INFORMATIEVEILIGHEID
description
Transcript of INFORMATIEVEILIGHEID
![Page 1: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/1.jpg)
INFORMATIEVEILIGHEIDeen uitdaging van ons allemaal
VIAG themadag informatieveiligheid, Harro Spanninga
![Page 2: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/2.jpg)
Agenda
• Toelichting op de Taskforce BID• Introductie thema Informatieveiligheid
Technisch perspectief Perspectief van de overheid
• Rol van de bestuur en management
![Page 3: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/3.jpg)
Filmpjes over informatieveiligheid
Ga naar https://informatieveiligheid.pleio.nl
![Page 4: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/4.jpg)
TaskforceBestuur & Informatieveiligheid Dienstverlening
Geïnitieerd door minister Plasterk
N.a.v. Rapport Onderzoeksraad voor
Veiligheid over DigiNotar
Gestart per 13 februari 2013
Actief voor een periode van twee
jaar
Focus op bestuur & topmanagement
Bouwt voort op bestaande
initiatieven en is gericht op
samenwerking
![Page 6: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/6.jpg)
Invulling langs vier lijnen
• Verplichtende Zelfregulering per overheidslaag
• Gerichtheid:
• Leeraanbod bestuurders en topmanagers
• Gericht op een leer- en ontwikkelproces
• Afgestemd op de volwassenheid van de overheidslaag
• Verankering:
• Handreikingen: baselines voor informatiebeveiliging
• Sturingsmiddelen
• Stelsel
• Visitatie, peer reviews, ketens, Single Audit
![Page 7: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/7.jpg)
Amerikaanse KvK digitaal gegijzeld
![Page 8: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/8.jpg)
Hackers bedienen containers in Antwerpen
![Page 9: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/9.jpg)
Gemalen in Veere slecht beveiligd
![Page 10: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/10.jpg)
Identiteitsfraude met DigiD
![Page 11: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/11.jpg)
De gemeente op de korrel…
![Page 14: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/14.jpg)
![Page 15: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/15.jpg)
![Page 16: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/16.jpg)
![Page 17: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/17.jpg)
Zwarte markt in hacks en gestolen dataPrijs “zero day exploits” 2012
Adobe Reader $5,000–$30,000
Android $30,000–$60,000
Chrome or Internet Explorer $80,000–$200,000
Firefox or Safari $60,000–$150,000
Flash or Java Browser Plug-ins $40,000–$100,000
iOS $100,000–$250,000
Mac OSX $20,000–$50,000
Microsoft Word $50,000–$100,000
Windows $60,000–$120,000
Bron: Rand Corporation, Markets for Cybercrime Tools and Stolen Data, 2014
![Page 18: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/18.jpg)
Wat zien we in de prakijk
Enkele trends over 2012-2013:
• Criminelen gaan steeds brutaler te werk en hun activiteiten zijn meer gericht op de mens.
• Apple-apparaten op de korrel gezien toename van het marktaandeel.
• De Cloud wordt ingezet als hulpmiddel om hacks uit te voeren.• Actieve handel in kennis over kwetsbaarheden en hoe deze te
misbruiken.• Onvoldoende inzicht in relevante dreigingen en kwetsbaarheden.• Meer kans op keteneffecten door hyperconnectiviteit van
apparaten.• Zwakke wachtwoorden blijven een probleem.• Kwetsbaarheden van SCADA-systemen komen meer aan het licht.
bron: NCSC CSBN-3 2013
![Page 19: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/19.jpg)
Ontwikkelingen in gedrag van criminelen
![Page 20: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/20.jpg)
Informatieveiligheid gaat over…
![Page 21: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/21.jpg)
Maar ook over…
![Page 22: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/22.jpg)
Het perspectief van de overheid
![Page 23: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/23.jpg)
Belang voor gemeenten van veilige informatie
• De efficiënte overheid: Processen zijn in toenemende mate informatiegestuurd en geautomatiseerd. In 2017 is zelfs alles digitaal (Digitaal 2017).
• De georganiseerde misdaad: informatie van gemeenten kan zeer interessant zijn voor de georganiseerde misdaad, denk aan hennepkwekerijen, ontruiming, maar ook diefstal van bijvoorbeeld GBA-gegevens.
• De decentralisaties: Met de komst van de decentralisatie komen zeer vertrouwelijke, medische en strafrechtelijke gegevens bij gemeenten te liggen. Deze kunnen niet op straat komen te liggen.
• De betrouwbare overheid: burgers en bedrijven moeten de overheid kunnen vertrouwen. Uit een recent onderzoek van de ombudsman blijkt dit in toenemende mate te spelen.
![Page 24: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/24.jpg)
Overheidsverantwoordelijkheid informatieveiligheid
24
![Page 25: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/25.jpg)
Overheidsverantwoordelijkheid informatieveiligheid
Burger heeft het recht om onbespied te blijven.Mag er op rekenen dat de informatie over hem/haar, bij de overheid in veilige handen is.
De (gemeentelijke) overheid is verantwoordelijk voor:
• Veiligheid van privacy gevoelige informatie over burgers;• Continuïteit van de (digitale) dienstverlening via internet.
25
![Page 27: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/27.jpg)
• Onderdeel van collegeambities, in portefeuille collegelid.• Verankering op agenda, paragraaf in jaarverslag.• Gemeenten implementeren, lokaal
informatieveiligheidsbeleid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), hét gemeentelijke basisnormenkader.
• Borging door aansluiting planning & controlcyclus: leren en cyclisch ontwikkelen organisatie.
• Transparantie via waarstaatjegemeente.nl, peer reviews en interbestuurlijke visitatiecommissie.
Resolutie Informatieveiligheid:
![Page 28: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/28.jpg)
In control op informatieveiligheid?
Informatie-veiligheid
Cultuur van veiligheid
Monitoren en leren
Voldoen aan norm,
baselineCrisisrespons
![Page 29: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/29.jpg)
Identificeren bedrijfsprocessen
Toekennen eigenaarschap
Uitvoeren risicoanalyses
Opstellen en invoeren
beveiligingsplan
Accepteren restrisico’s
Monitoren
Managen van incidenten
Evalueren & Rapporteren
Informatiebeveiligingsorganisatie
Beleid informatiebeveiliging
Baseline
![Page 30: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/30.jpg)
Tips om bestuur en management te betrekken…
Vertaal informatieveiligheid naar bestuurlijke risico’s en thema’s Politiek-bestuurlijk , Operationele risico, Financiele risico’s en reputatie
risico’s Vergroot de urgentie
Organiseer bijvoorbeeld een incident, een eigen test met een phishing mail
Maak het tastbaar en klein en breng het dichtbij Bijvoorbeeld door een hack demo te tonen van een iPad of een
telefoon Mobiliseer in je eigen organisatie met lijnmanagers die het probleem ook
onderkennen Met bijvoorbeeld het hoofd burgerzaken, de financieel directeur etc.
![Page 32: INFORMATIEVEILIGHEID](https://reader034.fdocuments.net/reader034/viewer/2022051418/5681556d550346895dc33884/html5/thumbnails/32.jpg)
…is zo sterk als de zwakste schakel…
De (overheids)ketting…
…en dat zien we helaas nog al te vaak terugkomen…