De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Informatiebeveiliging

GepubliceerdHanne Claes Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "Informatiebeveiliging"— Transcript van de presentatie:

1 Informatiebeveiliging
bij de gemeente Nieuwegein Informatiebeveiliging gemeente Nieuwegein

2 Informatiebeveiliging gemeente Nieuwegein
Wat vindt u? Wat is uw beeld van informatiebeveiliging? Waar denkt u dan aan? Wat zijn dat, kwetsbaarheden, bedreigingen en maatregelen? En waar komen die dingen vandaan? Laat de deelnemers zich maar eens uitspreken. Noteer dat wat gezegd wordt op flipover. Laat aansluitend de back-up tapes opdracht doen. Probeer vast te leggen in hoeverre men denkt in technische oplossingen alleen, of dat men ook aan bv. Juridische, organisatorische en fysieke maatregelen denkt. Resultaat vormt de kapstok waaraan je onderwerpen kan hangen gedurende de les. Onderwerpen zijn: – Koppeling business – BIV – Domeinen – Spelers Informatiebeveiliging gemeente Nieuwegein

3 Wat is informatiebeveiliging?
Onfeilbare informatiebeveiliging bestaat niet Informatiebeveiliging gemeente Nieuwegein

4 Wat is informatiebeveiliging?
Dit werkt niet Informatiebeveiliging gemeente Nieuwegein

5 Wat is informatiebeveiliging?
Dit wilt u niet Informatiebeveiliging gemeente Nieuwegein

6 Wat is informatiebeveiliging?
Toch wilt u dit voorkomen Slechts 4 procent van de 80 onderzochte gemeentes voldeed aan alle gestelde veiligheidsnormen, terwijl 13 procent er niet in slaagde om ook maar één norm te handhaven Informatiebeveiliging gemeente Nieuwegein

7 Wat is informatiebeveiliging?
En anders dit wel Informatiebeveiliging gemeente Nieuwegein

8 Wat is informatiebeveiliging?
Want dit wilt u niet meemaken Informatiebeveiliging gemeente Nieuwegein

9 Wat is informatiebeveiliging?
Wat dan wel? Het beheren van risico's waaraan informatie bloot staat: Niet het uitsluiten van risico's! Risico's ontstaan tijdens het genereren, opslaan, verwerken, bewerken en uitwisselen van informatie Een (kwaliteits-)proces dat alle delen van de organisatie raakt: Mensen, procedures en techniek Informatiebeveiliging gemeente Nieuwegein

10 Maar in de kern gaat het om iets veel eenvoudigers
Informatiebeveiliging zorgt voor gefundeerd vertrouwen in uw gegevens en processen Informatiebeveiliging gemeente Nieuwegein

11 Hoe gaan we dat bereiken?
Afspraken maken: Beleid Procedures Werkinstructies Maatregelen nemen die realisatie en controle van die afspraken faciliteren: We willen immers geen papieren tijger! Aantonen dat de afspraken worden nageleefd: Maak het zichtbaar, anders is er geen grond voor vertrouwen Informatiebeveiliging gemeente Nieuwegein

12 Informatiebeveiliging gemeente Nieuwegein
Dit is een flinke klus Standaard voor informatiebeveiliging: ISO 27001:2007 → normatieve beschrijving beheersdoelstellingen ISO 27002:2007 → best practices voor beheersmaatregelen Bestaat uit 11 domeinen, 39 beheersdoelstellingen en 133 beheersmaatregelen Is een conceptuele beschrijving, moet dus nog vertaald worden naar de best passende werkwijze voor de eigen organisatie Kortom het implementeren van informatiebeveiliging is lastig: Zelfs organisaties die een heel team hebben dat zich hiermee fulltime bezig houdt hebben er moeite mee Informatiebeveiliging gemeente Nieuwegein

13 Maak het niet moeilijker dan nodig is
Wees pragmatisch en durf keuzes te maken: Simpel boven complex Goed genoeg boven perfect Kosten in verhouding tot baten Ga niet onnodig zelf het wiel uitvinden: Gebruik de baselines van KING Kies voor standaardoplossingen Kijk naar wat anderen met succes hebben gedaan Informatiebeveiliging gemeente Nieuwegein

14 Informatiebeveiliging gemeente Nieuwegein
Incidenten En dan nog zullen er incidenten blijven: Complex geheel: Veel componenten met veel relaties en veel verschillende gebruikers Veel ruimte voor fouten: Menselijke fouten: Onwetendheid Slordigheid Bewuste overtredingen Technologische fouten: Apparatuur Software Informatiebeveiliging gemeente Nieuwegein

