Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM® Informatiebijeenkomst DrieO 6 oktober 2015
INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk?
2) Wat houdt IB binnen bedrijven in? 3) Meldplicht datalekken 4) Afronding / Aanbevelingen 5) Vragen?
7-10-2015
2
INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk?
2) Wat houdt IB binnen bedrijven in? 3) Meldplicht datalekken 4) Afronding / Aanbevelingen 5) Vragen?
7-10-2015
3
Definitie van Informatiebeveiliging: Informatiebeveiliging (I.B.) is het geheel van preventieve, repressieve en herstel-maatregelen alsmede procedures welke de beschikbaarheid, integriteit en vertrouwelijkheid van alle vormen van informatie garanderen met als doel de continuïteit van de organisatie te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald, niveau te beperken. 7-10-2015
4
Informatiebeveiliging gaat over: wet- & regelgeving contractuele verplichtingen telewerken
terrein laptop USB tablet telefoon
externe backup
gebouw
serverruimte
personeel
0
cliënten
terr
leveranciers
I
II III
SO
externe systemen dropbox e.d. hacker(s) datacentrum / hoster
elektra water 7-10-2015
telefoon gas internet 5
INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk?
2) Wat houdt IB binnen bedrijven in? 3) Meldplicht datalekken 4) Afronding / Aanbevelingen 5) Vragen?
7-10-2015
6
We hoeven niet meteen alles op te lossen! Pak IB aan door vanuit belangrijkste bedrijfsprocessen te denken: 1) Identificeer je belangrijkste bedrijfsprocessen 2) Bepaal welke risico’s daarbij spelen (B, I, V) 3) Analyseer de risico’s en ga ze prioriteren 4) Kies passende maatregelen om het effect te beperken tot een acceptabel niveau
7-10-2015
7
Analyseer de risico’s en maak keuzes Impact 5
10
15
20
25
5 4
Mitigerende maatregelen: 4
8
12
16
20
3
6
9
12
15
2
4
6
8
10
1
2
3
4
5
-
3 2 1
Elimineren Reduceren Overdragen Accepteren
Kans 1 7-10-2015
2
3
4
5 8
Houd Beveiliging & Risico in balans
7-10-2015
9
Bedenk zelf hoever je wil gaan met IB Bedrijfscontinuïteit > risico’s vaststellen en hiervoor maatregelen implementeren II Externe eisen > maatregelen nav wettelijke of contractuele verplichtingen III Certificering > kunnen aantonen dat de IB op orde is ahv norm ISO27001 (of NEN7510) I
7-10-2015
10
Borging mbv de PDCA-cyclus
7-10-2015
11
beveiligingsniveau
De PDCA-cyclus zorgt voor groei
VERBETERING tijd 7-10-2015
12
INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk?
2) Wat houdt IB binnen bedrijven in? 3) Meldplicht datalekken 4) Afronding / Aanbevelingen 5) Vragen?
7-10-2015
13
Wpb stelde al behoorlijk wat regels… • Gegevens moeten in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt • Gegevens worden alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld (informatie vooraf en meldplicht) • Gegevens mogen alleen worden verwerkt als er een rechtmatige grondslag is (zoals genoemd in de wet): – met toestemming van betrokkene, óf – indien noodzakelijk voor uitvoering van overeenkomst met betrokkene, óf – indien gerechtvaardigd belang (tenzij belang van privacy zwaarder weegt) • Gegevens mogen alleen zo lang worden bewaard als voor het verwezenlijken van de doeleinden noodzakelijk is • Gegevens moeten toereikend, ter zake dienend en niet bovenmatig zijn • Gegevens mogen alleen worden verwerkt als er passende technische en organisatorische maatregelen zijn getroffen om te beveiligen tegen verlies of enige vorm van onrechtmatige bewerking • Betrokkene heeft recht op inzage, correctie en verwijdering • Persoonsgegevens betreffende de gezondheid mogen alleen worden verwerkt door personen met geheimhoudingsplicht.
