De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Bewustwording Informatieveiligheid bij gemeenten Januari 2014.

Verwante presentaties


Presentatie over: "Bewustwording Informatieveiligheid bij gemeenten Januari 2014."— Transcript van de presentatie:

1 Bewustwording Informatieveiligheid bij gemeenten Januari 2014

2 Copyright © 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van deze mededeling. 2

3 Voorwoord  Deze bewustwordingspresentatie is een voorbeeldpresentatie t.b.v. gemeenten. Het staat een gemeente vrij om sheets toe te voegen en te verwijderen.  Deze presentatie heeft als doelgroep ‘Iedere medewerker binnen de gemeente’.  De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en het afgeleide voorbeeld Informatiebeveiliging Beleidsplan is als uitgangspunt genomen voor deze presentatie. Er is geen keuze gemaakt in specifieke onderwerpen, het kan zijn dat een gemeente bepaalde accenten in het eigen beveiligingsbeleid scherper of minder scherp wil neerzetten. 3

4 Informatiebeveiliging, belangrijker dan ooit?

5 Inhoud  Doel van de presentatie  Wat is informatie en in welke vorm kennen we het?  Wat is Informatiebeveiliging?  Informatiebeveiliging, wat zijn de principes?  Het belang van informatiebeveiliging in relatie tot het werken bij een gemeente.  Inzicht in de risico’s, bedreigingen en maatregelen die nodig zijn om alle vormen van informatie te beschermen.  Starten van een cultuur- en gedragsverandering.

6 1. Doel van de presentatie •Voor wie  Iedere medewerker binnen de gemeente, ongeacht soort arbeidsverhouding •Inhoud  Informatiebeveiligingsmaatregelen •Doel  Creëren van een hogere bewustwording van informatiebeveiliging met als resultaat het verbeteren van de houding ten opzichte van informatieveiligheid en het willen veranderen van onveilig gedrag naar veilig gedrag.

7 2. Wat is informatie? •Gestructureerd •Logisch •Betekenisvol •Te gebruiken in een context •Waarde •Vorm •Denk aan: –GBA gegevens –BSN  Welke interessante of vertrouwelijke informatie heeft u? Een set gegevens die zodanig bijeen zijn gebracht en worden voorgesteld zodat er betekenis of waarde aan kan worden toegekend. Voorbeeld: Edwin de Vries Kerkstraat 50 Amsterdam Geboorte datum:

8 3. En….in welke vorm kennen we het ? •Op papier (ook geschreven) •Mondeling •Elektronisch (netwerken) •Transport (signaal) •Transport (fysieke media, mobiele apparaten) •Kennis

9 •Informatie heeft waarde •Waardevolle informatie veilig stellen •Privacy beschermen •Aanpak om informatie te beschermen •Informatie heeft een bepaalde gevoeligheid 4. Waarom hebben we informatiebeveiliging nodig?

10 5. Wat is de waarde van informatie? •Geldelijke waarde •Aantrekkelijk voor anderen (insiders of outsiders) •Nut voor u •Nuttig voor anderen •De (potentiële) schade als gevolg van verkeerd gebruik of compromitteren van de informatie •Tijdigheid  Welke waarde heeft uw informatie?

11 6. Wat is informatiebeveiliging?  Beschikbaarheid •De mate waarin een informatiesysteem in een bedrijf aanwezig is op het moment dat de organisatie het nodig heeft  Exclusiviteit (vertrouwelijkheid) •De mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden  Integriteit •De mate waarin een informatiesysteem zonder fouten is

12 7. Wat is het doel van het beveiligingsprogramma bij de gemeente? •Herkennen van bedreigingen, zwakheden en risico’s ten opzichte van gemeentelijke informatie •Tegengaan of verminderen van deze risico’s naar een acceptabel niveau •Verwijderen of verminderen van een zwakheid in een systeem •De kans verkleinen dat een bedreiging manifest wordt •Reduceren van de schade als er toch een incident optreedt •Herstellen van informatievoorziening

13 8. Balans •Er is een relatie tussen gebruiksgemak en beveiliging •Als de beveiliging toeneemt, neemt het gebruiksgemak af •Voorbeeld: IPAD, schermbeveiliging.