15 Informatiebeveiliging gemeente Nieuwegein
Incidenten En dan nog zullen er incidenten blijven: Veranderingen in behoefte aan beveiliging: In de organisatie Vanuit de omgeving Nieuwe technologische mogelijkheden: Bring Your Own Device Het Nieuwe Werken Cloud Hacktechnieken Informatiebeveiliging gemeente Nieuwegein

16 Informatiebeveiliging gemeente Nieuwegein
Analogie met verkeer Complex geheel: Veel en verschillende soorten weggebruikers Veel verschillende technologische hulpmiddelen Veel ruimte voor fouten: Slecht aangegeven gevaarlijke situaties Foute interpretatie verkeersregels Onoplettendheid Bewuste overtredingen Falende vervoersmiddelen Informatiebeveiliging gemeente Nieuwegein

17 Informatiebeveiliging gemeente Nieuwegein
Analogie verkeer Dus maken we verkeersregels om alles in goede banen te leiden Maar die kunnen tekort schieten Dus moeten we naleving ervan bewaken En ze bijstellen wanneer nodig En er duidelijk over communiceren naar de “weggebruikers” Informatiebeveiliging gemeente Nieuwegein

18 Informatiebeveiliging is nooit perfect
Is het erg als informatiebeveiliging, al dan niet opzettelijk, faalt? Ja, als het vertrouwen daardoor geschaad wordt Ja, als de impact op de bedrijfsvoering/maatschappij groot is Nee, als men ziet dat u gedaan hebt wat u kon doen Doe dus wat redelijkerwijs van u verwacht mag worden: Standaard maatregelen voor standaard problemen Houd de boel goed in de gaten, zodat u het ziet wanneer er iets vreemds gebeurt Reageer snel op geconstateerde of gemelde afwijkingen Communiceer duidelijk over de spelregels Informatiebeveiliging gemeente Nieuwegein

19 Informatiebeveiliging is nooit perfect
Maar het blijft vooral mensenwerk En een permanent punt van aandacht Informatiebeveiliging gemeente Nieuwegein

20 Informatiebeveiliging gemeente Nieuwegein
Algemene aanpak Bedenk welk niveau van beveiliging nodig is voor de eigen bedrijfsprocessen: Niet meer en niet minder Vul dat aan met eisen uit wet- en regelgeving Wees u bewust van de manieren waarop die bedrijfsprocessen verstoord kunnen worden: Door fouten Door vergissingen/slordigheden Door opzettelijke manipulatie Informatiebeveiliging gemeente Nieuwegein

21 Informatiebeveiliging gemeente Nieuwegein
Algemene aanpak Bedenk met welke maatregelen u die risico's zo effectief en efficiënt mogelijk kunt afdekken: Reduceer risico tot een acceptabel niveau, meer is niet nodig Kies voor maatregelen die de eigen organisatie kan “behappen” Let op kosten en baten van de maatregelen: Gaat over meer dan alleen geld! Maak goede afspraken over spelregels die goed passen bij de gekozen werkwijze: Beleid, procedures en werkinstructies Kijk waar uitvoering en bewaking van die afspraken gefaciliteerd kunnen worden door techniek Informatiebeveiliging gemeente Nieuwegein

22 Informatiebeveiliging gemeente Nieuwegein
Algemene aanpak Implementeer de gekozen maatregelen Controleer dat het resultaat past bij de verwachtingen En maak het resultaat zichtbaar, zodat er een basis voor gerechtvaardigd vertrouwen ontstaat Informatiebeveiliging gemeente Nieuwegein

23 Aanpak gemeente Nieuwegein
Hoe gaat de gemeente Nieuwegein deze puzzel oplossen? Informatiebeveiliging gemeente Nieuwegein

24 Wat doet de gemeente aan Informatiebeveiliging?
Beleid Jaarplan Actie

25 7 strategische spelregels, de “piketpaaltjes”
Beleid Strategisch informatiebeveiligingsbeleid samen met IJsselstein en Montfoort: 7 strategische spelregels, de “piketpaaltjes”

26 1. Informatiebeveiliging zit in ons DNA
We borgen de veiligheid van informatie door beveiligingsmaatregelen op een natuurlijke manier in te bedden in de processen en activiteiten van de organisatie en het handelen van medewerkers. Je bent je er van bewust dat jouw handelen en gedrag in het werk de belangrijkste beveiligingsmaatregel is Je bent extra alert als je met vertrouwelijke informatie werkt.

