Format Kwartaalrapportage Informatiebeveiliging

Slides:



Advertisements
Verwante presentaties
Veiligheidsincidenten de afgelopen maand? 21 mei
Advertisements

Testdata Management Ketentest
Gebruik van deze Werf& template In deze template powerpoint presentatie van Werf& krijg je een serie slides aangereikt die je kunt gebruiken bij het verkrijgen.
Procesmanagement voor de afdeling ADICT
Hoofdstuk 1 Begripsbepaling AO/BIV
Web Intake Systeem een uniek gemeentelijk project.
Kloof dichten! André van Nijkerken Accountmanager VISD & CORV regio oost
Public design – Concept 1 Pascal Burggraaf Pim Donkerlo Joris van Laernhoven Binnenhofje.
Producten & Werkprocessen
INFORMATIEVEILIGHEID een uitdaging van ons allemaal Themabijeenkomst De Digitale Griffie/Harro Spanninga.
IBD, nu en in de toekomst Regiobijeenkomsten Q4 2014
Personeelsessie LOKO.
Titel Eigenaar Sponsor Datum 1) Achtergrond 5) Tegenmaatregelen
Visie & Strategie.
Een zorgsysteem voor betere arbeidsomstandigheden
6 stappen in Risico management
Nationale DenkTank 2014 De DataWijzer In één oogopslag zien wat apps en websites met je data doen.
Prototype kwartaalrapportage en dashboard
Hoe verantwoord je je Financiële positie ?
Agenda Inleiding en Lagerhuis: Proces management en proces keten optimalisatie gaat ons helpen inzicht te krijgen in de impact van toekomstige veranderingen.
ARBO.
UML De Basics en de Use-case Diagrammen. UML Introductie Unified Modeling Language Grafische modelleertaal Waarom UML? - UML wordt gebruikt om de werking.
Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
PERSONEELSMANAGEMENT PPT 2 Onderdeel : Doelstellingen.
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
SOA en Business Process Management Hoofdstuk 5 uit Web Services van Manes, blz. 122 t/m blz. 129.
Medezeggenschap en agressie en geweld in de marktsector Jo Scheeren Harry Hartmann.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
MAAK HET ONDERNEMERS MAKKELIJK! MET EEN REGELHULP IN 7 STAPPEN.
Maatwerk is goedkoper dan standaard GEMEENTE ROTTERDAM Bestuurs- en Concernondersteuning.
CONTEXT VAN EEN PROJECT Waarom en waarvoor doen we het?
Datacenter versus Cloud
Grip op veiligheid en risico’s op de werkplek en het voorkomen van verzuim Hoe zorg ik voor een goed beleid om (financiële) risico’s van veiligheid zoveel.
12.2 Totstandkoming van een wet
Een vergadering organiseren
Format Kwartaalrapportage Informatiebeveiliging
Format Presentatie CISO aan gemeentebestuur
Privacy binnen de Drechtsteden
Bescherming Persoonsgegevens
Privacy binnen de Drechtsteden
Onze filosofie: Resultaten kunnen altijd beter
Processen Knelpunten Oplossingen
Format Kwartaalrapportage Informatiebeveiliging
Vergadering Personeelsdienst
Risicoanalyse … waarom?
Format Kwartaalrapportage Informatiebeveiliging
Rapportage van voortgang of status
Wat kun je doen om datalekken te voorkomen?
Methoden om te werken aan continue verbetering
Goederenstroom en voorraadbeheer
Privacy en Leerplicht/RMC
Goederenstroom en voorraadbeheer
Prioriteiten stellen.
Risicoanalyse … waarom?
Resilience in mijn gemeente
Cybersecurity, samen staan we sterk!
Format Kwartaalrapportage Informatiebeveiliging
Uitvraag 2019 Deel 2.
Stap drie bij projecten
Team charter Instrument.
Groeien als team - het teamcharter als hulpmiddel
Format Kwartaalrapportage Informatiebeveiliging
Uitvraag 2019 Deel 2.
IBP en AVG, wat moet wij er op school mee?
Risicoanalyse … waarom?
WVO 1A November 2016 Standaard WVO HSE pakket maart 2016
Kwantitatief onderzoek
Informatiebijeenkomst Buurtteams Amsterdam & Aanvullende ondersteuning Wmo 9 en 18 september 2019.
Transcript van de presentatie:

Format Kwartaalrapportage Informatiebeveiliging Periode kwartaal <x> De kwartaalrapportage bestaat uit een 5 tal stappen. 1: Doelstelling (Wat willen we bereiken met informatiebeveiliging en waar doen we het eigenlijk voor) 2: Voorbeelden (spreek ik als CISO dezelfde taal als mijn bestuurders. Weten ze wel waar we het eigenlijk over hebben?) 3: Veranderingen in het speelveld (noemswaardige ontwikkelingen waar we rekening mee moeten houden en/of zaken die gespeeld hebben) 4: Huidige / nieuwe incidenten en risicos 5: Voortgangsrapportage (Waar staan we als gemeenten (input van gap analyse)? Behaal ik als CISO mijn doelen, of waarom behaal ik de afgesproken doelen niet. Zijn de afgesproken doelen nog wel de juiste doelen?) 6: Acties / Advies (zaken die geregeld (zouden) moeten worden door lijnmanagers of het bestuur)

Het waarborgen van de betrouwbaarheid van de gemeentelijke informatiesystemen en het minimaliseren van de schade door het voorkomen van beveiligingsincidenten. Het gaat hierbij om risicobeheersing, niet om het uitsluiten van ieder laatste risico. Subdoelen: Doelen uit het jaarplan Beoordelen van de huidige maatregelen (Focuspunten voor dit jaar/kwartaal?) De doelstelling laat zien waarom we aan informatiebeveiliging doen en wat we willen bereiken. Het gaat hierbij niet alleen om de informatiesystemen maar ook de processen.. Om deze adequaat te beschermen, afgestemd op de de resources van de gemeenten. Bestuur vraagt natuurlijk “whats in it for me” -> processen beschermen. Incidenten/schade voorkomen. Dit om bijvoorbeeld negatieve media aandacht te voorkomen. Dit is (als het goed is) afgestemd door middel van een jaarplan. Subdoelen kunnen gericht zijn op specifieke onderdelen die vallen onder informatiebeveiliging. Als er bijvoorbeeld een grote systeemstoring is geweest afgelopen periode kan een subdoel ‘verhogen van de beschikbaarheid van bedrijfsproces X’ kunnen zijn.

Dreiginsbeeld Gemeenten (Bron: IBD) In het afgelopen jaar zijn er 2049 kwetsbaarheidswaarschuwingen verstuurd. waarvan er 18 geclassificeerd zijn als ernstig. (dwz. Een hoge kans op misbruik en een hoge impact) Er zijn 95 ACIB- en VCIB-mails verstuurd door de IBD. Aansprekende voorbeelden zijn er om er voor te zorgen dat je als CISO dezelfde taal spreekt en op dezelfde lijn zit als de bestuurders. Deze voorbeelden schetsen het security speelveld en dreigingsbeeld waarin we ons begeven.

Gevoelige gegevens openbaar online Gevoelige persoonsgegevens online beschikbaar voor kwaadwillende personen Verzameling van vele verschillende gehackde websites Wachtwoorden niet hergebruiken Update deze met recente voorbeelden uit het nieuws of uit de regio

Risico op inbraak aanwezig Een ICT-probleem is een probleem van bedrijfsvoering Effectieve inzet van geld en middelen blijft lastig Update deze met recente voorbeelden uit het nieuws of uit de regio

Datalekken in Nederland Informatiebeveiliging is ook fysieke beveiliging Externe partijen maken ook fouten Update deze met recente voorbeelden uit het nieuws of uit de regio

Scope / Context: Waar hebben we het over (binnen onze gemeente) Aantal burgers Aantal medewerkers Aantal bedrijfsprocessen / diensten Systemen Databases Dataverkeer Verzonden post Etc.. 3000 werkplekken 500 applicaties 100GB in/uit 50000 brieven (40% met persoonsgegevens) Etc… Waar hebben we het nu concreet over? Door het noemen van getallen kan duidelijk worden dat het niet alleen gaat over applicaties en systemen maar ook processen. De vraag die je hier zou kunnen stellen is: Stel 1 op de 1000 brieven wordt foutief bezorgd. Is dat erg? Hier hoeft niet direct een antwoord op te komen, maar dit geeft het bestuur wel een beeld van de omvang van informatiebeveiliging.

Noemenswaardige ontwikkelingen Voorbeeld: Verantwoording Basisregistratie Persoonsgegevens en de Paspoort Uitvoeringsregeling via ENSIA voltooid Voorbeeld: Verhuizing naar een tweede/nieuw pand Voorbeeld: Bewustwordingscampagne tijdens Alert Online Voorbeeld: Phishing-campagne onder medewerkers sociaal domein Voorbeeld: “Het Nieuwe Werken” / flexwerkplekken ingevoerd Voorbeeld: (Smart city?) Etc. Noem hier wijzigingen die impact hebben op je doelstelling of op de huidige manier zoals informatiebeveiliging benaderd wordt binnen de organisatie. Dit is ook een moment om extra awareness te creeeren bij de lijnmanagers en het bestuur. Veranderingen op het gebied van werken, wetgeving en verantwoording spelen hier namelijk een grote rol.

