INFORMATIEVEILIGHEID een uitdaging van ons allemaal PUBLIEKE DIENSTVERLENING & INFORMATIEVEILIGHEID noodzakelijke kennis of onnodige ballast? Informatieveiligheid … een uitdaging van ons allemaal Start Publieke Dienstverlening en Informatieveiligheid Publieke Dienstverlening bij gemeenten Volgens WIKIPEDIA: De publieke dienstverlening van gemeenten, inwoners en bedrijven verplaatst zich van het loket in het gemeentehuis steeds meer naar het digitale loket op websites van gemeenten. De wijze waarop de diensten worden geleverd liggen vast in een aantal wetten. Publieke Dienstverlening bij gemeenten Volgens WIKIPEDIA: Voor het beoordelen van de taken van gemeenten op het terrein van publieke dienstverlening zijn de volgende criteria van belang: bereikbaarheid: hoe staat het met de bereikbaarheid van de gemeente? wachttijden: word ik binnen aanvaardbare tijden geholpen? bejegening: word ik correct behandeld? lever- en doorlooptijden: binnen welke termijn worden de diensten en producten geleverd? leges: wat zijn de kosten? elektronische mogelijkheden: welke mogelijkheden voor e-dienstverlening biedt de gemeente? De aanleiding Informatieveiligheid is meer dan techniek alleen Start Strategie VDP Nee ten zij Aanscherping 2020 traject Bulk Beperkt zelfredzaam Multiproblem 3D, ketens Informatie in allerlei stromen essentieel Beschikbaar, integer, privacy Allerlei projecten VDP Maar informatieveiligheid? De Taskforce Bestuur en Informatieveiligheid Dienstverlening Mede op advies van de Onderzoeksraad Voor Veiligheid Geïnitieerd door minister Plasterk, Ministerie van BZK Gestart per 13 februari 2013 Actief voor een periode van twee jaar Gericht op Verplichtende Zelfregulering Focus op bestuur en topmanagement De gezichten achter de Taskforce BID De doelen 1. Versnelling te weeg brengen bij bestuur en topmanagement op het vlak van bewustzijn als het gaat om informatieveiligheid, samen met de koepelorganisaties per overheidslaag 2. Concrete middelen ontwikkelen om sturing op informatieveiligheid door bestuur en topmanagement binnen de overheidslagen mogelijk te maken 3. Verankeren van veiligheidsbeleid in structuren en werkprocessen 4. = organisatieleren De aanleiding Informatieveiligheid is meer dan techniek alleen Start De conclusie Informatieveiligheid is mensenwerk Informatieveiligheid gaat helaas slechts deels om techniek Bewustzijn van informatieveiligheid bij management (en medewerkers) is waar het echt om draait! Als punt op de horizon voor de Taskforce is om deze reden in eerste instantie bewust gekozen voor Verplichtende Zelfregulering (vereist juiste mentaliteit) en bewust niet voor wetgeving Informatieveiligheid staat of valt met bewustzijn … en dat bewustzijn start met het besef dat de wereld verandert … en daarmee ook onze dienstverleningsmodellen, zeker Publieke Dienstverlening … met het besef dat onze gemeentelijke organisatie zich door deze digitalisering onbedoeld uitbreidt buiten de muren van ons kantoor: Informatie wordt steeds vaker digitaal ontsloten middels allerlei apparaten die binnen en buiten de gemeentelijke muren worden gebruikt Informatie wordt ook door onze burgers en bedrijven door de opkomst en impact van social media inmiddels ‘anders’ gebruikt Kortom: informatieveiligheid gaat eigenlijk om INFORMATIE en VEILIGHEID in de breedste zin des woords Informatie en veiligheid het zit in de details… Start De risico’s voor gemeenten Voorbeelden bedreigingen Voorbeeld van impact Informatie diefstal Verlies van persoonsgegevens, fraude Hacking Illegale aanpassingen op websites, fraude Technische storing van netwerk Uitval van systemen, geen paspoorten kunnen uitgeven Virus Uitval van systemen, geen uitkeringen kunnen uitkeren Menselijke fouten Uitval van systemen, verlies van data De oplossing Informatieveiligheid vereist een plek aan de bestuurstafel, zeker bij Publieke Dienstverlening Ervaring leert dat echte informatieveiligheid pas wordt bereikt als we allemaal, van hoog tot laag, doordrongen zijn van het belang én van de risico’s Daar zit de echte oplossing. Hoog tijd dus voor een verscherping van het bewustzijn en concrete sturing op informatieveiligheid binnen gemeenten De meerwaarde Informatieveiligheid is niet vrijblijvend Ook hier geldt; de gemeentelijke ketting is zo sterk als de zwakste schakel Kortom, samenwerken én eigen verantwoordelijkheid Het perspectief Alle overheidslagen en organisaties, dus ook gemeenten hebben over twee jaar een solide basis voor verplichtende zelfregulering op informatiebeveiligingsvlak In iedere organisatie dient een jaarlijkse cyclus te zijn geborgd waarin ambtelijke en bestuurlijke