INFORMATIEVEILIGHEID

Slides:



Advertisements
Verwante presentaties
Wet meldcode van kracht!
Advertisements

The customer centric software company
Nieuwe organisatievormen Nieuwe medezeggenschap?
Tips en praktijk opstellen businesscase
Nieuwe blik op publieksagressie
SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Het belang van risicomanagement voor vastgoedbeheerders
Hoe organiseer je eFactureren in je gemeente ?
VIA - VerDuS Arbeidsmigranten, werkgevers en steden Bijdrage aan inzicht en samenwerking.
Clubmiddag 16 april 2013 Ruud Vloeimans 2013 © R.P.Vloeimans, Amstelveen, Netherlands Cloud Computing.
solidariteit en moreel wangedrag
De ANBI mr. A.B.M. (André) Loesink.
Veiligheidsincidenten de afgelopen maand? 21 mei
Energiebesparing in bestaande koopwoningen Marijke Menkveld, 10 september 2009.
7 juli 2014 NTA Quiz Wat weet u van de NTA?. 7 juli Eén van de kernonderdelen van een VMS is… een rapportagematrix een risico-inventarisatie.
’n app a day ‘n App a Day doe je voordeel er mee Noordwijkerhout, 1 februari 2014 Vincent Jonker, Freudenthal Instituut.
TIJD VOOR SENIORENSPORT 'Bewegen als levenslange uitdaging' Task Force 50+ Sport en Bewegen Donderdag 1 december 2005 Remco Boer, Hans Arends (NISB)
Gegevensbeheer Karin Diederiks KOAC•NPC.
BAG - WOZ, planning en commitment
Het opzetten van een kwaliteitssysteem
Gezamenlijk de crisis door
7 februari 2007Benchmark Publiekszaken 2007, Driebergen1 Het ABC van publieke dienstverlening : Altijd de Burger Centraal (met de BurgerServiceCode) drs.
handreiking social media bij de Vlaamse overheid
Veiligheid in het onderwijs Hans Boutellier BCN, Utrecht 20 maart 2014 Hans Boutellier BCN, Utrecht 20 maart 2014.
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Platform Afnemers bedrijven en rechtspersonen Eén digitale overheid: betere service, meer gemak.
1 juni 2010 Verdiepingsdag Toezicht Integraal Toezicht nu en in de toekomst.
Ruimteconferentie Ruimte voor werken
Sturen op vertrouwen NVAG 23 mei 2012 Elly Breedveld Erasmus CMDZ.
HOM COM 23/09/2013 LEDENVERGADERING. BIG Big Companies – Google – Apple – Microsoft – Amazon.
Geen woorden maar daden!? Over het belang van een actieve seniorenraad
112 juni 2012 Handreiking Gezonde Gemeente Handreiking Gezonde Wijk Betrekken van burgers bij opstellen en uitvoeren van lokaal gezondheidsbeleid.
Ir.drs. A. van der Star MSHE UMC Groningen
© Kars cum suis bv Benchmarking publiekszaken Workshop Procesmanagement 7 februari 2007.
Startbijeenkomst benchmarking Publiekszaken
De hoeden van Edward de Bono Informatieknooppunten in ketens.
Rapportering door ontvangers Toelichting van de bevindingen uit het survey- onderzoek ‘Management & Innovatie in Lokale Besturen’ Prof. dr. Geert Bouckaert.
30 september 2005 Professioneel asset management Kunstwerken eindrapport.
CLOUD COMPUTING Wat is het? Wie zijn de aanbieders? Is het veilig? Wat kun je er mee? Robert K Bol PVGE Best.
DIV Beleid, trends, ontwikkelingen en collega’s
Hoe risicobewust bent u?
Introductie OHSAS
Voorlopige overslagcijfers 2009 Hans Smits President-directeur Havenbedrijf Rotterdam 30 december 2009.
(social) media monitoring bij De Nederlandsche Bank
Data Maarten Terpstra en Peter le Clerq. 1.Wij denken dat bedrijven in toenemende mate data gebruiken voor toepassingen in marketing, sales, service,
IBewustzijn Bewust en veilig omgaan met (digitale) informatie, daar zorgen we samen voor!
INFORMATIEVEILIGHEID een uitdaging van ons allemaal Themabijeenkomst De Digitale Griffie/Harro Spanninga.
IBD, nu en in de toekomst Regiobijeenkomsten Q4 2014
VAN DIGITALE GRIFFIE NAAR OPEN RAADSPORTAL De Digitale Griffie ii
Governance en systeemtoezicht Rian Vos Coördinerend/specialist senior inspecteur IGZ.
Copyright 2013 | Annemarie van Dalen | Organisatieadvies Transitie WMO vraagt om anders organiseren.
Een zorgsysteem voor betere arbeidsomstandigheden
SURF Juridisch normenkader cloudservices
Van samen beschrijven, inkopen naar allemaal gebruiken; de uitdaging op informatie. Samen: alleen als het ons uitkomt!? Theo Peters (KING)VIAG themadag.
Klein Lef en IB Bart de Jongh & Carel Aalbers SO RvIG.
Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A
Het Virtueel Kantoor Een eerste toelichting op het Virtueel Kantoor voor pgo-organisaties.
Zicht op elke druppel Arjan Budding Marije Stronks Waterschap Vallei en Veluwe.
Format presentatie raad
Format Presentatie CISO aan gemeentebestuur
Risicoanalyse … waarom?
Presentatie aan de Raad
Risicoanalyse … waarom?
Introductie computerveiligheid
Resilience in mijn gemeente
Sourcing strategie VIAG Congres November 2018, Rotterdam.
De rol van de gemeente in nieuw perspectief
Risicoanalyse … waarom?
Geen woorden maar daden!? Over het belang van een actieve seniorenraad
Open Data gemeente Nijmegen
Transcript van de presentatie:

INFORMATIEVEILIGHEID een uitdaging van ons allemaal VIAG themadag informatieveiligheid, Harro Spanninga

Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid Rol van de bestuur en management

Filmpjes over informatieveiligheid Ga naar https://informatieveiligheid.pleio.nl

Taskforce Bestuur & Informatieveiligheid Dienstverlening Geïnitieerd door minister Plasterk N.a.v. Rapport Onderzoeksraad voor Veiligheid over DigiNotar Gestart per 13 februari 2013 Actief voor een periode van twee jaar Focus op bestuur & topmanagement Bouwt voort op bestaande initiatieven en is gericht op samenwerking Recente incidenten op het gebied van informatieveiligheid in Nederland (DigiNotar, Lektober) waren aanleiding voor een onderzoek door de Onderzoeksraad voor de Veiligheid naar het belang van digitale veiligheid bij de overheid. Op 13 februari 2013 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties met de oprichting van de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) gehoor gegeven aan de aanbeveling uit het in 2012 verschenen rapport van de Onderzoeksraad om ‘...een programma te ontwikkelen dat bestuurders van overheidsorganisaties doordringt van het belang van digitale veiligheid en hen te voorzien van voldoende inzicht en vaardigheden om hen in staat te stellen actief sturing te geven aan de beheersing van digitale veiligheid in hun organisatie’. Verplichtende zelfregulering houdt in dat bestuur of overheid vraagt om een bepaalde mate van zelf verantwoordelijk zijn voor invoering van regelgeving en regulering [omtrent informatieveiligheid]. Dit betekent in de praktijk dat vanuit gestelde kaders op landelijk- en koepelniveau in iedere organisatie een jaarlijkse cyclus is geborgd, waarin ambtelijke- en bestuurlijke oordeelsvorming over informatieveiligheid plaatsvindt.

