De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Informatiebeveiliging gemeente Nieuwegein1 Informatiebeveiliging bij de gemeente Nieuwegein.

Verwante presentaties


Presentatie over: "Informatiebeveiliging gemeente Nieuwegein1 Informatiebeveiliging bij de gemeente Nieuwegein."— Transcript van de presentatie:

1 Informatiebeveiliging gemeente Nieuwegein1 Informatiebeveiliging bij de gemeente Nieuwegein

2 Wat vindt u? •Wat is uw beeld van informatiebeveiliging? •Waar denkt u dan aan? •Wat zijn dat, kwetsbaarheden, bedreigingen en maatregelen? •En waar komen die dingen vandaan? Informatiebeveiliging gemeente Nieuwegein2

3 Wat is informatiebeveiliging? •Onfeilbare informatiebeveiliging bestaat niet Informatiebeveiliging gemeente Nieuwegein3

4 Wat is informatiebeveiliging? •Dit werkt niet Informatiebeveiliging gemeente Nieuwegein4

5 Wat is informatiebeveiliging? •Dit wilt u niet Informatiebeveiliging gemeente Nieuwegein5

6 Wat is informatiebeveiliging? •Toch wilt u dit voorkomen Informatiebeveiliging gemeente Nieuwegein6

7 Wat is informatiebeveiliging? •En anders dit wel Informatiebeveiliging gemeente Nieuwegein7

8 Wat is informatiebeveiliging? •Want dit wilt u niet meemaken Informatiebeveiliging gemeente Nieuwegein8

9 Wat is informatiebeveiliging? •Wat dan wel? •Het beheren van risico's waaraan informatie bloot staat: • Niet het uitsluiten van risico's! •Risico's ontstaan tijdens het genereren, opslaan, verwerken, bewerken en uitwisselen van informatie •Een (kwaliteits-)proces dat alle delen van de organisatie raakt: •Mensen, procedures en techniek Informatiebeveiliging gemeente Nieuwegein9

10 Maar in de kern gaat het om iets veel eenvoudigers • Informatiebeveiliging zorgt voor gefundeerd vertrouwen in uw gegevens en processen Informatiebeveiliging gemeente Nieuwegein10

11 Hoe gaan we dat bereiken? •Afspraken maken: •Beleid •Procedures •Werkinstructies •Maatregelen nemen die realisatie en controle van die afspraken faciliteren: •We willen immers geen papieren tijger! •Aantonen dat de afspraken worden nageleefd: •Maak het zichtbaar, anders is er geen grond voor vertrouwen Informatiebeveiliging gemeente Nieuwegein11

12 Dit is een flinke klus •Standaard voor informatiebeveiliging: •ISO 27001:2007 → normatieve beschrijving beheersdoelstellingen •ISO 27002:2007 → best practices voor beheersmaatregelen •Bestaat uit 11 domeinen, 39 beheersdoelstellingen en 133 beheersmaatregelen •Is een conceptuele beschrijving, moet dus nog vertaald worden naar de best passende werkwijze voor de eigen organisatie •Kortom het implementeren van informatiebeveiliging is lastig: •Zelfs organisaties die een heel team hebben dat zich hiermee fulltime bezig houdt hebben er moeite mee Informatiebeveiliging gemeente Nieuwegein12

13 Maak het niet moeilijker dan nodig is •Wees pragmatisch en durf keuzes te maken: •Simpel boven complex •Goed genoeg boven perfect •Kosten in verhouding tot baten •Ga niet onnodig zelf het wiel uitvinden: •Gebruik de baselines van KING •Kies voor standaardoplossingen •Kijk naar wat anderen met succes hebben gedaan Informatiebeveiliging gemeente Nieuwegein13

14 Incidenten •En dan nog zullen er incidenten blijven: •Complex geheel: •Veel componenten met veel relaties en veel verschillende gebruikers •Veel ruimte voor fouten: •Menselijke fouten: •Onwetendheid •Slordigheid •Bewuste overtredingen •Technologische fouten: •Apparatuur •Software Informatiebeveiliging gemeente Nieuwegein14

15 Incidenten •En dan nog zullen er incidenten blijven: •Veranderingen in behoefte aan beveiliging: •In de organisatie •Vanuit de omgeving •Nieuwe technologische mogelijkheden: •Bring Your Own Device •Het Nieuwe Werken •Cloud •Hacktechnieken Informatiebeveiliging gemeente Nieuwegein15

16 Analogie met verkeer •Complex geheel: •Veel en verschillende soorten weggebruikers •Veel verschillende technologische hulpmiddelen •Veel ruimte voor fouten: •Slecht aangegeven gevaarlijke situaties •Foute interpretatie verkeersregels •Onoplettendheid •Bewuste overtredingen •Falende vervoersmiddelen Informatiebeveiliging gemeente Nieuwegein16

