1

Informatieveiligheid :

de tweede ronde …

donderdag 1 december 2011

2

Agenda

� bedoeling van deze sessie� context rond informatieveiligheid� de eerste ronde� vaststelling� de tweede ronde� samenvatting� vragen

3

� bedoeling van deze sessie

4

� belang en noodzaak van informatieveiligheid kaderen

� onze ervaringen rond informatieveiligheid met u delen

� suggesties om informatieveiligheid succesvol te implementeren

Bedoeling van deze sessie

5

� context rond informatieveiligheid

6

� wat is informatieveiligheid (IV)

� Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens

� Commissie voor de bescherming van de persoonlijke levenssfeer

� Kruispuntenbank van Sociale Zekerheid

� audit

context > begrippen

7

� informatieveiligheid“gegevens beschermen tegen schade zodat die optimaal beschikbaar blijven voor wie ze nodig heeft.”� schade: brand, onrechtmatige toegang, wissen van

gegevens, vandalisme, informatie lekken, inbreuk op vertrouwelijkheid, …

� beschikbaar: monitoring, anti-malware, alternatieve stroomvoorziening, back-up, …

� wie: need to know >> nice to know

context > informatieveiligheid

8

� Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens� recht:

“… bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op bescherming van zijn persoonlijke levenssfeer.”

� plicht:… de gepaste technische en organisatorische maatregelen treffen

die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens…”

context > wetgeving

9

� Commissie voor de bescherming van de persoonlijke levenssfeer� onafhankelijk overheidsorgaan dat:

� toezicht houdt op privacy wetgeving

� toestemming geeft om persoonsgegevens te verwerken en mee te delen.

� klachten onderzoekt

� advies verleent

� een register bij houdt van de geautomatiseerde verwerkingen van persoonsgegevens

context > privacy commissie

10

� KSZ (Kruispuntenbank Sociale Zekerheid)� verwijzingsrepertorium (=kruispunt) tussen databanken

van het primaire net

� gegevens van natuurlijke personen omtrent ziekte, werkloosheid, kinderlast, pensioen, handicap, ongeval, …

� minimale veiligheidsnormen om toegang tot dit extranet te krijgen, gebaseerd op ISO-27002� bij niet-naleving kan toegang tot het KSZ-netwerk worden

ontzegd.

context > KSZ

11

� audit� verkennende

“oren en ogen op je infrastructuur zetten”

� controlerende“vertrouwen is goed, controle is beter”

� externe“second opinion”

context > audit

12

context > overzicht

Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking

van persoonsgegevens

gemeente ocmw

Europese Richtlijn

Kruispuntbank Sociale Zekerheid

RijksregisterKSZPODMI

CBPL

vzw

13

� de eerste ronde

14

� 2007: security@schaubroeck.be

� analyse belangrijkste veiligheidsproblemen -> optimalisaties� wachtwoordbeleid, mappenbeheer, ACL

� centraal anti-virusbeheer

� sterke authenticatie & Single Sign-on

� tbox & audit

� voorstelling V-ICT-OR, klantendagen, …

de eerste ronde > aanpak

15

� resultaten:� globaal: onvoldoende

� minderheid investeert in IV

� minderheid volgt IV op

� incidenten doen zich voor

� bezorgdheid neemt af

de eerste ronde > resultaat

16

� vaststelling

17

vaststelling

� informatieveiligheid = IT = leverancier� beeldvorming IV = weinig genuanceerd� security = duur� security is geen directe (zichtbare) meerwaarde� nut van informatieveiligheid is niet duidelijk� weerstand tegen verandering� security wordt aangeboden als een optionele

service

18

� informatieveiligheid = IT = leverancier.� meer dan enkel IT taken

� rol van de leverancier� goede beveiliging =

� preventie

� detectie

� reactie

vaststelling > IV = IT

begrip IV duidelijk omschrijven !

