Scala Native Documentation - Scala Native — Scala Native ...
Informatieveiligheid Scala
-
Upload
syntra-west -
Category
Documents
-
view
222 -
download
0
description
Transcript of Informatieveiligheid Scala
2
Agenda
� bedoeling van deze sessie� context rond informatieveiligheid� de eerste ronde� vaststelling� de tweede ronde� samenvatting� vragen
4
� belang en noodzaak van informatieveiligheid kaderen
� onze ervaringen rond informatieveiligheid met u delen
� suggesties om informatieveiligheid succesvol te implementeren
Bedoeling van deze sessie
6
� wat is informatieveiligheid (IV)
� Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens
� Commissie voor de bescherming van de persoonlijke levenssfeer
� Kruispuntenbank van Sociale Zekerheid
� audit
context > begrippen
7
� informatieveiligheid“gegevens beschermen tegen schade zodat die optimaal beschikbaar blijven voor wie ze nodig heeft.”� schade: brand, onrechtmatige toegang, wissen van
gegevens, vandalisme, informatie lekken, inbreuk op vertrouwelijkheid, …
� beschikbaar: monitoring, anti-malware, alternatieve stroomvoorziening, back-up, …
� wie: need to know >> nice to know
context > informatieveiligheid
8
� Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens� recht:
“… bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op bescherming van zijn persoonlijke levenssfeer.”
� plicht:… de gepaste technische en organisatorische maatregelen treffen
die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens…”
context > wetgeving
9
� Commissie voor de bescherming van de persoonlijke levenssfeer� onafhankelijk overheidsorgaan dat:
� toezicht houdt op privacy wetgeving
� toestemming geeft om persoonsgegevens te verwerken en mee te delen.
� klachten onderzoekt
� advies verleent
� een register bij houdt van de geautomatiseerde verwerkingen van persoonsgegevens
context > privacy commissie
10
� KSZ (Kruispuntenbank Sociale Zekerheid)� verwijzingsrepertorium (=kruispunt) tussen databanken
van het primaire net
� gegevens van natuurlijke personen omtrent ziekte, werkloosheid, kinderlast, pensioen, handicap, ongeval, …
� minimale veiligheidsnormen om toegang tot dit extranet te krijgen, gebaseerd op ISO-27002� bij niet-naleving kan toegang tot het KSZ-netwerk worden
ontzegd.
context > KSZ
11
� audit� verkennende
“oren en ogen op je infrastructuur zetten”
� controlerende“vertrouwen is goed, controle is beter”
� externe“second opinion”
context > audit
12
context > overzicht
Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking
van persoonsgegevens
gemeente ocmw
Europese Richtlijn
Kruispuntbank Sociale Zekerheid
RijksregisterKSZPODMI
CBPL
vzw
14
� 2007: [email protected]
� analyse belangrijkste veiligheidsproblemen -> optimalisaties� wachtwoordbeleid, mappenbeheer, ACL
� centraal anti-virusbeheer
� sterke authenticatie & Single Sign-on
� tbox & audit
� voorstelling V-ICT-OR, klantendagen, …
de eerste ronde > aanpak
15
� resultaten:� globaal: onvoldoende
� minderheid investeert in IV
� minderheid volgt IV op
� incidenten doen zich voor
� bezorgdheid neemt af
de eerste ronde > resultaat
17
vaststelling
� informatieveiligheid = IT = leverancier� beeldvorming IV = weinig genuanceerd� security = duur� security is geen directe (zichtbare) meerwaarde� nut van informatieveiligheid is niet duidelijk� weerstand tegen verandering� security wordt aangeboden als een optionele
service
18
� informatieveiligheid = IT = leverancier.� meer dan enkel IT taken
� rol van de leverancier� goede beveiliging =
� preventie
� detectie
� reactie
vaststelling > IV = IT
begrip IV duidelijk omschrijven !