14 9. Beveiliging is noodzakelijk •Beschikbaarheid, integriteit en exclusiviteit van onze informatie is zeer belangrijk voor de doelstellingen van onze gemeente •Onze informatiesystemen moeten altijd worden beschermd •Onze informatie moet altijd worden beschermd •Onze burgers moeten er van uit kunnen gaan dat wij hun informatie beschermen

15 Informatie opgeslagen in onze systemen , Used with permission,

16 10. Informatiebeveiliging is de taak van iedereen binnen de gemeente •De gemeente is een informatieverwerkende organisatie •Burgers en ketenpartners geven hun (gevoelige) informatie aan ons, en de gemeente heeft betrouwbare informatie nodig om haar taken uit te kunnen voeren •Informatiebeveiliging is essentieel voor de continuïteit van onze dienstverlening richting onze burgers •Informatiebeveiliging is essentieel om het vertrouwen van onze burgers in de gemeente te versterken

17 11. Verantwoordelijkheid! •Het is de verantwoordelijkheid van iedere medewerker binnen de gemeente om gemeentelijke informatiesystemen en informatie te beschermen •U bent verantwoordelijk voor het veilig gebruik van computerapparatuur, software en informatie welke onder uw verantwoordelijkheid valt binnen uw werk •Het is alleen toegestaan om informatie te gebruiken die gerelateerd is aan uw werk •De eigenaar van de informatie bepaalt de gevoeligheid van die informatie en daarmee ook de mate van bescherming die nodig is. Op basis daarvan wordt een classificatie toegekend •De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) gaat uit van vertrouwelijkheid

18 12. Informatiebeveiliging is de taak van iedereen! •Informatiebeveiliging kunt u lastig later toevoegen, het moet er gewoon zijn •Informatiebeveiliging is niet alleen de taak van de beveiligingsspecialisten •Informatiebeveiliging is de taak van iedereen! •We moeten er allemaal voor zorgen dat gemeentelijke informatie, -middelen en -ruimten goed zijn beveiligd en dat ook blijven •Wat kunt u daaraan bijdragen?

19 13. Gemeentelijke informatie moet worden behandeld in overeenstemming met de classificatie ProcesBeschikbaarheidIntegriteitVertrouwelijkheid Burgerzaken (klantbegeleiding, afspraken)BelangrijkAbsoluutVertrouwelijk Basisregistratie persoonsgegevensEssentieelAbsoluutGeheim Overige basisregistratiesEssentieelAbsoluutOpenbaar Indienen en behandelen beroep en bezwaarschriften NoodzakelijkAbsoluut Openbaar/ vertrouwelijk Sociale Zaken — Uitvoering / verstrekking voorzieningen EssentieelHoogGeheim Sociale Zaken — Handhaving en controleNoodzakelijkAbsoluutGeheim Openbare orde en veiligheid (brandweer, preventie, rampbestrijding) EssentieelAbsoluutGeheim Dit is een voorbeeld, het inschatten van het belang van een proces en de waardering van de BEI eisen kan per gemeente anders zijn.

20 14. Beveiliging binnen onze gemeentelijke organisatie •Integraal verantwoordelijke •Gedelegeerd verantwoordelijke •Iedere manager •Information Security Officer •ICT-servicedesk (telefoonnummer) •Overige beveiligingsnummers

21 Wat zijn bedreigingen? , Used with permission, Kevin Siers, The Charlotte Observer

22 15. Wat zijn bedreigingen? •Malware via websites •Verouderde software •Mobile devices •Cybercrime, DDoS, phishing •Digitale spionage •Werknemers •Buitenlandse wetgeving •Verlies van data, BYOD •Stroomstoring •Verlies van kennis •Apps van derden •Identiteitsdiefstal Een bedreiging is een gevaarlijke gebeurtenis die wellicht ooit voorkomt. Het gevaar kan zowel van buiten komen, als besloten liggen in een voorwerp of situatie zelf. Er wordt vaak onderscheid gemaakt naar interne en externe bedreigingen maar ook naar opzettelijk en onopzettelijk handelen.