27 2. We sluiten aan op bestaande standaarden
Waar mogelijk maken we bij de realisatie van de informatiebeveiliging gebruik van (landelijke) standaarden of veelgebruikte, bewezen oplossingen. We sluiten ons aan bij de IBD De gemeente werkt met de Baseline Informatiebeveiliging Nederlandse gemeenten  We werken op basis van risicoanalyses Twitter je veel of ben je regelmatig op Facebook te vinden? Zorg dat je de gemeentelijke richtlijnen met betrekking tot het gebruik van Social media goed kent. Zorg dat je binnen een beveiligde omgeving werkt

28 3. Informatiebeveiliging is van iedereen
Informatiebeveiliging is een onlosmakelijk onderdeel van het proces en hoort bij de taken en verantwoordelijkheden van elke manager en medewerker. Bewustzijn en zorgvuldig handelen zijn de belangrijkste beveiligingsmaatregelen. Niet alleen de procesverantwoordelijke, of je leidinggevende is verantwoordelijk, jij bent zelf verantwoordelijk Je signaleert potentiele veiligheidsrisico’s in jouw proces en draagt actief bij aan het verbeteren van de informatiebeveiliging

29 4. De gemeente blijft eindverantwoordelijk
De gemeente voert de regie over de dienstverlening. Met alle samenwerkingspartners maakt de gemeente afspraken over de beschikbaarheid, de integriteit en de vertrouwelijkheid van de onderlinge informatiestromen. Samenwerkingspartners die geen veilige verbinding garanderen met de gemeente, sluiten niet aan op de informatie-infrastructuur van de gemeente Maak heldere afspraken met samenwerkingspartners op het gebied van informatie-uitwisseling en informatiebeveiliging. Denk goed na voordat je voldoet aan een informatieverzoek van een samenwerkingspartner. Stuur vertrouwelijke informatie niet zomaar via de mail.

30 5. We maken melding van incidenten
Elk incident op het gebied van informatiebeveiliging wordt ten minste gemeld aan de procesverantwoordelijke. Deze rapporteert over de incidenten in de Planning & Control cyclus. Het totale incidentenregister wordt gebruikt om trends te signaleren en dient als input bij de revisie van het beveiligingsplan. We sturen op een cultuur van “veilig” kunnen melden en doen structureel wat met meldingen Meld het als je: een usb-stick, smartphone, tablet of laptop met vertrouwelijke informatie bent verloren; een personeelsdossier bent verloren; een kast met vertrouwelijke informatie herhaaldelijk open en onbeheerd aantreft; een vreemd telefoontje hebt gehad van bijvoorbeeld (iemand die zich voordeed als) journalist of medewerker van een bedrijf en die vroeg naar bepaalde informatie; een verdachte hebt ontvangen

31 6. We gaan zorgvuldig om met privacy en vertrouwelijke informatie
De medewerkers van de gemeente gaan integer om met privacygevoelige gegevens en vertrouwelijke informatie. Persoonsgegevens worden adequaat beveiligd. Dit wordt periodiek getoetst. Wees je ervan bewust dat je geregeld met vertrouwelijke informatie werkt. Ga hier integer mee om. Laat geen documenten met vertrouwelijke informatie onbeheerd achter. Vernietig documenten met vertrouwelijke informatie zodra je ze niet langer nodig hebt. Voer overleggen waarin vertrouwelijke informatie besproken wordt in een afgesloten ruimte. Ruim je bureau op en zorg dat je screensaver aanstaat zodra je je werkplek verlaat.

32 7. Wettelijke verplichtingen en auteursrechtelijk beschermd materiaal
De gemeente draagt er zorg voor dat medewerkers op de hoogte zijn van de informatiebeveiligingsaspecten binnen hun proces(sen) en dat de gemeente niet in strijd met wet- en regelgeving handelt. Auteursrechtelijk beschermd materiaal wordt niet gekopieerd zonder toestemming van de eigenaar. Dit geldt ook voor programmatuur; voor alle aanwezige software (en gebruikers) zijn geldige licenties beschikbaar. Download geen illegale bestanden en software. Download geen bestanden en software waarvan de herkomst niet bekend is. Gebruik zonder toestemming geen afbeeldingen en tekst waarvan het copyright elders ligt.

