ICT Informatieveiligheid (IV) Infosessie Groep Humane Wetenschappen 20 juni 2019
Agenda 14u-15u Context Plan van aanpak Dataclassificatie ICT IV-coördinatie Verantwoordelijkheden Volgende stappen 15u-17u ICT-normenkader Richtlijnen voor ICT-beheer Opslagwijzers en documentatie Self-assessments Verbeteringstrajecten ICT Werkgroep IV
Context IT Security Audit 2014 AVG (GDPR) 2016/2018 Stuurgroep Informatieveiligheid – voorz. B. Lambrecht Conceptwerkgroep – voorz. E. Heylen ICT Werkgroep 2017 – voorz. W. Van Holder Universiteitsbrede ICT-aanpak Groepen + Kulak + ICTS In overleg met groepsbeheerders en algemeen beheer Focus op “wat” i.p.v. “hoe” Stabiel, onderhoudbaar Geen discussie over specifieke producten (invulling) Goedgekeurd door Gebu 995 - V/ R.1.1 / A.2.1 op 12 maart 2019 ICT Werkgroep IV
ICT-aanpak IV Bescherming van (persoons)gegevens i.f.v. risico Technische en organisatorische maatregelen Welk soort data? welke oplossingen? Dataclassificatiemodel voor identificatie van het risico ICT-normenkader voor veilige ICT-oplossingen Opslagwijzers om de medewerkers te helpen kiezen http://www.kuleuven.be/infosec https://admin.kuleuven.be/privacy/intranet/ict-aanpak-iv ICT Werkgroep IV
Dataclassificatiemodel Breed toepassingsgebied Administratie en onderzoek, afgestemd met RDM stuurgr. Persoons (AVG)- en andere gegevens Focus op vertrouwelijkheid Drie risiconiveaus Strikt Vertrouwelijk Vertrouwelijk Niet Vertrouwelijk ICT Werkgroep IV
ICT Werkgroep IV
Classificatie vragen Bevat de dataset bijzondere persoonsgegevens? Veroorzaakt openbaarmaking van de gegevens grote schade aan de organisatie of aan personen? Zijn er contractuele, wettelijke, regelgevende of andere redenen om de data als Strikt Vertrouwelijk te behandelen? Moet iedereen toegang hebben tot de informatie? Zijn er andere redenen om de gegevens als Niet Vertrouwelijk te behandelen?
Bijzondere persoonsgegevens Ras of etnische afkomst Politieke opvattingen Religieuze of levensbeschouwelijke overtuigingen Lidmaatschap van een vakbond Genetische gegevens Biometrische gegevens Gegevens over gezondheid Gegevens over het seksuele leven Gerechtelijke gegevens ICT Werkgroep IV
ICT-normenkader Veiligheidsstandaarden voor ICT-oplossingen Minimumvereisten; strenger mag; breder dan AVG “Comply or explain” uitzonderingsverzoeken ICT Werkgroep IV
Infosessie deel 2 Infosessie deel 2 ICT Werkgroep IV
Link met dataclassificatie en AVG ICT Werkgroep IV
Opslagwijzers Infosessie deel 2 Richtlijnen voor ICT-beheerders om het aanbod op elke werkplek inzake IV inzichtelijk maken voor medewerkers ICT-oplossingen documenteren en aangeven voor welke niveaus van vertrouwelijkheid ze geschikt zijn Per werkplek een opslagwijzer maken die aangeeft welke oplossingen gebruikt dienen te worden Overgangsperiode voorzien waarin de huidige ICT- oplossingen nog niet voldoen aan de normen ICT Werkgroep IV
Opslagwijzer ICT Werkgroep IV
ICT IV-coördinatie Overgangsperiode met zelf-evaluaties en verbeteringstrajecten nodig om ICT-oplossingen te conformeren naar het normenkader ICT-informatieveiligheidscoördinatoren aangeduid op groepsniveau, Kulak en centraal niveau, met ondersteunende rol naar de ICT-beheerders adviserende rol t.a.v. beleidsverantwoordelijken, RDM, ECs evaluerende rol bij audits, ICT-datalekken en IV-incidenten Tijdelijk verhoogde ICT-activiteit, afhankelijk van beschikbare kennis en arbeidskracht Opportuniteit voor betere interoperabiliteit, standaardisatie en schaalvoordelen binnen de groep en over de groepen heen ICT Werkgroep IV