23 16. Externe bedreigingen •Hackers •Crackers •Scriptkiddies

24 17. Welke motivatie? •Vandalisme •Boosheid •Politiek •Nieuwsgierigheid •Schade willen toebrengen •Persoonlijk gewin

25 18. Voorbeelden externe bedreigingen •Natuurrampen: –Aardbeving, overstroming, tornado en bliksem •Stroomstoring •Geen Airco •Terrorisme •Brand en waterschade •Personeelstekort •Digitale aanvallen van buitenaf –Hacken, digitale inbraak –DDOS-aanval –SAAS, toegang tot applicatie –Spionage

26 19. Nog meer bedreigingen… • Diefstal of verlies van: -Laptops -Desktops -PDA’s / tablets -Telefoons / Smartphones -Data (fysiek) DVD, CD-ROM, harddisks, USB-sticks etc. -Data (logisch) draadloos, Man-in-the-middle (MITM) •Social Engineering

27 20. Interne bedreigingen (1/2) •Onoplettendheid (verkeerde informatie geven) •Slordigheid (typo’s, clean desk?) •Onwetendheid (de regels niet kennen) •Onbewust handelen (aannemen dat iets zo is) •Je niet houden aan gemeentelijke regels (gewoon de regels bewust overtreden) Bijvoorbeeld:  Gebruiken van onveilige software  en van gemeentelijke informatie naar privé , opschrijven wachtwoorden  Je niet houden aan de clean desk Policy  Over gevoelige informatie praten in openbare ruimten

28 20. Interne bedreigingen (2/2)  In een recent onderzoek geven meer dan de helft van de partijen aan dat beveiligingsincidenten van binnenuit zijn opgetreden  Diverse onderzoeken lopen uiteen, maar 30% tot meer dan 60% van de incidenten komt van binnenuit de eigen organisatie 28

29 21. Interne bedreigingen, wat maakt ons kwetsbaar? •Eenvoudige wachtwoorden: te kort, te makkelijk of gewone woorden (uit woordenboek) •Niet in staat om geheimen te bewaren: opschrijven van wachtwoorden, vertrouwelijke informatie versturen via , lekken van informatie •Impliciet vertrouwen van dingen die we van anderen krijgen: openen bijlagen van onbekende mensen die een virus of een andere kwaadaardige code kunnen bevatten •Klikken op links van ‘phishing’ s

30 22. Hoe informatie op papier te beschermen? •Opbergen van papieren in een kast of andere geschikte container (Clean Desk Policy) •Geen informatie of wachtwoorden op ‘post-its’ of briefjes en andere informatie, zoals cd-roms, laten rondslingeren •Maak gebruik van shredders (verplicht voor gevoelige informatie) •Sluit uw deur van het kantoor

31 23. Informatie op papier (vervolg) • Altijd afdrukken van printers en faxapparaten halen, met name aandacht besteden aan gemeenschappelijke printers •Verwijder de afdrukken uit gemeenschappelijke printers direct (Let op: Sommige printers en faxapparaten slaan kopieën van documenten op, die later kunnen worden opgehaald) •Gebruik bij voorkeur speciale enveloppen (sealed) voor persoonlijke of gevoelige interne post •Gebruik een procedure om gevoelige informatie te verzenden (dubbele enveloppen, koeriers etc.) •Gebruik ‘de dubbele enveloppen techniek’ voor gevoelige externe (inkomende of uitgaande) post •Voor ‘zeer gevoelige informatie’ overwegen gebruik te maken van •‘tamper-proof’ of verzegelde enveloppen

32 24. Hoe mondelinge informatie te beschermen? •Wees u bewust van uw omgeving •Ga er niet vanuit dat in het gebouw altijd een veilige plek is om alle soorten informatie te bespreken (burgers, bezoekers, aannemers, derden) •Handhaaf het ‘need to know’-principe •Adopteer een minimalistische benadering met betrekking tot het verstrekken van informatie aan derden als u niet zeker weet of iets iemand anders aangaat •Vermijd specifieke details met betrekking tot operationele procedures, beveiligingsprocedures of de computersystemen van de gemeente

33 24. Hoe mondelinge informatie te beschermen? (vervolg) •Zeer gevoelige informatie kan beter niet over de telefoon besproken worden •Wees voorzichtig bij de bespreking van gemeentelijke vertrouwelijke informatie op een mobiele telefoon (omgeving, afluisteren etc.)