19

vaststelling > IV = IT

� toegang tot gebouwen / kluis / serverruimteaflijnen

� omgang met dossiers bepalen� gebruik van papierversnipperaar toelichten� classificatie van gegevens (aanduiding: publiek,

vertrouwelijk, strict) opmaken� nakijken brandveiligheid / kans op waterschade /

airco� opstellen van beleid rond verantwoord gebruik

van internet/email

20

� beeldvorming IV = weinig genuanceerd� security = complex

� domein van techneuten

� Veiligheidsconsulent = boodschapper

� te veel jargon, clichés

vaststelling > beeldvorming

omring u met advies, eis klare taal & stuur aan op duidelijke richtlijnen

21

� beeldvorming IV = weinig genuanceerd (2)� security = product x,y of z

� All-in-One, Security Suite, bullet-proof, next-generation fw, …

� security beurzen

� IV = een PROCES, geen PRODUKT

vaststelling > beeldvorming

IV = samenwerking van beleid, techniek, medewerkers & gezond verstand

22

� security = duur� bepaalde beveiligingsproducten zijn duur

� heb je ze – in eerste instantie - nodig om een zinnig IV beleid te voeren?

� bekijk de maatregel in functie van het risico

� kleine veranderingen kunnen groot verschil maken (vb beleid rond sociale netw)

� goed advies (audit) >> duur product

� nut van overleg, beleid

vaststelling > kostprijs

23

� security is geen directe (zichtbare) meerwaarde, waar een nieuw programma of een PC dat wèl is � cfr verzekeringen

bescherming tegen een situatie die zich misschien/hopelijk nooit zal voordoen

� context van IV verduidelijken� medewerkers, beleidsmensen ≠ IT

� wettelijke context duiden

� KLARE taal, voorbeelden

� reden bestaan van veiligheidsconsulent verduidelijken

vaststelling > meerwaarde

24

� nut van informatieveiligheid is niet duidelijk “wij hebben toch geen bankgeheimen…”� besef dat IV in ieders belang is

� iedereen is een burger� iedereen heeft talloze dossiers bij diverse instanties� iedereen gelooft graag dat zijn/haar gegevens op

gemeente/ocmw niet zonder meer consulteerbaar zijn en alleen gebruikt worden voor datgene waarvoor ze nodig zijn

� zekere garanties kunnen bieden naar burger/client en zodoende vertrouwen te genieten

� geloofwaardigheid van dienstverlening� gelegenheid maakt de dief

vaststelling > belang

25

� weerstand tegen verandering “niet te moeilijk maken, hé.”� “nee, we willen het beter maken” ☺

� gemak dient de mensen dat weten de Bad Guys ook!

� streef naar eenvoud in werking & communicatie� eenvoud garandeert uw investering

� belangrijkste lijntje in een richtlijn “voortaan dienen jullie <1,2,3> te doen.”

� beperk je uitleg tot 1 A4’tje

vaststelling > verandering

26

� veiligheid werd aangeboden als een optionele service.� gezien genoemde bezwaren, kent dit weinig succes

� verplichten = delicaat, maar noodzakelijk om tot een zekere baseline security te komen� goed begeleiden (uitleg, documentatie)

� brede rug maken ☺

� stand-by in geval van problemen

� hoger belang in achterhoofd houden

vaststelling > optioneel

27

� bezwaren zijn vaak gebaseerd op een beperkt begrip van wat IV is� te technisch

� som van producten ipv van samenwerking

� wettelijke verplichting is niet bekend

� belang wordt niet onderkend … tot het eerstvolgende incident

� gevolg: � onvoldoende gekend

� onvoldoende steun door beleid en medewerkers

vaststelling > samenvatting

28

� de tweede ronde

29

� stappenplan� audit

� prioriteitenlijst (veiligheidsplan)

� maak een punt! (veiligheidsbeleid)

� implementatie� documentatie (beleidsrichtlijnen)

� uitleg !!!

� audit

de tweede ronde > stappenplan

30

� security producten� bestudeer wat je koopt

� wat doet het product? TEST uitvoerig!

� stel het nauwkeurig af en werk de configuratie bij� berichtgeving, false positives, ...

� houd rekening met een leerperiode (nieuwe problemen)

� zorg voor regelmatige opvolging� leer logging lezen

� communiceer de roll-out / wijziging

� wees nuchter & gezond paranoïde.

de tweede ronde > producten

31

� security producten (2)� denk in haalbare oplossingen, niet in producten

� belang om beleid kenbaar te maken bij:� verantwoordelijken

� medewerkers

de tweede ronde > producten

32

� Informatieveiligheidsbeleid� wat willen we bereiken?

� hoe kunnen we dat realiseren?

� wie kan dat realiseren?