Incidenten en geïdentificeerde risico’s periode <x> <Diefstal Telefoon> Verlies data resulterend in stilvallen proces <x> <Verkeerd verzonden brief door fout in software> Ongeautoriseerde toegang tot persoonsgegevens Pak de grote incidenten eruit. Bespreek deze kort. De oorzaak van het probleem en de genomen maatregelen om het in de toekomst te voorkomen kunnen hier ook besproken worden. Aan deze incidenten kunnen risicos gekoppeld worden. Dit zou weergegeven kunnen worden in de tabel. Verder is het getallen op grote lijnen bespreken goed om een realistisch dreigingsbeeld te schetsen. Het toevoegen van een foto van de incidentenregistratie of diagrammen hieruit kunnen het beeld versterken. Deze slide kan ook over meerdere paginas uit elkaar gehaald worden.

Voortgangsrapportage implementatie 3e kwartaal 2019 Indicator Status Korte toelichting <= nu Bewustwording   Situatie vorig kwartaal: Incident gehad door phishing. Geen bewustwordingsacties in sociaal domein gepland Situatie huidig kwartaal: Alle domeinen bezig met bewustwording Organisatie Situatie vorig kwartaal: verbeterplan op schema, opgenomen in afdelingsplannen Situatie nu: Uitvoering blijft achter bij afgesproken doelstellingen in afdelingsplannen Werkprocessen Techniek Financien ENSIA Mogelijk zullen ieder kwartaal doelen bijgesteld worden. Een van de hoofddoelen blijft echter gelijk, het voldoen aan de BIG. Er kan in deze slide ingezoomd worden op de status van de acties op ieder gebied (kolom 1). Voor de status zou gekeken kunnen worden naar gegevens of een diagram van de implementatie van de maatregelen van de BIG Plaatje van de GAP-analyse kan hierbij een mooie toevoeging zijn. In deze slide wordt gekeken naar de voortgang ten opzichte van het vorig kwartaal Het punt op de tijdlijn is -> Waar staan we nu? De incidenten en doorgevoerde wijzigingen (maatregelen) kunnen impact hebben op de status van de vorige periode. De huidige staat van informatiebeveiliging en of het behalen van de doelstellingen lukt wordt hier weergegeven.

Vooruitblik implementatie komend kwartaal 2020 Indicator Status Korte toelichting nu => Bewustwording   Situatie huidig kwartaal: Alle domeinen bezig met bewustwording Situatie in de nabije toekomst: Doelstellingen informatiebeveiligingsplan op schema Organisatie Situatie nu: Uitvoering blijft achter bij afgesproken doelstellingen in afdelingsplannen Situatie in de nabije toekomst: Informatiebeveiligingsdoelstellingen dreigen niet gehaald te gaan worden. Bijvoorbeeld: belangrijke medewerker verlaat de organisatie en er is nog geen procedure opgestart voor de opvolging Werkprocessen Techniek Financien ENSIA Hier kunnen de focuspunten voor het komend kwartaal ingezet worden. Dit moet het bestuur een beeld geven van de richting die je als CISO op zou willen. Het kan ook gebruikt worden om de urgentie van bepaalde zaken aan te kaarten

Advies: Acties komend kwartaal <Acties gefocust om de incidenten van de voorgaande periode te voorkomen> <Acties om de risicos te verlagen> <Nieuwe maatregelen implementeren / Beleid maken> Omdat je als CISO als adviserend orgaan binnen de gemeente fungeert zullen acties uitgezet moeten worden. Deze acties zulen incidenten moeten voorkomen en risicos moeten verlagen. Ze zullen in lijn moeten liggen met de doelstellingen. Enkele vragen die hierbij kunnen helpen zijn: Welke doelstelling krijgt prioriteit? Wat is de impact van deze actie? Bij welke afdeling/lijnmanager zou dit belegd moeten worden? Wat zijn hiervan de Kosten? (aanvullend budget nodig?) Dit is tegelijkertijd het moment om aan te kaarten bij het bestuur dat informatiebeveiliging niet onderdeel is van het takenpakket van de CISO, maar verantwoordelijkheden bevat voor de gehele organisatie.