19
vaststelling > IV = IT
� toegang tot gebouwen / kluis / serverruimteaflijnen
� omgang met dossiers bepalen� gebruik van papierversnipperaar toelichten� classificatie van gegevens (aanduiding: publiek,
vertrouwelijk, strict) opmaken� nakijken brandveiligheid / kans op waterschade /
airco� opstellen van beleid rond verantwoord gebruik
van internet/email
20
� beeldvorming IV = weinig genuanceerd� security = complex
� domein van techneuten
� Veiligheidsconsulent = boodschapper
� te veel jargon, clichés
vaststelling > beeldvorming
omring u met advies, eis klare taal & stuur aan op duidelijke richtlijnen
21
� beeldvorming IV = weinig genuanceerd (2)� security = product x,y of z
� All-in-One, Security Suite, bullet-proof, next-generation fw, …
� security beurzen
� IV = een PROCES, geen PRODUKT
vaststelling > beeldvorming
IV = samenwerking van beleid, techniek, medewerkers & gezond verstand
22
� security = duur� bepaalde beveiligingsproducten zijn duur
� heb je ze – in eerste instantie - nodig om een zinnig IV beleid te voeren?
� bekijk de maatregel in functie van het risico
� kleine veranderingen kunnen groot verschil maken (vb beleid rond sociale netw)
� goed advies (audit) >> duur product
� nut van overleg, beleid
vaststelling > kostprijs
23
� security is geen directe (zichtbare) meerwaarde, waar een nieuw programma of een PC dat wèl is � cfr verzekeringen
bescherming tegen een situatie die zich misschien/hopelijk nooit zal voordoen
� context van IV verduidelijken� medewerkers, beleidsmensen ≠ IT
� wettelijke context duiden
� KLARE taal, voorbeelden
� reden bestaan van veiligheidsconsulent verduidelijken
vaststelling > meerwaarde
24
� nut van informatieveiligheid is niet duidelijk “wij hebben toch geen bankgeheimen…”� besef dat IV in ieders belang is
� iedereen is een burger� iedereen heeft talloze dossiers bij diverse instanties� iedereen gelooft graag dat zijn/haar gegevens op
gemeente/ocmw niet zonder meer consulteerbaar zijn en alleen gebruikt worden voor datgene waarvoor ze nodig zijn
� zekere garanties kunnen bieden naar burger/client en zodoende vertrouwen te genieten
� geloofwaardigheid van dienstverlening� gelegenheid maakt de dief
vaststelling > belang
25
� weerstand tegen verandering “niet te moeilijk maken, hé.”� “nee, we willen het beter maken” ☺
� gemak dient de mensen dat weten de Bad Guys ook!
� streef naar eenvoud in werking & communicatie� eenvoud garandeert uw investering
� belangrijkste lijntje in een richtlijn “voortaan dienen jullie <1,2,3> te doen.”
� beperk je uitleg tot 1 A4’tje
vaststelling > verandering
26
� veiligheid werd aangeboden als een optionele service.� gezien genoemde bezwaren, kent dit weinig succes
� verplichten = delicaat, maar noodzakelijk om tot een zekere baseline security te komen� goed begeleiden (uitleg, documentatie)
� brede rug maken ☺
� stand-by in geval van problemen
� hoger belang in achterhoofd houden
vaststelling > optioneel
27
� bezwaren zijn vaak gebaseerd op een beperkt begrip van wat IV is� te technisch
� som van producten ipv van samenwerking
� wettelijke verplichting is niet bekend
� belang wordt niet onderkend … tot het eerstvolgende incident
� gevolg: � onvoldoende gekend
� onvoldoende steun door beleid en medewerkers
vaststelling > samenvatting
29
� stappenplan� audit
� prioriteitenlijst (veiligheidsplan)
� maak een punt! (veiligheidsbeleid)
� implementatie� documentatie (beleidsrichtlijnen)
� uitleg !!!
� audit
de tweede ronde > stappenplan
30
� security producten� bestudeer wat je koopt
� wat doet het product? TEST uitvoerig!
� stel het nauwkeurig af en werk de configuratie bij� berichtgeving, false positives, ...
� houd rekening met een leerperiode (nieuwe problemen)
� zorg voor regelmatige opvolging� leer logging lezen
� communiceer de roll-out / wijziging
� wees nuchter & gezond paranoïde.
de tweede ronde > producten
31
� security producten (2)� denk in haalbare oplossingen, niet in producten
� belang om beleid kenbaar te maken bij:� verantwoordelijken
� medewerkers
de tweede ronde > producten
32
� Informatieveiligheidsbeleid� wat willen we bereiken?
� hoe kunnen we dat realiseren?
� wie kan dat realiseren?
