Format Kwartaalrapportage Informatiebeveiliging Periode kwartaal <x> De kwartaalrapportage bestaat uit een 5 tal stappen. 1: Doelstelling (Wat willen we bereiken met informatiebeveiliging en waar doen we het eigenlijk voor) 2: Voorbeelden (spreek ik als CISO dezelfde taal als mijn bestuurders. Weten ze wel waar we het eigenlijk over hebben?) 3: Veranderingen in het speelveld (noemswaardige ontwikkelingen waar we rekening mee moeten houden en/of zaken die gespeeld hebben) 4: Huidige / nieuwe incidenten en risicos 5: Voortgangsrapportage (Waar staan we als gemeenten (input van gap analyse)? Behaal ik als CISO mijn doelen, of waarom behaal ik de afgesproken doelen niet. Zijn de afgesproken doelen nog wel de juiste doelen?) 6: Acties / Advies (zaken die geregeld (zouden) moeten worden door lijnmanagers of het bestuur)
Het waarborgen van de betrouwbaarheid van de gemeentelijke informatiesystemen en het minimaliseren van de schade door het voorkomen van beveiligingsincidenten. Het gaat hierbij om risicobeheersing, niet om het uitsluiten van ieder laatste risico. Subdoelen: Doelen uit het jaarplan Beoordelen van de huidige maatregelen (Focuspunten voor dit jaar/kwartaal?) De doelstelling laat zien waarom we aan informatiebeveiliging doen en wat we willen bereiken. Het gaat hierbij niet alleen om de informatiesystemen maar ook de processen.. Om deze adequaat te beschermen, afgestemd op de de resources van de gemeenten. Bestuur vraagt natuurlijk “whats in it for me” -> processen beschermen. Incidenten/schade voorkomen. Dit om bijvoorbeeld negatieve media aandacht te voorkomen. Dit is (als het goed is) afgestemd door middel van een jaarplan. Subdoelen kunnen gericht zijn op specifieke onderdelen die vallen onder informatiebeveiliging. Als er bijvoorbeeld een grote systeemstoring is geweest afgelopen periode kan een subdoel ‘verhogen van de beschikbaarheid van bedrijfsproces X’ kunnen zijn.
Dreiginsbeeld Gemeenten (Bron: IBD) In het afgelopen jaar zijn er 2049 kwetsbaarheidswaarschuwingen verstuurd. waarvan er 18 geclassificeerd zijn als ernstig. (dwz. Een hoge kans op misbruik en een hoge impact) Er zijn 95 ACIB- en VCIB-mails verstuurd door de IBD. Aansprekende voorbeelden zijn er om er voor te zorgen dat je als CISO dezelfde taal spreekt en op dezelfde lijn zit als de bestuurders. Deze voorbeelden schetsen het security speelveld en dreigingsbeeld waarin we ons begeven.
Gevoelige gegevens openbaar online Gevoelige persoonsgegevens online beschikbaar voor kwaadwillende personen Verzameling van vele verschillende gehackde websites Wachtwoorden niet hergebruiken Update deze met recente voorbeelden uit het nieuws of uit de regio
Risico op inbraak aanwezig Een ICT-probleem is een probleem van bedrijfsvoering Effectieve inzet van geld en middelen blijft lastig Update deze met recente voorbeelden uit het nieuws of uit de regio
Datalekken in Nederland Informatiebeveiliging is ook fysieke beveiliging Externe partijen maken ook fouten Update deze met recente voorbeelden uit het nieuws of uit de regio
Scope / Context: Waar hebben we het over (binnen onze gemeente) Aantal burgers Aantal medewerkers Aantal bedrijfsprocessen / diensten Systemen Databases Dataverkeer Verzonden post Etc.. 3000 werkplekken 500 applicaties 100GB in/uit 50000 brieven (40% met persoonsgegevens) Etc… Waar hebben we het nu concreet over? Door het noemen van getallen kan duidelijk worden dat het niet alleen gaat over applicaties en systemen maar ook processen. De vraag die je hier zou kunnen stellen is: Stel 1 op de 1000 brieven wordt foutief bezorgd. Is dat erg? Hier hoeft niet direct een antwoord op te komen, maar dit geeft het bestuur wel een beeld van de omvang van informatiebeveiliging.