ICT IV-coördinatoren BMW Kulak Roel Bex Brecht Samyn Centraal W&T Bart Denys Bart Swennen, vertegenwoordiger van: Backup: Kris Hermans Dept. CW: Bart Swennen HW Dept. ESAT: Frank Schoeters Dept. Fys/Ster: Filip Sevenants Wim Van Holder Fac. Wetensch.: Bavo Meuwis Backup: Dirk Rober Groep W&T: Ronny Moreas ICT Werkgroep IV
Verantwoordelijkheden De eerste verantwoordelijkheid voor naleving van de ICT-normen ligt bij de beleidsverantwoordelijken van de faculteiten/ departementen/afdelingen. Waar er reeds een sterke governance is vanuit de groep, kan het eerste niveau ook door de groep worden ingevuld. Elke faculteit/departement/afdeling is verantwoordelijk voor de naleving van de ICT-normen door ICT-aanbieders/beheerders/ gebruikers in de onderliggende organisatie (diensten en onderzoeksgroepen). Waar uitzonderingsverzoeken niet volstaan: delen van de organisatie identificeren met eigen governance, bijv. specifieke onderzoeksgroepen, en aparte verantwoordelijke aanduiden. HW: ICT-aanspreekpunten voor IV-coördinatie per fac/dept/afd Lokale ICT ondersteuning voor de gebruikers cfr. Wie-is-Wie ICT Werkgroep IV
ICT-aanspreekpunten IV ICT Werkgroep IV
Interacties ICT Werkgroep IV
Volgende stappen Mensen in staat stellen het risiconiveau van gegevens in te schatten Dataclassificatiemodel promoten voor identificatie van gegevens (ook op papier) Het lokale ICT-aanbod inzichtelijk maken naar bescherming van gegevens toe Opslagwijzers opstellen, te beginnen met de huidige, best mogelijke oplossingen Huidige oplossingen documenteren cfr. template Zelf-evaluaties van oplossingen uitvoeren t.o.v. het ICT-normenkader Afvinken van technische en organisatorische minimumeisen Risico’s lokaal bespreken, vorm en rapportering naar groep/audit nog te bepalen Verbeteringstrajecten plannen Toekomstige oplossingen formuleren om (grootste) risico’s (eerst) aan te pakken Met ondersteuning van en in samenwerking met de ICT IV-coördinator(en) Met oog voor interoperabiliteit, standaardisatie en schaalvoordelen in/tussen groepen Medewerkers de weg naar de gepaste oplossingen laten vinden Opslagwijzers voor elke werkplek toegankelijk maken voor iedereen, vanuit elk proces: RDM, ICT, EC… Informatieveiligheid zo gebruiksvriendelijk en transparant mogelijk implementeren in verbeteringstrajecten ICT Werkgroep IV
Vragen? ICT Werkgroep IV
Deel 2 ICT-normenkader Richtlijnen voor ICT-beheer Opslagwijzers en documentatie Self-assessments Verbeteringstrajecten Evaluatie ICT Werkgroep IV
ICT-normenkader ICT Werkgroep IV Zie notes voor opmerkingen
ICT-normenkader ICT Werkgroep IV Zie notes voor opmerkingen
ICT-normenkader ICT Werkgroep IV Zie notes voor opmerkingen
ICT-normenkader ICT Werkgroep IV Zie notes voor opmerkingen
ICT-normenkader ICT Werkgroep IV Zie notes voor opmerkingen
ICT-normenkader ICT Werkgroep IV Zie notes voor opmerkingen
Documentatie template ICT Werkgroep IV
Documentatie template ICT Werkgroep IV
Documentatie template ICT Werkgroep IV
Opslagwijzer template ICT Werkgroep IV