17 Analogie verkeer •Dus maken we verkeersregels om alles in goede banen te leiden •Maar die kunnen tekort schieten •Dus moeten we naleving ervan bewaken •En ze bijstellen wanneer nodig •En er duidelijk over communiceren naar de “weggebruikers” Informatiebeveiliging gemeente Nieuwegein17

18 Informatiebeveiliging is nooit perfect •Is het erg als informatiebeveiliging, al dan niet opzettelijk, faalt? •Ja, als het vertrouwen daardoor geschaad wordt •Ja, als de impact op de bedrijfsvoering/maatschappij groot is •Nee, als men ziet dat u gedaan hebt wat u kon doen •Doe dus wat redelijkerwijs van u verwacht mag worden: •Standaard maatregelen voor standaard problemen •Houd de boel goed in de gaten, zodat u het ziet wanneer er iets vreemds gebeurt •Reageer snel op geconstateerde of gemelde afwijkingen •Communiceer duidelijk over de spelregels Informatiebeveiliging gemeente Nieuwegein18

19 Informatiebeveiliging is nooit perfect •Maar het blijft vooral mensenwerk •En een permanent punt van aandacht Informatiebeveiliging gemeente Nieuwegein19

20 Algemene aanpak •Bedenk welk niveau van beveiliging nodig is voor de eigen bedrijfsprocessen: •Niet meer en niet minder •Vul dat aan met eisen uit wet- en regelgeving •Wees u bewust van de manieren waarop die bedrijfsprocessen verstoord kunnen worden: •Door fouten •Door vergissingen/slordigheden •Door opzettelijke manipulatie Informatiebeveiliging gemeente Nieuwegein20

21 Algemene aanpak •Bedenk met welke maatregelen u die risico's zo effectief en efficiënt mogelijk kunt afdekken: •Reduceer risico tot een acceptabel niveau, meer is niet nodig •Kies voor maatregelen die de eigen organisatie kan “behappen” •Let op kosten en baten van de maatregelen: •Gaat over meer dan alleen geld! •Maak goede afspraken over spelregels die goed passen bij de gekozen werkwijze: •Beleid, procedures en werkinstructies •Kijk waar uitvoering en bewaking van die afspraken gefaciliteerd kunnen worden door techniek Informatiebeveiliging gemeente Nieuwegein21

22 Algemene aanpak •Implementeer de gekozen maatregelen •Controleer dat het resultaat past bij de verwachtingen •En maak het resultaat zichtbaar, zodat er een basis voor gerechtvaardigd vertrouwen ontstaat Informatiebeveiliging gemeente Nieuwegein22

23 Aanpak gemeente Nieuwegein • Hoe gaat de gemeente Nieuwegein deze puzzel oplossen? Informatiebeveiliging gemeente Nieuwegein23

24 Wat doet de gemeente aan Informatiebeveiliging? • Beleid • Jaarplan • Actie

25 Beleid Strategisch informatiebeveiligingsbeleid samen met IJsselstein en Montfoort: • 7 strategische spelregels, de “piketpaaltjes”

26 1. Informatiebeveiliging zit in ons DNA We borgen de veiligheid van informatie door beveiligingsmaatregelen op een natuurlijke manier in te bedden in de processen en activiteiten van de organisatie en het handelen van medewerkers.  Je bent je er van bewust dat jouw handelen en gedrag in het werk de belangrijkste beveiligingsmaatregel is  Je bent extra alert als je met vertrouwelijke informatie werkt.

27 2. We sluiten aan op bestaande standaarden Waar mogelijk maken we bij de realisatie van de informatiebeveiliging gebruik van (landelijke) standaarden of veelgebruikte, bewezen oplossingen.  We sluiten ons aan bij de IBD  De gemeente werkt met de Baseline Informatiebeveiliging Nederlandse gemeenten  We werken op basis van risicoanalyses  Twitter je veel of ben je regelmatig op Facebook te vinden? Zorg dat je de gemeentelijke richtlijnen met betrekking tot het gebruik van Social media goed kent.  Zorg dat je binnen een beveiligde omgeving werkt

28 3. Informatiebeveiliging is van iedereen Informatiebeveiliging is een onlosmakelijk onderdeel van het proces en hoort bij de taken en verantwoordelijkheden van elke manager en medewerker. Bewustzijn en zorgvuldig handelen zijn de belangrijkste beveiligingsmaatregelen.  Niet alleen de procesverantwoordelijke, of je leidinggevende is verantwoordelijk, jij bent zelf verantwoordelijk  Je signaleert potentiele veiligheidsrisico’s in jouw proces en draagt actief bij aan het verbeteren van de informatiebeveiliging

29 4. De gemeente blijft eindverantwoordelijk De gemeente voert de regie over de dienstverlening. Met alle samenwerkingspartners maakt de gemeente afspraken over de beschikbaarheid, de integriteit en de vertrouwelijkheid van de onderlinge informatiestromen. Samenwerkingspartners die geen veilige verbinding garanderen met de gemeente, sluiten niet aan op de informatie-infrastructuur van de gemeente  Maak heldere afspraken met samenwerkingspartners op het gebied van informatie-uitwisseling en informatiebeveiliging.  Denk goed na voordat je voldoet aan een informatieverzoek van een samenwerkingspartner. Stuur vertrouwelijke informatie niet zomaar via de mail.