34 25. Informatiesysteem-specifieke uitdagingen •Aggregatie – toenemende datavolumes •Gebrek aan zichtbaarheid •Gebruiksgemak versus beveiliging •Software en hardware installatie •Portabiliteit •Snelheid •Technologische vooruitgang •Gebruikers kennis / competenties

35 26. Hoe kun je informatie beschermen? •Gezond verstand •Veilige wachtwoorden •Antivirus maatregelen •Software uit bekende bronnen •Nadenken over mobiele apparaten •Goed gebruik van media •Voorzichtigheid met het web en •Log on / log off •Opslaan van documenten/ back-up •Juiste toegangsrechten

36 27. Gezond verstand! •Ziet iets er vreemd uit/ is er iets veranderd ? •De computer of het systeem gedraagt zich anders dan anders •Noteer de datum en tijd waarop de problemen zich voordeden •Geloof niet alles wat u op het Internet vindt •Zoek hulp / bel de helpdesk als u twijfelt

37 28. Wachtwoorden •Schrijf wachtwoorden nergens op •Als het toch nodig is, bewaar opgeschreven wachtwoorden op een veilige plaats •Vernieuw regelmatig uw wachtwoorden •Kies een sterk wachtwoord •Deel nooit uw wachtwoord met anderen •U bent verantwoordelijk voor misbruik van uw wachtwoord •Verander uw wachtwoord direct als u misbruik vermoedt

38 29. Wachtwoord problemen •Als u een wachtwoord goed kunt onthouden is het waarschijnlijk ook makkelijk te raden voor anderen •Moeilijke wachtwoorden zijn zonder een geheugensteuntje moeilijk te onthouden •Opschrijven van wachtwoorden •Korte wachtwoorden zijn makkelijk te kraken •Niet voor alles hetzelfde wachtwoord gebruiken

39 30. Goede wachtwoorden •Wat is een goed wachtwoord? –Alfabetisch – A tot Z en a tot z –Nummers – 0 tot 9 –Speciale letters / leestekens – •~ # $ % ^ & * ( ) + = [ ] { } / ?, ; : \ | ` ’ ”. Een goed wachtwoord moet minimaal 8 tekens lang zijn en naast (hoofd)letters een nummer en een leesteken bevatten.

40 31. Gemakkelijk te onthouden wachtwoorden? •Neem een zin die u kunt onthouden •Neem van ieder woord de eerste letter en vervang letters voor tekens •Bijvoorbeeld: Onze gemeente is een veilige organisatie in 2014: Og=€V0!2o14

41 32. Antivirus •Open geen die u niet vertrouwt •Open nooit bijlagen van s die u niet verwacht •Klik niet op links in s die u niet vertrouwd •Zorg voor een up-to-date antivirusscanner •Download geen uitvoerbare programma’s en installeer zelf geen software •Bij twijfel een handmatige extra virusscan uitvoeren •Check voor gebruik media van anderen

42 33. Software en Hardware installatie •Installeer geen ongeautoriseerde hard- en software •Gebruik geen eigen software of download deze niet van een onbekende bron of van het Internet •Installeer zelf geen modems of draadloze toegangspunten •Wijzig geen netwerk componenten •Gebruik alleen gelicenseerde software