Dit doen we niet alleen…

Invulling langs vier lijnen Verplichtende Zelfregulering per overheidslaag Gerichtheid: Leeraanbod bestuurders en topmanagers Gericht op een leer- en ontwikkelproces Afgestemd op de volwassenheid van de overheidslaag Verankering: Handreikingen: baselines voor informatiebeveiliging Sturingsmiddelen Stelsel Visitatie, peer reviews, ketens, Single Audit

Amerikaanse KvK digitaal gegijzeld

Hackers bedienen containers in Antwerpen

Gemalen in Veere slecht beveiligd

Identiteitsfraude met DigiD

De gemeente op de korrel…

Bij ons gebeurt dit niet Bij ons gebeurt dit niet? Even googlen en je vindt tientallen voorbeelden van onzorgvuldig gegevensgebruik. Rekeningnummers, adressen en handtekeningen van zeker 5000 inwoners van het Waterschap Aa en Maas zijn op straat te komen liggen. Er werd een usb-stick op straat gevonden en anoniem bij Omroep Brabant afgeleverd Gegevens van 140.000 WMO’’ers die op een onbeveiligde cloud omgeving (scribd.com) stonden. Gemeente deventer waar een slecht beveiligde applicatie was aangeschaft, waardoor de pesoneelsdossiers van alle ambtenaren toegankelijk waren. Maar ook in het bedrijfsleven, zoals Aegon die bijvoorbeeld recent de gegevens van duizenden bellegers per ongeluk niet naar tussenpersonen maar de clienten zelf stuurde.

Het technisch perspectief

Zwarte markt in hacks en gestolen data Prijs “zero day exploits” 2012   Adobe Reader $5,000–$30,000 Android $30,000–$60,000 Chrome or Internet Explorer $80,000–$200,000 Firefox or Safari $60,000–$150,000 Flash or Java Browser Plug-ins $40,000–$100,000 iOS $100,000–$250,000 Mac OSX $20,000–$50,000 Microsoft Word $50,000–$100,000 Windows $60,000–$120,000 Bron: Rand Corporation, Markets for Cybercrime Tools and Stolen Data, 2014

Wat zien we in de prakijk Enkele trends over 2012-2013: Criminelen gaan steeds brutaler te werk en hun activiteiten zijn meer gericht op de mens. Apple-apparaten op de korrel gezien toename van het marktaandeel. De Cloud wordt ingezet als hulpmiddel om hacks uit te voeren. Actieve handel in kennis over kwetsbaarheden en hoe deze te misbruiken. Onvoldoende inzicht in relevante dreigingen en kwetsbaarheden. Meer kans op keteneffecten door hyperconnectiviteit van apparaten. Zwakke wachtwoorden blijven een probleem. Kwetsbaarheden van SCADA-systemen komen meer aan het licht. bron: NCSC CSBN-3 2013

Ontwikkelingen in gedrag van criminelen

Informatieveiligheid gaat over…

Maar ook over… Clear desk policy/onbeheerde werkplek Wachtwoordbeleid Informatie op straat Verouderde software

Het perspectief van de overheid

Belang voor gemeenten van veilige informatie De efficiënte overheid: Processen zijn in toenemende mate informatiegestuurd en geautomatiseerd. In 2017 is zelfs alles digitaal (Digitaal 2017). De georganiseerde misdaad: informatie van gemeenten kan zeer interessant zijn voor de georganiseerde misdaad, denk aan hennepkwekerijen, ontruiming, maar ook diefstal van bijvoorbeeld GBA-gegevens. De decentralisaties: Met de komst van de decentralisatie komen zeer vertrouwelijke, medische en strafrechtelijke gegevens bij gemeenten te liggen. Deze kunnen niet op straat komen te liggen. De betrouwbare overheid: burgers en bedrijven moeten de overheid kunnen vertrouwen. Uit een recent onderzoek van de ombudsman blijkt dit in toenemende mate te spelen.

Overheidsverantwoordelijkheid informatieveiligheid Het vertrouwen van burgers in hun digitale overheid is niet erg groot, blijkt uit het onderzoek van de Nationale Ombudsman van december vorig jaar. Van alle respondenten , zo’n 48.000 respondenten, heeft 36% geen vertrouwen in de manier waarop de overheid met zijn gegevens omgaat. 46% heeft hier redelijk vertrouwen in. Slechts 11% heeft aangegeven vertrouwen te hebben in de manier waarop de overheid met zijn gegevens omgaat. 7% heeft geen mening over deze vraag. Ook het vertrouwen in de veiligheid van de digitale systemen is laag. 45% geeft aan geen vertrouwen te hebben in de veiligheid van de digitale systemen van de overheid. 7% van de respondenten geeft aan hier vertrouwen in te hebben, 43% heeft er redelijk vertrouwen in en 5% heeft hier geen mening over.

