuursprocessen)

een optimale bescherming genieten (rekening houdend met het kosten-baten principe)

op het vlak van : Vertrouwelijkheid Privacy Integriteit Beschikbaarheid (BCM !) Vlaamse Toezichtcommissie

11

Organisatiebeheersing en informatieveiligheid Bescherming van persoonsgegevens geldt in meeste domeinen organisatiebeheersing • HR: personeelsgegevens! • Communicatie: klantengegevens,

cookies, sociale

media, …

• Facilitair: gebouwinfrastructuur, toegang, bewaking • Cultuur: deontologie, awareness, sociale media • ICT: natuurlijk Vlaamse Toezichtcommissie

12

Organisatiebeheersing en informatieveiligheid

‘De jongste maanden zagen we de fraudes bij onlinebankieren toenemen’, zegt CEO Michel Vermaerke van Febelfin, de Belgische federatie van de financiële sector. ‘Vaak gebruiken de fraudeurs persoonlijke informatie om het vertrouwen van de slachtoffers te winnen, en hen met een geloofwaardig verhaal te overtuigen om hun codes te openbaren. Met de virale video wilden we mensen duidelijk maken dat ze zulke informatie vaak zelf op het internet hebben achtergelaten. Soms zonder het zelf te beseffen.’ https://www.youtube.com/watch?v=F7pYHN9iC9I Vlaamse Toezichtcommissie

13

Organisatiebeheersing en informatieveiligheid AANDACHTSPUNTEN

• informatieveiligheid

dus niet alleen persoonsgegevens maar ook o andere vertrouwelijke informatie o de beschikbaarheid en betrouwbaarheid van de informatie voor beleid, voor dossierverwerking,… ook informatie op papier


14


• datalekken recente aanbeveling privacycommissie

http://vtc.corve.be/docs/CBPL_gegevenslekke n_aanbeveling_01_2013.pdf


15


• CLOUDproblematiek o aanbeveling privacycommissie op komst

o Amerikaanse cloud


16


• E-loketten • Beveiligde verbinding ? • Gebruik e-ID • Cloudtoepassingen !


17


• Informatieveiligheidsplan ! risico-analyse ! awareness ! voldoende middelen ! stappenplan


18

Organisatiebeheersing en informatieveiligheid BESLUIT • Besluit : neem privacy en informatieveiligheid mee wanneer jullie plannen maken in de verschillende domeinen en integreer dit ook in de globale organisatiebeheersing • Linken o www.vlaamsetoezichtcommissie.be o www.privacycommission.be

• Vragen? toezichtcommissie{at}vlaanderen{dot}be Vlaamse Toezichtcommissie

19

Bevragingstool: Wat? 1. 2. 3. 4.

Richtsnoeren verwerkt in on-line vragenlijst Met maturiteit & risico indicatie Aangevuld met ‘levend’ handboek Aanbod van begeleiding bij ‘invullen’

Maturiteit en Risico • Indicatie van Maturiteit o Van 1 (we voldoen absoluut niet) tot 5 (we zijn een rolmodel) o COBIT idee

• Indicatie van Risico o Weging van het belang van een norm voor en bestuur (vb Waterovelast)

• Indicatie van Impact o Weging van de impact voor het bestuur in kwestie

• Indicatie van Controle o Weging van de inschatting van de mate van controle

Toelichting per vraag • ‘Levend’ handboek o Bijlage per vraag met verklaring op maat van • • • •

Management (secretaris, MT, …) IT beheerder IT specialist Security specialist

o Inhoud door werkgroep security & community o Wiki stijl: • Verwijzing naar wetgeving en interpretaties • Hulp bij implementatie • ….

Voordelen van begeleiding bij invullen • Objectieve begeleiding bij het invullen • Genereren van gestandaardiseerd rapport • Mogelijkheid tot rapportering aan college en raad => Vergelijkbaarheid resultaten => Statistisch terugkoppeling naar centrale overheid

Resultaten blijven zichtbaar voor bestuur • Mogelijkheid om projectmatig te verbeteren o Verder uitwerken van bepaalde topics o Input voor informatieveiligheidsplan o Vergroten van ‘awareness’ rond informatierisico’s

Risicoanalyse • Niet alleen in het kader van bescherming KSZ en persoonsgegevens • Maar ook: o Essentieel onderdeel van interne controlesysteem (vaak vergeten) o Essentieel voor de werking van de organisatie


26

Risicoanalyse • Werking van de gemeente of ocmw: afhankelijkheid van ICT sterk toegenomen. Zo werken tegenwoordig niet enkel de PC’s of printers op het netwerk, maar ook: o o o o o o o o o o o o

Telefoons Kassa’s en betaalterminals Gebouwbeheersystemen en toegangscontrole (WZC’s, Zwembad,...) Digitale klassen in academie (draadloze) internettoegang Tijdsregistratie Self-service balies (bib) Systemen van brandweer en politie Alarmcentrales (brand en kameroproepsystemen WZC) Camera’s Temperatuurmetingen op koelwagens en douches (HACCP) …


27

Risicoanalyse Bij uitval netwerk -> al deze functies niet meer beschikbaar Hoe opvangen: • Primaire reacties: investeren in ontdubbeling infrastructuur en ‘High availability’ • Residueel risico’s onder controle? • Impact uitval gekend? • Benodigde tijd voor heropstart? • SLA’s? • … Vlaamse Toezichtcommissie

28

Risicoanalyse Stappenplan 1. Leg afspraken vast met MT/bestuur omtrent beschikbaarheid ICT 2. Maak een risicoanalyse op o o o

Systeemniveau (netwerk, servers, …) Componentniveau (kritische werkstations, (gebouw)beheersystemen,…) KSZ en persoonsgebonden gegevens


29

Risicoanalyse • Welke risico’s zijn er met betrekking tot o Continuït eit van de dienstverlening o Integriteit van de gegevens o Vertrouwelijkheid van de gegevens

• Hoe schatten we die risico’s in o (waarschijnlijkheid + impact)

• Hoe beheersen we die risico’s o (verzekering, vermijden, contingentieplannen, aanvaarden,...)

• Hoe wordt dit gecommuniceerd naar en opgevolgd door het management • Welke maatregelen nemen we om risico’s te voorkomen Vlaamse Toezichtcommissie

30

Validatie Bekijk na de risicoanalyse: • Hoe een ICT continuity en recovery test kan worden gedaan • Hoe er samen met de organisatie een continuity en recovery test kan worden gedaan


31

KSF • Wees realistisch (kernramp scenario moet je niet uitwerken) • Vertrek van de gewenste dienstverlening (SLA’s!) • Communiceer helder o Maar de organisatie duidelijk dat 100% uptime nooit, door niemand kan worden gegarandeerd o Koken kost geld. De kost van uptime stijgt exponentieel met hogere eisen.

•

•

Spreek ruim op voorhand change/release/test slots af Maak de nodige afspraken met uw leveranciers


32

Tool V-ICT-OR tool rond richtsnoeren informatieveiligheid ISO27002 ISO27005 – ISO31000 ISACA tools ITIL COBIT COSO Project management methodologie Prince2, PMBOK => Identificeer controleobjectieven ifv behoefte en inschatting belang/risico • • • • • • • •


33

Succes meer info? => Security.v-ict-or.be


34

Modellen


35


36


37


38


39


40


41

SHOPT-IT Informatieveiligheid omdat het kan! Organisatiebeheersing en informatieveiligheid

Recommend Documents