workin progress2015 gemeentebrede_informatiebeveiliging
TRANSCRIPT
Gemeentebrede informatieveiligheid Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
John van der Sluis B.pm Erik Versterre MBA MIM 5 maart 2015
Hoe op een eenvoudige manier naar gemeentebrede informatieveiligheid?
Gemeentelijke informatieveiligheid - Doel workshop
De ‘best practices’ en succesfactoren om te komen tot een gemeentebrede borging van informatieveiligheid
Gemeentelijke informatieveiligheid - De verkenning: de naam en definitie
Informatiebeveiliging?
of
Informatieveiligheid? • Informatiebeveiliging doe je om informatieveiligheid te bereiken
• Een gemeente heeft tot doel de informatieveiligheid te verhogen en het
middel hiervoor is informatiebeveiliging
• Informatieveiligheid geeft beter invulling aan het ‘niet’ technische karakter
Gemeentelijke informatieveiligheid - De verkenning: de wettelijke (audit/zelfevaluatie) verplichtingen
BAG
SUWI
BRP / WD
DigiD
BAG
SUWI
BRP / WD
DigiD
Gemeentelijke informatieveiligheid - De verkenning: de nieuwe visie op de gemeentebrede aanpak
Financiën DMS
Vergunningen WOZ
Beheersystemen
Office
Sociaal domein
• € 2.700.000 verduisterd bij gemeente • Misbruik GBA gegevens door Wethouder • € 380.000 Euro verduisterd door medewerker • Emailverkeer stadhuis plat door PostNL-virus • Gemeenten nemen loopje met persoonsgegevens • Gemeente maakt 188 miljoen euro over in plaats van 1,88 miljoen euro • € 950.000 Euro verduisterd door financieel medewerker gemeente • Kabelbreuk bij gemeentehuis (geen ICT, telefoon, mail) • Gemeentehuis volledig afgebrand • Onrechtmatige inzage van persoonsgegevens door wethouders en ambtenaren • 600 overleden mensen aangeschreven en privacygevoelige informatie op internet • DigiD (DigiNotar) veel gemeenten niet bereikbaar via website • Gemeente website lekt paspoorten en BSN-nummers • Gemeente ICT voorzieningen uitgevallen door uitbraak XDocCrypt-Dorifel virus • Door DDoS aanval overheid websites onbereikbaar • Gemeente netwerk uitgevallen door phishing mail • Vertrouwelijke stukken gemeente op straat na diefstal IPad
Gemeentelijke informatieveiligheid - De verkenning: de noodzaak
• Het verschijnen van de Baseline Informatiebeveiliging Nederlandse Gemeenten (mei 2013 VNG/King)
• Een set met heldere richtlijnen voor gemeenten om ten aanzien van de veiligheid van de informatiehuishouding ‘in control’ te komen.
• Buitengewone VNG ledencongres (29 november 2013) resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’.
• Convenant ‘Informatieveiligheid Gemeenten’ (12 februari 2015) door Vereniging van Gemeentesecretarissen, Vereniging Directeuren Publieksdiensten, de Nederlandse Vereniging voor Burgerzaken, DataLand, IMG100.000+, de Federatie van Algemene Middelenmanagers bij de Overheid, de VIAG, de Vereniging van Griffiers, de Vereniging van Nederlandse Gemeenten en het Kwaliteitsinstituut Nederlandse Gemeenten/de Informatiebeveiligingsdienst voor gemeenten
Gemeentelijke informatieveiligheid - De verkenning: de bestuurlijke ontwikkelingen
• De vraag is niet meer of de gemeente start met gemeentebrede
informatieveiligheid, maar hoe en wanneer de gemeente start?
• Wat zijn de succesfactoren?
1. Een doeltreffende aanpak (mensen en processen) 2. ……….… 3. ………………..……… 4. ………………..……………………… 5. Een ondersteunende tool (middelen)
Gemeentelijke informatieveiligheid
Erik Versterre
Stap 2Gemeentebrede Risico-analyse
+Informatiebeveiligingsplan
Stap 1Informatie-beveiligings-
beleid
Stap 3Compact
Plan van Aanpak
Stap 4Uitwerken en verbinden van de deelgebieden
BRP/WD SUWI BAG DigiD
Plan
Do
Check
Act
STAP 1: Het informatiebeveiligingsbeleid
1. Verkrijgen commitment 2. Formuleren gemeentebrede uitgangspunten 3. Inrichten governance organisatie
Een doeltreffende aanpak
Erik Versterre
Stap 2Gemeentebrede Risico-analyse
+Informatiebeveiligingsplan
Stap 1Informatie-beveiligings-
beleid
Stap 3Compact
Plan van Aanpak
Stap 4Uitwerken en verbinden van de deelgebieden
BRP/WD SUWI BAG DigiD
STAP 2: Het informatiebeveiligingsplan
1. Herkenbare ‘foto’ huidige situatie 2. Gemeenschappelijke risicoweging 3. Bepalen waarde informatie
Een doeltreffende aanpak
Erik Versterre
Stap 2Gemeentebrede Risico-analyse
+Informatiebeveiligingsplan
Stap 1Informatie-beveiligings-
beleid
Stap 3Compact
Plan van Aanpak
Stap 4Uitwerken en verbinden van de deelgebieden
BRP/WD SUWI BAG DigiD
STAP 3: Het compacte actieplan
1. Prioritering verbeterpunten 2. Aansluiten bij capaciteit en ambitie 3. Commitment
De ondersteunende tool
• GRC tool als Information Security Management System (ISMS) • Governance • Riskmanagement • Compliance
• Alle plannen, formats, procedures, rapportages en bijlagen centraal toegankelijk
• Integraal (BRP/WD, SUWI, BAG, DigiD en BIG) ingericht
• Meerdere gebruikers per gemeente mogelijk
• Mutaties (bv wetswijzigingen) eenvoudig door te voeren
Een online omgeving waarbinnen de samenhang van alle deelgebieden informatieveiligheid is geborgd
21
BMC Informatieveiligheid biedt u de volgende elementen:
Volledige ontzorging op gemeentebrede informatieveiligheid inclusief de gebieden BRP/WD, BAG, SUWI, DigiD
Partnership met de grootste aanbieder van informatieveiligheidsproducten op de gemeentelijke markt
Ontzorgen van het onderhoud op documenten
Vaste adviseurs die u en uw organisatie goed kennen
Opleiding en ondersteuning van uw medewerkers