Overheidsverantwoordelijkheid informatieveiligheid Burger heeft het recht om onbespied te blijven. Mag er op rekenen dat de informatie over hem/haar, bij de overheid in veilige handen is. De (gemeentelijke) overheid is verantwoordelijk voor: Veiligheid van privacy gevoelige informatie over burgers; Continuïteit van de (digitale) dienstverlening via internet. Maar naast de wettelijke verplichting die overheden hebben om zorgvuldig om te gaan met persoonsgegevens van burgers is er natuurlijk ook het vertrouwen dat niet geschonden mag worden. De imagoschade die je als overheid oploopt als de gegevens van burgers op straat liggen of wanneer de digitale dienstverlening gesaboteerd wordt.

Rol van bestuur en management….

Resolutie Informatieveiligheid: Onderdeel van collegeambities, in portefeuille collegelid. Verankering op agenda, paragraaf in jaarverslag. Gemeenten implementeren, lokaal informatieveiligheidsbeleid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), hét gemeentelijke basisnormenkader. Borging door aansluiting planning & controlcyclus: leren en cyclisch ontwikkelen organisatie. Transparantie via waarstaatjegemeente.nl, peer reviews en interbestuurlijke visitatiecommissie. Wat doen we gemeentebreed: Ontwikkelen van normenkader. Veel gegevenswisselingsystemen hebben elk hun eigen normenkader die grotendeels overlapt. Voor elk systeem apart moeten gemeenten zich eraan conformeren. Dat brengt veel auditkosten met zich mee. We zetten in op 1 kader. De controle op naleving ervan zou moeten meelopen in de jaarlijkse p&c cyclus. Zo komt het ook bij de raad terecht waardoor er lokale, horizontale controle op kan plaatsvinden. Nu al downloaden van website KING. Bij KING is ook helpdesk en community ingericht voor gemeentemedewerkers met vragen. Ook organiseert KING DIGID-assessments. BID is net al aan de orde geweest We werken aan een verklaring voor de ALV die samen met het normenkader wordt aangeboden. In de verklarin staat dat we conform een normenkader willen werken, dit willen opnemen in de p&c cyclus en hierover transparant willen zijn. We vragen daarvoor wel iets terug van het rijk: erken dat kader, help ons om auditlasten te beperken en gun ons tijd. Een onderzoek zoals dat van de Inspectie op een specifiek normenkader zoals dat van Suwi zal in de toekomst dus minder voor de hand liggen. Na instemming op de ALV zal er een implementatietraject worden uitgerold.

In control op informatieveiligheid? Monitoren en leren Cultuur van veiligheid Informatie-veiligheid Voldoen aan norm, baseline Crisisrespons

Beleid informatiebeveiliging Informatiebeveiligingsorganisatie Identificeren bedrijfsprocessen Evalueren & Rapporteren Toekennen eigenaarschap Uitvoeren risicoanalyses Baseline Opstellen en invoeren beveiligingsplan Accepteren restrisico’s Monitoren Managen van incidenten

Tips om bestuur en management te betrekken… Vertaal informatieveiligheid naar bestuurlijke risico’s en thema’s Politiek-bestuurlijk , Operationele risico, Financiele risico’s en reputatie risico’s Vergroot de urgentie Organiseer bijvoorbeeld een incident, een eigen test met een phishing mail Maak het tastbaar en klein en breng het dichtbij Bijvoorbeeld door een hack demo te tonen van een iPad of een telefoon Mobiliseer in je eigen organisatie met lijnmanagers die het probleem ook onderkennen Met bijvoorbeeld het hoofd burgerzaken, de financieel directeur etc.

Vragen? Harro.spanninga@taskforcebid.nl

…is zo sterk als de zwakste schakel… De (overheids)ketting… …is zo sterk als de zwakste schakel… …en dat zien we helaas nog al te vaak terugkomen…