� hoe kunnen we ons resultaat meten?
de tweede ronde > IV beleid
33
� Wat willen we bereiken?� schrijf concreet uit
� gebruik een leidraad (ISO-norm), maar concretiseer
� formuleer ondubbelzinnig
� schrijf leesbaar uit� vermijd:
� engelse woorden, clichés, algemene termen, …
� woorden die je partner niet begrijpt
de tweede ronde > doelstelling
geen concreet doel = geen meetbaar resultaat
34
� voorbeeld� toegang tot lokalen definiëren zodat alleen
bestuursmedewerkers de nodige toegang hebben� een overzicht maken van hard- en software om een
duidelijk beeld te krijgen van onze infrastructuur� een werkbaar schema opstellen om backup op te volgen
zodat er steeds recente reservekopieën beschikbaar zijn� gebruikerstoegang in kaart brengen zodat elke
medewerker gepaste toegang krijgt� richtlijn rond verantwoord computergebruik opstellen
zodat elke medewerker weet wat van hem verwacht wordt
de tweede ronde > doelstelling
35
de tweede ronde > praktische stappen
� Hoe kunnen we dat realiseren?� maak een lijst van praktische stappen
� hoe concreter, hoe beter
� denk in uitvoerbare stappen, niet meteen in producten
� denk al vooruit wie hierin betrokken kan worden
36
de tweede ronde > praktische stappen
� toegang tot lokalen definiëren zodat alleen bestuursmedewerkers de nodige toegang hebben� bestaande toegangsmethode bekijken� bestaande logging bekijken� werking van alarm bekijken� inventaris van beschikbare sleutels/badges opmaken� matrix opmaken medewerker / toegang� sleutelkast aankopen / upgrade badgecontrole
software� logboek opmaken / logging consulteren
37
de tweede ronde > betrokkenheid
� Wie kan dat realiseren? � taakverdeling
� beschikbaarheid
� betrokkenheid
� beleidsrichtlijn
� verduidelijkt doelstelling, verwacht gedrag, controle & eventuele sanctie
� sta open voor suggesties
� formuleer POSITIEF
38
de tweede ronde > betrokkenheid
� Toegang tot lokalen definiëren zodat alleen bestuursmedewerkers de nodige toegang hebben� bestaande toegangsmethode bekijken: VC / conciërge / TD� bestaande logging bekijken: VC / ICT / conciërge
� werking van alarm bekijken: VC /conciërge / TD
� inventaris van beschikbare sleutels/badges opmaken: VC / medewerkers
� matrix opmaken medewerker / toegang: VC / medewerkers / diensthoofd
� sleutelkast aankopen / upgrade badgecontrole software: VC / ICT / aankoopdienst / leverancier
� logboek opmaken / logging consulteren: VC / conciërge
39
de tweede ronde > richtlijn
� richtlijn betreffend gebruik van badge om toegang tot de lokalen te krijgen
“deze badge is uniek en direct gelinkt aan jouw persoon. Draag er de nodige zorg voor en leen hem nooit aan iemand anders uit. Vergezel deze persoon naar de deur of vraag je diensthoofd een badge voor hem aan te maken. In geval je deze badge verliest, verwittig dan onmiddellijk je diensthoofd zodat de kaart kan geblokkeerd worden om onrechtmatige toegang te voorkomen. Periodiek zal de toegang tot het gebouw gecontroleerd worden. Bij vermoeden van misbruik, wordt je diensthoofd ingelicht die dit verder laat onderzoeken.”
40
de tweede ronde > resultaat meten
� Hoe kunnen we ons resultaat meten?� steekproef
� periodiek
� richtlijn geeft je de nodige machtiging om controle uit te voeren
41
de tweede ronde > resultaat meten
� meetpunten om toegangsbeleid te controleren� probeer binnen te geraken in andermans
bureau/archief/serverlokaal
� vraag een medewerker van ander bestuur om in jullie lokalen te komen
� 3 maandelijks overzichtslijst van toegangen en gefaalde logins
42
de tweede ronde > Tips
� BELANGRIJK� menselijke factor = NIET zwakke link
(klassieke beeld van ‘domme gebruiker’)
� betrek anderen in IV beleid
� stel de dingen POSITIEF ipv bedreigend
“we streven naar een optimale werking van onze infrastructuur. Daarom willen we …”
“om naar de burger een aantal garanties van vertrouwelijkheid te kunnen bieden, hebben we …”
44
samenvatting
� maak het begrip informatieveiligheid GLASHELDER
� schrijf uit wat je wil bereiken� kies je producten weloverwogen� maak iedereen duidelijk wat de bedoeling is� zorg voor voldoende opvolging