Noemenswaardige ontwikkelingen Voorbeeld: Verantwoording Basisregistratie Persoonsgegevens en de Paspoort Uitvoeringsregeling via ENSIA voltooid Voorbeeld: Verhuizing naar een tweede/nieuw pand Voorbeeld: Bewustwordingscampagne tijdens Alert Online Voorbeeld: Phishing-campagne onder medewerkers sociaal domein Voorbeeld: “Het Nieuwe Werken” / flexwerkplekken ingevoerd Voorbeeld: (Smart city?) Etc. Noem hier wijzigingen die impact hebben op je doelstelling of op de huidige manier zoals informatiebeveiliging benaderd wordt binnen de organisatie. Dit is ook een moment om extra awareness te creeeren bij de lijnmanagers en het bestuur. Veranderingen op het gebied van werken, wetgeving en verantwoording spelen hier namelijk een grote rol.
Incidenten en geïdentificeerde risico’s periode <x> <Diefstal Telefoon> Verlies data resulterend in stilvallen proces <x> <Verkeerd verzonden brief door fout in software> Ongeautoriseerde toegang tot persoonsgegevens Pak de grote incidenten eruit. Bespreek deze kort. De oorzaak van het probleem en de genomen maatregelen om het in de toekomst te voorkomen kunnen hier ook besproken worden. Aan deze incidenten kunnen risicos gekoppeld worden. Dit zou weergegeven kunnen worden in de tabel. Verder is het getallen op grote lijnen bespreken goed om een realistisch dreigingsbeeld te schetsen. Het toevoegen van een foto van de incidentenregistratie of diagrammen hieruit kunnen het beeld versterken. Deze slide kan ook over meerdere paginas uit elkaar gehaald worden.
Voortgangsrapportage implementatie 1e kwartaal 2019 Indicator Status Korte toelichting <= nu Bewustwording Situatie vorig kwartaal: Incident gehad door phishing. Geen bewustwordingsacties in sociaal domein gepland Situatie huidig kwartaal: Alle domeinen bezig met bewustwording Organisatie Situatie vorig kwartaal: verbeterplan op schema, opgenomen in afdelingsplannen Situatie nu: Uitvoering blijft achter bij afgesproken doelstellingen in afdelingsplannen Werkprocessen Techniek Financien ENSIA Mogelijk zullen ieder kwartaal doelen bijgesteld worden. Een van de hoofddoelen blijft echter gelijk, het voldoen aan de BIG. Er kan in deze slide ingezoomd worden op de status van de acties op ieder gebied (kolom 1). Voor de status zou gekeken kunnen worden naar gegevens of een diagram van de implementatie van de maatregelen van de BIG Plaatje van de GAP-analyse kan hierbij een mooie toevoeging zijn. In deze slide wordt gekeken naar de voortgang ten opzichte van het vorig kwartaal Het punt op de tijdlijn is -> Waar staan we nu? De incidenten en doorgevoerde wijzigingen (maatregelen) kunnen impact hebben op de status van de vorige periode. De huidige staat van informatiebeveiliging en of het behalen van de doelstellingen lukt wordt hier weergegeven.
Vooruitblik implementatie komend kwartaal 2019 Indicator Status Korte toelichting nu => Bewustwording Situatie huidig kwartaal: Alle domeinen bezig met bewustwording Situatie in de nabije toekomst: Doelstellingen informatiebeveiligingsplan op schema Organisatie Situatie nu: Uitvoering blijft achter bij afgesproken doelstellingen in afdelingsplannen Situatie in de nabije toekomst: Informatiebeveiligingsdoelstellingen dreigen niet gehaald te gaan worden. Bijvoorbeeld: belangrijke medewerker verlaat de organisatie en er is nog geen procedure opgestart voor de opvolging Werkprocessen Techniek Financien ENSIA Hier kunnen de focuspunten voor het komend kwartaal ingezet worden. Dit moet het bestuur een beeld geven van de richting die je als CISO op zou willen. Het kan ook gebruikt worden om de urgentie van bepaalde zaken aan te kaarten
Advies: Acties komend kwartaal <Acties gefocust om de incidenten van de voorgaande periode te voorkomen> <Acties om de risicos te verlagen> <Nieuwe maatregelen implementeren / Beleid maken> Omdat je als CISO als adviserend orgaan binnen de gemeente fungeert zullen acties uitgezet moeten worden. Deze acties zulen incidenten moeten voorkomen en risicos moeten verlagen. Ze zullen in lijn moeten liggen met de doelstellingen. Enkele vragen die hierbij kunnen helpen zijn: Welke doelstelling krijgt prioriteit? Wat is de impact van deze actie? Bij welke afdeling/lijnmanager zou dit belegd moeten worden? Wat zijn hiervan de Kosten? (aanvullend budget nodig?) Dit is tegelijkertijd het moment om aan te kaarten bij het bestuur dat informatiebeveiliging niet onderdeel is van het takenpakket van de CISO, maar verantwoordelijkheden bevat voor de gehele organisatie.