43 34. Mobiele telefoons en tablets •Bescherm zowel telefoon en SIM met een Pincode •Bewaar mobiele apparaten die niet in gebruik zijn in een afgesloten kast of op een andere veilige plaats •Let op met opvallend gebruik van mobiele apparatuur, bijvoorbeeld op straat •Behalve dat het apparaat waarde heeft kan ook de informatie die erop staat waarde hebben voor een ander •Gebruik encryptie om informatie op het apparaat te beschermen •Maak gebruik van mogelijkheden om een apparaat terug te vinden, de meeste hebben dit tegenwoordig

44 35. Laptops en opslagmedia •Geen gevoelige informatie plaatsen op laptop computers of draagbare opslagmedia zonder encryptie •Overweeg het verkrijgen van een kabelslot voor laptops •Behandel draagbare opslagmedia met dezelfde zorg als het equivalent papieren document - berg het op •Laptops worden bij voorkeur volledig versleuteld. •Draagbare opslagmedia moet goed worden geëtiketteerd en de gevoeligheid (classificatie) van de inhoud daarvan duidelijk worden gemarkeerd •Laat de laptop niet in de auto achter en vervoer deze niet op de achterbank (in het zicht) •Laat de laptop niet in een onbeheerde auto liggen

45 36. •Gebruik niet ‘unsubscribe’ voor junk mail •Zend geen gevoelige informatie met (Internet) , dit is niet veilig •Gebruik geen gemeentelijke voorzieningen voor privé s •Alle , ook privé , kan worden onderschept, wees u daarvan bewust en wees voorzichtig met wat u schrijft •Forward geen virus informatie of verdachte s, gebruik de telefoon en bel de helpdesk •Wees ervan bewust dat makkelijk vervalst kan worden (Virus, Hoaxes, afzenders etc.) •Negeer kettingbrieven en wees u bewust van criminele toepassingen met

46 37. Web Browsing •Alle activiteiten op Internet zijn te traceren, intern en extern - wees voorzichtig •Het is niet toegestaan om illegale content te bekijken •Het is niet toegestaan om naar sites te gaan met adult-materiaal •Vermijd controversiële locaties •Vermijd overtollig gebruik van resources

47 38. Log on / log off •Controleert u wie de laatste gebruiker was op uw werkstation? •Aan het einde van de dag afmelden •Als dat niet automatisch gebeurt, instellen van de schermbeveiliging op 5 minuten •Even weg bij de computer, gebruik ctrl-alt-delete, gevolgd door enter om het werkstation te vergrendelen

48 39. Password-beveiliging Bij een vergeten wachtwoord of een geblokkeerd account, alleen volgens de juiste procedure handelen Er is geen beveiligingspatch beschikbaar voor ‘stommiteit’

49 40. Document opslag •Sla werk-gerelateerde documenten op het netwerk op, bij voorkeur in groeps- directories •Bewaar nooit documenten op de C-schijf, deze krijgt geen back-up •Vermijd langdurige opslag van gegevens op cd-roms, USB tokens, geheugenkaartjes, et cetera

50 41. Social Engineering

51 42. Draag uw toegangspas! •Draag uw toegangspas tijdens het werk •Begeleid mensen zonder toegangspas naar de receptie •Vraag iedereen zonder zichtbaar gedragen pas om deze zichtbaar te dragen •Geef nooit iemand toegang door de deur open te houden zonder u af te vragen of die persoon wel naar binnen mag. Bij twijfel: begeleiden naar de receptie

52 43. Wat kan er tegen Social Engineering ondernomen worden? Laat mensen zonder badge niet meelopen bij het naar binnengaan. Breng bezoekers naar de receptie Er zijn diverse onderzoeken geweest waarbij mensen hun wachtwoord gaven voor bijvoorbeeld een ballpoint! Draag altijd uw toegangspas binnen de werkruimten Bij bellen, bij twijfel vragen om een terugbelnummer dat geverifieerd kan worden Vraag u af waarom een bepaald verzoek aan u wordt gedaan!

53 44. Bedrijfsinformatie Dus… Bescherm gemeentelijke informatie alsof uw baan er vanaf hangt, omdat… uw baan er ook vanaf hangt!

54 Vragen?


Download ppt "Bewustwording Informatieveiligheid bij gemeenten Januari 2014."

Verwante presentaties


Ads door Google