Opslagwijzer voorbeeld (as-is) KU Leuven - GHUM - Faculteit PPW - Files ID STG-KUL-GHUM-PPW-FILES Beschrijving Opslaan van (Office) bestanden in het algemeen Doelgroep 50000339 KU Leuven Universiteit - Groep Humane Wetenschappen - Faculteit Psychologie en Pedagogische Wetenschappen Verantwoordelijke beleid Nathalie De Swaef Verantwoordelijke ICT Wim Van Holder Online opslag Offline opslag Opmerking Strikt Vertrouwelijk Mogelijk te delen buiten KU Leuven SharePoint Media te versleutelen met BitLocker (Windows) FileVault (Mac) Enkel Windows encryptiesleutels worden centraal beheerd Enkel te delen binnen KU Leuven Afgeschermde J: en K: shares SharePoint Niet gedeeld I: schijf of K:\# PERSONAL folder Vertrouwelijk I:\# Public of J:\# Public Media bij voorkeur te versleutelen met BitLocker (Windows) J: of K: schijf Niet Vertrouwelijk Box Removable media (USB, externe HDD) Encryptie niet verplicht Harde schijf ICT Werkgroep IV
Opslagwijzer voorbeeld FICTIEF VOORBEELD 2 KU Leuven - Groep - Faculteit B - Files ID STG-KUL-GRP-FACB-FILES Beschrijving Opslaan van (Office) bestanden in het algemeen Doelgroep 50000xxx KU Leuven - Groep - Faculteit B Verantwoordelijke beleid X Verantwoordelijke ICT Y Online opslag Offline opslag Opmerking Strikt Vertrouwelijk KU Leuven Office 365 met multifactor authenticatie en versleuteling van de individuele bestanden Versleuteling van de individuele bestanden, ongeacht het medium Office 365 is encrypted at rest Vertrouwelijk met multifactor authenticatie Media te versleutelen met BitLocker (Windows) FileVault (Mac) Enkel Windows encryptiesleutels worden centraal beheerd Niet Vertrouwelijk Te delen Removable media (USB, externe HDD) Encryptie niet verplicht Niet gedeeld Harde schijf ICT Werkgroep IV
Publicatie Groepsstandaarden, documenten, oplossingen… http://ghum.kuleuven.be/infosec Verwijzingen naar ICTS… Faculteit/departement/afdeling http://ppw.kuleuven.be/infosec Verwijzingen naar ghum, ICTS… Ontsluiting opslagwijzers binnen KU Leuven: TBD ICT Werkgroep IV
Self-assessments Per lokaal aangeboden/gebruikte oplossing het ICT- normenkader overlopen en afvinken (nee / ja / ja maar) met commentaar (extra kolommen in XLSX). Ter illustratie van mogelijke technieken, zie bijv. ENISA "State of the art" in IT security https://www.teletrust.de/en/publikationen/broschueren/st ate-of-the-art-in-it-security/ Vraag ondersteuning aan de ICT IV-coördinator(en)! ICT Werkgroep IV
Verbeteringstrajecten Beginnen met opslagwijzer in te vullen met de best mogelijke as-is oplossingen Voor de gaps in de self-assessments, 3 opties: Huidige oplossing/aanpak fixen Migratie naar nieuwe oplossing (to-be) Niet meer aanbieden (obsolete) Uitzonderingsverzoek = acceptatie van het risico! Geen trucje om u van het probleem te ontdoen… Prioriteren in functie van noodzaak, voordeel, effort/kost Quick wins, meerjarenplan, budget beleid Met advies van ICT IV-coördinatoren vd groep(en) Standaardisatie, schaalvoordelen, interoperabiliteit… ICT Werkgroep IV
Evaluatie Situatie – risico’s – plannen Verwachting audit: via ICT IV-coördinator Eerst op niveau faculteit/departement/afdeling (met beleid) Dan op niveau groep groepsbestuur Consolidatie door Bureau IV op niveau KU Leuven Rapportage format en timing TBA ICT Werkgroep IV
Nuttige links ICT Information Security HW KU Leuven Privacy en Informatieveiligheid KU Leuven ICT aanpak voor informatieveiligheid ENISA "State of the Art" in IT Security (guidelines) ICT Werkgroep IV
Vragen? ICT Werkgroep IV