33 Wat doen we hier nu mee? Het voorgaande is onze “kapstok” om gepland actie te ondernemen, het informatiebeveiligingsplan 2014: Afstemming met Portefeuillehouder Gaat naar Directieteam Uitgangspunten: Gebaseerd op Quick scan en Risicoanalyse 5 punten/projecten per jaar Focus op urgentie Uitsplitsing naar 3 aspecten van Informatiebeveiliging Samenspel tussen ‘harde’ en ‘zachte’ kant

34 Aspecten Informatiebeveiliging
Informatiebeveiliging gaat om betrouwbaarheid van de Informatievoorziening: Beschikbaarheid (Tijdig, Continu) Integriteit (Correct, Volledig, Geldig, Authentiek, Onweerlegbaar) Vertrouwelijkheid (Exclusief)

35 Deze 2 benaderingen kunnen niet zonder elkaar!
Hard en Zacht “Harde” kant: Opzet Bestaan Werking “Zachte” kant: Kennis Houding Gedrag Deze 2 benaderingen kunnen niet zonder elkaar!

36 Actie In 2013: Maatregelen rond robuustheid infrastructuur
Eerste DigiD Audit Samenwerking in Regio: IJsselstein Houten Zeist In 2014: Aansluiting bij IBD Samenwerking in Regio intensiveren 3 Decentralisaties (ketensamenwerking) Vastleggen beleid/processen/procedures (borging) Uitvoering Jaarplan 2014 met daarin en ook parallel daaraan: Awareness gebruikers

37 Informatiebeveiliging gemeente Nieuwegein
Vragen Informatiebeveiliging gemeente Nieuwegein

Download ppt "Informatiebeveiliging"

Verwante presentaties

Identiteitsverankering

Identiteitsverankering
Competentieprofielen 10 juni 2014. Overzicht 10 juni 2014 • 2 • 2.

Competentieprofielen 10 juni Overzicht 10 juni 2014 • 2 • 2.
SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Mediërend leren op bs. Theresia

Mediërend leren op bs. Theresia
Door goede gesprekken groeien

Door goede gesprekken groeien
Time management in het onderwijs

Time management in het onderwijs
Veilig Internet Geef antwoord op de vragen en ontdek of jij veilig gebruik maakt van het internet!

Veilig Internet Geef antwoord op de vragen en ontdek of jij veilig gebruik maakt van het internet!
Veilig internet Mediawijsheid

Veilig internet Mediawijsheid
Veiligheidsincidenten de afgelopen maand? 21 mei 2012 2.

Veiligheidsincidenten de afgelopen maand? 21 mei
De relatie tussen logistiek en veiligheid

De relatie tussen logistiek en veiligheid
Kennis maken met Opbrengstgericht werken

Kennis maken met Opbrengstgericht werken
De kracht van it suits IT Als groothandel of brandowner in fashion bent aan het juiste adres voor automatisering en professionalisering van al uw – generieke.

De kracht van it suits IT Als groothandel of brandowner in fashion bent aan het juiste adres voor automatisering en professionalisering van al uw – generieke.
Ja maar, bij ons gaat alles goed Wij hebben geen problemen Ik heb een idee! Zullen we het zo doen? Andere prioriteiten, geen tijd Dat willen we nietPast.

Ja maar, bij ons gaat alles goed Wij hebben geen problemen Ik heb een idee! Zullen we het zo doen? Andere prioriteiten, geen tijd Dat willen we nietPast.
Visie op HNW juni 2011. Belang van een Visie Een Visie op Werken is de overkoepelende beschrijving hoe een organisatie werk in de toekomst ziet. De visie.

Visie op HNW juni Belang van een Visie Een Visie op Werken is de overkoepelende beschrijving hoe een organisatie werk in de toekomst ziet. De visie.
Ik geloof… Dat onze achtergrond en omstandigheden misschien wel van invloed zijn geweest op wie we zijn, maar dat wìj verantwoorde- lijk zijn voor wie.

Ik geloof… Dat onze achtergrond en omstandigheden misschien wel van invloed zijn geweest op wie we zijn, maar dat wìj verantwoorde- lijk zijn voor wie.
De kracht van MySolution

De kracht van MySolution
Kwaliteit en betrouwbaarheid van simulaties ir. Rudolf van Mierlo Efectis Nederland BV.

Kwaliteit en betrouwbaarheid van simulaties ir. Rudolf van Mierlo Efectis Nederland BV.
COMPETENTIEONTWIKKELING

COMPETENTIEONTWIKKELING
HET CURRICULUM VITAE = VISTEKAARTJE NUMMER 2

HET CURRICULUM VITAE = VISTEKAARTJE NUMMER 2
Samenwerken en netwerkvorming Brede School 16 mei 2008 Rita L’Enfant

Samenwerken en netwerkvorming Brede School 16 mei 2008 Rita L’Enfant

Verwante presentaties

Ads door Google