� hoe kunnen we ons resultaat meten?

de tweede ronde > IV beleid

33

� Wat willen we bereiken?� schrijf concreet uit

� gebruik een leidraad (ISO-norm), maar concretiseer

� formuleer ondubbelzinnig

� schrijf leesbaar uit� vermijd:

� engelse woorden, clichés, algemene termen, …

� woorden die je partner niet begrijpt

de tweede ronde > doelstelling

geen concreet doel = geen meetbaar resultaat

34

� voorbeeld� toegang tot lokalen definiëren zodat alleen

bestuursmedewerkers de nodige toegang hebben� een overzicht maken van hard- en software om een

duidelijk beeld te krijgen van onze infrastructuur� een werkbaar schema opstellen om backup op te volgen

zodat er steeds recente reservekopieën beschikbaar zijn� gebruikerstoegang in kaart brengen zodat elke

medewerker gepaste toegang krijgt� richtlijn rond verantwoord computergebruik opstellen

zodat elke medewerker weet wat van hem verwacht wordt

de tweede ronde > doelstelling

35

de tweede ronde > praktische stappen

� Hoe kunnen we dat realiseren?� maak een lijst van praktische stappen

� hoe concreter, hoe beter

� denk in uitvoerbare stappen, niet meteen in producten

� denk al vooruit wie hierin betrokken kan worden

36

de tweede ronde > praktische stappen

� toegang tot lokalen definiëren zodat alleen bestuursmedewerkers de nodige toegang hebben� bestaande toegangsmethode bekijken� bestaande logging bekijken� werking van alarm bekijken� inventaris van beschikbare sleutels/badges opmaken� matrix opmaken medewerker / toegang� sleutelkast aankopen / upgrade badgecontrole

software� logboek opmaken / logging consulteren

37

de tweede ronde > betrokkenheid

� Wie kan dat realiseren? � taakverdeling

� beschikbaarheid

� betrokkenheid

� beleidsrichtlijn

� verduidelijkt doelstelling, verwacht gedrag, controle & eventuele sanctie

� sta open voor suggesties

� formuleer POSITIEF

38

de tweede ronde > betrokkenheid

� Toegang tot lokalen definiëren zodat alleen bestuursmedewerkers de nodige toegang hebben� bestaande toegangsmethode bekijken: VC / conciërge / TD� bestaande logging bekijken: VC / ICT / conciërge

� werking van alarm bekijken: VC /conciërge / TD

� inventaris van beschikbare sleutels/badges opmaken: VC / medewerkers

� matrix opmaken medewerker / toegang: VC / medewerkers / diensthoofd

� sleutelkast aankopen / upgrade badgecontrole software: VC / ICT / aankoopdienst / leverancier

� logboek opmaken / logging consulteren: VC / conciërge

39

de tweede ronde > richtlijn

� richtlijn betreffend gebruik van badge om toegang tot de lokalen te krijgen

“deze badge is uniek en direct gelinkt aan jouw persoon. Draag er de nodige zorg voor en leen hem nooit aan iemand anders uit. Vergezel deze persoon naar de deur of vraag je diensthoofd een badge voor hem aan te maken. In geval je deze badge verliest, verwittig dan onmiddellijk je diensthoofd zodat de kaart kan geblokkeerd worden om onrechtmatige toegang te voorkomen. Periodiek zal de toegang tot het gebouw gecontroleerd worden. Bij vermoeden van misbruik, wordt je diensthoofd ingelicht die dit verder laat onderzoeken.”

40

de tweede ronde > resultaat meten

� Hoe kunnen we ons resultaat meten?� steekproef

� periodiek

� richtlijn geeft je de nodige machtiging om controle uit te voeren

41

de tweede ronde > resultaat meten

� meetpunten om toegangsbeleid te controleren� probeer binnen te geraken in andermans

bureau/archief/serverlokaal

� vraag een medewerker van ander bestuur om in jullie lokalen te komen

� 3 maandelijks overzichtslijst van toegangen en gefaalde logins

42

de tweede ronde > Tips

� BELANGRIJK� menselijke factor = NIET zwakke link

(klassieke beeld van ‘domme gebruiker’)

� betrek anderen in IV beleid

� stel de dingen POSITIEF ipv bedreigend

“we streven naar een optimale werking van onze infrastructuur. Daarom willen we …”

“om naar de burger een aantal garanties van vertrouwelijkheid te kunnen bieden, hebben we …”

43

� samenvatting

44

samenvatting

� maak het begrip informatieveiligheid GLASHELDER

� schrijf uit wat je wil bereiken� kies je producten weloverwogen� maak iedereen duidelijk wat de bedoeling is� zorg voor voldoende opvolging

45

� vragen?� security@schaubroeck.be