7-10-2015
14
Wbp uitgebreid: Meldplicht datalekken • Vanaf 01-01-2016 verplicht melden van datalekken • Datalek moet gemeld wanneer “kans op verlies of onrechtmatige verwerking van persoonsgegevens” • Melding bij CBP (wordt AP), soms ook bij Betrokkenen • CBP controleert, kan onderzoeken, kan “bindende aanwijzing” opleggen, of een directe boete tot maximaal € 810.000 • Wanneer wel of niet melden: concretisering / uitleg van de wet in CBP Richtsnoeren (concept 21-09) 7-10-2015
15
CBP Richtsnoeren concretiseren de Wet • • • •
Wanneer is de Meldplicht van toepassing? Wanneer is een Beveiligingsincident een Datalek? Wanneer moet het Datalek bij het CBP gemeld? Wanneer moet het Datalek bij Betrokkenen gemeld?
CBP Richtsnoeren bevatten overzichtelijke beslisbomen waarmee in concrete situaties voorgaande bepaald kan worden. De laatste versie is te downloaden van: www.cbpweb.nl 7-10-2015
16
De Meldplicht is alleen van toepassing: • Indien er sprake is van Persoonsgegevens • En u de Verantwoordelijke bent • En de Wbp van toepassing is door (a) aard, (b) doelstelling, (c) locatie van activiteiten irt Verantw. 1. Gegevens van geïdentificeerde of identificeerbare personen 2. Verantwoordelijke bepaalt, Bewerker voert uit 3. Voor een bedrijf in Frankrijk dat in NL gegevens laat verwerken geldt Franse wetgeving, niet onze Wbp, geen Meldplicht; een NL bedrijf dat in Frankrijk gegevens laat verwerken: juist wel! 4. Gegevensverwerking tbv artistiek of literair doel vallen er buiten 7-10-2015
17
Een incident is alleen een Datalek: • Indien Persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking • Niet redelijkerwijs uitgesloten kan worden dat voorgaande ook daadwerkelijk gebeurd is 1. Een kwijtgeraakte USB-stick met niet-versleutelde gegevens 2. Inloggegevens bij een onbevoegde en via logbestanden (intact en betrouwbaar…) is niet aan te tonen dat NIET naar info is gekeken 3. Na een calamiteit zoals een brand in een datacentrum blijkt de verloren data NIET vanuit een backup weer te restoren 7-10-2015
18
Het Datalek moet bij CBP gemeld indien: • Persoonsgegevens van gevoelige aard gelekt zijn • Aard en omvang leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen 1. Verloren laptop met onversleutelde, financiële klantgegevens 2. Informatie mbt schoolprestaties ingezien waardoor mogelijk stigmatisering 3. Kopieën van identiteitsbewijzen waarmee identiteitsfraude mogelijk 4. Namen en mailadressen van personen met specifieke kenmerken of overtuiging (geaardheid, leeftijd, blijf-van-mn-lijf, etc) waar het dus niet gaat om de aard van de gegevens maar om de context! 7-10-2015
19
Datalek moet gemeld bij Betrokkenen indien: • • • •
Géén “zorgplicht financiële instellingen” van toepassing Onvoldoende technische beschermingsmaatregelen Ongunstige gevolgen voor persoonlijke levenssfeer Geen zwaarwegende redenen om níet te melden
1. Deel van medisch dossier vernietigd, geen backup, kan adequate behandeling verstoren, door melding kan betrokkene alerter zijn 2. Medische gegevens ontvreemd, betrokkene kan moeilijker baan vinden indien informatie gelekt over aandoeningen, zwanger, etc 3. Login-gegevens ontvreemd waarmee toegang tot account, betrokkenen moeten nieuw wachtwoord instellen 7-10-2015
20
INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk?
2) Wat houdt IB binnen bedrijven in? 3) Meldplicht datalekken 4) Afronding / Aanbevelingen 5) Vragen?
7-10-2015
21
Afronding / Aanbevelingen 1) IB is complex en uitgebreid, maar begin simpel, zorg eerst voor maatregelen t.b.v. continuïteit 2) Zorg dat alle medewerkers het belang van IB gaan zien en eraan bij gaan dragen 3) Als de bedrijfsvoering om meer vraagt (vanwege Wbp, of primaire proces, of aantoonbaarheid) zorg dan dat een IB-deskundige meekijkt zodat tijd en geld in de juiste zaken gestoken worden 7-10-2015
22
INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk?
2) Wat houdt IB binnen bedrijven in? 3) Meldplicht datalekken 4) Afronding / Aanbevelingen 5) Vragen?
7-10-2015
23
Bedankt voor de aandacht! Vragen of opmerkingen? - Bezoek: www.zilverblad.nl - Mail:
[email protected] - Bel: 06 – 1334 9083
7-10-2015
24