Format Kwartaalrapportage Informatiebeveiliging

Slides:



Advertisements
Verwante presentaties
Veiligheidsincidenten de afgelopen maand? 21 mei
Advertisements

Testdata Management Ketentest
Gebruik van deze Werf& template In deze template powerpoint presentatie van Werf& krijg je een serie slides aangereikt die je kunt gebruiken bij het verkrijgen.
Gemeentelijke implementatie GFO Zaken
Procesmanagement voor de afdeling ADICT
Presentatie op Flitsbijeenkomst ICO Taal & Rekenen
Web Intake Systeem een uniek gemeentelijk project.
Kloof dichten! André van Nijkerken Accountmanager VISD & CORV regio oost
Public design – Concept 1 Pascal Burggraaf Pim Donkerlo Joris van Laernhoven Binnenhofje.
Producten & Werkprocessen
INFORMATIEVEILIGHEID een uitdaging van ons allemaal Themabijeenkomst De Digitale Griffie/Harro Spanninga.
IBD, nu en in de toekomst Regiobijeenkomsten Q4 2014
Module I Informatica Dhr. C. Walters. Het belang van informatie Gegevens  Informatie  Besluitvorming Gegevens = Data, Raw Material Informatie = Gegevens.
Visie & Strategie.
Een zorgsysteem voor betere arbeidsomstandigheden
6 stappen in Risico management
Nationale DenkTank 2014 De DataWijzer In één oogopslag zien wat apps en websites met je data doen.
Prototype kwartaalrapportage en dashboard
Hoe verantwoord je je Financiële positie ?
Agenda Inleiding en Lagerhuis: Proces management en proces keten optimalisatie gaat ons helpen inzicht te krijgen in de impact van toekomstige veranderingen.
AD Security project 2 ICTPSC02VX/DX George Pluimakers Schooljaar
ARBO.
Project Architectuur en Beheer BI2-DT en Inf2-DT Module CMIPRJ25DT George Pluimakers en Jacques Wetzels Studiejaar 2011/2012 Opdracht 3.
Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A
PERSONEELSMANAGEMENT PPT 2 Onderdeel : Doelstellingen.
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
SOA en Business Process Management Hoofdstuk 5 uit Web Services van Manes, blz. 122 t/m blz. 129.
Medezeggenschap en agressie en geweld in de marktsector Jo Scheeren Harry Hartmann.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
MAAK HET ONDERNEMERS MAKKELIJK! MET EEN REGELHULP IN 7 STAPPEN.
Corporate Juridische & Fiscale Zaken
Grip op veiligheid en risico’s op de werkplek en het voorkomen van verzuim Hoe zorg ik voor een goed beleid om (financiële) risico’s van veiligheid zoveel.
Cyber security.
Een vergadering organiseren
Format Kwartaalrapportage Informatiebeveiliging
Format Presentatie CISO aan gemeentebestuur
Privacy binnen de Drechtsteden
Bescherming Persoonsgegevens
Open Data PMA 3 december 2015 Om het onderwerp open data wat levendiger te maken willen we een korte presentatie geven, met daarin: een concreet voorbeeld.
Privacy binnen de Drechtsteden
Onze filosofie: Resultaten kunnen altijd beter
Risicoanalyse … waarom?
Format Kwartaalrapportage Informatiebeveiliging
Wij willen als gemeente/organisatie X onze klanten centraal stellen
Privacy en Leerplicht/RMC
Werken aan werkvermogen
Procesondersteuning binnen de sociale zekerheid
Rapportage van voortgang of status
Wat kun je doen om datalekken te voorkomen?
Methoden om te werken aan continue verbetering
Privacy en Leerplicht/RMC
Prioriteiten stellen.
Risicoanalyse … waarom?
Resilience in mijn gemeente
Cybersecurity, samen staan we sterk!
KBO en omgaan met privacy
Format Kwartaalrapportage Informatiebeveiliging
Algemene verordening Gegevensbescherming AVG
Stap drie bij projecten
Team charter Instrument.
Groeien als team - het teamcharter als hulpmiddel
Format Kwartaalrapportage Informatiebeveiliging
IBP en AVG, wat moet wij er op school mee?
Risicoanalyse … waarom?
Privacy 0-meeting Deze rapportage is interactief gemaakt!
WVO 1A November 2016 Standaard WVO HSE pakket maart 2016
Vernieuw je HR-cyclus.
Kwantitatief onderzoek
Format Kwartaalrapportage Informatiebeveiliging
Informatiebijeenkomst Buurtteams Amsterdam & Aanvullende ondersteuning Wmo 9 en 18 september 2019.
Transcript van de presentatie:

Format Kwartaalrapportage Informatiebeveiliging Periode kwartaal <x> De kwartaalrapportage bestaat uit een 5 tal stappen. 1: Doelstelling (Wat willen we bereiken met informatiebeveiliging en waar doen we het eigenlijk voor) 2: Voorbeelden (spreek ik als CISO dezelfde taal als mijn bestuurders. Weten ze wel waar we het eigenlijk over hebben?) 3: Veranderingen in het speelveld (noemswaardige ontwikkelingen waar we rekening mee moeten houden en/of zaken die gespeeld hebben) 4: Huidige / nieuwe incidenten en risicos 5: Voortgangsrapportage (Waar staan we als gemeenten (input van gap analyse)? Behaal ik als CISO mijn doelen, of waarom behaal ik de afgesproken doelen niet. Zijn de afgesproken doelen nog wel de juiste doelen?) 6: Acties / Advies (zaken die geregeld (zouden) moeten worden door lijnmanagers of het bestuur)

Het waarborgen van de betrouwbaarheid van de gemeentelijke informatiesystemen en het minimaliseren van de schade door het voorkomen van beveiligingsincidenten. Het gaat hierbij om risicobeheersing, niet om het uitsluiten van ieder laatste risico. Subdoelen: Doelen uit het jaarplan Beoordelen van de huidige maatregelen (Focuspunten voor dit jaar/kwartaal?) De doelstelling laat zien waarom we aan informatiebeveiliging doen en wat we willen bereiken. Het gaat hierbij niet alleen om de informatiesystemen maar ook de processen.. Om deze adequaat te beschermen, afgestemd op de de resources van de gemeenten. Bestuur vraagt natuurlijk “whats in it for me” -> processen beschermen. Incidenten/schade voorkomen. Dit om bijvoorbeeld negatieve media aandacht te voorkomen. Dit is (als het goed is) afgestemd door middel van een jaarplan. Subdoelen kunnen gericht zijn op specifieke onderdelen die vallen onder informatiebeveiliging. Als er bijvoorbeeld een grote systeemstoring is geweest afgelopen periode kan een subdoel ‘verhogen van de beschikbaarheid van bedrijfsproces X’ kunnen zijn.

Dreiginsbeeld Gemeenten (Bron: IBD) In het afgelopen jaar zijn er 2413 kwetsbaarheidswaarschuwingen verstuurd. waarvan er 62 geclassificeerd zijn als ernstig. (dwz. Een hoge kans op misbruik en een hoge impact) Er zijn 172 ACIB- en VCIB-mails verstuurd door de IBD. Aansprekende voorbeelden zijn er om er voor te zorgen dat je als CISO dezelfde taal spreekt en op dezelfde lijn zit als de bestuurders. Deze voorbeelden schetsen het security speelveld en dreigingsbeeld waarin we ons begeven.

Persoonsgegevens bij aanbestedingen online Adresgegevens op aanbestedingsportaal gevonden door RTL Nieuws Gegevensbescherming speelt een rol in alle gemeentelijke processen: ook bij aanbestedingen Speelde ook in onze gemeente Werkinstructies afdeling inkoop bevatten nu een privacyparagraaf Update deze met recente voorbeelden uit het nieuws of uit de regio

Grote cyberaanval raakt Nederlandse bedrijven Informatiebeveiliging is het niveau van ICT ontstegen Een ICT-probleem is een probleem van bedrijfsvoering Update deze met recente voorbeelden uit het nieuws of uit de regio

Datalekken in Nederland Ca. 450 meldingen van datalekken in het openbaar bestuur in Q2 2017 Duiding IBD: Niet meer datalekken, wel meer meldingen Update deze met recente voorbeelden uit het nieuws of uit de regio

Scope / Context: Waar hebben we het over (binnen onze gemeente) Aantal burgers Aantal medewerkers Aantal bedrijfsprocessen / diensten Systemen Databases Dataverkeer Verzonden post Etc.. 3000 werkplekken 500 applicaties 100GB in/uit 50000 brieven (40% met persoonsgegevens) Etc… Waar hebben we het nu concreet over? Door het noemen van getallen kan duidelijk worden dat het niet alleen gaat over applicaties en systemen maar ook processen. De vraag die je hier zou kunnen stellen is: Stel 1 op de 1000 brieven wordt foutief bezorgd. Is dat erg? Hier hoeft niet direct een antwoord op te komen, maar dit geeft het bestuur wel een beeld van de omvang van informatiebeveiliging.