30 5. We maken melding van incidenten Elk incident op het gebied van informatiebeveiliging wordt ten minste gemeld aan de procesverantwoordelijke. Deze rapporteert over de incidenten in de Planning & Control cyclus. Het totale incidentenregister wordt gebruikt om trends te signaleren en dient als input bij de revisie van het beveiligingsplan. We sturen op een cultuur van “veilig” kunnen melden en doen structureel wat met meldingen Meld het als je:  een usb-stick, smartphone, tablet of laptop met vertrouwelijke informatie bent verloren;  een personeelsdossier bent verloren;  een kast met vertrouwelijke informatie herhaaldelijk open en onbeheerd aantreft;  een vreemd telefoontje hebt gehad van bijvoorbeeld (iemand die zich voordeed als) journalist of medewerker van een bedrijf en die vroeg naar bepaalde informatie;  een verdachte hebt ontvangen

31 6. We gaan zorgvuldig om met privacy en vertrouwelijke informatie De medewerkers van de gemeente gaan integer om met privacygevoelige gegevens en vertrouwelijke informatie. Persoonsgegevens worden adequaat beveiligd. Dit wordt periodiek getoetst.  Wees je ervan bewust dat je geregeld met vertrouwelijke informatie werkt. Ga hier integer mee om.  Laat geen documenten met vertrouwelijke informatie onbeheerd achter.  Vernietig documenten met vertrouwelijke informatie zodra je ze niet langer nodig hebt.  Voer overleggen waarin vertrouwelijke informatie besproken wordt in een afgesloten ruimte.  Ruim je bureau op en zorg dat je screensaver aanstaat zodra je je werkplek verlaat.

32 7. Wettelijke verplichtingen en auteursrechtelijk beschermd materiaal De gemeente draagt er zorg voor dat medewerkers op de hoogte zijn van de informatiebeveiligingsaspecten binnen hun proces(sen) en dat de gemeente niet in strijd met wet- en regelgeving handelt. Auteursrechtelijk beschermd materiaal wordt niet gekopieerd zonder toestemming van de eigenaar. Dit geldt ook voor programmatuur; voor alle aanwezige software (en gebruikers) zijn geldige licenties beschikbaar.  Download geen illegale bestanden en software.  Download geen bestanden en software waarvan de herkomst niet bekend is.  Gebruik zonder toestemming geen afbeeldingen en tekst waarvan het copyright elders ligt.

33 Wat doen we hier nu mee? Het voorgaande is onze “kapstok” om gepland actie te ondernemen, het informatiebeveiligingsplan 2014: • Afstemming met Portefeuillehouder • Gaat naar Directieteam • Uitgangspunten: • Gebaseerd op Quick scan en Risicoanalyse • 5 punten/projecten per jaar • Focus op urgentie • Uitsplitsing naar 3 aspecten van Informatiebeveiliging • Samenspel tussen ‘harde’ en ‘zachte’ kant

34 Aspecten Informatiebeveiliging Informatiebeveiliging gaat om betrouwbaarheid van de Informatievoorziening: • Beschikbaarheid (Tijdig, Continu) • Integriteit (Correct, Volledig, Geldig, Authentiek, Onweerlegbaar) • Vertrouwelijkheid (Exclusief)

35 Hard en Zacht – “Harde” kant: • Opzet • Bestaan • Werking – “Zachte” kant: • Kennis • Houding • Gedrag Deze 2 benaderingen kunnen niet zonder elkaar!

36 Actie • In 2013: – Maatregelen rond robuustheid infrastructuur – Eerste DigiD Audit – Samenwerking in Regio: • IJsselstein • Houten • Zeist • In 2014: – Aansluiting bij IBD – Samenwerking in Regio intensiveren – 3 Decentralisaties (ketensamenwerking) – Vastleggen beleid/processen/procedures (borging) – Uitvoering Jaarplan 2014 met daarin en ook parallel daaraan: – Awareness gebruikers

37 Vragen Informatiebeveiliging gemeente Nieuwegein


Download ppt "Informatiebeveiliging gemeente Nieuwegein1 Informatiebeveiliging bij de gemeente Nieuwegein."

Verwante presentaties


Ads door Google