Organisatiebeheersing en informatieveiligheid Johan.Behets@kindengezin.be Veiligheidsconsulent 21 maart 2013

Korte Inhoud Context Kind en Gezin – Gevoelige informatie Organisatiestructuur Kind en Gezin De K&G uitdagingen binnen Informatieveiligheid De K&G horizontale Informatieveiligheids-initiatieven Organisatiebeheersing en Informatieveiligheid binnen K&G Maturiteitsniveau Organisatiebeheersing en Informatieveiligheid 7. Vragen ?

1. Context Kind en Gezin – Gevoelige informatie Organisatie Preventieve Gezinsondersteuning Operationele opdracht : dossiers kindjes – medisch luik Taken / Regie / Subsidies voor kindjes met zorg Informatie over zorg actoren : CKG’s, VC’s, .. Regie Kinderopvang Regie en Subsidiëring Informatie over actoren Kinderopvang en personeel Anonieme informatie over ouders/kindjes ivm subsidiëring Kinderopvangzoeker Informatie over ouders/kindjes Adoptie Adoptiedossiers, kandidaat ouders, voorzieningen, ..

2. Organisatie Kind en Gezin IVA met rp binnen WVG Centraal ( beleidsondersteunend ) vs Decentraal ( uitvoering ) Directieteam met alle afdelingshoofden Waarden : Open, positief, gedreven, deskundig.

3. K&G uitdagingen binnen Informatieveiligheid Privacygevoelige informatie ..(enerzijds ) E – government : veilig ontsluiten van informatie naar jonge ouders K&G Portaal : Kindopvangzoeker, kinddossiers, IKG, .. Uitwisselen dossiers met andere zorgactoren Veilige uitwisseling van authentieke bronnen Aansluiten op zorgplatformen : federaal en Vlaams E–Health/E–Birth, Vitalink, Digitaal Platform Zorg ( Kindpremie ).. Authenticatie / autorisatie vs lage drempel / flexibiliteit

3. K&G uitdagingen binnen Informatieveiligheid 2. Openheid ..( anderzijds ) K&G wenst intern alle informatie te delen die niet – vertrouwelijk is K&G wenst samenwerkingsplatform met externen K&G wenst flexibiliteit voor toegang niet – vertrouwelijke informatie : BYOD 3. Gelimiteerde budgetten ! Geen extra budgetten, FTE’s voor informatieveiligheid Maar.. hogere eisen naar Conformiteit, Integriteit, Availability .. Daarom: Evenwicht tussen K&G-domein applicaties (vertrouwelijk) en cloud- applicaties ( niet-vertrouwelijk, Office 365) Evenwicht tussen eigen ontwikkelingen en gebruik maken van bestaande pakketten 4. Conform Privacy wetgeving ! ..maar lange ervaring : Vaccinet ( via Fedict ), aansluitingen RR, KSZ, ..

4. Horizontale initiatieven Informatieveiligheid Voor 2004 Vele verticale initiatieven: ICT exploitatie, ICT ontwikkeling,HRM, gebouwenbeheer, juridische dienst, preventieadviseur, interne audit,.. 2. Na 2004 – globale initiatieven Organisatie audit conform richtlijnen VO / ISO 17799/27002 Uitwerking top – down : Informatieveiligheidskader Organisatie Informatieveiligheid ( zie hierna ) Business Continuity In kaart brengen van processen, informatiestromen en eigenaars informatie Toegangsbeheer K&G personeel : IAM systeem : synchronisatie HRM met eigen informatiesystemen Externe actoren : UAM E - Health Classificatie van informatie

4. Horizontale initiatieven Informatieveiligheid 3. Toekomstplannen Momenteel herwerking strategie Informatieveiligheid Nieuwe “release” voorgaande initiatieven Risico analyses, audits.. Nieuwe initiatieven (In)formeren personeel Ontwikkeling informatiesystemen .. Gericht op de vernieuwing in de omgeving: omgaan met cloud, BYOD, verhoogde beschikbaarheid van digitale documenten

5. Organisatiebeheersing Uitgangspunten : Management sponsoring ! ICT is slechts onderdeel Informatieveiligheid: globaal initiatief Rollen en verantwoordelijkheden binnen bestaande organisatie Veiligheidsconsulent is “spin in de organisatie” Nieuwe structuur : Aanstellen Veiligheidsconsulent Staffunctie ICT – afdelingshoofd ( sponsor ) en staffunctie AG Roept SIV samen Stuurgroep InformatieVeiligheid ( SIV ) Afdelingshoofden centrale entiteiten en enkele provinciale Kerngroep : diensthoofden ICT, Juridische dienst, Facility, preventie adviseur Adviseert nieuwe initiatieven die voorbereiding nodig hebben Directiecomité

5. Organisatiebeheersing 3. Responsabiliseren bestaande formele organisatie : Centrale Juridische dienst Voorbereiding machtigingen en aangiftes ism afdelings juristen en inhoudelijke projectleiders Start : privacy audit Stemt af met veiligheidsconsulent om gevolgen te implementeren ICT – organisatie Veiligheidsconsulent in staffunctie ICT – afdelingshoofd Rapporteert aan Administrateur-generaal Implementatie veiligheid via ICT – staf = alle sleutelfuncties ICT Rollen en verantwoordelijkheden worden hier toegekend HRM – organisatie Aansturing via SIV Voorbeeld : aanpassen arbeidsreglement

5. Organisatiebeheersing 4. Facilitaire diensten / Preventie adviseur Aansturing via SIV Voorbeeld : preventieplannen 5. Dienst Evaluatie Interne Controle Brengt processen en informatiestromen in kaart Brengt risico’s in kaart : bijvoorbeeld privacy Helpt in updaten van bestaande plannen, bijvoorbeeld BIA 6. AG Veiligheidsconsulent meldt risico’s en vooruitgang veiligheidsinitiatieven

5. Organisatiebeheersing 4. Informele kerngroep : Informele groep : Veiligheidsconsulent, jurist privacy, interne auditor, preventie adviseur, woordvoerder 5. Naleving en controle ! Aanduiden van de eigenaars van de informatie Eigenaar verantwoordelijk voor de toegang ( ICT = uitvoerder ) Eigenaar kijkt toe op de naleving Voorbeeld : HRM diensthoofd controleert via logging de inzage in digitaal personeelsdossier Dossierbeheerders zijn zich bewust van logging Meldingen inbreuken via (ICT) - helpdesk worden geëscaleerd via hiërarchie Regels maken deel uit van arbeidsreglement Controle via audits

5. Organisatiebeheersing 7. Voorbeeld Business Continuity: Afdelingsplannen via SIV BC – plan voor ICT = DRP : verantwoordelijke diensthoofd exploitatie BC – plan voor communicatie = crisiscommunicatieplan : verantwoordelijke woordvoerder ..

6. Maturiteitsniveau Organisatiebeheersing mbt Informatieveiligheid Maturiteitsniveau = tussen 3 en 4 Zie verder extract van documentatie

Voorbeeld van het subthema ‘beveiliging’ van het thema ‘informatie en communicatie-technologie’

Situering van de processen m.b.t. IT-beveiliging

Situering van processen m.b.t. IT beveiliging

7. Vragen ???