Noemenswaardige ontwikkelingen Voorbeeld: Verantwoording Basisregistratie Persoonsgegevens en de Paspoort Uitvoeringsregeling via ENSIA voltooid Voorbeeld: Verhuizing naar een tweede/nieuw pand Voorbeeld: Bewustwordingscampagne tijdens Alert Online Voorbeeld: Phishing-campagne onder medewerkers sociaal domein Voorbeeld: “Het Nieuwe Werken” / flexwerkplekken ingevoerd Voorbeeld: (Smart city?) Etc. Noem hier wijzigingen die impact hebben op je doelstelling of op de huidige manier zoals informatiebeveiliging benaderd wordt binnen de organisatie. Dit is ook een moment om extra awareness te creeeren bij de lijnmanagers en het bestuur. Veranderingen op het gebied van werken, wetgeving en verantwoording spelen hier namelijk een grote rol.

Incidenten en geïdentificeerde risico’s periode <x> <Diefstal Telefoon> Verlies data resulterend in stilvallen proces <x> <Verkeerd verzonden brief door fout in software> Ongeautoriseerde toegang tot persoonsgegevens Pak de grote incidenten eruit. Bespreek deze kort. De oorzaak van het probleem en de genomen maatregelen om het in de toekomst te voorkomen kunnen hier ook besproken worden. Aan deze incidenten kunnen risicos gekoppeld worden. Dit zou weergegeven kunnen worden in de tabel. Verder is het getallen op grote lijnen bespreken goed om een realistisch dreigingsbeeld te schetsen. Het toevoegen van een foto van de incidentenregistratie of diagrammen hieruit kunnen het beeld versterken. Deze slide kan ook over meerdere paginas uit elkaar gehaald worden.

Voortgangsrapportage implementatie 3e kwartaal 2017 Indicator Status Korte toelichting <= nu Bewustwording   Situatie vorig kwartaal: Incident gehad door phishing. Geen bewustwordingsacties in sociaal domein gepland Situatie huidig kwartaal: Alle domeinen bezig met bewustwording Organisatie Situatie vorig kwartaal: verbeterplan op schema, opgenomen in afdelingsplannen Situatie nu: Uitvoering blijft achter bij afgesproken doelstellingen in afdelingsplannen Werkprocessen Techniek Financien ENSIA Mogelijk zullen ieder kwartaal doelen bijgesteld worden. Een van de hoofddoelen blijft echter gelijk, het voldoen aan de BIG. Er kan in deze slide ingezoomd worden op de status van de acties op ieder gebied (kolom 1). Voor de status zou gekeken kunnen worden naar gegevens of een diagram van de implementatie van de maatregelen van de BIG Plaatje van de GAP-analyse kan hierbij een mooie toevoeging zijn. In deze slide wordt gekeken naar de voortgang ten opzichte van het vorig kwartaal Het punt op de tijdlijn is -> Waar staan we nu? De incidenten en doorgevoerde wijzigingen (maatregelen) kunnen impact hebben op de status van de vorige periode. De huidige staat van informatiebeveiliging en of het behalen van de doelstellingen lukt wordt hier weergegeven.

Vooruitblik implementatie komend kwartaal 2018 Indicator Status Korte toelichting nu => Bewustwording   Situatie huidig kwartaal: Alle domeinen bezig met bewustwording Situatie in de nabije toekomst: Doelstellingen informatiebeveiligingsplan op schema Organisatie Situatie nu: Uitvoering blijft achter bij afgesproken doelstellingen in afdelingsplannen Situatie in de nabije toekomst: Informatiebeveiligingsdoelstellingen dreigen niet gehaald te gaan worden. Bijvoorbeeld: belangrijke medewerker verlaat de organisatie en er is nog geen procedure opgestart voor de opvolging Werkprocessen Techniek Financien ENSIA Hier kunnen de focuspunten voor het komend kwartaal ingezet worden. Dit moet het bestuur een beeld geven van de richting die je als CISO op zou willen. Het kan ook gebruikt worden om de urgentie van bepaalde zaken aan te kaarten

Advies: Acties komend kwartaal <Acties gefocust om de incidenten van de voorgaande periode te voorkomen> <Acties om de risicos te verlagen> <Nieuwe maatregelen implementeren / Beleid maken> Omdat je als CISO als adviserend orgaan binnen de gemeente fungeert zullen acties uitgezet moeten worden. Deze acties zulen incidenten moeten voorkomen en risicos moeten verlagen. Ze zullen in lijn moeten liggen met de doelstellingen. Enkele vragen die hierbij kunnen helpen zijn: Welke doelstelling krijgt prioriteit? Wat is de impact van deze actie? Bij welke afdeling/lijnmanager zou dit belegd moeten worden? Wat zijn hiervan de Kosten? (aanvullend budget nodig?) Dit is tegelijkertijd het moment om aan te kaarten bij het bestuur dat informatiebeveiliging niet onderdeel is van het takenpakket van de CISO, maar verantwoordelijkheden bevat voor de gehele organisatie.