oordeelsvorming over informatieveiligheid plaatsvindt en uiteraard een verbeteraanpak wordt neergelegd De uitgangspunten (1/2) Verplichtende Zelfregulering conform Statement BRG Een normatieve basis per gemeente en per overheidslaag (ISO 27001 en ISO 27002) Een verankering van deze normatiek. Elke betrokken gemeente regelt de informatieveiligheid op adequaat niveau Op het niveau van de overheidslagen is er een stelsel van afspraken over de verantwoordelijkheid van koepelorganisaties zoals VNG. Op landelijk niveau belegde en daarvoor ingerichte voorzieningen faciliteren deze zelfregulering De uitgangspunten (2/2) Verplichtende Zelfregulering conform Statement BRG Auditing is hierbij een belangrijk instrument. De ontwikkeling van een stelsel van single audit is uiteraard een stimulerende factor voor zelfregulering bij gemeenten Elke gemeente, nader ondersteund per overheidslaag, traint regulier op een actieve gerichtheid van bestuur, management, ICT-functionarissen en andere medewerkers op informatieveiligheid Voor elke gemeente en elke overheidslaag zijn een probleemanalyse en veranderplan opgesteld, die uiteindelijk leiden tot een verplichtende zelfregulering van informatieveiligheid Verplichtende Zelfregulering Stelsel Overheidslaag Organisatie Stelsel: • Kaderstelling • Controlemechanismen • Toezicht De basis van zelfregulering Zelfregulering veronderstelt dat er binnen de gemeentelijke overheidslaag: verantwoordelijkheid ten aanzien van het probleem bestaat een bepaald niveau van kennis aanwezig is voldoende draagvlak bestaat voor zelfregulering een voldoende organisatiegraad bestaat De start Een baseline voor gemeenten De audits zoals het ICT-Beveiligingsassessment DigiD Verplichte audits, GBA.Suwi De kennis van pioniers en best practices De opleidingen vanuit bestaande gremia De normatieve basis ISO 27001 ISO 27002 GEMMA Richtsnoeren De veiligheidscyclus als basis De veiligheidscyclus is de basis voor actie binnen elke stap. Een voorbeeld: informatieveiligheidsbeleid bevat beleid op gebied van: pro-actie preventie preparatie respons nazorg en herstel Verplichtende Zelfregulering bij informatieveiligheid Zelfregulering betekent: maken van een risicoanalyse maken van beleid en toepassing van normen sturing op uitvoering van beleid controle, verantwoording en toezicht op beleid en uitvoering daarvan bijstelling en leren waar nodig ISO Baseline overheidslaag Maken van analyse (GAP & risico) Audit extern Maken van beleid Monitor Uitvoeren Controleren Bijstellen Evalueren Oordelen Verantwoorden Sancties Toezicht 28 Hoe stimuleert de Taskforce BID deze Verplichtende Zelfregulering? De gemeentelijke overheidslaag gesteund door de Taskforce BID stelt een veranderplan (programmering) op via twee lijnen: gerichtheid en verankeren Deze programmering start waar er al energie of beweging is (projecten, initiatieven, bestuurlijke thema’s) binnen een overheidslaag Deze programmering is zoveel mogelijk gericht op bestaande netwerken en gremia en richt zich op co-creatie van pioniers en faciliteren van beginners Programmering neemt normen en architecturen als uitgangspunt, overheidslaag is verantwoordelijk voor implementatie De onderdelen van de programmering Workshops en bewustwordingsbijeenkomsten Systematiek voor risicoanalyse Format voor informatieveiligheidsbeleid Stappenplan voor implementatie norm en veiligheidscyclus Systematiek voor controle en toezicht Systematiek voor verandering en bijstelling Informatieveiligheid blijft mensenwerk… Start VRAGEN? DE specificaties Voorbeeld G4 Baselines gebaseerd op ISO’s 10 hoofdprocessen hoogste prioriteit bij informatiebeveiliging ‘In control’-verklaring door alle afdelingsmanagers Classificatie van informatie, A&K analyse en verantwoordelijkheden bij nieuwe ICT-projecten Voorbeeld IJsselstein Informatiebeveiligingsbeleidsplan als deelplan van informatiebeleid Raad nu al informeel betrokken College B&W stelt vast en bepaalt of plan doorgaat naar Raad Raad zal naar alle waarschijnlijkheid controlerende functie krijgen ISO Baseline overheidslaag Maken van analyse (GAP & risico) Audit extern Maken van beleid Monitor Uitvoeren Controleren Bijstellen Evalueren Oordelen Verantwoorden Sancties Toezicht 36 De stand van zaken RO: PDCA Cyclus Status bij gemeenten Norm Risico’s Beleid Uitvoering Controle Toezicht IST GEMMA √ ISO 27001 √ ISO 27002 √ Risicoanalyses bij aantal gemeenten Beleidsparagraaf √ Gemeente √ Raad √ Rekenkamer √ Raad √ SOLL BIG √ GEMMA √ Systematiek Beleidsvoor risico- plan analyses Gemeente Raad √ Rekenkamer √ Edp auditor? Audit anderen? Raad √ Rol IBD? Rol VNG?
© Copyright 2024 ExpyDoc
